| 发明名称 | 一种基于主机的网络攻击跳板检测方法及装置 | ||
| 摘要 | 本发明涉及多级网络跳板主机检测领域,尤其是一种网络攻击跳板检测方法。本发明针对现有技术的问题,本发明提出了一种基于主机的网络攻击跳板检测方法及装置,通过网络追踪溯源找到攻击者,必然需要能够对网络攻击跳板主机进行检测,从而遏制通过跳板主机进行的网络攻击,并逐级找到隐匿在跳板主机后的攻击者。本发明中数据包捕获模块捕获该主机的数据包,数据流识别及分析模块接收数据包捕获模块捕获的数据包,跳板检测模块检测数据流组是否满足检测要求,若满足检测要求则进行检测,跳板检测模块对数据流组进行数据匹配并计算Echo_RTT只值与Ack_RTT值,判断Echo_RTT与Ack_RTT的关系值,确定跳板可信度等级。 | ||
| 申请公布号 | CN104009986B | 申请公布日期 | 2017.03.15 |
| 申请号 | CN201410216666.0 | 申请日期 | 2014.05.22 |
| 申请人 | 中国电子科技集团公司第三十研究所 | 发明人 | 刘波;陈周国;蒲石;郝尧;黄宸 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 成都九鼎天元知识产权代理有限公司 51214 | 代理人 | 詹永斌 |
| 主权项 | 一种基于主机的网络攻击跳板检测方法,其特征在于包括:步骤1:数据包捕获模块捕获该主机的数据包,对每条数据包进行唯一标识,对数据包进行分类后输出,执行步骤2;所述数据包分为远程登录协议数据包和未识别应用层协议数据包;步骤2:数据流识别及分析模块接收数据包捕获模块捕获的数据包,判断是否为TCP数据包,若是TCP数据包,则将其分类加入等待跳板检测模块检测的数据流,建立分类数据流队列并进行分类保存,执行步骤3;否则丢弃本次数据包;步骤3:跳板检测模块检测分类数据流队列是否满足检测要求,若满足检测要求则进行检测,跳板检测模块对分类数据流队列进行数据匹配并计算Echo_RTT值与Ack_RTT值,判断Echo_RTT与Ack_RTT的关系值,确定跳板可信度等级;否则,结束流程;其中Echo_RTT是发送数据包与回显数据包之间时间间隔值;Ack_RTT是发送数据包与相邻节点Ack数据包之间的时间间隔值;其中,步骤3中跳板检测模块判断Echo_RTT与Ack_RTT的关系值,确定跳板可信度等级,具体步骤为:步骤321:若Echo_RTT与Ack_RTT的比值大于等于3,RTT值的匹配组数比例大于等于50%,则判定为高等级;若Echo_RTT与Ack_RTT的比值大于等于3,RTT值的匹配组数比例小于50%,则判定为中等级;其余为低等级;步骤322:如果数据流捕获时间超过10分钟且检测周期大于超过M,那么对仍未检测出跳板的数据流判定为不是跳板数据,丢弃本数据,M范围是5到10。 | ||
| 地址 | 610000 四川省成都市高新区创业路6号 | ||