【技术实现步骤摘要】
网络攻击检测方法及装置
本专利技术涉及通信领域的攻击检测技术,尤其涉及一种网络攻击检测方法及装置。
技术介绍
网络异常检测大致可分为两种;一种为性能异常检测以及安全异常检测。其中性能异常包括瞬间拥堵、文件服务失败以及广播风暴等。安全异常具体可包括分布式拒绝服务DDoS攻击;所述DDoS攻击为堵塞网络以使合法用户无法享受网络服务。目前发现DDoS攻击中有一种低密度多连接洪水攻击(TargetLinkFloodingAttack,LFA),所述LFA利用多个网络节点(所述网络节点可为路由器、客户端或服务器)向同一目标链路发送低密度的合法数据流量(日常网络通信涉及的常用数据包等),进而导致该段链路堵塞;通过该链路进行连接的网络节点,将无法正常进行网络通信。现有常规的检测方法,通常是检测数据流是否是指定的通信格式等方式来判断数据流是否合法,进而确定出是否遭受到攻击;而LFA采用的合法数据流,常规方法是无法检测出来的。目前提出了一种基于路由检测的方法进行所述LFA的检测,通过检测每一个路由节点的数据流量是否异常来,确定是否遭受了LFA;这种检测方法需要在每一个路由器上安装检测其数据流量的检测应用。这种检测方法的可实现性低效果有限,原因是:通常遭受LFA的目标链路是不固定的,遭受攻击的目标路径很可能在防护区域之外,显然难以在在防护区域内检测到遭受LFA攻击的目标链路,同时单纯从某一个或某几个遭受攻击的路径检测有很难发现异常,因为攻击的流量是合法数据流且是间歇性的,而大量路由节点来配合检测又是难以实现的;故这种基于路由检测的方法,无法立即应用网络中进行LFA的检测,且应...
【技术保护点】
一种网络攻击检测方法,其特征在于,所述方法包括:进行网络拓扑分析,依据网络拓扑分析结果形成包括至少一条检测路径的检测路径集合;通过第一检测路径向目标节点发送检测数据包;所述第一检测路径为所述检测路径集合中的一条所述检测路径;接收目标节点在所述检测数据包触发下发送的响应数据包;依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数;依据所述当前检测参数及历史检测数据,确定所述第一检测路径是否有遭受网络攻击。
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,所述方法包括:进行网络拓扑分析,依据网络拓扑分析结果形成包括至少一条检测路径的检测路径集合;其中,所述网络拓扑分析结果是针对网络攻击的特点,对网络拓扑结构进行分析,预估的遭受网络攻击的目标链路;通过第一检测路径向目标节点发送检测数据包;所述第一检测路径为所述检测路径集合中的一条所述检测路径,所述第一检测路径的一端连接的是检测节点,另一端连接的是目标节点;接收目标节点在所述检测数据包触发下发送的响应数据包;依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数;依据所述当前检测参数及历史检测数据,确定所述第一检测路径是否有遭受网络攻击。2.根据权利要求1所述的方法,其特征在于,所述检测数据包携带有序列号和应答号;所述响应数据包携带有依据所述检测数据包的序列号和应答号生成的序列号和应答号;所述依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数,包括:依据所述检测数据包的序列号、所述检测数据包的应答号、所述响应数据包的序列号和所述响应数据包的应答号,确定正向路径丢包信息及逆向路径丢包信息;依据至少两个所述响应数据包的达到时间及所述响应数据包的数据量确定逆向路径可用带宽;依据所述响应数据包达到时间及所述检测数据包的数据量确定正向路径可用带宽。3.根据权利要求2所述的方法,其特征在于,所述通过第一检测路径向目标节点发送检测数据包,包括:确定第一TCP接收窗口值和TWP响应数据包的报文长度MSS;其中,所述第一TCP接收窗口值用于控制所述目标节点返回w个报文长度为所述MSS的TWP响应数据包;所述w为不小于2的正整数;依据所述第一TCP接收窗口值及所述MSS形成第一TWP检测数据包;通过所述第一检测路径向所述目标节点发送所述第一TWP检测数据包;所述接收目标节点在所述检测数据包触发下发送的响应数据包,包括:接收目标节点在所述第一TWP检测数据包触发下返回的w个TWP响应数据包;所述依据至少两个所述响应数据包的达到时间及所述响应数据包的数据量确定逆向路径可用带宽,包括:确定第1个所述TWP响应数据包与第w个所述TWP响应数据包的达到时间之间的时间间隔Gr;依据所述Gr、所述w及所述MSS计算检测节点与目标节点之间的逆向路径可用带宽θr。4.根据权利要求2所述的方法,其特征在于,所述通过第一检测路径向目标节点发送检测数据包,包括:按照发送先后顺序形成依次包括第一ACK包、NL个负载数据包及第二ACK包的检验包队列;其中,所述NL为不小于1的整数;通过所述第一检测路径向目标节点发送检验包队列;所述接收目标节点在所述检测数据包触发下发送的响应数据包,包括:接收所述目标节点基于所述第一ACK包反馈的第一mRPT响应数据包及基于所述第二ACK包反馈的第二mRPT响应数据包;所述所述响应数据包的达到时间及所述检测数据包的数据量确定正向路径可用带宽,包括:依据第一mRPT反馈数据包及所述第二mRPT响应数据包的达到时间确定达到时间间隔GA;依据SL、所述NL及所述GA计算检测节点与目标节点之间的正向路径可用带宽θe;其中,SL为所述负载数据携带的数据量。5.根据权利要求4所述的方法,其特征在于,所述通过第一检测路径向目标节点发送检测数据包,还包括:在所述按照发送先后顺序形成依次包括第一ACK包、NL个负载数据包及第二ACK包的检验包队列之前,还包括确定所述第一ACK包的第一序列号;所述第二ACK包的第二序列号;其中,所述第一序列号大于所述第二序列号。6.根据权利要求2所述的方法,其特征在于,所述通过第一检测路径向目标节点发送检测数据包,包括:通过所述第一检测路径向目标节点连续发送n个携带有序列号及指定的应答号的RTP检测数据包;所述n为不小2的正整数;所述接收目标节点在所述检测数据包触发下发送的响应数据包,包括:接收所述目标节点在n个所述RTP检测数据包触发下,依据所述序列号以及应答号返回的包括序列号及应答号的RTP响应数据包;所述依据所述检测数据包的序列号、所述检测数据包的应答号、所述响应数据包的序列号和所述响应数据包的应答号,确定正向路径丢包信息及逆向路径丢包信息,还包括:依据所述RTP检测数据包的序列号、所述RTP检测数据包的应答号、所述RTP响应数据包的序列号所述RTP响应数据包的应答号,确定正向路径RTP丢包率及逆向路径RTP丢包率。7.根据权利要求1至6任一项所述的方法,其特征在于,所述依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数,还包括:依据所述检测数据包的发送时间及所述响应数据包的达到时间,确定往返时间RTT;依据第一指定时间内至少两次所述检测数据包的发送时间及对应的所述响应数据包的达到时间,确定所述往返时间RTT的波动。8.根据权利要求1至6任一项所述的方法,其特征在于,所述检测数据包及所述响应数据包均携带有序列号及应答号;所述依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数,还包括:依据所述检测数据包的序列号、所述检测数据包的应答号、所述响应数据包的序列号和所述响应数据包的应答号,确定正向路径乱序信息;依据所述响应数据包的达到时间确定逆向路径乱序信息。9.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:在确定出所述第一检测路径遭受网络攻击时,逐跳定位所述第一检测路径中遭受所述网络攻击的目标链路。10.根据权利要求9所述的方法,其特征在于,所述在确定出所述第一检测路径遭受网络攻击时,逐跳定位所述第一检测路径中遭受所述网络攻击的目标链路,包括:确定各第一检验包中的生命周期TTL值;第i个发送的第一检验包的TTL值为i,任意两个所述第一检验包的TTL值均不同;所述i为不大于h的正整数;所述h为所述第一检测路径包括的链路总跳数;每经过一个节点所述TTL值减1;依据所述TTL值,形成h个携带有生命周期TTL值的第一检验包;发送所述第一检验包;其中,接收所述检测链路中各节点在所述第一检验包的TTL值减为0时,返回的第一反馈包;依据所述第一反馈包,定位遭受所述网络攻击的待测潜在链路;依据至少经过部分所述待测潜在链路的第二检测路径的检测结果,定位遭受所述网络攻击的目标链路;其中,所述第二检测路径是所述检测路径集合中不同于所述第一检测路径的一条检测路径。11.一种网络攻击检测节点,其特征在于,所述节点包括:分析单元,用于进行网络拓扑分析,依据网络拓...
【专利技术属性】
技术研发人员:薛磊,刘志伟,邹贤能,侯金刚,罗夏朴,陈焕华,涂沛,邵玉如,
申请(专利权)人:香港理工大学,腾讯科技深圳有限公司,
类型:发明
国别省市:中国香港;81
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。