[发明专利]一种基于主被动结合的反射放大器识别方法

权利要求书

1.一种基于主被动结合的反射放大器识别方法，其特征在于，包括以下操作步骤：

S1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器IP库构成识别系统；

S2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；

S3、反射放大攻击类型检测：将流量输入S2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入S6中，否则进入S4；

S4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入S5中，若不存在未知攻击，则系统运转结束；

S5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；

S6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器IP库。

2.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中模型训练模块主要针对已知的反射放大器生成攻击检测模型，而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。

3.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量，利用请求响应数据包大小与数量比，检测其是否存在未知攻击，所述模块更新模块主要用于对攻击检测模型进行更新，使之能够对其无法识别的反射放大器进行识别。

4.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认，并收集反射放大器的数据。

5.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述反射放大器IP库则用于将反射放大器数据收集模块收集的反射放大器数据进行保存备份，便后后期调用。

6.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S2中模型训练模块在构建攻击检测模块时，自主搭建常见协议的反射放大器，产生流量数据作为各个协议部分的反射放大攻击流量，另外收集大量互联网上的反射放大攻击流量数据与正常的流量数据，之后利用特征选择算法，如统计排序的网络流量特征选择方法对特征进行选择，再按照选择好的特征对流量数据集提取特征，并做好标注，使用机器学习算法训练生成攻击检测模型。

7.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S3中攻击检测模块在检测时，主要是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击，当一组流量数据进入系统，按照攻击检测模型需要的特征匹配提取这组流量的特征，并将这组流量特征输入训练好的攻击检测模型，用攻击检测模型判断流量是否存在已知类型的反射放大攻击。

8.根据权利要求1所述的一种基于主被动结合的反射放大器识别方法，其特征在于：所述S4中未知攻击检测模块在检测时，利用请求响应数据包大小与数量比，对比过程为：先计算a₁＝响应数据包大小/请求数据包大小，a₂＝响应数据包数量/请求数据包数量，若a₁的大小超过某一阈值α₁，或者a₂的大小超过某一阈值α₂，则认为存在非已知的反射放大器，进入模型更新模块和反射放大器数据收集模块。