一种基于主被动结合的新型制造技术

本发明专利技术提供一种基于主被动结合的新型

【技术实现步骤摘要】
一种基于主被动结合的新型UDP反射放大协议识别方法


[0001]本专利技术属于信息安全的
，特别涉及一种基于主被动结合的新型
UDP
反射放大协议识别方法
。

技术介绍

[0002]UDP
是面向无连接的协议，通常不对来源请求进行安全性校验就可以直接传输数据，利用这一特性，攻击者可以轻易地将
UDP
请求报文中的源地址伪造成被攻击主机的地址，然后向互联网某些服务开放的服务器发送请求报文，数倍于请求报文的回复报文被发送到被攻击主机，使其带宽耗尽，达到拒绝服务的目的，从而实现
UDP
反射放大攻击
。Rossow
等提出了
BAF(
带宽放大系数
)
和
PAF(
数据包放大系数
)
的概念
,
将其作为反射放大的评价标准，并且发现
NTP、CharGen
和
SSDP
等
14
种流行的基于
UDP
的网络协议适用于反射型
DDoS
攻击
。
李刚讨论了基于流记录进行扫描检测的可行性，在此基础上设计了一个以流记录为分析数据源的基于端口匹配的水平扫描检测算法，将该算法部署到
NBOS
平台上，并检测到了大量的
TCP SYN
和
UDP
水平扫描
。
陆炫廷等提出了一种基于流量分析来发现存在
UDP
反射放大潜力的未公开协议的方法，从日常网络流量中筛选出符合反射放大特性的流量样本，然后通过流量重放验证样本是否具备可重复性
。
[0003]然而当前的研究中存在如下问题：
1、
当前研究成果面向
NTP、CharGen
和
SSDP
等发现时间较早的
UDP
协议，缺乏对近年来新发现的
UDP
反射放大协议的研究；
2、
当前研究成果将
BAF
当成单一的反射放大评价标准，忽略了
BAF
，并且传统
BAF
计算方法不够合理；
3、
当前研究成果集中在对已知协议的检测，对通过检测发现新型
UDP
反射放大协议的研究不足
。

技术实现思路

[0004]针对上述研究中存在的问题，本专利技术提供一种基于主被动结合的新型
UDP
反射放大协议识别方法
。
[0005]本专利技术解决其技术问题所采用的方案是：一种基于主被动结合的新型
UDP
反射放大协议识别方法，包括指纹库构建模块
、
样本获取模块
、
数据预处理模块
、
阈值检测模块
、
特征匹配模块和重放验证模块，通过指纹库构建模块对已知的
UDP
反射放大类型和特征进行动态指纹学习，不断更新数据库内容，利用样本获取模块面向物联网反射放大协议获取了
IP
分片的响应报文，通过样本获取模块收集流量体现反射放大流量特征，通过数据预处理模块筛选出符合条件的
UDP
反射放大流量，提高数据处理效率，所述阈值检测模块提供
BAF
计算方法，并采用
BAF
和
PAF
的双重阈值检测方法提高了
UDP
反射放大检测的准确率，特征匹配模块将符合条件的
UDP
反射放大流量的
Port
和
Payload
特征与指纹库对应特征进行比较，从而判定符合条件的
UDP
反射放大流量是否为新型反射放大协议和触发方式流量，最后通过重放验证模块对筛选出符合条件的新型反射放大协议和触发方式流量进行重放验证，降低误报率
。
[0006]UDP
反射放大多源指纹库采用动态指纹学习的方式通过反射型
DDoS
事件曝光
、
安
全团队披露的方式不断收集新的指纹特征，新的指纹特征通过反射放大向指纹库添加新特征
。
[0007]样本获取模块流量来源分为两部分，一是主动探测得到的流量，通过
OSINT(
开源网络情报
)
搜索获取了大量的不同协议及服务的
IP
地址资源，并通过脚本将带有
Payload
的请求报文自动化的发送到对应的
IP
，然后将交互的流量保存为
pcap
文件，二是实网捕获的流量，通过在电信骨干网络节点和校园网骨干网络节点部署流量行为观测系统，获取互联网中海量的流量数据
。
[0008]将样本获取模块产生的流量按照
100M
大小分割保存文件后发送到系统的数据预处理模块，对于单个文件，通过
scapy
库加载文件，剔除非
UDP
流量及丢包严重的流量，按照
UDP
流的模式对数据进行分组筛选并对流数据进行处理，提取各数据包时间
、IP、Port、Payload、
字节长度的字段信息
。
[0009]阈值检测采用滑动时间窗口算法，以单个请求报文的时间作为基准，将
Δ
t
时间间隔内的源
IP
和目的
IP
对应交互的通信流量视为单次“交互”流量，其中的正向流量均视为请求流量，对应的反向流量均视为响应流量，并将数据预处理模块得到的数据添加到同一分组，根据数据预处理模块得到的信息计算请求报文总长度
、
响应报文总长度
、
请求报文数量和响应报文数量，通过计算公式
(1)
和
(2)
计算
BAF
和
PAF
[0010][0011][0012]对
BAF
和
PAF
进行双重阈值判定，根据物联网反射放大特征将
BAF
阈值设置为3，
PAF
阈值设置为2，
BAF
和
PAF
均未达到阈值标准，代表流量不符合反射放大特征，丢弃即可；
BAF
和
PAF
任意一项系数达到阈值，代表流量符合反射放大特征，判定为反射放大流量
。
[0013]特征匹配模块采用
Port
搭配
Payload
的方式，通过
UDP
反射放大多源指纹库提供的指纹对达到双重阈值检测标准的流量进行多元特征匹配，将最终结果分为三种不同情况：
1.Port
和
Payload
均匹配成功，代表流量特征已在本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于主被动结合的新型
UDP
反射放大协议识别方法，其特征在于，包括指纹库构建模块
、
样本获取模块
、
数据预处理模块
、
阈值检测模块
、
特征匹配模块和重放验证模块，通过指纹库构建模块对已知的
UDP
反射放大类型和特征进行动态指纹学习，不断更新数据库内容，利用样本获取模块面向物联网反射放大协议获取了
IP
分片的响应报文，通过样本获取模块收集流量体现反射放大流量特征，通过数据预处理模块筛选出符合条件的
UDP
反射放大流量，提高数据处理效率，所述阈值检测模块提供
BAF
计算方法，并采用
BAF
和
PAF
的双重阈值检测方法提高了
UDP
反射放大检测的准确率，特征匹配模块将符合条件的
UDP
反射放大流量的
Port
和
Payload
特征与指纹库对应特征进行比较，从而判定符合条件的
UDP
反射放大流量是否为新型反射放大协议和触发方式流量，最后通过重放验证模块对筛选出符合条件的新型反射放大协议和触发方式流量进行重放验证，降低误报率
。2.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法，其特征在于，
UDP
反射放大多源指纹库采用动态指纹学习的方式通过反射型
DDoS
事件曝光
、
安全团队披露的方式不断收集新的指纹特征，新的指纹特征通过反射放大向指纹库添加新特征
。3.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法，其特征在于，样本获取模块流量来源分为两部分，一是主动探测得到的流量，通过
OSINT(
开源网络情报
)
搜索获取了大量的不同协议及服务的
IP
地址资源，并通过脚本将带有
Payload
的请求报文自动化的发送到对应的
IP
，然后将交互的流量保存为
pcap
文件，二是实网捕获的流量，通过在电信骨干网络节点和校园网骨干网络节点部署流量行为观测系统，获取互联网中海量的流量数据
。4.
根据权利要求1所述的基于主被动结合的新型
UDP
反射放大协议识别方法，其特征在于，将样本获取模块产生的流量按照
100M
大小分割保存文件后发送到系统的数据预处理模块，对于单个文件，通过
scapy
库加载文件，剔除非
UDP
流量及丢包严重的流量，按照
UDP
流的模式对数据进行分组筛选并对流数...

【专利技术属性】
技术研发人员：刘胜利，陈宏伟，蔡瑞杰，蒋思康，贾凡，盖贤哲，尹小康，杨启超，赵方方，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：