一种基于交换网络的网络攻击检测方法与系统与流程

1.本技术涉及网络安全技术领域，尤其涉及一种基于交换网络的网络攻击检测方法与系统。


背景技术：

2.随着互联网的高速发展，各类网络攻击层出不穷。攻击者在实施网络攻击前，都要对目标网络进行扫描以获取网络拓扑信息以及网络主机信息。因此需要对攻击者的扫描行为以及攻击手段进行实时检测。
3.为了及时发现并阻止网络攻击，相关技术通常采用设置陷阱ip、设置防火墙和部署扫描检测工具。其中，设置陷阱ip通过在网络内部部署多个陷阱ip，陷阱ip的地址与需要保护的主机ip地址相邻。同时在陷阱ip上部署扫描检测工具对网络攻击进行检测与阻止。但设置陷阱ip的方法只有攻击者攻击到陷阱ip，检测工具才会发现攻击，缺乏总体保护能力。防火墙通常部署在内网和外网之间的网络控制节点处，通过对外网进出的流量进行检测以发现与攻击者相关的网络扫描行为，但不能对内网上攻击者的扫描行为进行检测。
4.部署扫描检测工具的方法是在所有网络主机上部署端口检测工具，以发现攻击者对网络主机进行的扫描行为以及攻击手段，但每个端口检测工具只对单一网络主机进行检测，缺乏总体流量分析能力，漏报网络攻击的概率很高。


技术实现要素：

5.本技术提供了一种基于交换网络的网络攻击检测方法与系统，以解决网络攻击检测的相关技术中因缺乏总体流量分析能力导致漏报网络攻击的问题。
6.第一方面，本技术实施例提供了一种基于交换网络的网络攻击检测方法，通过对交换网络中的主机发起会话时生成的报文进行分析，以发现网络攻击行为，包括：
7.将待检测报文输入至报文分析单元。
8.根据网络协议分解所述报文内容，得到用于分析主机发起会话的各域段的报文信息，所述报文信息包括：ip报文、tcp报文和udp报文。
9.根据所述报文信息建立分析单元，每个所述分析单元对应一个报文信息；所述分析单元包括：主机安全检测单元、tcp处理单元和udp处理单元。
10.根据网络攻击的特征，调用一个或多个所述分析单元进行网络攻击扫描行为分析，得到网络攻击扫描行为分析结果。
11.第二方面，本技术实施例提供了一种基于交换网络的网络攻击检测系统，包括：控制模块、报文分析模块和会话特征统计模块。所述报文分析模块包括：报文分析单元、主机安全检测单元、tcp处理单元和udp处理单元；所述会话特征统计模块包括：会话特征统计单元和会话特征统计阵列。
12.所述控制模块用于将待检测报文输入至报文分析单元。
13.所述报文分析模块用于根据网络协议分解所述报文内容，得到用于分析主机发起
会话的各域段的报文信息，所述报文信息包括：ip报文、tcp报文和udp报文。
14.所述报文分析模块还用于根据所述报文信息建立分析单元，每个所述分析单元对应一类报文信息；所述分析单元包括：主机安全检测单元、tcp处理单元和udp处理单元。
15.所述会话特征统计模块用于根据网络攻击的特征，调用一个或多个所述分析单元进行网络攻击扫描行为分析，得到网络攻击扫描行为分析结果。
16.由以上技术方案可知，本技术实施例提供了一种基于交换网络的网络扫描检测方法与系统，通过对交换网络中主机发起的会话产生的报文进行分析，得到多个域段的报文信息。接着根据报文信息建立分析单元，每个分析单元根据对应的报文信息对网络攻击行为进行检测。在对网络攻击行为进行检测时，还设置会话特征统计单元和会话特征统计阵列。会话特征统计单元用于根据网络攻击行为的特征调用一个或者多个分析单元对网络攻击行为进行检测，每个会话特征统计单元对应一个分析单元，多个会话特征统计单元组成会话特征统计阵列。还通过对每个所述会话特征统计单元设置滑动窗口控制会话特征统计单元的扫描精度。解决了网络攻击检测因缺乏总体流量分析能力导致漏报网络攻击的问题。
附图说明
17.为了更清楚地说明本技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本技术实施例提供的一种基于交换网络的网络攻击检测方法的流程结构图；
19.图2是本实施例提供的主机安全检测单元根据ip报文检测网络攻击行为的示意图；
20.图3是本实施例提供的tcp处理单元根据tcp状态识别检测网络攻击行为的流程图；
21.图4是本实施例提供的tcp会话id识别的流程结构图；
22.图5是本技术实施例提供的tcp处理单元根据tcp连接识别检测网络攻击的流程图。
具体实施方式
23.下面将详细地对实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本技术相一致的所有实施方式。仅是与权利要求书中所详述的、本技术的一些方面相一致的系统和方法的示例。
24.网络攻击者在进行网络攻击时，需要对交换网络中的主机进行网络扫描以获得网络拓扑信息以及主机信息。针对于网络扫描这一攻击行为，相关技术中多采用设置陷阱ip、设置防火墙、部署扫描检测工具的方式进行网络防护。设置陷阱ip的方法通过部署“蜜罐”对网络攻击者的扫描行为进行防护，“蜜罐”的ip地址与交换网络中主机ip地址相似，因此具有欺骗网络攻击这扫描行为的功能，进而保护交换网络中的主机信息。但设置陷阱ip的
方法较为被动，只有在被网络攻击者扫描到陷阱ip时才会起到防护作用。设置防火墙的方式受限于只能对外网的进出流量进行检测，而不能对内网上的流量进行检测，因此不能检测内网上的扫描行为，会漏报内网上网络攻击这的扫描行为。
25.部署扫描检测工具指的是在所有交换网络的主机接口处部署扫描检测工具，进而对主机流量进行检测，但每个主机接口处的扫描检测工具只能对单一主机流量进行检测，不具备总体分析能力，导致防护成本较高。
26.为了解决相关技术中因缺乏对交换网络总体流量分析的手段导致漏报网络攻击行为的问题，本技术实施例提供了一种基于交换网络的网络攻击检测方法。
27.图1是本技术实施例提供的一种基于交换网络的网络攻击检测方法的流程结构图。所述方法通过对交换网络中的主机发起会话时生成的报文进行分析，以发现网络攻击行为。如图1所示，所述方法包括以下步骤：
28.s101：将待检测报文输入至报文分析单元；
29.交换网络中的主机之间通过建立会话进行相互通信，其建立会话的过程以及建立会话后进行数据交互的过程均通过发出请求报文和响应报文实现。报文是交换网络中数据交互和传输的数据单元，包含了在一次数据传输中将要发送的完整的数据信息。报文根据物理接口、子接口、mac地址、ip五元组等信息进行分类，一个报文可依次划分为多个域段的报文信息。因此对报文进行解析、分解可以获取各个域段的报文信息，再根据网络攻击的特点，对各个域段的报文信息进行检测，就可以对当前主机建立的会话进行分析，进而对交换网络中的攻击行为进行识别。
30.在一个实施例中，攻击者在一个交换网络中对主机进行扫描以获取主机信息并进行针对性攻击。在攻击者对主机进行扫描的过程中，攻击者通过建立会话访问主机的信息以获取主机各接口信息以及相关的网络拓扑信息，从而针对存在的漏洞进行网络攻击以盗取信息。为了验证所述会话是否为安全会话，本实施例将建立所述会话生成的报文以及建立所述会话后生成的报文输入至报文分析单元，报文分析单元将待分析报文分解得到ip报文、tcp报文、udp报文。然后通过检测ip报文/tcp报文/udp报文中出现的异常状态判定所述会话是否为攻击者发起的会话，从而确定当前交换网络中存在攻击行为。
31.s102：根据网络协议分解所述报文内容，得到用于分析主机发起会话的各域段的报文信息，所述报文信息包括：ip报文、tcp报文和udp报文；
32.ip报文中包含报文源ip绑定记录，所述绑定记录包括源ip对应的源mac地址、vlan以及输入端口。其中源mac地址为待检测报文的源ip地址对应的主机的mac地址；vlan为待检测报文源ip地址所属的vlan；输入端口为待检测报文与交换网络中的主机连接的输入端口。因此可以引入安全源ip绑定记录，通过对源mac地址、vlan以及输入端口与安全源ip绑定记录中的源mac地址、vlan以及输入端口进行对比，有任意一项不符合安全记录内容则视为可疑报文，需要进行进一步检测。
33.tcp报文中包含用于识别tcp会话状态与tcp连接状态的特征信息，例如：tcp会话四元组信息、tcp flag、tcp连接的目标主机列表、tcp连接的目标端口数量列表。其中，tcp会话状态指的是tcp流量行为是否正常，tcp连接状态指的是tcp会话建立时连接的主机/主机端口/端口数量等连接信息是否正常。通过对特征信息进行提取，可以识别出当前tcp会话的状态、下一时刻tcp变化后的状态、tcp连接的端口/主机等信息，并与tcp安全记录中对
应的安全特征信息对比，判断tcp流量是否异常/tcp连接是否异常，从而判断出tcp报文中是否携带网络攻击行为。udp报文的特征与tcp报文类似，区别在于udp是一种非连接通信，因此对udp报文进行分析时，还要结合icmp报文一同分析。
34.s103：根据所述报文信息建立分析单元，每个所述分析单元对应一类报文信息；所述分析单元包括：主机安全检测单元、tcp处理单元和udp处理单元；
35.针对于ip报文、tcp报文、udp报文分别建立主机安全检测单元、tcp处理单和udp处理单元。其中，ip报文被输入至主机安全检测单元，主机安全检测单元首先获取ip报文中的源ip绑定记录，然后调用安全源ip绑定记录进行对比。在待检测ip报文携带的源mac地址、vlan以及输入端口都与安全源ip绑定记录匹配成功的情况下，判定待检测ip报文为安全报文。
36.本实施例中的安全源ip绑定记录具有可自学习的特点，其内容如下：
37.首先，通过网络设备硬件从网络安全管理系统中获取安全源ip白名单，所述安全源ip白名单中包括安全源ip绑定记录。然后将主机安全检测单元获取的源ip绑定记录与白名单中的安全源ip绑定记录匹配，如果匹配一致则认定主机安全检测单元获取的源ip绑定记录在白名单认证范围内，并提高所述源ip的安全性评价，认为所述源ip的绑定记录是安全源ip绑定记录。同时对主机安全检测单元获取的源ip绑定记录进行周期性监控，如果安全源ip绑定记录在预设周期内没有进行数据交互的相关行为，则视作为源ip绑定记录老化，对于老化的源ip绑定记录采取删除的操作以节约缓存空间，保证网络设备的良好运行。
38.tcp报文被输入至tcp处理单元，tcp处理单元通过tcp行为特征识别对网络攻击行为进行识别。本实施例通过识别tcp会话状态与tcp连接状态两方面对tcp行为特征进行识别。其中，在识别tcp会话状态的过程中，需要得到tcp会话id和tcp flag作为状态分析的关键字。为此，本实施例提供了一种硬件自学习机制的获取tcp会话id的方式，以tcp会话四元组为基础，进行数据处理，根据得到的数据结果，可以匹配已有的数据结果与tcp会话id之间的关系，也可以根据所述数据结果生成新的tcp会话id，以此应对基于tcp发起的网络扫描行为变化快、种类多的情况。
39.在识别tcp连接状态的过程中，通过对tcp连接的目标主机和目标端口分配id，其id来源与tcp会话id采用同种形式。通过id分配可以检测到目标主机和目标端口的tcp流量，接着调用所述id对应的tcp流量的历史记录并进行对比，即可发现tcp流量的异常情况，从而发现网络攻击行为。
40.udp报文被输入至udp处理单元，udp处理单元与tcp处理单元的工作形式类似，但由于udp是一种非连接通信，因此在对udp报文进行分析时，还要结合面向无连接通信的icmp报文一同分析。
41.s104：根据网络攻击的特征，调用一个或多个所述分析单元进行网络攻击扫描行为分析，得到网络攻击扫描行为分析结果。
42.所述分析单元包括主机检测单元、tcp处理单元、udp处理单元。交换网络中存在不同种类的网络攻击，不同的网络攻击具有不同的攻击特性，例如，伪造源ip、任意状态输出tcp报文/udp报文。为了提升网络攻击扫描效率，在已经确定当前交换网络漏洞的基础上，可以根据漏洞提前分析出与漏洞相关联的报文，进而可以针对于漏洞和相关联的报文种类调用一个或多个分析单元进行针对性分析。并且在对交换网络不熟悉的情况下，也可调用
所有分析单元进行总体流量分析，以保证交换网络的安全性。
43.图2是本实施例提供的主机安全检测单元根据ip报文检测网络攻击行为的流程图。
44.在一个实施例中，攻击者利用tcp协议建立联机时需要三次握手的特点对主机/服务器进行攻击。在进行三次握手的过程中，发出请求的主机将用于确认建立联机的标识syn(synchronous)置1，并随机产生一个数据包打包发送至服务器。服务器收到带有syn＝1的数据包后，需要向发出syn＝1的主机返回一个带有syn＝1的数据包以确认是否要发出联机请求，同时服务器进入等待确认的状态。待发出请求的主机确认联机请求后，服务器恢复正常状态，并由交换网络内的其他主机响应联机请求。攻击者通过向服务器发送大量带有syn＝1的伪造源ip数据包，服务器接收到大量伪造源ip数据包后，会向攻击者使用的主机回复syn确认包，并进入等待确认的状态。此时攻击者不对确认包进行确认致使服务器一直处于等待确认的状态，对于正常的请求也不会给予响应，极大影响了交换网络中正常用户的使用。
45.本实施例通过报文分析单元分解攻击者发出请求的主机会话产生的报文，并进一步通过主机安全检测单元分析ip报文，获得攻击者发出的ip报文的绑定记录，即获得攻击者发出ip报文使用的主机的mac地址、vlan以及输入端口。接着调用安全源ip绑定记录与攻击者发出的ip报文的绑定记录进行匹配，发现匹配失败，则表示发出联机请求的主机存在伪造源ip的行为，并丢弃当前具有伪造源ip行为的ip报文。
46.本技术实施例还通过tcp处理单元/udp处理单元对tcp报文和udp报文进行检测，由于tcp处理单元与udp处理单元的工作流程相似，下面以tcp处理单元的工作流程为例进行说明。tcp处理单元根据tcp报文进行tcp行为特征识别以检测网络攻击行为，tcp行为特征识别包括：tcp状态识别和tcp连接识别。图3是本实施例提供的tcp处理单元根据tcp状态识别检测网络攻击行为的流程图。
47.在一实施例中，主机接收到大量tcp异常报文。本实施例检测到主机状态异常，因此对tcp状态进行识别。首先通过tcp处理单元解析tcp报文，得到用于实时tcp会话状态分析的关键字，所述关键字包括：tcp会话id和tcp flag。所述四元组为：源地址、源端口、目的地址、目的端口；tcp会话id由tcp会话的四元组经过哈希压缩得到的哈希值与会话id库进行匹配得到，因此tcp会话id也包括所述四元组的信息。tcp flag包括tcp报文中各个标志位的状态，包括：syn、fin、rst、psh、urg、ack。接着调用寻址工具对关键字进行搜索以进行实时tcp会话状态分析，等同于对tcp的源地址、源端口、目的地址、目的端口以及报文中的标志位进行攻击行为检测。发现主机接收到的大量tcp异常报文都来自于一个或几个固定主机，其端口也固定，并且都具有报文标志位异常的特点，进而确定tcp报文存在网络攻击行为。
48.寻址工具包括：线性表、哈希表和tcam。寻址工具在对tcp会话id进行搜索时，得到tcp会话id对应的哈希值，通过对哈希值的还原可以得到多个与哈希值对应的四元组，进而通过对四元组的追溯可以识别tcp会话的实时状态。通过对四元组的安全性判断，即tcp报文的来源、去向、流量进行状态检测，判断当前tcp会话的状态。寻址工具在对tcp flag进行搜索时，得到tcp报文中的六个标志位的状态，标志位的状态对应报文的状态，将当前tcp报文的标志位与正常tcp报文的标志位进行对比，从而判断当前tcp报文是否正常。
49.tcp会话id识别是tcp状态识别的关键步骤。图4是本实施例提供的tcp会话id识别的流程结构图。本实施例在tcp会话id识别时，采用一种自学习机制获取tcp会话id，如图4所示：首先tcp处理单元根据所述tcp报文获取tcp会话四元组，接着对tcp会话四元组进行哈希压缩，得到哈希计算值，然后根据哈希计算值与tcp会话id的匹配关系库进行会话id匹配。若哈希计算值与tcp会话id的匹配关系库匹配成功则赋予当前哈希计算值匹配到的会话id，并读出当前会话id用于后续tcp状态识别中的关键字搜索；若匹配失败，则根据所述哈希计算值分配新的会话id并保存至匹配关系库中，新的会话id同样被读出，用于后续tcp状态识别的关键字搜索。其中，为匹配失败的哈希计算值赋予新的会话id并按对应关系保存至匹配关系库中是一种自学习行为，可以及时更新tcp会话id的匹配关系库以应对交换网络中存在的各类行为以及行为产生的数据。
50.其中，四元组有若干种组合，但对于若干种组合进行哈希压缩得到的哈希计算值可能会相同，因此一个哈希计算值可以对应一个四元组，也可以对应多个四元组，因此一个tcp会话id可以看作是多个四元组的集合。对一个tcp会话id进行关键字搜索等同于检测了多个四元组的状态，而不用对四元组进行一一调用，提高了检测效率。
51.在实施例中，匹配关系库中的tcp会话id可以与正常tcp报文对应，也可以与异常tcp报文对应。与正常tcp报文对应的tcp会话id在后续的检测过程中可以作为安全id使用。同理，异常tcp报文对应的tcp会话id在后续的检测过程中也可以作为攻击id。根据攻击id，对有攻击行为的报文直接进行过滤。使匹配关系库具有自学习功能的同时，提高了网络攻击的检测效率。
52.图5是本技术实施例提供的tcp处理单元根据tcp连接识别检测网络攻击的流程图。在一实施例中，攻击者向服务器发起大量的tcp连接，在发起大量的tcp连接后，攻击者一方面可以通过向服务器发送大量报文占用服务器的流量资源，另一方面可以只占用连接资源消耗服务器的tcp连接资源。针对于这类攻击方式，本技术根据所述tcp报文，为tcp报文连接的目标主机和目标端口分配主机id和目标端口id。通过获取当前交换网络中发出、收到报文的主机连接端口，对连接端口的流量进行统计，并与设置的tcp流量阈值进行比较。若连接端口的流量统计值大于设置的tcp流量阈值，则判定当前tcp报文存在网络攻击行为。
53.所述流量阈值不仅包括上限值，针对于占用连接资源的情况，还设有下限值用于检测只建立连接关系但不发送任何数据的攻击情形。设置下限值的手段应用于：在一段时间内攻击者主机与目标主机/服务器建立了大量tcp连接关系，但不进行任何收发数据的操作；或是在建立连接后频繁断开连接又重新请求建立连接的情形；在安全性要求更高的环境下，还可以进一步将阈值范围缩小至：新建连接速率、连接数量。通过设置连接阈值限制攻击者通过tcp连接对主机/服务器进行攻击的行为。
54.网络攻击手段不局限于一种，交换网络也存在一个或多个漏洞，因此攻击者在发送一次报文的过程中可以对主机/服务器进行组合式攻击。针对于攻击者的组合式攻击，本实施例通过设置会话特征统计单元，根据网络攻击的特征，调用一个或多个分析单元进行网络攻击扫描行为分析。每个会话特征统计单元对应一个分析单元，多个会话特征统计单元还可以组合成会话特征统计阵列。
55.分析单元不局限于上述内容提到的主机安全检测单元、tcp处理单元、udp处理单
元。还包括应用层处理单元、非ip/tcp/udp处理单元。其中非ip/tcp/udp报文包括但不局限于icmp报文/arp报文以及应用层协议报文，与非ip/tcp/udp处理单元、应用层处理单元一一对应。本实施例采用基于多层acl(access control list，规则集合)的方式获取非ip/tcp/udp报文。其过程为：首先通过处理单元获取待检测的非ip/tcp/udp报文数据，然后根据报文种类配置有效报文数据的偏移量，最后根据偏移量在有效报文数据内添加无效报文数据(报文分段标识)，得到各个域段的非ip/tcp/udp报文数据。再调用相应的处理单元对各个域段的非ip/tcp/udp报文数据进行解析、分解、检测，以发现网络攻击行为。
56.此外，在使用会话特征统计单元与会话特征统计阵列时，还设置滑动统计窗口用于控制每个会话特征统计单元的扫描检测精度。具体方式为：在一次网络攻击检测中会调用多个会话特征统计单元，对每一个会话特征统计单元都设置滑动统计窗口。滑动窗口本身都具有滑动速度，本技术实施例中可以通过调节滑动窗口的滑动速度以控制会话特征统计单元的扫描检测精度。在一实施例中，主机不定时的接收到大量异常tcp数据，在进行网络攻击检测时，按照滑动窗口的正常速度会经常产生漏报现象，针对于这一问题，本技术实施例通过调慢滑动窗口的滑动速度以提高扫描检测的精度，避免了网络攻击的漏报，保护了主机的安全。
57.本实施例还提供了一种基于交换网络的网络攻击检测系统，包括：控制模块、报文分析模块和会话特征统计模块；所述报文分析模块包括：报文分析单元、主机安全检测单元、tcp处理单元和udp处理单元；所述会话特征统计模块包括：会话特征统计单元和会话特征统计阵列；
58.所述控制模块用于将待检测报文输入至报文分析单元；
59.所述报文分析模块用于根据网络协议分解所述报文内容，得到用于分析主机发起会话的各域段的报文信息，所述报文信息包括：ip报文、tcp报文和udp报文；
60.所述报文分析模块还用于根据所述报文信息建立分析单元，每个所述分析单元对应一类报文信息；所述分析单元包括：主机安全检测单元、tcp处理单元和udp处理单元；
61.所述会话特征统计模块用于根据网络攻击的特征，调用一个或多个所述分析单元进行网络攻击扫描行为分析，得到网络攻击扫描行为分析结果。
62.本技术实施例提供了一种基于交换网络的网络扫描检测方法与系统，通过对交换网络中主机发起的会话产生的报文进行分析，得到多个域段的报文信息。接着根据报文信息建立分析单元，每个分析单元根据对应的报文信息对网络攻击行为进行检测。在对网络攻击行为进行检测时，还设置会话特征统计单元和会话特征统计阵列。会话特征统计单元用于根据网络攻击行为的特征调用一个或者多个分析单元对网络攻击行为进行检测，每个会话特征统计单元对应一个分析单元，多个会话特征统计单元组成会话特征统计阵列。还通过对每个所述会话特征统计单元设置滑动窗口控制会话特征统计单元的扫描精度。解决了网络攻击检测因缺乏总体流量分析能力导致漏报网络攻击的问题。
63.本技术提供的实施例之间的相似部分相互参见即可，以上提供的具体实施方式只是本技术总的构思下的几个示例，并不构成本技术保护范围的限定。对于本领域的技术人员而言，在不付出创造性劳动的前提下依据本技术方案所扩展出的任何其他实施方式都属于本技术的保护范围。