[发明专利]一种伪造攻击流量的识别方法及系统

说明书

本发明提出一种伪造攻击流量的识别方法及系统，涉及计算机通信安全的技术领域，第一PC端将报文中的数据包循环筛选存放至不同的队列，连带每个数据包的哈希值和时间戳发送至中间服务器，提高后续的报文比对效率，避免由于比对慢而增加报文的通信时延，后续中间服务器对数据包按流区分，并提前计算出报文离开第一PC端后、到达中间服务器的时间差值，采样评估出报文频率，并在该时间差值区间内对哈希值进行积分运算，得出平均哈希值，做好比对准备，在防火墙中，由于前期数据包的循环筛选存放等准备工作，采用等队列比对原则，比对报文，能够高效查证报文的真实性与合法性，识别报文中伪造的攻击流，并阻断其攻击，且提升了检测效率和准确度。

技术领域

本发明涉及计算机通信安全的技术领域，更具体地，涉及一种伪造攻击流量的识别方法及系统。

背景技术

现代社会，计算机设备已经被广泛地应用于社会生产的各个领域，特别是重要的国家基础设施，如电力、供水、燃气等涉及到国计民生的重要领域。保障计算机通信通信安全，特别是保障这些关乎国计民生的关键基础设施的计算机通信安全，对一个国家和企业非常重要。

为了保障计算机网络的安全运行，技术人员通常会在计算机网络中部署防火墙。防火墙的主要作用是在内外网或不同区域进行计算机通信控制，可以对流经其的报文进行放行或阻断，即只有被防火墙规则允许的报文才能通过，否则，报文将被丢弃，但是防火墙只能阻断表面上违反规则的通信。对于攻击流量伪造成正常流量，特别是伪装成ICMP流量，以绕过防火墙对内网设备进行攻击，则防火墙无法防范。防火墙通常会允许ICMP通信(即ping通信)，攻击者可以把攻击流量伪造成正常的ICMP通信，这样则能绕过防火墙的阻断而达到攻击计算机设备的目的。

针对于此，现有技术中公开了一种基于ICMP协议进行隐蔽信道通信的检测方法及装置，该方法通过对获取的ICMP流量报文进行解析，得到传输标识和传输内容；然后判断传输内容是否为杂乱，如果传输内容为杂乱，则确认目标传输标识对应的请求内容和响应内容是否相同；如果目标传输标识对应的请求内容和响应内容不相同，基于目标传输标识确定隐蔽信道通信行为。该方法基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为，多重判断确认虽然提高了伪装流量报文的识别率，降低了对检测设备的性能要求，同时不会影响网络排查工具的使用，有利于网络的正常运行。但这种方式是对ICMP报文是采用逐包排查的方式，效率低，且占用资源高。

发明内容

为解决现有识别伪装攻击流量的方式识别准确度低、检测效率低的问题，本发明提出了一种基于ICMP协议进行隐蔽信道通信的检测方法及装置，能够高效识别伪造成正常流量的攻击流，并阻断其攻击，且提升了检测效和准确度。

为了达到上述技术效果，本发明的技术方案如下：

一种伪造攻击流量的识别方法，所述方法包括以下步骤：

S1.第一PC端将网卡发出报文中的每个数据包的五元组信息登记，并根据每个数据包的五元组信息计算每个数据包的哈希值，记录每个数据包的时间戳；

S2.第一PC端将报文中的数据包循环筛选存放到不同的队列，然后连带每个数据包的哈希值和时间戳，按一定规则发送至中间服务器；

S3.中间服务器将接收到的报文按流区分，计算不同流的数据包的哈希值并存储，同时计算出报文离开第一PC端后、到达中间服务器的时间差值，采样评估出报文频率，并在该时间差值区间内对哈希值进行积分运算，得出平均哈希值；

S4.中间服务器将接收到的报文传输至防火墙，防火墙按等队列比对原则，向中间服务器逆行查证报文的真实性与合法性，中间服务器根据报文频率，确认报文是否符合通信协议的特征，并根据平均哈希值比对，确认报文的合法性。