一种发现对智能终端设备TCP下IP欺骗攻击的方法与流程

本发明涉及物联网设备通信安全的
技术领域：
，特别涉及一种发现对智能终端设备tcp下ip欺骗攻击的方法。
背景技术：
：随着信息技术的发展，越来越多的具备智能传感功能的物联网设备接入网络，也成为网络攻击的目标。当这些设备被黑客、病毒等入侵之后，成为了大量的受控的网络攻击工具，给网络安全埋下了巨大的隐患。在物联网智能终端设备的接入互联网通信端串联一安全模组，安全模组内置有基于tcp/ip协议的包括源/目标的ip地址、端口号、服务类型、mac地址在内的通信白名单。安全模组通过对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤，符合通信白名单的数据包可通过，不符合则被安全模组阻断，能有效提高物联网智能终端设备网络通信的安全性。但是，安全模组基于源/目标的ip地址、端口号、服务类型、mac地址等在内的通信白名单数据包过滤通信安全机制，对tcp/ip地址欺骗攻击不具备防护能力。tcp/ip地址欺骗是一种黑客的攻击形式，黑客使用一台计算机上网,在发出的ip数据包中伪造另一台机器的源ip地址和源端口号，冒充其他系统或发件人的身份与通信对象进行通信。因此有必要提出一种发现对智能终端设备tcp下ip欺骗攻击的方法。技术实现要素：本发明的目的在于克服上述现有技术的不足，提供一种发现对智能终端设备tcp下ip欺骗攻击的方法，能够提高系统的安全性。为实现上述目的，本发明提出了一种发现对智能终端设备tcp下ip欺骗攻击的方法，该方法基于在物联网智能终端的接入互联网通信端口上串联一安全模组，所述安全模组与物联网系统服务器通过信息传输网络通信，所述安全模组内置有通信白名单，所述安全模组通过对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤，符合通信白名单的数据包可通过，不符合则被安全模组阻断，包括以下步骤：第一步：所述安全模组将来自地址标明为物联网系统服务器的数据包头部的特征信息一一记录下来，形成接收到系统服务器的数据包头部特征信息日志，记为：{通过下行数据包头部特征信息日志}；第二步：所述物联网系统服务器将其发向安全模组的数据包头部的特征信息一一记录下来，形成发向安全模组的数据包头部特征信息日志，记为：{发送数据包头部特征信息日志}；第三步：采取收发记录核对的方式，发现对智能终端设备tcp下ip欺骗攻击：核对{通过下行数据包头部特征信息日志}中的每一条记录，当在{发送数据包头部特征信息日志}对应时间段内无法找到相应的发送记录时，则认为有假冒物联网系统服务器的地址和端口对安全模组进行tcp下ip欺骗行为发生，否则无tcp下ip欺骗行为发生。作为优选：上述方法具体包括如下步骤：s1、建立安全模组的{通过下行数据包头部特征信息日志}记做：{n}和{发送数据包头部特征信息日志}记做：{m}”：所述安全模组将通过的源地址标明为物联网系统服务器地址的数据包头部信息解析出来，取数据包到达安全模组时的时间戳t2、tcp包头seq#值、tcp包头ack#值，取出形成一条记录，记入日志，分别计做：t2、seq2#、ack2#；多个数据包通过后，累积形成{n}；所述物联网系统服务器将其发出的目标地址为物联网智能终端地址的数据包头部信息解析出来，取数据包发出时的时间戳t1、tcp包头seq#值、tcp包头ack#值取出形成一条记录，记入日志，分别计做：t1、seq1#、ack1#；多个数据包通过后，累积形成{m}；s2、时间戳同步：安全模组将{n}发送到物联网系统服务器，并以物联网系统服务器的时间戳为基准，将日志中的t2项安全模组时间戳值同步为物联网系统服务器的时间戳值t1syn，时间同步处理后的{n}的记录项分别计做：t1syn、seq2#、ack2#；s3、收发数据包头部特征信息逐条比对：按时间顺序，将{n}中记录逐条取出作为比对基准项，与{m}中对应时间段t内的发送数据包头部特征信息记录逐条比对，当找到seq2#、ack2#的值分别与基准项seq1#、ack1#值完全一致的记录，则该条记录对应的数据包为系统服器发出，认定未发生ip地址假冒情况，且{m}中的该条比中记录不再参与后续比对；如果找不到一致项，则说明可能发生了ip地址假冒的情况。所述的时间段t为根据{n}中基准项时间参数t1syn确定的时间窗口，所述时间窗口的结束值等于t1syn,起始值等于t1syn-t’，所述t’为物联网系统服务器发出数据包到物联网智能终端收到该数据包的网络延时最大值，所述t’为常量，其取值根据网络拓通信环境进行调整。作为优选，所述步骤s1中，{n}的记录项还包括tcp包头syn值、tcp包头ack值，{n}的记录项分别计做：t2、syn2、ack2、seq2#、ack2#；{m}的记录项还包括tcp包头syn值、tcp包头ack值，{m}的记录项分别计做：t1、syn1、ack1、seq1#、ack1#；所述步骤s2中将日志中的t2项安全模组时间戳值同步为物联网系统服务器的时间戳值t1syn，时间同步处理后的{n}的记录项分别计做：t1syn、syn2、ack2、seq2#、ack2#。作为优选，所述步骤s3中{n}中记录逐条取出作为比对基准项，与{m}中对应时间段t内的发送数据包头部特征信息记录逐条比对项中还包括：syn2、ack2的值分别与基准项syn1、ack1值的对比，当记录项syn2、ack2、seq2#、ack2#的值分别与基准项syn1、ack1、seq1#、ack1#值完全一致，认定该条记录对应的数据包为系统服器发出，未发生ip地址假冒情况；否则说明可能发生了ip地址假冒的情况。作为优选，所述步骤s1中，只有在数据包头标志位满足“syn＝1且ack＝0”条件时，才提取数据包包头特征信息时间戳t、tcp包头seq#值、tcp包头ack#，形成记录，列入日志{m}和{n}中。作为优选，所述通信白名单为基于tcp/ip协议的包括源/目标的ip地址、端口号、服务类型、mac地址在内的通信白名单。本发明的有益效果：与现有技术相比，本发明通过在安全模组为物联网系统提供了基于源/目标的ip地址、端口号、服务类型、mac地址在内的通信白名单数据包过滤通信安全机制的基础上，通过收发记录核对的方式，及时发现对智能终端设备tcp下ip欺骗攻击，提高了系统的安全性。本发明的特征及优点将通过实施例结合附图进行详细说明。【附图说明】图1是本发明一种发现对智能终端设备tcp下ip欺骗攻击的方法的技术原理图。【具体实施方式】参阅图1，本发明一种发现对智能终端设备tcp下ip欺骗攻击的方法，其特征在于：该方法基于在物联网智能终端2的接入互联网通信端上串联一安全模组3，所述安全模组3与物联网系统服务器1通过信息传输网络通信，所述安全模组3内置有基于tcp/ip协议的包括源/目标的ip地址、端口号、服务类型、mac地址在内的通信白名单，所述安全模组3通过对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤，符合通信白名单的数据包可通过，不符合则被安全模组3阻断，包括以下步骤：第一步：所述安全模组3将来自地址标明为物联网系统服务器1的数据包头部的特征信息一一记录下来，形成接收到系统服务器的数据包头部特征信息日志，记为：{通过下行数据包头部特征信息日志}；第二步：所述物联网系统服务器1将其发向安全模组3的数据包头部的特征信息一一记录下来，形成发向安全模组3的数据包头部特征信息日志，记为：{发送数据包头部特征信息日志}；第三步：采取收发记录核对的方式，发现对智能终端设备tcp下ip欺骗攻击：核对{通过下行数据包头部特征信息日志}中的每一条记录，当在{发送数据包头部特征信息日志}对应时间段内无法找到相应的发送记录时，则认为有假冒物联网系统服务器1的地址和端口对安全模组3进行tcp下ip欺骗行为发生，否则无tcp下ip欺骗行为发生。实施例1：该方法具体步骤如下：s1、建立安全模组的{通过下行数据包头部特征信息日志}记做：{n}和{发送数据包头部特征信息日志}记做：{m}”：安全模组3将通过的源地址标明为物联网系统服务器1地址的数据包头部信息解析出来，取数据包到达安全模组3时的时间戳t2、tcp包头syn值、tcp包头ack值、tcp包头seq#值、tcp包头ack#值取出形成一条记录，记入日志；多个数据包通过后，累积形成{n}，表结构如下：t2syn2ack2seq2#ack2#物联网系统服务器1将其发出的目标地址为智能终端设备2地址的数据包头部信息解析出来，取数据包发出时的时间戳t1、tcp包头syn值、tcp包头ack值、tcp包头seq#值、tcp包头ack#值取出形成一条记录，记入日志。多个数据包通过后，累积形成{m}，表结构如下：t1syn1ack1seq1#ack1#s2、时间戳同步：安全模组3将{n}发送到系统服务器，并以系统服务器的时间戳为基准，将日志中的t2项安全模组3时间戳值同步为系统服务器的时间戳值t1syn，时间同步处理后的{n}表结构如下：t1synsyn2ack2seq2#ack2#s3、收发数据包头部特征信息逐条比对：按时间顺序，将{n}中记录逐条取出，作为比对基准项，与{m}中对应时间段t内的发送数据包头部特征信息记录逐条比对，直至找到syn2、ack2、seq2#、ack2#的值分别与基准项syn1、ack1、seq1#、ack1#值完全一致的记录，则说明该条记录对应的数据包确实为系统服器发出，未发生ip地址假冒情况，且{m}中的该条比中记录不再参与后续比对，如果找不到一致项，则说明可能发生了ip地址假冒的情况。其中，时间段t为根据{n}中基准项时间参数t1syn确定的时间窗口。该时间窗口的结束值等于t1syn,起始值等于t1syn-t’，所述t’为常量，理论上为系统服务器1发出数据包到智能终端设备2收到该数据包的网络延时最大值，具体取值可根据网络拓通信环境调整；实施例2：与上述实施例1的区别在于：在步骤s1中，{n}的记录项只包括时间戳t2、tcp包头seq#值、tcp包头ack#值，表结构简化为：t2seq2#ack2#对应{m}的记录项只包括时间戳t1、tcp包头seq1#值、tcp包头ack1#值，表结构简化为：t1seq2#ack2#在步骤s1中，只有在数据包头标志位满足“syn＝1且ack＝0”条件时，才提取数据包包头特征信息时间戳t、tcp包头seq#值、tcp包头ack#，形成记录，列入日志{m}和{n}中。上述实施例是对本发明的说明，不是对本发明的限定，任何对本发明简单变换后的方案均属于本发明的保护范围。当前第1页12