本发明专利技术涉及计算机通信、网络安全技术,为实现使用多层协议头部字段进行劫持检测,细分各种劫持情况;能实时检测网络中的数据流,系统资源消耗小;不需要借助其他网络资源或者提前建立正常信息的数据库来检测是否存在劫持。本发明专利技术采取的技术方案是,基于局域网安全设备的网络劫持检测方法,步骤如下:数据包头部信息检测,记录数据包头部信息,规则匹配,得出检测结果。本发明专利技术主要应用于网络通信安全场合。本发明专利技术主要应用于网络通信安全场合。本发明专利技术主要应用于网络通信安全场合。
【技术实现步骤摘要】
基于局域网安全设备的网络劫持检测方法
[0001]本专利技术涉及计算机通信、网络安全,具体涉及基于局域网安全设备的网络劫持检测方法。
技术介绍
[0002]伴随互联网飞速发展,网络劫持问题日益加重,网络流量劫持可以分类成局域网内的劫持和局域网外的劫持,目前出现的主要是局域网外的明文传输劫持,明文网络流量传输遭到攻击者拦截或者植入恶意数据,使得用户不能得到正常的网络服务甚至损害用户设备。例如,用户访问的网站内容无法正常显示、目标网站无法访问或者应用程序出错无法运行。攻击者主要针对TCP(传输控制协议)连接和建立在TCP之上的HTTP(超文本传输协议)连接,这些连接都是采用明文传输,通过伪造成合法的数据包,使得用户主机错误地处理接收到的报文。虽然目前互联网已有很多厂商使用加密传输协议与用户进行交互,但是仍然有很大一部分是使用明文传输的,所以对这一部分的会话劫持检测仍然是十分重要且有意义的。
[0003]目前针对明文传输的会话劫持攻击检测方法主要包括:
[0004]检测方法1:使用网络爬虫技术爬取各地区代理服务器的IP和端口号,配置浏览器使用代理服务器访问目标网站并记录网站内容,随后不使用代理服务器访问目标网站,对比前后的内容是否发生变化,若有则证明存在劫持。(专利号201410403660.4)
[0005]检测方法2:在核心路由网络中统计一段时间内各个IP对应的网络流,记录其中每一个数据包的TTL值、IPID号变化,若超过设置的阈值且达到一定的数量,则判断存在劫持。(专利号201710112616.1)
[0006]检测方法3:检测用户的网页是否异常,若是,则截图保存界面内容,获取检测数据对其逐一进行ping操作,把ping的丢包率、截图内容和结果日志提交给服务器进行模型检测,服务器以此来判断是否网络劫持。(专利号202010567944.2)
[0007]相关技术研究现状
[0008]对于上述检测方法1,需要借助其他地区的网络资源来访问得到正常的数据,通过本网络访问得到的数据与正常数据作对比,才可得知是否遭受劫持,若是其他网络也遭受劫持攻击,则无法确定本网络是否遭到劫持。且无法实时检测。
[0009]对于上述检测方法2,检测工具布置在核心路由网络节点,只能针对IP不能对IP之上每个端口进行区分数据流。目前的TCP/IP协议栈已从基于不同IP分配单独的IPID计数器进行IPID值生成,在2014年,在Linux 3.16中,内核开发人员认识到为每个IP目的地使用单独的计数器存在性能问题,所以全局递增计数器是不可取的,他们采用了由2048个全局递增计数器组成的混合方法。要确定为IP数据报使用哪个计数器,该数据报的目标地址将使用在系统启动时随机生成的秘密值进行散列。得到的散列(mod 211)用于确定计数器的索引。每个计数器是32位来容纳IPv6,而对于IPv4,IPID是从计数器的较低16位中提取的。
[0010]生成的IPID值并非线性增加,每次使用一个计数器来分配一个IPID,不是将其递
增1,内核会给其添加一个均匀分布在1和上次使用该计数器以来的系统节拍数之间的数字。对于IPv6版本的TCP数据包,其IPID不一定存在,如果IPv6数据包的字节大小没有触发分片操作,则TCP/IP协议栈不为其分配IPID值。由此得知,数据包发送间隔无法预测且存在很大的差异,生成的IPID值波动非常大。且IPID值不一定存在每一个TCP数据报中。
[0011]因为IPID值已经变得不可预测,且已有越来越多的厂商使用新的TCP/IP协议栈,所以基于此维度进行TCP劫持检测的效果会变得糟糕。此外,需要在一段时间内收集各个IP数据流信息,对系统资源消耗巨大,而且没有细分每个IP具体的传输层端口号进行分类识别,会导致过多的误报且无法实时检测劫持。
[0012]对于上述检测方法3,需要提前建立正常访问的知识库,服务器通过对比才能得知是否遭受劫持,知识库的建立需要耗费巨大的精力,且很难做到实时更新各个网站的变化,随着时间推移,检测效果会降低。
技术实现思路
[0013]为克服现有技术的不足,本专利技术旨在实现:
[0014]1、使用多层协议头部字段进行劫持检测,细分各种劫持情况。
[0015]2、能实时检测网络中的数据流,系统资源消耗小。
[0016]3、不需要借助其他网络资源或者提前建立正常信息的数据库来检测是否存在劫持。
[0017]为此,本专利技术采取的技术方案是,基于局域网安全设备的网络劫持检测方法,步骤如下:数据包头部信息检测,记录数据包头部信息,规则匹配,得出检测结果。
[0018]详细步骤如下:
[0019](1)利用防火墙设备过滤非TCP协议和建立在TCP协议基础上的HTTP协议包,将得到的数据包进行深度包解析,提取其中网络层和应用层的头部字段信息;
[0020]主要包括:源IP、源端口号、目的IP、目的端口号、TTL值、TCP层的Flags信息位和HTTP响应状态码;
[0021](2)对得到的头部字段信息进行整理,生成条目信息,后续判断是否要对缓存中的条目信息进行更新或者保存该条条目信息在缓存中;
[0022]1)初始时,系统的条目信息为空,新到的数据包根据其四元组信息,直接将条目信息保存在缓存中,其中的四元组信息结构如下:
[0023]四元组=(Src_IP,Src_port,Dst_IP,Dst_port)
[0024]其中的Src_IP代表源IP,Src_port代表源端口,Dst_IP代表目的IP,Dst_port代表目的端口
[0025]2)缓存不为空,则要判断新生成的条目信息中的四元组信息是否已存在于缓存中,如果不在,则直接将新生成的条目信息保存在缓存中,否则,需要将新生成条目信息与对应缓存中条目信息的TTL值进行比较,进行以下判断:
[0026](a)如果对比的绝对值超过阈值,则认为是存在异常的会话流,需要进行后续的判断,以细化各种情况;
[0027](b)如果对比的绝对值不超过阈值,则认为当前会话流正常,需要更新缓存中对应条目信息的TTL值;
[0028]其中TTL_Mean的生成公式如下:
[0029]TTL_Mean=(TTL_Mean*(n
‑
1)+TTL)/n
[0030]新生成的TTL值计算公式如下:
[0031][0032]其中New_TTL为整数,为向下取整,TTL_Mean为该条数据流的TTL平均值,TTL为新生成条目TTL值,n为当前数据流包的总数;
[0033]3)阈值的设置需要实际统计观察,由以下两种方法:
[0034](a):对比多条数据流的极差,如果一条流的极差很小,那么认为这条数据流没有遭受攻击劫持;相反,则可认为遭受劫持攻击;在终端与外网测试服务器进行数据交互中,通过设置服务器返回包的内容,检查前后内容是否遭到更改,并且观察数据流TTL的变化,判断本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于局域网安全设备的网络劫持检测方法,其特征是,步骤如下:数据包头部信息检测,记录数据包头部信息,规则匹配,得出检测结果。2.如权利要求1所述的基于局域网安全设备的网络劫持检测方法,其特征是,详细步骤如下:(1)利用防火墙设备过滤非TCP协议和建立在TCP协议基础上的HTTP协议包,将得到的数据包进行深度包解析,提取其中网络层和应用层的头部字段信息;主要包括:源IP、源端口号、目的IP、目的端口号、TTL值、TCP层的Flags信息位和HTTP响应状态码;(2)对得到的头部字段信息进行整理,生成条目信息,后续判断是否要对缓存中的条目信息进行更新或者保存该条条目信息在缓存中;1)初始时,系统的条目信息为空,新到的数据包根据其四元组信息,直接将条目信息保存在缓存中,其中的四元组信息结构如下:四元组=(Src_IP,Src_port,Dst_IP,Dst_port)其中的Src_IP代表源IP,Src_port代表源端口,Dst_IP代表目的IP,Dst_port代表目的端口2)缓存不为空,则要判断新生成的条目信息中的四元组信息是否已存在于缓存中,如果不在,则直接将新生成的条目信息保存在缓存中,否则,需要将新生成条目信息与对应缓存中条目信息的TTL值进行比较,进行以下判断:(a)如果对比的绝对值超过阈值,则认为是存在异常的会话流,需要进行后续的判断,以细化各种情况;(b)如果对比的绝对值不超过阈值,则认为当前会话流正常,需要更新缓存中对应条目信息的TTL值;其中TTL_Mean的生成公式如下:TTL_Mean=(TTL_Mean*(n
‑
1)+TTL)/n新生成的TTL值计算公式如下:其中New_TTL为整数,为向下取整,TTL_Mean为该条数据流的TTL平均值,TTL为新生成条目TTL值,n为当前数据流包的总数;3)阈值的设置需要实际统计观察,由以下两种方法:(a):对比多条数据流的极差,如果一条流的极差很小,那么认为这条数据流没有遭受攻击劫持;相反,则可认为遭受劫持攻...
【专利技术属性】
技术研发人员:彭程竟,刘健,许光全,
申请(专利权)人:天津大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。