一种基于主被动结合的反射放大器识别方法技术

本发明专利技术公开了一种基于主被动结合的反射放大器识别方法，包括以下操作步骤：S1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块。涉及网络信息安全技术领域。该基于主被动结合的反射放大器识别方法，在识别时，主要分为被动流量中反射放大器识别、未知反射放大器的发现和基于主动方式的反射放大器验证三个步骤，其中通过设置攻击检测模块，能够从被动流量中识别反射放大器，相比无范围的主动式的反射放大器探测方法，节省了大量带宽，同时通过设置未知攻击检测模块，能够对识别为不存在已知类型的反射放大攻击的被动流量，进行请求响应数据包大小与数量比的二次计算，发现未知类型的反射放大器。

【技术实现步骤摘要】
一种基于主被动结合的反射放大器识别方法
本专利技术涉及网络信息安全
，具体为一种基于主被动结合的反射放大器识别方法。
技术介绍
反射攻击又被称为分布式反射拒绝服务攻击，是指利用路由器、服务器等设施对请求产生应答，从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术，在反射攻击中，攻击者控制受控主机向反射器发送源IP地址被伪造为攻击目标IP地址的大量数据包，当反射器收到数据包后，会认为该数据包是由攻击目标所发送的请求，因此会将响应数据发送给被攻击目标。当大量的响应数据包涌向攻击目标时，会耗尽目标的网络带宽资源，造成拒绝服务攻击，由于数据包中的源IP地址是攻击目标的IP地址，没有任何攻击者的信息，因此可以隐藏攻击来源。目前，反射放大攻击是当前最具破坏的攻击形式之一，是互联网上最大的完全威胁，而其中反射放大攻击占据主导地位，反射放大器在反射放大攻击中是不可或缺的部分，对于反射放大攻击来说，流量一经放大，占用的带宽就会急剧上升，而无论采用何种防护方法，也都意味着成本和代价的急剧上升，所以，对反射点进行治理可以有效的缓解反射放大攻击，而准确快速地识别出反射放大器是反射点治理的前提，在现有技术中，反射放大器识别一般使用传统的网络扫描方法，该方法利用反射放大器的特征，因此针对不同的反射放大器，有不同的识别方法，而由于该方法是一种主动的方式，具有耗时长，消耗带宽大，错误率高的问题，另外由于主动的扫描方法需要已知反射放大器的特征，这种方法还无法识别未知类型的反射放大器。
技术实现思路
(一)解决的技术问题针对现有技术的不足，本专利技术提供了一种基于主被动结合的反射放大器识别方法，解决了传统反射放大器识别网络扫描方法识别反射放大器耗时长，消耗带宽大，错误率高以及未知类型放大器识别困难的问题。(二)技术方案为实现以上目的，本专利技术通过以下技术方案予以实现：一种基于主被动结合的反射放大器识别方法，包括以下操作步骤：S1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统；S2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；S3、反射放大攻击类型检测：将流量输入S2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入S6中，否则进入S4；S4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入S5中，若不存在未知攻击，则系统运转结束；S5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；S6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器IP库。进一步地，所述S1中模型训练模块主要针对已知的反射放大器生成攻击检测模型，而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。进一步地，所述S1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量，利用请求响应数据包大小与数量比，检测其是否存在未知攻击，所述模块更新模块主要用于对攻击检测模型进行更新，使之能够对其无法识别的反射放大器进行识别。进一步地，所述S1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认，并收集反射放大器的数据。进一步地，所述反射放大器IP库则用于将反射放大器数据收集模块收集的反射放大器数据进行保存备份，便后后期调用。进一步地，所述S2中模型训练模块在构建攻击检测模块时，自主搭建常见协议的反射放大器，产生流量数据作为各个协议部分的反射放大攻击流量，另外收集大量互联网上的反射放大攻击流量数据与正常的流量数据，之后利用特征选择算法，如统计排序的网络流量特征选择方法对特征进行选择，再按照选择好的特征对流量数据集提取特征，并做好标注，使用机器学习算法训练生成攻击检测模型。进一步地，所述S3中攻击检测模块在检测时，主要是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击，当一组流量数据进入系统，按照攻击检测模型需要的特征匹配提取这组流量的特征，并将这组流量特征输入训练好的攻击检测模型，用攻击检测模型判断流量是否存在已知类型的反射放大攻击。进一步地，所述S4中未知攻击检测模块在检测时，利用请求响应数据包大小与数量比，对比过程为：先计算a1＝响应数据包大小/请求数据包大小，a2＝响应数据包数量/请求数据包数量，若a1的大小超过某一阈值α1，或者a2的大小超过某一阈值α2，则认为存在非已知的反射放大器，进入模型更新模块和反射放大器数据收集模块。进一步地，所述S5中模型更新模块中在更新时，利用主动探测等方式，收集大量关于攻击检测模型无法识别的反射放大器的流量数据，将收集到流量数据集加入到原来的流量数据集中，组成新的数据集，之后利用新的数据集，重新对攻击检测模型进行训练，生成能够识别新类型反射放大器的攻击检测模型。进一步地，所述S6中反射放大器数据收集模块在验证时，先利用在前面的模块收集到的反射放大器的IP地址、特征等信息，对检测出的反射放大器进行主动探测，确定其具体的放大倍数等属性，之后确定反射放大器信息无误后，将探测到的反射放大器的数据加入反射放大器IP库。(三)有益效果本专利技术具有以下有益效果：(1)、该基于主被动结合的反射放大器识别方法，通过模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统，在识别时，主要分为被动流量中反射放大器识别、未知反射放大器的发现和基于主动方式的反射放大器验证三个步骤，其中通过设置攻击检测模块，能够从被动流量中识别反射放大器，相比无范围的主动式的反射放大器探测方法，节省了大量带宽，同时通过设置未知攻击检测模块，能够对识别为不存在已知类型的反射放大攻击的被动流量，进行请求响应数据包大小与数量比的二次计算，发现未知类型的反射放大器，使得系统具有自动识别未知类型的反射放大器功能，功能更加强大，安全防护性更高；(2)、该基于主被动结合的反射放大器识别方法，通过设置反射放大器数据收集模块，能够对被动流量中识别的反射放大器进行主动验证，确定其具体的放大倍数/属性，准确的收集了反射放大器的信息，同时能够再一次对检测结果进行验证，又一次提高了检测的准确性。当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。附图说明图1为本专利技术提供的一种基于主被动结合的反射放大器识别方法系统框图；图2为现有技术中反射攻击基本原理图。具体实施方式下面将结合本专利技术本文档来自技高网...

【技术保护点】
1.一种基于主被动结合的反射放大器识别方法，其特征在于，包括以下操作步骤：/nS1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统；/nS2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；/nS3、反射放大攻击类型检测：将流量输入S2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入S6中，否则进入S4；/nS4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入S5中，若不存在未知攻击，则系统运转结束；/nS5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；/nS6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器IP库。/n...

【技术特征摘要】
1.一种基于主被动结合的反射放大器识别方法，其特征在于，包括以下操作步骤：
S1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统；
S2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；
S3、反射放大攻击类型检测：将流量输入S2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入S6中，否则进入S4；
S4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入S5中，若不存在未知攻击，则系统运转结束；
S5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；
S6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器IP库。


2.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中模型训练模块主要针对已知的反射放大器生成攻击检测模型，而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。


3.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量，利用请求响应数据包大小与数量比，检测其是否存在未知攻击，所述模块更新模块主要用于对攻击检测模型进行更新，使之能够对其无法识别的反射放大器进行识别。


4.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认，并收集反射放大器的数据。


5.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述反射放大器IP库则用于将反射放大器数据收集...

【专利技术属性】
技术研发人员：戚岱杰，窦凤虎，张智涵，宋延超，
申请(专利权)人：中电积至海南信息技术有限公司，
类型：发明
国别省市：海南;46