CN114978561A - 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 - Google Patents
一种实时高速网络tcp协议旁路批量主机阻断方法及系统 Download PDFInfo
- Publication number
- CN114978561A CN114978561A CN202110215963.3A CN202110215963A CN114978561A CN 114978561 A CN114978561 A CN 114978561A CN 202110215963 A CN202110215963 A CN 202110215963A CN 114978561 A CN114978561 A CN 114978561A
- Authority
- CN
- China
- Prior art keywords
- blocking
- tcp
- address
- bypass
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 86
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000005540 biological transmission Effects 0.000 title claims abstract description 11
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 25
- 238000001514 detection method Methods 0.000 claims description 15
- 238000007637 random forest analysis Methods 0.000 claims description 11
- 238000003066 decision tree Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000003064 k means clustering Methods 0.000 description 3
- 230000004888 barrier function Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明提供一种实时高速网络TCP协议旁路批量主机阻断方法及系统,所述方法包括获取需要阻断的I P列表;通过旁路分析高速网络的TCP数据包,判断TCP数据包的源I P地址或目的I P地址是否在I P列表内,如果在,生成对应的伪造的reset阻断封包;将reset阻断封包分别发送到TCP数据包的源I P地址和目的I P地址,进行双向阻断;该阻断方法及系统阻断网络不需要借助传统的防火墙、路由器等设备,通过旁路部署,无需串联到网络中,可以应对高复杂性的网络结构。
Description
技术领域
本发明属于主机阻断技术领域,特别涉及一种实时高速网络TCP协议旁路批量主机阻断方法及系统。
背景技术
常见的阻断恶意攻击,都是通过防火墙、路由器ACL策略等方式,需要耗费大量人工去调整策略阻断恶意主机,且手工操作速度慢,无法达到发现异常实时阻断的效果。针对多个出口高并发网络环境,甚至需要切换不同的防火墙和路由器重复配置阻断策略。且该方式依赖于传统的防火墙和路由器设备,无法应对复杂的网络结构。一旦防火墙或路由器出现故障,将导致整个网络中断。
常见旁路阻断,都是基于局域网,通过普通操作系统网络协议解析网络封包,发送阻断封包,当在高速的互联网环境下,因丢包率高、处理速度慢,无法达到阻断目标的效果。
发明内容
本发明提供一种实时高速网络TCP协议旁路批量主机阻断方法及系统。
为达到上述目的,本发明采用如下技术方案:
本发明其中一个技术方案提供一种实时高速网络TCP协议旁路批量主机阻断方法,所述方法包括:
获取需要阻断的IP列表;
通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
结合第一个技术方案,在第一个技术方案的第一种可能的实现方式中,所述通过旁路分析高速网络的TCP数据包为利用DPDK技术解析TCP协议进而获取TCP数据包。
结合第一个技术方案,进一步改进的技术方案中,通过软件接口自动获取需要阻断的IP列表。
结合第一个技术方案,进一步改进的技术方案中,如果TCP数据包的源IP地址或目的IP地址不在IP列表内,检测所述TCP数据包的IP地址是否为需要阻断的IP,如果是,生成对应的伪造的reset阻断封包。
结合第一个技术方案,进一步改进的技术方案中,检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括:
解析历史TCP数据包内的流量信息,所述流量信息包括IP地址、数据包数量及IP类型,所述IP类型包括需阻断IP及正常IP;
利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型;
利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP。
结合第一个技术方案,进一步改进的方案中,所述利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型具体包括:
采用K-means算法对流量信息进行聚类,得到K个聚类簇,K>1;
分别从K个聚类簇内随机选择i个样本,共计N个样本,N=K×i;每一样本都具有m个特征;其中i>1,m>1;
从m个特征中随机选择r个特征,对N个样本利用选择的r个特征建立决策树,r>1;
重复M轮,当进行第j轮时,将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内,且从m个特征中随机选择r+j个特征,j=1、2......M,1<M≤K,M<m,r+j<m,h=j=1、2......K,直至构建c棵决策树,形成阻断检测模型。
本发明第二个技术方案提一种实时高速网络TCP协议旁路批量主机阻断系统,其特征在于,所述系统包括:
获取模块,所述获取模块被配置为获取需要阻断的IP列表;
判断模块,所述判断模块被配置为通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
发送模块,所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
本发明提供的一种实时高速网络TCP协议旁路批量主机阻断方法及系统具有如下优点:
1、该阻断方法及系统阻断网络不需要借助传统的防火墙、路由器等设备,通过旁路部署,无需串联到网络中,可以应对高复杂性的网络结构。
2、普通通过防火墙、路由器等设备方式阻断,一旦设备故障,将导致整个网络中断事故,该阻断方法及系统因旁路部署,即使设备出现硬件故障,也不影响正常网络运行。
3、该阻断方法及系统使用DPDK技术比普通通过操作系统网络协议进行阻断的方法,处理速度快,丢包率低,可以应对10G以上高速网络。
4、该阻断方法及系统通过接口实现实时阻断,比普通通过防火墙策略和交换机ACL策略添加阻断策略,无需人工操作速度更快,灵活性更高。
5、该阻断方法及系统可以实时批量阻断大量主机,阻断主机数量受物理网络带宽和服务性能影响,理论上只要网络带宽足够大、服务器处理速度足够快,可以阻断整个网络内所有主机。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明其中一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断方法的流程示意图;
图2是本发明再一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断方法的流程示意图;
图3是本发明提供的检测所述TCP数据包的IP地址是否为需要阻断的IP的流程示意图;
图4是本发明提供的利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型的流程示意图;
图5是本发明提供的采用K-means算法对流量信息进行聚类,得到K个聚类簇的流程示意图;
图6是本发明另一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明其中一实施例提供一种实时高速网络TCP协议旁路批量主机阻断方法,如图1所示,所述方法包括:
S1、获取需要阻断的IP列表;
其中,本申请通过软件接口自动接收需要阻断的IP列表,后续对这个IP列表中的主机进行自动化批量阻断。
S2、通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。
新的网络形势下,基于传统操作系统内核的数据采集机制丢包率高、吞吐量低,难以满足当前人们日益增长的高速网络环境需求。随着网络速度的逐步提升,网络安全检测过程中数据采集的性能遇到困难。在当前的高速网络环境中,高性能系统需要在极其有限的时间内成功地收集和处理大量数据,因此如何高效、完整、快速捕获数据包,是准确分析网络数据的基础以及进行下一步管控的关键。而传统的收发报文方式都必须采用硬中断来做通讯,每次硬中断大约消耗100微秒,其中还不包含因终止上下文所带来的Cache Miss。数据须在内核态与用户态之间切换拷贝,这会带来大量CPU消耗以及全局锁竞争。收发包都会产生系统调用的开销。内核工作在多核上,可为了全局一致,即使采用Lock Free,也避免不了锁总线、内存屏障带来的性能损耗。从网卡到业务进程经过的路径过长,某些框架会产生一定的消耗并且容易Cache Miss,例如Netfilter框架。因此无法适应当前网络场景对于大规模高速数据处理的需求,成为了服务器报文处理的性能瓶颈。
DPDK技术为加速网络I/O提供了新的思路和解决方案。DPDK技术主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。它通过UIO技术将报文拷贝到用户空间进行处理,从而绕过内核协议栈;通过大页内存,提高TLB命中率,降低TLB miss开销,进而提高CPU访问速度;通过CPU亲和性,绑定网卡和线程到固定的core,减少CPU任务切换;通过无锁队列,减少资源竞争;解决了从网卡进行高速收包的问题。
S3、将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
TCP Reset报文:TCP的异常终止是相对于正常释放TCP连接的过程而言的,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程中会出现一些意想不到的情况,导致TCP无法按照正常的四次挥手来释放连接,如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的部分资源。在这种情况下,需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文。
当客户端收到伪造的reset消息时就会断开该连接而不再等待服务器真正的返回信息。而实际上通过将TCP连接时服务器发回的SYN/ACK包中服务器向用户发送的序列号改为0,从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,从而达到阻断主机的目的。
本申请提供的实时高速网络TCP协议旁路批量主机阻断方法阻断网络不需要借助传统的防火墙、路由器等设备,通过旁路部署,无需串联到网络中,可以应对高复杂性的网络结构;因旁路部署,即使设备出现硬件故障,也不影响正常网络运行;使用DPDK技术比普通通过操作系统网络协议进行阻断的方法,处理速度快,丢包率低,可以应对10G以上高速网络;通过接口实现实时阻断,比普通通过防火墙策略和交换机ACL策略添加阻断策略,无需人工操作速度更快,灵活性更高;可以实时批量阻断大量主机,阻断主机数量受物理网络带宽和服务性能影响,理论上只要网络带宽足够大、服务器处理速度足够快,可以阻断整个网络内所有主机。
本发明再一实施例提供一种实时高速网络TCP协议旁路批量主机阻断方法,如图2所示,所述方法包括:
S1、获取需要阻断的IP列表;
其中,本申请通过软件接口自动接收需要阻断的IP列表,后续对这个IP列表中的主机进行自动化批量阻断。
S2、通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;如果不在,检测所述TCP数据包的IP地址是否为需要阻断的IP,如果是,生成对应的伪造的reset阻断封包;
本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。
如图3所示,检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括:
S21、解析历史TCP数据包内的流量信息,所述流量信息包括IP地址、数据包数量及IP类型,所述IP类型包括需阻断IP及正常IP;
S22、利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型;
如图4所示,利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型具体包括:
S221、采用K-means算法对流量信息进行聚类,得到K个聚类簇,K>1;
如图5所示,采用K-means算法对流量信息进行聚类,得到K个聚类簇,具体步骤如下:
S2211、确定聚类数目K;所述确定聚类数目K的具体方法包括:
计算各流量信息之间的Pearson相关系数,将Pearson相关系数大于阈值的样本形成集合Pa,其余的样本形成集合Pb;
其中Pearson相关系数阈值可以人为设定。
分别从集合Pa和集合Pb中找到密度最大的样本xa1和样本xb1;
从集合Pa中距离样本xa1最近的样本开始遍历,寻找与样本xa1形成集合Ga1的样本,直至集合Ga1内所有样本的RSDa>阈值RSD0时,停止寻找;从集合Pb中距离样本xb1最近的样本开始遍历,寻找与样本xb1形成集合Gb1的样本,直至集合Gb1内所有样本的RSDb>阈值RSD0时,停止寻找;
分别将集合P1和集合P2内剩余的样本重复上述步骤,依次循环,直至形成ka个集合及kb个集合,其中ka={Ga1,Ga2,...,Gka},kb={Gb1,Gb2,...,Gkb}
计算每一质心之间的欧式距离,将欧式距离小于距离阈值dmin的两个集合合并,统计集合的个数即为K值;
本申请在进行K-Means聚类时,聚类数目K不是随便选择,而是根据数据的特性进行选择,进而显著提高了K-Means聚类的准确性及稳定性,并且克服了传统K-Means聚类无法得到全局的最优解的问题。
S2212、在流量信息中随机选取K条作为各个簇的中心点{μ1,μ2,…,μK};
S2213、计算所有流量信息和各个簇中心点之间的距离dist(x(m),μn),对于每条流量信息,将其划入最近的簇中x(m)∈μnearest;
S2215、重复步骤S2213-S2214,直至各簇中心值收敛,得到K个聚类簇;
S222、分别从K个聚类簇内随机选择i个样本,共计N个样本,N=K×i;每一样本都具有m个特征;其中i>1,m>1;
S223、从m个特征中随机选择r个特征,对N个样本利用选择的r个特征建立决策树,r>1;
S224、重复M轮,当进行第j轮时,将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内,且从m个特征中随机选择r+j个特征,j=1、2......M,1<M≤K,M<m,r+j<m,h=j=1、2......K,直至构建c棵决策树,形成阻断检测模型;
当j=2时,将从第1个聚类簇内取出的i个样本放入第3个聚类簇内,将从第2个聚类簇内取出的i个样本放入第4个聚类簇内;然后在分别从K个聚类簇内取出i个样本,共计N个样本,每个样本具有m个特征,从m个特征中随机选择r+2个特征,对N个样本利用选择的r+2个特征建立决策树。依次类推直至构建c棵决策树。
S23、利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP;
利用K-means算法和随机森林算法对需要阻断IP进行检测,提高检测准确性。
S3、将reset阻断封包分别发送到TCP数据包的源IP地址和目的I P地址,进行双向阻断。
本申请提供的实时高速网络TCP协议旁路批量主机阻断方法利用K-means算法和随机森林算法结合对未知IP进行检测,利用K-means算法选择随机森林的参数,克服了随机森林算法使用默认参数影响最终预测准确性的问题。提高了阻断检测模型的拟合能力,最终提高了需阻断IP判断的准确性。
本发明其中另一些实施例提供一种实时高速网络TCP协议旁路批量主机阻断系统,如图6所示,所述系统包括:
获取模块10,所述获取模块被配置为获取需要阻断的IP列表;
其中,本申请通过软件接口自动接收需要阻断的IP列表,后续对这个IP列表中的主机进行自动化批量阻断。
判断模块20,所述判断模块被配置为通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。
新的网络形势下,基于传统操作系统内核的数据采集机制丢包率高、吞吐量低,难以满足当前人们日益增长的高速网络环境需求。随着网络速度的逐步提升,网络安全检测过程中数据采集的性能遇到困难。在当前的高速网络环境中,高性能系统需要在极其有限的时间内成功地收集和处理大量数据,因此如何高效、完整、快速捕获数据包,是准确分析网络数据的基础以及进行下一步管控的关键。而传统的收发报文方式都必须采用硬中断来做通讯,每次硬中断大约消耗100微秒,其中还不包含因终止上下文所带来的Cache Miss。数据须在内核态与用户态之间切换拷贝,这会带来大量CPU消耗以及全局锁竞争。收发包都会产生系统调用的开销。内核工作在多核上,可为了全局一致,即使采用Lock Free,也避免不了锁总线、内存屏障带来的性能损耗。从网卡到业务进程经过的路径过长,某些框架会产生一定的消耗并且容易Cache Miss,例如Netfilter框架。因此无法适应当前网络场景对于大规模高速数据处理的需求,成为了服务器报文处理的性能瓶颈。
DPDK技术为加速网络I/O提供了新的思路和解决方案。DPDK技术主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。它通过UIO技术将报文拷贝到用户空间进行处理,从而绕过内核协议栈;通过大页内存,提高TLB命中率,降低TLB miss开销,进而提高CPU访问速度;通过CPU亲和性,绑定网卡和线程到固定的core,减少CPU任务切换;通过无锁队列,减少资源竞争;解决了从网卡进行高速收包的问题。
发送模块30,所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
TCP Reset报文:TCP的异常终止是相对于正常释放TCP连接的过程而言的,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程中会出现一些意想不到的情况,导致TCP无法按照正常的四次挥手来释放连接,如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的部分资源。在这种情况下,需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文。
当客户端收到伪造的reset消息时就会断开该连接而不再等待服务器真正的返回信息。而实际上通过将TCP连接时服务器发回的SYN/ACK包中服务器向用户发送的序列号改为0,从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,从而达到阻断主机的目的。
本申请提供的实时高速网络TCP协议旁路批量主机阻断系统阻断网络不需要借助传统的防火墙、路由器等设备,通过旁路部署,无需串联到网络中,可以应对高复杂性的网络结构;因旁路部署,即使设备出现硬件故障,也不影响正常网络运行;使用DPDK技术比普通通过操作系统网络协议进行阻断的方法,处理速度快,丢包率低,可以应对10G以上高速网络;通过接口实现实时阻断,比普通通过防火墙策略和交换机ACL策略添加阻断策略,无需人工操作速度更快,灵活性更高;可以实时批量阻断大量主机,阻断主机数量受物理网络带宽和服务性能影响,理论上只要网络带宽足够大、服务器处理速度足够快,可以阻断整个网络内所有主机。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,所述方法包括:
获取需要阻断的IP列表;
通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
2.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,所述通过旁路分析高速网络的TCP数据包为利用DPDK技术解析TCP协议进而获取TCP数据包。
3.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,通过软件接口自动获取需要阻断的IP列表。
4.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,如果TCP数据包的源IP地址或目的IP地址不在IP列表内,检测所述TCP数据包的IP地址是否为需要阻断的IP,如果是,生成对应的伪造的reset阻断封包。
5.根据权利要求4所述的实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括:
解析历史TCP数据包内的流量信息;
利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型;
利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP。
6.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法,其特征在于,所述利用K-means算法和随机森林算法对流量信息进行训练,获取阻断检测模型具体包括:
采用K-means算法对流量信息进行聚类,得到K个聚类簇,K>1;
分别从K个聚类簇内随机选择i个样本,共计N个样本,N=K×i;每一样本都具有m个特征;其中i>1,m>1;
从m个特征中随机选择r个特征,对N个样本利用选择的r个特征建立决策树,r>1;
重复M轮,当进行第j轮时,将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内,且从m个特征中随机选择r+j个特征,j=1、2......M,1<M≤K,M<m,r+j<m,h=j=1、2......K,直至构建c棵决策树,形成阻断检测模型。
7.一种实时高速网络TCP协议旁路批量主机阻断系统,其特征在于,所述系统包括:
获取模块,所述获取模块被配置为获取需要阻断的IP列表;
判断模块,所述判断模块被配置为通过旁路分析高速网络的TCP数据包,判断TCP数据包的源IP地址或目的IP地址是否在IP列表内,如果在,生成对应的伪造的reset阻断封包;
发送模块,所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址,进行双向阻断。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110215963.3A CN114978561B (zh) | 2021-02-26 | 2021-02-26 | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110215963.3A CN114978561B (zh) | 2021-02-26 | 2021-02-26 | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978561A true CN114978561A (zh) | 2022-08-30 |
CN114978561B CN114978561B (zh) | 2023-11-07 |
Family
ID=82974310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110215963.3A Active CN114978561B (zh) | 2021-02-26 | 2021-02-26 | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978561B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294538A (zh) * | 2023-11-27 | 2023-12-26 | 华信咨询设计研究院有限公司 | 一种数据安全风险行为的旁路检测与阻断方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010017862A1 (en) * | 2000-02-28 | 2001-08-30 | Masanaga Tokuyo | IP router device having a TCP termination function and a medium thereof |
US20070245417A1 (en) * | 2006-04-17 | 2007-10-18 | Hojae Lee | Malicious Attack Detection System and An Associated Method of Use |
CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
CN111131192A (zh) * | 2019-12-10 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种旁路防护方法及装置 |
-
2021
- 2021-02-26 CN CN202110215963.3A patent/CN114978561B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010017862A1 (en) * | 2000-02-28 | 2001-08-30 | Masanaga Tokuyo | IP router device having a TCP termination function and a medium thereof |
US20070245417A1 (en) * | 2006-04-17 | 2007-10-18 | Hojae Lee | Malicious Attack Detection System and An Associated Method of Use |
CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
CN111131192A (zh) * | 2019-12-10 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种旁路防护方法及装置 |
CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
Non-Patent Citations (3)
Title |
---|
CHUN LONG: "Botnet Detection Based on Flow Summary and Graph Sampling with Machine Learning", 《2021 INTERNATIONAL CONFERENCE ON COMPUTER ENGINEERING AND APPLICATION (ICCEA)》 * |
KAIJUN LIU: "A Review of Android Malware Detection Approaches Based on Machine Learning", 《IEEE ACCESS ( VOLUME: 8)》 * |
张联峰,刘乃安,刘宝旭: "对等网监控技术研究", 计算机工程与应用, no. 33 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294538A (zh) * | 2023-11-27 | 2023-12-26 | 华信咨询设计研究院有限公司 | 一种数据安全风险行为的旁路检测与阻断方法及系统 |
CN117294538B (zh) * | 2023-11-27 | 2024-04-02 | 华信咨询设计研究院有限公司 | 一种数据安全风险行为的旁路检测与阻断方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114978561B (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | SGuard: A lightweight SDN safe-guard architecture for DoS attacks | |
CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
CN109936517B (zh) | 拟态防御中的自适应动态流量分配方法 | |
CN109617931B (zh) | 一种SDN控制器的DDoS攻击防御方法及防御系统 | |
US20070160073A1 (en) | Packet communications unit | |
US9356844B2 (en) | Efficient application recognition in network traffic | |
CN106972985B (zh) | 加速dpi设备数据处理与转发的方法和dpi设备 | |
US10523692B2 (en) | Load balancing method and apparatus in intrusion detection system | |
CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN111431881B (zh) | 一种基于windows操作系统的诱捕节点实现方法及装置 | |
CN113489711B (zh) | DDoS攻击的检测方法、系统、电子设备和存储介质 | |
WO2017016454A1 (zh) | 防范ddos攻击的方法和装置 | |
CN111314179A (zh) | 网络质量检测方法、装置、设备和存储介质 | |
CN112261021B (zh) | 软件定义物联网下DDoS攻击检测方法 | |
US20220174075A1 (en) | Identifying malicious client network applications based on network request characteristics | |
CN114978561B (zh) | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 | |
CN104883362A (zh) | 异常访问行为控制方法及装置 | |
EP4199427A1 (en) | Ai-supported network telemetry using data processing unit | |
CN111294318B (zh) | 一种网络攻击的ip地址分析方法、装置和存储介质 | |
JP3560552B2 (ja) | サーバへのフラッド攻撃を防止する方法及び装置 | |
Dharmadhikari et al. | Comparative Analysis of DDoS Mitigation Algorithms in SDN | |
Chang et al. | Enabling malware detection with machine learning on programmable switch | |
CN112671662A (zh) | 数据流加速方法、电子设备和存储介质 | |
CN106027405B (zh) | 数据流的分流方法及装置 | |
Guo et al. | Libra: a stateful Layer-4 load balancer with fair load distribution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |