[发明专利]一种网络攻击代理端检测及溯源方法与装置有效
| 申请号: | 202110028901.1 | 申请日: | 2021-01-08 |
| 公开(公告)号: | CN112769827B | 公开(公告)日: | 2021-09-10 |
| 发明(设计)人: | 任传伦;郭世泽;冯景瑜;张威;刘晓影;张先国;俞赛赛;乌吉斯古愣;王玥;闫慧;孟祥頔;夏建民;任秋洁;刘文瀚 | 申请(专利权)人: | 中国电子科技集团公司第十五研究所;西安邮电大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京丰浩知识产权代理事务所(普通合伙) 11781 | 代理人: | 李学康 |
| 地址: | 100083 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络 攻击 代理 检测 溯源 方法 装置 | ||
1.一种网络攻击代理端检测及溯源方法,其特征在于,包括步骤:
S1获取训练数据;预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
S2训练网络攻击检测模块;利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
S3通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;伪造IP攻击检测,包括:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行S4;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击;
S4当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;
S5当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
2.根据权利要求1所述的网络攻击代理端检测及溯源方法,其特征在于,使用Kafka消息服务预先收集所述攻击数据集。
3.一种网络攻击代理端检测及溯源装置,其特征在于,包括:
获取训练数据模块:预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
训练模块:利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
提取攻击信息模块:通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;伪造IP攻击检测,包括:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行溯源模块;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击;
溯源模块;当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
4.根据权利要求3所述的网络攻击代理端检测及溯源装置,其特征在于,使用Kafka消息服务预先收集所述攻击数据集。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第十五研究所;西安邮电大学,未经中国电子科技集团公司第十五研究所;西安邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110028901.1/1.html,转载请声明来源钻瓜专利网。
