【技术实现步骤摘要】
一种基于主被动结合的反射放大器识别方法
本专利技术涉及网络信息安全
,具体为一种基于主被动结合的反射放大器识别方法。
技术介绍
反射攻击又被称为分布式反射拒绝服务攻击,是指利用路由器、服务器等设施对请求产生应答,从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术,在反射攻击中,攻击者控制受控主机向反射器发送源IP地址被伪造为攻击目标IP地址的大量数据包,当反射器收到数据包后,会认为该数据包是由攻击目标所发送的请求,因此会将响应数据发送给被攻击目标。当大量的响应数据包涌向攻击目标时,会耗尽目标的网络带宽资源,造成拒绝服务攻击,由于数据包中的源IP地址是攻击目标的IP地址,没有任何攻击者的信息,因此可以隐藏攻击来源。目前,反射放大攻击是当前最具破坏的攻击形式之一,是互联网上最大的完全威胁,而其中反射放大攻击占据主导地位,反射放大器在反射放大攻击中是不可或缺的部分,对于反射放大攻击来说,流量一经放大,占用的带宽就会急剧上升,而无论采用何种防护方法,也都意味着成本和代价的急剧上升,所以,对反射点进行治理可以有效的缓解反射放大攻击,而准确快速地识别出反射放大器是反射点治理的前提,在现有技术中,反射放大器识别一般使用传统的网络扫描方法,该方法利用反射放大器的特征,因此针对不同的反射放大器,有不同的识别方法,而由于该方法是一种主动的方式,具有耗时长,消耗带宽大,错误率高的问题,另外由于主动的扫描方法需要已知反射放大器的特征,这种方法还无法识别未知类型的反射放大器。
技术实现思路
(一)解决 ...
【技术保护点】
1.一种基于主被动结合的反射放大器识别方法,其特征在于,包括以下操作步骤:/nS1、构建识别系统:设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统;/nS2、构建攻击检测模块:收集已知的反射放大器数据,并输送至模型训练模块中,利用特征选择算法,训练生成攻击检测模型;/nS3、反射放大攻击类型检测:将流量输入S2中构建完成的攻击检测模块中,检测是否存在已知攻击类型的反射放大攻击,若检测出攻击,则进入S6中,否则进入S4;/nS4、未知攻击检测:流量数据输入未知攻击检测模块中,利用请求响应数据包大小与数量比,检测流量中是否存在未知攻击,若检测出存在未知攻击,则进入S5中,若不存在未知攻击,则系统运转结束;/nS5、攻击检测模型更新:流量数据特征输入模型更新模块中,针对检测出的未知攻击的流量数据,更新攻击检测模型,使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别;/nS6、反射放大器验证:流量数据输入至反射放大器数据收集模块中,使用主动的方式验证检出的反射放大器,对其放大倍数等属性进行确认,同时将反射放大器的数据计入反射放大 ...
【技术特征摘要】
1.一种基于主被动结合的反射放大器识别方法,其特征在于,包括以下操作步骤:
S1、构建识别系统:设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统;
S2、构建攻击检测模块:收集已知的反射放大器数据,并输送至模型训练模块中,利用特征选择算法,训练生成攻击检测模型;
S3、反射放大攻击类型检测:将流量输入S2中构建完成的攻击检测模块中,检测是否存在已知攻击类型的反射放大攻击,若检测出攻击,则进入S6中,否则进入S4;
S4、未知攻击检测:流量数据输入未知攻击检测模块中,利用请求响应数据包大小与数量比,检测流量中是否存在未知攻击,若检测出存在未知攻击,则进入S5中,若不存在未知攻击,则系统运转结束;
S5、攻击检测模型更新:流量数据特征输入模型更新模块中,针对检测出的未知攻击的流量数据,更新攻击检测模型,使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别;
S6、反射放大器验证:流量数据输入至反射放大器数据收集模块中,使用主动的方式验证检出的反射放大器,对其放大倍数等属性进行确认,同时将反射放大器的数据计入反射放大器IP库。
2.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法,其特征在于:所述S1中模型训练模块主要针对已知的反射放大器生成攻击检测模型,而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。
3.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法,其特征在于:所述S1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量,利用请求响应数据包大小与数量比,检测其是否存在未知攻击,所述模块更新模块主要用于对攻击检测模型进行更新,使之能够对其无法识别的反射放大器进行识别。
4.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法,其特征在于:所述S1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认,并收集反射放大器的数据。
5.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法,其特征在于:所述反射放大器IP库则用于将反射放大器数据收集...
【专利技术属性】
技术研发人员:戚岱杰,窦凤虎,张智涵,宋延超,
申请(专利权)人:中电积至海南信息技术有限公司,
类型:发明
国别省市:海南;46
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。