[发明专利]一种伪造攻击流量的识别方法及系统

权利要求书

1.一种伪造攻击流量的识别方法，其特征在于，所述方法包括以下步骤：

S1.第一PC端将网卡发出报文中的每个数据包的五元组信息登记，并根据每个数据包的五元组信息计算每个数据包的哈希值，记录每个数据包的时间戳；

S2.第一PC端将报文中的数据包循环筛选存放到不同的队列，然后连带每个数据包的哈希值和时间戳，按一定规则发送至中间服务器；

S3.中间服务器将接收到的报文按流区分，计算不同流的数据包的哈希值并存储，同时计算出报文离开第一PC端后、到达中间服务器的时间差值，采样评估出报文频率，并在该时间差值区间内对哈希值进行积分运算，得出平均哈希值；

S4.中间服务器将接收到的报文传输至防火墙，防火墙按等队列比对原则，向中间服务器逆行查证报文的真实性与合法性，中间服务器根据报文频率，确认报文是否符合通信协议的特征，并根据平均哈希值比对，确认报文的合法性。

2.根据权利要求1所述的伪造攻击流量的识别方法，其特征在于，在步骤S1中，每个数据包的五元组信息包括源IP地址、目的IP地址、协议号、源端口、目的端口；利用哈希函数计算每个数据包的哈希值。

3.根据权利要求2所述的伪造攻击流量的识别方法，其特征在于，第一PC端与中间服务器之间在通信协议下进行加密通信，通信协议中的重要字段为每个数据包的哈希值和每个数据包的时间戳。

4.根据权利要求3所述的伪造攻击流量的识别方法，其特征在于，在步骤S2中，将报文中的数据包循环筛选存放至6个不同的队列，根据数据包的时间点序次n，以2ⁿ筛选存放原则，即第n个时间点序次筛选存放2ⁿ个数据包，n＝0,1，…，5；直至报文的所有数据包筛选存放完毕。

5.根据权利要求4所述的伪造攻击流量的识别方法，其特征在于，第一PC端将报文按以下规则发送至中间服务器：

其中，n表示数据包的时间点序次；T_n表示第n个时间点序次发送的报文数据包的个数；即第一个队列每秒发送2个数据包，第二个队列每秒发送3个数据包，第三个队列每秒发送3个数据包，第四个队列每秒发送4个数据包，第五个队列每秒发送4个数据包，第六个队列每秒发送4个数据包。

6.根据权利要求4所述的伪造攻击流量的识别方法，其特征在于，在步骤S3中，中间服务器将接收到的报文按不同的流区分，对应报文中的数据包的筛选存放，分别将1个数据包、2个数据包、4个数据包、8个数据包、16个数据包及32个数据包作为不同的流，并利用哈希函数计算不同流的数据包的哈希值。

7.根据权利要求6所述的伪造攻击流量的识别方法，其特征在于，在步骤S4中，防火墙为不同的流开辟对应的不同内存队列空间，且在向中间服务器逆行查证时，按以下时间点发送数据包查询：

其中，t_n为第n个时间点发送的报文数；a为比对速率；pkt为数据包长度；K为纠偏系数，1/K恒为1/1000，每个时间点发送的数据包的数目与第一PC端向中间服务器发送的数据包的数目相同。

8.根据权利要求7所述的伪造攻击流量的识别方法，其特征在于，当T_比对的值趋近于平均哈希值时，则中间服务器认为在任意连续时间内报文合法，防火墙进行后续业务处理和转发。

9.根据权利要求8所述的伪造攻击流量的识别方法，其特征在于，设平均哈希值表示为Thash，若T_比对的值在开区间(Thash-log₂n,Thash+log₂n),则中间服务器认为比对成功；否则认为不成功，发送告警信息，报文是否通过防火墙，由用户进行选择配置。

10.一种伪造攻击流量的识别系统，其特征在于，所述系统包括：

第一PC端，第一PC端上设有agent客户端；所述agent客户端将第一PC端网卡发出报文中每个数据包的五元组信息登记，并根据每个数据包的五元组信息计算每个数据包的哈希值，记录每个数据包的时间戳，将报文中的数据包循环筛选存放到不同的队列，然后连带每个数据包的哈希值和时间戳，按一定规则发送至中间服务器；

中间服务器，与第一PC端通信，将接收到的报文按流区分，计算不同流的数据包的哈希值并存储，同时计算出报文离开第一PC端后、到达中间服务器的时间差值，采样评估出报文频率，并在该时间差值区间内对哈希值进行积分运算，得出平均哈希值；

防火墙，与中间服务器双向通信，按等队列比对原则，向中间服务器逆行查证报文的真实性与合法性；

中间服务器根据报文频率，确认报文是否符合通信协议的特征，并根据平均哈希值比对，确认报文的合法性。