本发明专利技术涉及一种自动检测IPsec协议中间人攻击的方法与装置,包括步骤如下:(1)在IPsec建立安全隧道时,在客户端或服务器端获取各数据报的发送、返回时间;(2)计算相邻两个数据报之间的时间间隔;(3)计算相邻两个数据报之间的时间间隔的方差;(4)比较方差与设置阈值的大小,如果方差大于设置阈值,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接;本发明专利技术提出的自动检测IPsec中间人攻击的方法和装置,可以在IKE协商阶段就对IPsec流量是否遭受中间人攻击进行识别,以便工作人员尽早发现,及时处理。
【技术实现步骤摘要】
一种自动检测IPsec协议中间人攻击的方法与装置
本专利技术涉及一种自动检测IPsec协议中间人攻击的方法与装置,属于网络安全
技术介绍
随着网络通信技术的发展,人们越来越发现,Internet缺乏安全性已是不争的事实,所以,各种安全协议也应运而生。作为一个开放的IP层安全框架协议,IPsec协议位于网络层,在有效地保障了高层各协议安全性的同时,还减少了在TCP/IP网络上部署安全的复杂性。目前,IPsec协议有多种实现,例如Linux的2.6版本目前已经内嵌IPsec的功能,Freeswan等开源项目也使得Linux的2.4版本可以支持IPsec;Windows2000以上的Windows系列操作系统也都提供对IPsec的支持。因为IPsec协议的诸多优点,很多企业或单位使用IPsec协议建立安全隧道,保护机密信息,同时保障员工可以对公司内网进行访问,这是IPsec协议应用较为广泛的场景之一。IPsec协议包括AH(验证头)和ESP(封装安全载荷)等核心协议,还有HASH算法、安全策略、安全联盟、ISAKMP等作为支撑。在第一阶段,通信双方通过协商建立IKESA,即安全联盟(SecurityAssociation),里面包含了接下来协商、认证、加密所使用的协议和加解密算法,以及生命周期等。第二阶段则在IKESA的保护下,为接下来对建立的隧道和通信数据的保护进行进一步协商,来确定最终的密钥和算法。所以IPsec安全隧道的安全性建立在IKE协商的基础之上,而DH交换是IKE协商的安全基础。由于DH交换本身的缺点,IKE协商比较容易受到中间人攻击,所以需要PSK(预共享密钥)或者CA认证的方式对通信双方的身份进行认证。现在,已经有人对于预共享密钥的暴力破解的可行性进行了验证,一旦预共享密钥被破解,中间人便可以冒充普通用户对保密数据进行访问。
技术实现思路
针对现有技术的不足,本专利技术提供了一种自动检测IPsec协议中间人攻击的方法;本专利技术还提供了一种自动检测IPsec协议中间人攻击的装置;本专利技术通过对IPsec协议正常连接的数据包和中间人攻击数据包,以及PSK中间人攻击的原理的分析,总结得到被中间人攻击的IPsec协议流量的关键特征,进而对目标流量进行识别,得出判断结论,可以有效地帮助网络安全事件处理人员对IPsec中间人攻击进行及早识别和处理。本专利技术的技术方案为:一种自动检测IPsec协议中间人攻击的方法,包括步骤如下:A、IKE协商第一阶段:(1)在IPsec建立安全隧道时,在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间;(2)计算相邻两个数据报之间的时间间隔,即t2、t3、t4、t5、t6;相邻两个数据报之间的时间间隔是指发出或接收到上一个数据包后至接收到或发出下一个数据包之间的时间间隔;(3)计算相邻两个数据报之间的时间间隔t2、t3、t4、t5、t6的方差e1;(4)数据报的接收和转发所耗时间相对较少,而除了正常的客户端和服务器端密钥计算外,中间人还要有额外的两倍的密钥计算量,这意味着涉及密钥计算过程的数据报之间的时间间隔,与本阶段(第一阶段)其他不涉及密钥计算的协商数据报之间的时间间隔,两者之间的波动幅度可能是正常连接的数倍。同理,在IKE协商的第二阶段,也就是要计算大量密钥的第8条数据报,也会出现同样的特点。比较e1与E1的大小,如果e1>E1,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接;E1的取值为0.0001-0.02,该E1的数值范围可以通过大量实验进一步缩小和精确;B、IKE协商第二阶段:(5)在客户端或服务器端获取IKE协商第二阶段各数据报的发送、返回时间;(6)计算相邻两个数据报之间的时间间隔,即t7、t8、t9;(7)计算相邻两个数据报之间的时间间隔t7、t8、t9的方差e2;(8)比较e2与E2的大小,如果e1>E2,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接,E2的取值为0.0003-0.024。根据本专利技术优选的,E1=0.01,E2=0.005。根据本专利技术优选的,所述步骤(1),在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间,包括步骤如下:a、获取数据报:从目标网卡上使用tcpdump工具直接在网卡上抓取数据报,或者使用DPDK技术旁路获取数据报;b、过滤获取目标数据报:根据数据报中的特定标志位进行过滤,获取目标数据报;所述特定标志位包括源端口、目的端口、主模式以及ResponderSPI;c、预处理获取收发时间:使用tcpdump命令或者wireshark抓包工具,获取目标数据报的所有信息,根据时间信息在所有信息中的位置,获取目标网卡收发该数据报的收发时间值。一种自动检测IPsec协议中间人攻击的装置,包括依次连接的采集模块、过滤模块、预处理模块、计算模块、分类判决模块及异常流量处理模块;所述采集模块用于分别在客户端、服务器端获取IKE协商第一阶段及IKE协商第二阶段数据流量;所述过滤模块、所述预处理模块用于对获取的数据流量进行过滤和预处理,得到IKE协商第一阶段及IKE协商第二阶段各数据报的发送、返回时间;所述计算模块用于计算相邻两个数据报之间的时间间隔及其方差;所述分类判决模块用于将得到的方差与设置的阈值进行比对,获取判决结果;如果是正常流量,则不作处理,反之,则通知所述异常流量处理模块,将警报信息发送给工作人员,以便及时处理。本专利技术的有益效果为:1、本专利技术提出的自动检测IPsec中间人攻击的方法和装置,可以在IKE协商阶段就对IPsec流量是否遭受中间人攻击进行识别,以便工作人员尽早发现,及时处理。2、本专利技术不管是应用到服务器端还是客户端,都会有显著效果,对使用IPsec协议进行内网信息访问的公司提供更好的机密保护措施;为使用IPsec协议进行隐私保护的个人提供安全建议;有效地帮助网络安全事件处理人员对IPsec中间人攻击进行及早识别和处理;随着更多IPsec中间人攻击流量特征的发现,分类判决模块得到进一步完善,对于使用PSK作为认证方式并且第一阶段使用主模式的IPsec协议,该中间人攻击检测方法及装置的准确率可达到95%以上。3、由于IKE协商过程的特殊性,即特定数据报之间进行密钥的计算和加解密,因此,本专利技术根据ipsec中间人攻击独有的特点进行检测,更有针对性,提高了准确率;相对于其他检测方法,本专利技术检测方法的监测数据(时间间隔)易于获取,计算方法(方差)简单迅速,检测结果准确,实验结果证明正常流量与攻击流量时间间隔方差相差几个数量级,且本方法大大降低了网络时延带来的影响。附图说明图1为IPsecIKEv1协商过程示意图;图2为本专利技术自动检测IPsec协议中间人攻击的方法的流程示意图;图3为本专利技术自动检测IPsec协议中间人攻击的装置的连接框图;图4为IKE协商第一阶段使用主模式时数据报收发的流程示意图;具体实施方式下面结合说明书附图和实施例对本专利技术作进一步限定,但不限于此。实施例1一种自动检测IPsec协议中间人攻击的方法,如图2所示,包括步骤如下:A、IKE协商第一阶段:(1)在IPsec建立安全隧道时,在客户端或服务器端获取IKE本文档来自技高网...
【技术保护点】
一种自动检测IPsec协议中间人攻击的方法,其特征在于,包括步骤如下:A、IKE协商第一阶段:(1)在IPsec建立安全隧道时,在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间;(2)计算相邻两个数据报之间的时间间隔,即t2、t3、t4、t5、t6;相邻两个数据报之间的时间间隔是指发出或接收到上一个数据包后至接收到或发出下一个数据包之间的时间间隔;(3)计算相邻两个数据报之间的时间间隔t2、t3、t4、t5、t6的方差e1;(4)比较e1与E1的大小,如果e1>E1,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接;E1的取值为0.0001‑0.02;B、IKE协商第二阶段:(5)在客户端或服务器端获取IKE协商第二阶段各数据报的发送、返回时间;(6)计算相邻两个数据报之间的时间间隔,即t7、t8、t9;(7)计算相邻两个数据报之间的时间间隔t7、t8、t9的方差e2;(8)比较e2与E2的大小,如果e1>E2,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接,E2的取值为0.0003‑0.024。
【技术特征摘要】
1.一种自动检测IPsec协议中间人攻击的方法,其特征在于,包括步骤如下:A、IKE协商第一阶段:(1)在IPsec建立安全隧道时,在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间;(2)计算相邻两个数据报之间的时间间隔,即t2、t3、t4、t5、t6;相邻两个数据报之间的时间间隔是指发出或接收到上一个数据包后至接收到或发出下一个数据包之间的时间间隔;(3)计算相邻两个数据报之间的时间间隔t2、t3、t4、t5、t6的方差e1;(4)比较e1与E1的大小,如果e1>E1,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接;E1的取值为0.0001-0.02;B、IKE协商第二阶段:(5)在客户端或服务器端获取IKE协商第二阶段各数据报的发送、返回时间;(6)计算相邻两个数据报之间的时间间隔,即t7、t8、t9;(7)计算相邻两个数据报之间的时间间隔t7、t8、t9的方差e2;(8)比较e2与E2的大小,如果e1>E2,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接,E2的取值为0.0003-0.024。2.根据权利要求1所述的一种自动检测IPsec协议中间人攻击的方法,其特征在于,E1=0.01,E2=0.005。3.根据权利要求1或2所述的一种自动检测I...
【专利技术属性】
技术研发人员:王冠群,何清刚,黄俊恒,孙云霄,王佰玲,刘扬,
申请(专利权)人:哈尔滨工业大学威海,威海天之卫网络空间安全科技有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。