CN116318785A - 一种伪造攻击流量的识别方法及系统 - Google Patents
一种伪造攻击流量的识别方法及系统 Download PDFInfo
- Publication number
- CN116318785A CN116318785A CN202211565988.7A CN202211565988A CN116318785A CN 116318785 A CN116318785 A CN 116318785A CN 202211565988 A CN202211565988 A CN 202211565988A CN 116318785 A CN116318785 A CN 116318785A
- Authority
- CN
- China
- Prior art keywords
- message
- intermediate server
- data packet
- packets
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种伪造攻击流量的识别方法及系统,涉及计算机通信安全的技术领域,第一PC端将报文中的数据包循环筛选存放至不同的队列,连带每个数据包的哈希值和时间戳发送至中间服务器,提高后续的报文比对效率,避免由于比对慢而增加报文的通信时延,后续中间服务器对数据包按流区分,并提前计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值,做好比对准备,在防火墙中,由于前期数据包的循环筛选存放等准备工作,采用等队列比对原则,比对报文,能够高效查证报文的真实性与合法性,识别报文中伪造的攻击流,并阻断其攻击,且提升了检测效率和准确度。
Description
技术领域
本发明涉及计算机通信安全的技术领域,更具体地,涉及一种伪造攻击流量的识别方法及系统。
背景技术
现代社会,计算机设备已经被广泛地应用于社会生产的各个领域,特别是重要的国家基础设施,如电力、供水、燃气等涉及到国计民生的重要领域。保障计算机通信通信安全,特别是保障这些关乎国计民生的关键基础设施的计算机通信安全,对一个国家和企业非常重要。
为了保障计算机网络的安全运行,技术人员通常会在计算机网络中部署防火墙。防火墙的主要作用是在内外网或不同区域进行计算机通信控制,可以对流经其的报文进行放行或阻断,即只有被防火墙规则允许的报文才能通过,否则,报文将被丢弃,但是防火墙只能阻断表面上违反规则的通信。对于攻击流量伪造成正常流量,特别是伪装成ICMP流量,以绕过防火墙对内网设备进行攻击,则防火墙无法防范。防火墙通常会允许ICMP通信(即ping通信),攻击者可以把攻击流量伪造成正常的ICMP通信,这样则能绕过防火墙的阻断而达到攻击计算机设备的目的。
针对于此,现有技术中公开了一种基于ICMP协议进行隐蔽信道通信的检测方法及装置,该方法通过对获取的ICMP流量报文进行解析,得到传输标识和传输内容;然后判断传输内容是否为杂乱,如果传输内容为杂乱,则确认目标传输标识对应的请求内容和响应内容是否相同;如果目标传输标识对应的请求内容和响应内容不相同,基于目标传输标识确定隐蔽信道通信行为。该方法基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为,多重判断确认虽然提高了伪装流量报文的识别率,降低了对检测设备的性能要求,同时不会影响网络排查工具的使用,有利于网络的正常运行。但这种方式是对ICMP报文是采用逐包排查的方式,效率低,且占用资源高。
发明内容
为解决现有识别伪装攻击流量的方式识别准确度低、检测效率低的问题,本发明提出了一种基于ICMP协议进行隐蔽信道通信的检测方法及装置,能够高效识别伪造成正常流量的攻击流,并阻断其攻击,且提升了检测效和准确度。
为了达到上述技术效果,本发明的技术方案如下:
一种伪造攻击流量的识别方法,所述方法包括以下步骤:
S1.第一PC端将网卡发出报文中的每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳;
S2.第一PC端将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
S3.中间服务器将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
S4.中间服务器将接收到的报文传输至防火墙,防火墙按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性,中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
本技术方案以报文中的每个数据包的哈希值和数据包的时间戳作为第一PC端与中间服务器之间通信协议的重要字段,第一PC端将报文中的数据包循环筛选存放至不同的队列,并连带每个数据包的哈希值和时间戳发送至中间服务器,提高后续的报文比对效率,避免由于比对慢而增加报文的通信时延,后续中间服务器对数据包按流区分,并提前计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值,做好比对准备,在防火墙中,由于前期数据包的循环筛选存放等准备工作,采用等队列比对原则,比对效率高,能够高效查证报文的真实性与合法性,识别伪造成正常流量的攻击流,并阻断其攻击,且提升了检测效和准确度。
优选地,在步骤S1中,每个数据包的五元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口;利用哈希函数计算每个数据包的哈希值。
优选地,第一PC端与中间服务器之间在通信协议下进行加密通信,通信协议中的重要字段为每个数据包的哈希值和每个数据包的时间戳。
优选地,将报文中的数据包循环筛选存放至6个不同的队列,根据数据包的时间点序次n,以2n筛选存放原则,即第n个时间点序次筛选存放2n个数据包,n=0,1,…,5;直至报文的所有数据包筛选存放完毕,确保后续的比对能达到线性比对的效果,避免了由于比对慢而增加报文的通信时延,提升比对效率。
优选地,第一PC端将报文按以下规则发送至中间服务器:
其中,n表示数据包的时间点序次;Tn表示第n个时间点序次发送的报文数据包的个数;即第一个队列每秒发送2个数据包,第二个队列每秒发送3个数据包,第三个队列每秒发送3个数据包,第四个队列每秒发送4个数据包,第五个队列每秒发送4个数据包,第六个队列每秒发送4个数据包。
优选地,在步骤S3中,中间服务器将接收到的报文按不同的流区分,对应报文中的数据包的筛选存放,分别将1个数据包、2个数据包、4个数据包、8个数据包、16个数据包及32个数据包作为不同的流,并利用哈希函数计算不同流的数据包的哈希值。
优选地,在步骤S4中,防火墙为不同的流开辟对应的不同内存队列空间,且在向中间服务器逆行查证时,按以下时间点发送数据包查询:
其中,tn为第n个时间点发送的报文数;a为比对速率;pkt为数据包长度;K为纠偏系数,1/K恒为1/1000,每个时间点发送的数据包的数目与第一PC端向中间服务器发送的数据包的数目相同。
优选地,当T比对的值趋近于平均哈希值时,则中间服务器认为在任意连续时间内报文合法,防火墙进行后续业务处理和转发。
优选地,设平均哈希值表示为Thash,若T比对的值在开区间(Thash-log2n,Thash+log2n),则中间服务器认为比对成功;否则认为不成功,发送告警信息,报文是否通过防火墙,由用户进行选择配置。
本申请还提出了一种伪造攻击流量的识别系统,所述系统包括:
第一PC端,第一PC端上设有agent客户端;所述agent客户端将第一PC端网卡发出报文中每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳,将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
中间服务器,与第一PC端通信,将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
防火墙,与中间服务器双向通信,按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性;
中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
与现有技术相比,本发明技术方案的有益效果是:
本发明提出一种伪造攻击流量的识别方法及系统,以报文中的每个数据包的哈希值和数据包的时间戳作为第一PC端与中间服务器之间通信协议的重要字段,第一PC端将报文中的数据包循环筛选存放至不同的队列,并连带每个数据包的哈希值和时间戳发送至中间服务器,提高后续的报文比对效率,避免由于比对慢而增加报文的通信时延,后续中间服务器对数据包按流区分,并提前计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值,做好比对准备,在防火墙中,由于前期数据包的循环筛选存放等准备工作,采用等队列比对原则,比对报文,能够高效查证报文的真实性与合法性,识别报文中伪造的攻击流,并阻断其攻击,且提升了检测效和准确度。
附图说明
图1表示本发明实施例1中提出的伪造攻击流量的识别方法的流程图;
图2表示本发明实施例2中提出的在伪造攻击流量的识别过程中数据包在计算机设备中的流向示意图;
图3表示本发明实施例3提出的伪造攻击流量的识别系统的结构示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好地说明本实施例,附图某些部位会有省略、放大或缩小,并不代表实际尺寸;
对于本领域技术人员来说,附图中某些公知内容说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明;
附图中描述位置关系的仅用于示例性说明,不能理解为对本专利的限制;
实施例1
本实施例提出了一种伪造攻击流量的识别方法,该方法的流程示意图参见图1,如图1所示,该方法包括以下步骤:
S1.第一PC端将网卡发出报文中的每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳;
S2.第一PC端将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
S3.中间服务器将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
S4.中间服务器将接收到的报文传输至防火墙,防火墙按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性,中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
在本实施例中,网卡发出报文中的每个数据包经过TCP/IP协议栈发送,第一PC端将五元组信息拷贝一份发给中间服务器,以报文中的每个数据包的哈希值和数据包的时间戳作为第一PC端与中间服务器之间通信协议的重要字段,第一PC端将报文中的数据包循环筛选存放至不同的队列,并连带每个数据包的哈希值和时间戳发送至中间服务器,提高后续的报文比对效率,避免由于比对慢而增加报文的通信时延,后续中间服务器对数据包按流区分,并提前计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值,做好比对准备,防火墙首先对接收的报文进行缓存,然后找中间服务器确认其真实性与合法性,在防火墙中,由于前期数据包的循环筛选存放等准备工作,采用等队列比对原则,比对报文,若报文真实合法,则通过防火墙进行下一步业务的处理和转发。
整体上,在伪造攻击流量的识别过程中数据包在计算机设备中的流向示意图如图2所示,图2中包括4个部分:第一PC端PC1、中间服务器、防火墙及下一步业务的转发目的地第二PC端PC2,本实施例提出的方法对报文的比对效率高,能够高效查证报文的真实性与合法性,识别伪造成正常流量的攻击流,并阻断其攻击,且提升了检测效和准确度。
本本实施例中,每个数据包的五元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口;利用哈希函数计算每个数据包的哈希值。第一PC端将报文发送至中间服务器,第一PC端与中间服务器之间在通信协议下进行加密通信,这套通信协议是约定第一PC端与中间服务器如何沟通的,通信协议中的重要字段为每个数据包的哈希值和每个数据包的时间戳。
实施例2
在步骤S2中,将报文中的数据包循环筛选存放至6个不同的队列,根据数据包的时间点序次n,以2n筛选存放原则,即第n个时间点序次筛选存放2n个数据包,n=0,1,…,5;直至报文的所有数据包筛选存放完毕。第1个数据包放到第一个队列,第2个数据包放到第二个队列,第4个数据包放到第三个队列,第8个数据包放到第四个队列,第16个数据包放到第五个队列,第32个数据包放到第六个队列。确保后续任一时刻的比对都可以拿到2的n次方的报文,达到线性的比对效果,提升比对效率,避免了由于比对慢而增加报文的通信时延,提升比对效率。
第一PC端将报文按以下规则发送至中间服务器:
其中,n表示数据包的时间点序次;Tn表示第n个时间点序次发送的报文数据包的个数;即第一个队列每秒发送2个数据包,第二个队列每秒发送3个数据包,第三个队列每秒发送3个数据包,第四个队列每秒发送4个数据包,第五个队列每秒发送4个数据包,第六个队列每秒发送4个数据包。
在步骤S3中,中间服务器将接收到的报文按不同的流区分,对应报文中的数据包的筛选存放,分别将1个数据包、2个数据包、4个数据包、8个数据包、16个数据包及32个数据包作为不同的流,并利用哈希函数计算不同流的数据包的哈希值。
防火墙对接收到的数据报文进行缓存,然后向中间服务器逆行查证,中间服务器返回查询结果,告知防火墙报文是否正确、合法。为了避免逐包查询带来的效率低下问题,本实施例使用了对等队列比对技术。在本实施例中,防火墙为不同的流(ICMP协议虽然是无端口的协议,但是也可以借鉴流的定义,使用源目的IP进行区分,这里也定义为流)开辟对应的不同内存队列空间,且在向中间服务器逆行查证时,按以下时间点发送数据包查询:
其中,tn为第n个时间点发送的报文数;a为比对速率;pkt为数据包长度;K为纠偏系数,1/K恒为1/1000,每个时间点发送的数据包的数目与第一PC端向中间服务器发送的数据包的数目相同。
当T比对的值趋近于平均哈希值时,则中间服务器认为在任意连续时间内报文合法,防火墙进行后续业务处理和转发。
设平均哈希值表示为Thash,若T比对的值在开区间(Thash-log2n,Thash+log2n),则中间服务器认为比对成功;否则认为不成功,发送告警信息,报文是否通过防火墙,由用户进行选择配置。
实施例3
如图3所示,本实施例提出了一种伪造攻击流量的识别系统,参见图3,所述系统包括:
第一PC端,第一PC端上设有agent客户端;所述agent客户端将第一PC端网卡发出报文中每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳,将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
中间服务器,与第一PC端通信,将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
防火墙,与中间服务器双向通信,按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性;
中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
在本实施例中,第一PC端上的agent客户端位于网卡驱动层,会“看到”从网卡发出的所有报文。将TCP/IP协议栈的每个数据包的五元组信息(源IP地址、目的IP地址、协议号、源端口、目的端口)登记,并拷贝一份发给中间服务器,发送时每个数据包会计算哈希值,且会先把报文筛选到6个不同的对列中,存放的原则是2n原则,即第1个数据包放到第一个队列,第2个数据包放到第2个队列,第4个数据包放到第3个队列,第8个数据包放到第4个队列,第16个数据包放到第5个队列,第32个数据包放到第6个队列。
剩下的数据包再次按照上面的2n原则放入不同的6个队列,循环下去。agent客户端向中间服务器发送这些数据包时,按以下规则发送:
发送数据时要把这些数据包的值计算哈希值和添加时间记录值发送到中间服务器。
中间服务器对agent客户端发来的报文按照不同的“流”进行区分,按如下规则对报文进行hash值计算并存储,2的n次方,即1个包,2个包,4个包,8个包,16个包,32个包,同时在其对应的时间区间进行积分运算,得出平均哈希值Thash。
防火墙对接收到的数据报文进行缓存,然后向中间服务器逆行查证,中间服务器返回查询结果,告知防火墙报文是否正确、合法。为了避免逐包查询带来的效率低下问题,本技术使用了对等队列比对技术,即防火墙为每个“流”(ICMP协议虽然是无端口的协议,但是也可以借鉴流的定义,使用源目的IP进行区分,这里也定义为流)开辟不同的内存队列空间进行缓存。按以下时间点发送数据包查询:
当平均哈希值趋近于K时,则中间服务器认为在任意连续时间内报文合法,防火墙进行后续业务处理和转发,如转发到下一个计算机设备。
设平均哈希值表示为Thash,若T比对在大于(Thash+log2n),则中间服务器认为比对不成功,发送告警信息,报文是否通过防火墙,由用户进行选择配置。这样能够识别伪造攻击流量,并阻断其攻击。
显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种伪造攻击流量的识别方法,其特征在于,所述方法包括以下步骤:
S1.第一PC端将网卡发出报文中的每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳;
S2.第一PC端将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
S3.中间服务器将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
S4.中间服务器将接收到的报文传输至防火墙,防火墙按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性,中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
2.根据权利要求1所述的伪造攻击流量的识别方法,其特征在于,在步骤S1中,每个数据包的五元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口;利用哈希函数计算每个数据包的哈希值。
3.根据权利要求2所述的伪造攻击流量的识别方法,其特征在于,第一PC端与中间服务器之间在通信协议下进行加密通信,通信协议中的重要字段为每个数据包的哈希值和每个数据包的时间戳。
4.根据权利要求3所述的伪造攻击流量的识别方法,其特征在于,在步骤S2中,将报文中的数据包循环筛选存放至6个不同的队列,根据数据包的时间点序次n,以2n筛选存放原则,即第n个时间点序次筛选存放2n个数据包,n=0,1,…,5;直至报文的所有数据包筛选存放完毕。
5.根据权利要求4所述的伪造攻击流量的识别方法,其特征在于,第一PC端将报文按以下规则发送至中间服务器:
其中,n表示数据包的时间点序次;Tn表示第n个时间点序次发送的报文数据包的个数;即第一个队列每秒发送2个数据包,第二个队列每秒发送3个数据包,第三个队列每秒发送3个数据包,第四个队列每秒发送4个数据包,第五个队列每秒发送4个数据包,第六个队列每秒发送4个数据包。
6.根据权利要求4所述的伪造攻击流量的识别方法,其特征在于,在步骤S3中,中间服务器将接收到的报文按不同的流区分,对应报文中的数据包的筛选存放,分别将1个数据包、2个数据包、4个数据包、8个数据包、16个数据包及32个数据包作为不同的流,并利用哈希函数计算不同流的数据包的哈希值。
7.根据权利要求6所述的伪造攻击流量的识别方法,其特征在于,在步骤S4中,防火墙为不同的流开辟对应的不同内存队列空间,且在向中间服务器逆行查证时,按以下时间点发送数据包查询:
其中,tn为第n个时间点发送的报文数;a为比对速率;pkt为数据包长度;K为纠偏系数,1/K恒为1/1000,每个时间点发送的数据包的数目与第一PC端向中间服务器发送的数据包的数目相同。
8.根据权利要求7所述的伪造攻击流量的识别方法,其特征在于,当T比对的值趋近于平均哈希值时,则中间服务器认为在任意连续时间内报文合法,防火墙进行后续业务处理和转发。
9.根据权利要求8所述的伪造攻击流量的识别方法,其特征在于,设平均哈希值表示为Thash,若T比对的值在开区间(Thash-log2n,Thash+log2n),则中间服务器认为比对成功;否则认为不成功,发送告警信息,报文是否通过防火墙,由用户进行选择配置。
10.一种伪造攻击流量的识别系统,其特征在于,所述系统包括:
第一PC端,第一PC端上设有agent客户端;所述agent客户端将第一PC端网卡发出报文中每个数据包的五元组信息登记,并根据每个数据包的五元组信息计算每个数据包的哈希值,记录每个数据包的时间戳,将报文中的数据包循环筛选存放到不同的队列,然后连带每个数据包的哈希值和时间戳,按一定规则发送至中间服务器;
中间服务器,与第一PC端通信,将接收到的报文按流区分,计算不同流的数据包的哈希值并存储,同时计算出报文离开第一PC端后、到达中间服务器的时间差值,采样评估出报文频率,并在该时间差值区间内对哈希值进行积分运算,得出平均哈希值;
防火墙,与中间服务器双向通信,按等队列比对原则,向中间服务器逆行查证报文的真实性与合法性;
中间服务器根据报文频率,确认报文是否符合通信协议的特征,并根据平均哈希值比对,确认报文的合法性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211565988.7A CN116318785A (zh) | 2022-12-07 | 2022-12-07 | 一种伪造攻击流量的识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211565988.7A CN116318785A (zh) | 2022-12-07 | 2022-12-07 | 一种伪造攻击流量的识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116318785A true CN116318785A (zh) | 2023-06-23 |
Family
ID=86834747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211565988.7A Pending CN116318785A (zh) | 2022-12-07 | 2022-12-07 | 一种伪造攻击流量的识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116318785A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688593A (zh) * | 2024-02-02 | 2024-03-12 | 新汽有限公司 | 一种网络大数据的管理系统 |
-
2022
- 2022-12-07 CN CN202211565988.7A patent/CN116318785A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688593A (zh) * | 2024-02-02 | 2024-03-12 | 新汽有限公司 | 一种网络大数据的管理系统 |
| CN117688593B (zh) * | 2024-02-02 | 2024-04-30 | 新汽有限公司 | 一种网络大数据的管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US7827609B2 (en) | Method for tracing-back IP on IPv6 network | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US8713666B2 (en) | Methods and devices for enforcing network access control utilizing secure packet tagging | |
| JP4759389B2 (ja) | パケット通信装置 | |
| US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| US8990573B2 (en) | System and method for using variable security tag location in network communications | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| CN109120602B (zh) | 一种IPv6攻击溯源方法 | |
| KR20180062838A (ko) | 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법 | |
| EP3797497B1 (en) | Attack source tracing in sfc overlay network | |
| CN116318785A (zh) | 一种伪造攻击流量的识别方法及系统 | |
| KR101715107B1 (ko) | 리트로액티브 네트워크 검사 시스템 및 그 제공방법 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| CN108111476B (zh) | C&c通道检测方法 | |
| Pilli et al. | Data reduction by identification and correlation of TCP/IP attack attributes for network forensics | |
| JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
| CN114710343A (zh) | 一种入侵检测的方法和检测设备 | |
| US11528199B2 (en) | Method for network inspection saving packet and system performing the same | |
| Yoon et al. | Header signature maintenance for Internet traffic identification | |
| Jansky et al. | Hunting sip authentication attacks efficiently | |
| RU2739206C1 (ru) | Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак | |
| EP4270871A1 (en) | System and method for classifying obfuscated traffic flows | |
| KR101262845B1 (ko) | Uri컨텐츠 식별을 이용한 웹 부하 공격 차단 장치 및 공격 차단 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |