[发明专利]一种NIDS网络渗透检测方法、计算机及存储介质

权利要求书

1.一种NIDS网络渗透检测方法，其特征在于，包括以下步骤：

步骤一、检测NIDS到服务端的TTL字段值，具体方法是，包括以下步骤：

步骤一一、生成包含TTL阈值字段值和服务识别字段的TTL表；

步骤一二、计算NIDS到服务端的字段值；

步骤一三、根据步骤一二得到的字段值与TTL表中的TTL阈值进行比较，当时，则更新TTL表中的TTL阈值，当时假定为攻击报文；其中表示TTL表中TTL阈值字段值，表示NIDS接收的报文中TTL字段值；

步骤二、判断接收报文的类型，当报文为控制报文时执行步骤三，当报文为数据报文时执行步骤四；

步骤三、检测TCP状态机攻击中的控制报文，具体方法是，包括以下步骤：

步骤三一、防止NIDS在收到多个相同四元组且序号冲突的SYN或SYN / ACK时不会丢弃控制报文，为同一个四元组有序列号冲突的报文构建TCB链；

步骤三二、为每个TCB链创建定时器，新报文到达时更新定时器；

步骤三三、当捕获到的控制报文存在序列号冲突时，将冲突的控制报文存入TCB链；

步骤三四、接收下一个报文；

步骤三五、当TCB处于创建阶段时，检查下一个报文的序列号，若TCB链中报文与下一个报文序列号是连续的，表明该报文为正常报文；TCB链中的其它报文为攻击报文，予以丢弃；

当TCB处于销毁阶段时，当TCB定时器超时，释放TCB链；当TCB定时器未超时，在RST/FIN报文之后收到了该四元组报文，可以确定RST/FIN报文为攻击报文，保留TCB链，丢弃RST/FIN包；

步骤四、检测TCP状态机攻击中的数据报文，具体方法是，包括以下步骤：

步骤四一、构建辅助缓冲区，存储发送序列号存在重叠的报文指针；

步骤四二、当捕获到的数据报文存在序列号重叠时，若，识别为攻击，若，将第一个数据报文指针存储在普通的TCP接收缓冲区中，重叠数据报文指针存储在辅助缓冲区中；其中，表示NIDS当前处理报文的序列号，表示NIDS期望收到报文的序列号；

步骤四三、NIDS处理完当前数据报文后，更新，用于接收下一个数据报文；

步骤四四、确定接收缓冲区和辅助缓冲区里存储的报文哪个是正确的，将攻击报文予以丢弃。

2.根据权利要求1所述的检测方法，其特征在于，步骤一二所述计算NIDS到服务端的字段值的具体方法是，通过以下公式计算：

其中，为NIDS到服务端的字段值，为基数，取值为[64,128,255]，为NIDS接收的报文中TTL字段值。

3.根据权利要求2所述的检测方法，其特征在于，步骤三所述检测TCP状态机攻击中的控制报文，具体包括检测TCB创建、TCB销毁、TCB逆转和Resync + Desync攻击手段。

4.根据权利要求3所述的检测方法，其特征在于，步骤四所述检测TCP状态机攻击中的数据报文，具体包括检测数据重叠、无序数据重叠、有序数据重叠和数据异步攻击手段。

5.根据权利要求4所述的检测方法，其特征在于，步骤四四所述确定接收缓冲区和辅助缓冲区里存储的报文哪个是正确的具体方法是，通过接收下一个数据报文确定正常缓冲区和辅助缓冲区存储的报文哪个是正确报文，具体判断方法是：

（1）若接收缓冲区里的数据报文是正确报文，辅助缓冲区中的数据报文是攻击报文，则

其中，表示NIDS接收的下一个数据报文的序列号，表示NIDS接收的下一个数据报文的数据长度，表示正常缓冲区中存储的数据报文期望序列号；

（2）若接收缓冲区里的数据报文是攻击报文，辅助缓冲区里的数据报文是正常报文，则

其中，表示辅助缓冲区里存储的数据报文期望序列号，表示辅助缓存区中存储的数据报文的数据长度。

6.一种计算机，其特征在于，包括存储器和处理器，存储器存储有计算机程序，所述的处理器执行所述计算机程序时实现权利要求1至5任一项所述的一种NIDS网络渗透检测方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至5任一项所述的一种NIDS网络渗透检测方法。