【技术实现步骤摘要】
一种基于主被动结合的新型UDP反射放大协议识别方法
[0001]本专利技术属于信息安全的
,特别涉及一种基于主被动结合的新型
UDP
反射放大协议识别方法
。
技术介绍
[0002]UDP
是面向无连接的协议,通常不对来源请求进行安全性校验就可以直接传输数据,利用这一特性,攻击者可以轻易地将
UDP
请求报文中的源地址伪造成被攻击主机的地址,然后向互联网某些服务开放的服务器发送请求报文,数倍于请求报文的回复报文被发送到被攻击主机,使其带宽耗尽,达到拒绝服务的目的,从而实现
UDP
反射放大攻击
。Rossow
等提出了
BAF(
带宽放大系数
)
和
PAF(
数据包放大系数
)
的概念
,
将其作为反射放大的评价标准,并且发现
NTP、CharGen
和
SSDP
等
14
种流行的基于
UDP
的网络协议适用于反射型
DDoS
攻击
。
李刚讨论了基于流记录进行扫描检测的可行性,在此基础上设计了一个以流记录为分析数据源的基于端口匹配的水平扫描检测算法,将该算法部署到
NBOS
平台上,并检测到了大量的
TCP SYN
和
UDP
水平扫描
。
陆炫廷等提出了一种基于流量分析来发现存在
...
【技术保护点】
【技术特征摘要】
1.
一种基于主被动结合的新型
UDP
反射放大协议识别方法,其特征在于,包括指纹库构建模块
、
样本获取模块
、
数据预处理模块
、
阈值检测模块
、
特征匹配模块和重放验证模块,通过指纹库构建模块对已知的
UDP
反射放大类型和特征进行动态指纹学习,不断更新数据库内容,利用样本获取模块面向物联网反射放大协议获取了
IP
分片的响应报文,通过样本获取模块收集流量体现反射放大流量特征,通过数据预处理模块筛选出符合条件的
UDP
反射放大流量,提高数据处理效率,所述阈值检测模块提供
BAF
计算方法,并采用
BAF
和
PAF
的双重阈值检测方法提高了
UDP
反射放大检测的准确率,特征匹配模块将符合条件的
UDP
反射放大流量的
Port
和
Payload
特征与指纹库对应特征进行比较,从而判定符合条件的
UDP
反射放大流量是否为新型反射放大协议和触发方式流量,最后通过重放验证模块对筛选出符合条件的新型反射放大协议和触发方式流量进行重放验证,降低误报率
。2.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法,其特征在于,
UDP
反射放大多源指纹库采用动态指纹学习的方式通过反射型
DDoS
事件曝光
、
安全团队披露的方式不断收集新的指纹特征,新的指纹特征通过反射放大向指纹库添加新特征
。3.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法,其特征在于,样本获取模块流量来源分为两部分,一是主动探测得到的流量,通过
OSINT(
开源网络情报
)
搜索获取了大量的不同协议及服务的
IP
地址资源,并通过脚本将带有
Payload
的请求报文自动化的发送到对应的
IP
,然后将交互的流量保存为
pcap
文件,二是实网捕获的流量,通过在电信骨干网络节点和校园网骨干网络节点部署流量行为观测系统,获取互联网中海量的流量数据
。4.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法,其特征在于,将样本获取模块产生的流量按照
100M
大小分割保存文件后发送到系统的数据预处理模块,对于单个文件,通过
scapy
库加载文件,剔除非
UDP
流量及丢包严重的流量,按照
UDP
流的模式对数据进行分组筛选并对流数...
【专利技术属性】
技术研发人员:刘胜利,陈宏伟,蔡瑞杰,蒋思康,贾凡,盖贤哲,尹小康,杨启超,赵方方,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。