[发明专利]一种自动检测IPsec协议中间人攻击的方法有效
| 申请号: | 201710997699.7 | 申请日: | 2017-10-24 |
| 公开(公告)号: | CN107786554B | 公开(公告)日: | 2019-08-02 |
| 发明(设计)人: | 王冠群;何清刚;黄俊恒;孙云霄;王佰玲;刘扬 | 申请(专利权)人: | 哈尔滨工业大学(威海);威海天之卫网络空间安全科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/08 |
| 代理公司: | 济南金迪知识产权代理有限公司 37219 | 代理人: | 杨树云 |
| 地址: | 264209 山*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 自动检测 ipsec 协议 中间人 攻击 方法 装置 | ||
1.一种自动检测IPsec协议中间人攻击的方法,其特征在于,包括步骤如下:
A、IKE协商第一阶段:
(1)在IPsec建立安全隧道时,在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间;
(2)计算相邻两个数据报之间的时间间隔,即t2、t3、t4、t5、t6;相邻两个数据报之间的时间间隔是指发出或接收到上一个数据报后至接收到或发出下一个数据报之间的时间间隔;
(3)计算相邻两个数据报之间的时间间隔t2、t3、t4、t5、t6的方差e1;
(4)比较e1与E1的大小,如果e1>E1,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接;E1的取值为0.0001-0.02;
B、IKE协商第二阶段:
(5)在客户端或服务器端获取IKE协商第二阶段各数据报的发送、返回时间;
(6)计算相邻两个数据报之间的时间间隔,即t7、t8、t9;
(7)计算相邻两个数据报之间的时间间隔t7、t8、t9的方差e2;
(8)比较e2与E2,如果e2>E2,则发出中间人攻击警报,提醒工作人员进行处理;否则,则认为是正常连接,E2的取值为0.0003-0.024。
2.根据权利要求1所述的一种自动检测IPsec协议中间人攻击的方法,其特征在于,E1=0.01,E2=0.005。
3.根据权利要求1或2所述的一种自动检测IPsec协议中间人攻击的方法,其特征在于,所述步骤(1),在客户端或服务器端获取IKE协商第一阶段各数据报的发送、返回时间,包括步骤如下:
a、获取数据报:从目标网卡上使用tcpdump工具直接在目标网卡上抓取数据报,或者使用DPDK技术旁路获取数据报;
b、过滤获取目标数据报:根据数据报中的特定标志位进行过滤,获取目标数据报;所述特定标志位包括源端口、目的端口、主模式以及Responder SPI;
c、预处理获取收发时间:使用tcpdump命令或者wireshark抓包工具,获取目标数据报的所有信息,根据时间信息在所有信息中的位置,获取目标网卡收发该数据报的收发时间值。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨工业大学(威海);威海天之卫网络空间安全科技有限公司,未经哈尔滨工业大学(威海);威海天之卫网络空间安全科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710997699.7/1.html,转载请声明来源钻瓜专利网。
