本发明专利技术公开了一种基于网络环回时间的跳板检测方法,包括:服务器发送数据包至终端,终端反馈与数据包对应的返回数据包至服务器;获取数据包到达时间点与其对应的返回数据包到达时间点之间的第一时间间隔;获取相邻的数据包到达时间点之间的第二时间间隔,或获取相邻的返回数据包到达时间点之间的第二时间间隔;基于第一时间间隔和第二时间间隔生成终端的跳板检测结果。本发明专利技术通过采集第一时间间隔和第二时间间隔,并利用Nagle算法和TCP三次握手的特性,实时的完成跳板检测。同时,能够基于Nalge算法中包含的不同情况进行特异性的结果区分,有效的提升了跳板检测方法的适应性,解决了传统的跳板检测方法存在的检测实时性不高和适应性差的问题。高和适应性差的问题。高和适应性差的问题。
【技术实现步骤摘要】
一种基于网络环回时间的跳板检测方法及其系统
[0001]本专利技术涉及网络安全
,具体涉及一种基于网络环回时间的跳板检测方法及其系统。
技术介绍
[0002]目前,随着云存储技术的不断推广、云主机的广泛使用,互联网电子政务的数据中心呈现分布式架构特点、数据规模呈现扩大化趋势、数据安全交换呈现高效率、高安全、高可靠特征。而针对云主机的攻击无论其原理和手法如何,大都结合跳板技术以实现对攻击源的隐藏。
[0003]因此,跳板检测问题是网络安全
中热门研究问题。现有的跳板检测方法包括:《Detecting long connection chains of interactive terminal sessions》,首次提出了利用RTT检测跳板的发送
‑
确认与发送
‑
回复(Send
‑
Ack/Send
‑
Echo)方案;《Improved thumbprint and its application for intrusion detection》,提出的RTT指纹(RTT
‑
Thumbprint)方案,其建立在相邻包时延大于RTT的假设基础上,所以它要求发送包与回复包之间是一一对应的关系;《A clustering
‑
partitioning algorithm to find TCP packet round
‑
trip time for intrusion detection》,提出了最大
‑
最小距离(Max
‑
min distance)方案,通过分簇的方式,更为准确地计算RTT;《How much anonymity does network latency leak?》文章提出了一种在TCP会话建立时可广泛应用的测量方法,利用TCP三次握手时发送方发送的ACK和第一次GET请求的时间间隔作为检测的时间间隔特征。
[0004]但是,《Detecting long connection chains of interactive terminal sessions》中的方法需要较长的观测时间;《A clustering
‑
partitioning algorithm to find TCP packet round
‑
trip time for intrusion detection》需要检测完整的会话过程,所以无法实时进行响应;《Improved thumbprint and its application for intrusion detection》无法用于累计发送机制、丢包、包重组等情况;《How much anonymity does network latency leak?》无法用于会话发起方使用Nagle算法的情况,在该情况下,检测结果会产生较大的误差。
[0005]综上所述,传统的跳板检测方法存在检测实时性不高和适应性差的问题。
技术实现思路
[0006]有鉴于此,本专利技术提供一种基于网络环回时间的跳板检测方法及其系统,解决了传统的跳板检测方法存在的检测实时性不高和适应性差的问题。
[0007]为解决以上问题,本专利技术的技术方案为采用一种基于网络环回时间的跳板检测方法,包括:服务器发送数据包至终端,所述终端反馈与所述数据包对应的返回数据包至所述服务器;获取所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的第一时间间隔;获取相邻的所述数据包到达时间点之间的第二时间间隔,或获取相邻的所述返回数据包到达时间点之间的所述第二时间间隔,其中,所述第一时间间隔与所述第二时间间
隔属于同一会话;基于所述第一时间间隔和所述第二时间间隔生成所述终端的跳板检测结果。
[0008]可选地,获取所述第一时间间隔包括:计算所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的预估时间间隔;获取间隔浮动值,并基于所述间隔浮动值和所述预估时间间隔生成预估时间范围;若获取的所述第一时间间隔在所述预估时间范围内,则所述第一时间间隔为可信;若获取的所述第一时间间隔不在所述预估时间范围内,所述第一时间间隔为不可信,则获取相邻的下一时刻的所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的第一时间间隔并进行所述预估时间范围的判断,直至所述第一时间间隔为可信。
[0009]可选地,获取所述第二时间间隔包括:判断所述终端是否使用Nagle算法;若所述终端使用Nagle算法,则获取相邻的所述数据包到达时间点之间的时间间隔作为所述第二时间间隔;若所述终端未使用Nagle算法,则获取相邻的所述返回数据包到达时间点之间的时间间隔作为所述第二时间间隔。
[0010]可选地,所述跳板检测方法还包括:在包含所述第一时间间隔与所述第二时间间隔的所述会话中,获取所述会话中的全部所述返回数据包的数据包载荷长度及其分布情况。
[0011]可选地,生成所述跳板检测结果包括:在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔不同,则所述终端为跳板;在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔相同且所述据包载荷长度的分布情况为一维分布,则所述终端不是跳板;在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔相同且所述据包载荷长度的分布情况为多维分布,则所述终端为跳板;在所述终端未使用Nagle算法的情况下,若所述第二时间间隔与第一时间间隔相同,则所述终端不是跳板;在所述终端未使用Nagle算法的情况下,若所述第二时间间隔与第一时间间隔不同,则所述终端为跳板。
[0012]相应的,本专利技术提供,一种基于网络环回时间的跳板检测系统,包括:服务器:用于发送数据包至终端;所述终端:用于反馈与所述数据包对应的返回数据包至所述服务器;检测单元:用于获取所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的第一时间间隔,并获取相邻的所述数据包到达时间点之间的第二时间间隔,或获取相邻的所述返回数据包到达时间点之间的所述第二时间间隔,并基于所述第一时间间隔和所述第二时间间隔生成所述终端的跳板检测结果。
[0013]可选地,所述检测单元包括:包信息提取模块;用于判断所述数据包和所述返回数据包所属的会话;第一时间间隔获取模块,用于获取所述第一时间间隔;第二时间间隔获取模块,用于获取所述第二时间间隔;裁决模块,用于生成所述跳板检测结果。
[0014]可选地,所述第一时间间隔获取模块通过计算所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的预估时间间隔,并获取间隔浮动值后,基于所述间隔浮动值和所述预估时间间隔生成预估时间范围,其中,若获取的所述第一时间间隔在所述预估时间范围内,则所述第一时间间隔为可信;若获取的所述第一时间间隔不在所述预估时间范围内,所述第一时间间隔为不可信,则获取相邻的下一时刻的所述数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于网络环回时间的跳板检测方法,其特征在于,包括:服务器发送数据包至终端,所述终端反馈与所述数据包对应的返回数据包至所述服务器;获取所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的第一时间间隔;获取相邻的所述数据包到达时间点之间的第二时间间隔,或获取相邻的所述返回数据包到达时间点之间的所述第二时间间隔,其中,所述第一时间间隔与所述第二时间间隔属于同一会话;基于所述第一时间间隔和所述第二时间间隔生成所述终端的跳板检测结果。2.根据权利要求1所述的跳板检测方法,其特征在于,获取所述第一时间间隔包括:计算所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的预估时间间隔;获取间隔浮动值,并基于所述间隔浮动值和所述预估时间间隔生成预估时间范围;若获取的所述第一时间间隔在所述预估时间范围内,则所述第一时间间隔为可信;若获取的所述第一时间间隔不在所述预估时间范围内,所述第一时间间隔为不可信,则获取相邻的下一时刻的所述数据包到达时间点与其对应的所述返回数据包到达时间点之间的第一时间间隔并进行所述预估时间范围的判断,直至所述第一时间间隔为可信。3.根据权利要求2所述的跳板检测方法,其特征在于,获取所述第二时间间隔包括:判断所述终端是否使用Nagle算法;若所述终端使用Nagle算法,则获取相邻的所述数据包到达时间点之间的时间间隔作为所述第二时间间隔;若所述终端未使用Nagle算法,则获取相邻的所述返回数据包到达时间点之间的时间间隔作为所述第二时间间隔。4.根据权利要求3所述的跳板检测方法,其特征在于,所述跳板检测方法还包括:在包含所述第一时间间隔与所述第二时间间隔的所述会话中,获取所述会话中的全部所述返回数据包的数据包载荷长度及其分布情况。5.根据权利要求4所述的跳板检测方法,其特征在于,生成所述跳板检测结果包括:在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔不同,则所述终端为跳板;在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔相同且所述据包载荷长度的分布情况为一维分布,则所述终端不是跳板;在所述终端使用Nagle算法的情况下,若所述第二时间间隔与所述第一时间间隔相同且所述据包载荷长度的分布情况为多维分布,则所述终端为跳板;在所述终端未使用Nagle算法的情况下,若所述第二时间间隔与第一时间间隔相同,则所述终端不是跳板;在所述终端未使用Nagle算法的情况下,若所述第二时间间隔与第一时间间隔不同,则所述终端为跳板。6.一种基于网络环回时间的跳板检测系统,其特征在于,包括:服务器:用于发送数据包至终端;
所...
【专利技术属性】
技术研发人员:朱伟华,
申请(专利权)人:佳缘科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。