一种基于主被动结合的反射放大器识别方法与流程

本发明涉及网络信息安全技术领域，具体为一种基于主被动结合的反射放大器识别方法。

背景技术：

反射攻击又被称为分布式反射拒绝服务攻击，是指利用路由器、服务器等设施对请求产生应答，从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术，在反射攻击中，攻击者控制受控主机向反射器发送源ip地址被伪造为攻击目标ip地址的大量数据包，当反射器收到数据包后，会认为该数据包是由攻击目标所发送的请求，因此会将响应数据发送给被攻击目标。当大量的响应数据包涌向攻击目标时，会耗尽目标的网络带宽资源，造成拒绝服务攻击，由于数据包中的源ip地址是攻击目标的ip地址，没有任何攻击者的信息，因此可以隐藏攻击来源。

目前，反射放大攻击是当前最具破坏的攻击形式之一，是互联网上最大的完全威胁，而其中反射放大攻击占据主导地位，反射放大器在反射放大攻击中是不可或缺的部分，对于反射放大攻击来说，流量一经放大，占用的带宽就会急剧上升，而无论采用何种防护方法，也都意味着成本和代价的急剧上升，所以，对反射点进行治理可以有效的缓解反射放大攻击，而准确快速地识别出反射放大器是反射点治理的前提，在现有技术中，反射放大器识别一般使用传统的网络扫描方法，该方法利用反射放大器的特征，因此针对不同的反射放大器，有不同的识别方法，而由于该方法是一种主动的方式，具有耗时长，消耗带宽大，错误率高的问题，另外由于主动的扫描方法需要已知反射放大器的特征，这种方法还无法识别未知类型的反射放大器。

技术实现要素：

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种基于主被动结合的反射放大器识别方法，解决了传统反射放大器识别网络扫描方法识别反射放大器耗时长，消耗带宽大，错误率高以及未知类型放大器识别困难的问题。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种基于主被动结合的反射放大器识别方法，包括以下操作步骤：

s1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器ip库构成识别系统；

s2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；

s3、反射放大攻击类型检测：将流量输入s2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入s6中，否则进入s4；

s4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入s5中，若不存在未知攻击，则系统运转结束；

s5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；

s6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器ip库。

进一步地，所述s1中模型训练模块主要针对已知的反射放大器生成攻击检测模型，而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。

进一步地，所述s1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量，利用请求响应数据包大小与数量比，检测其是否存在未知攻击，所述模块更新模块主要用于对攻击检测模型进行更新，使之能够对其无法识别的反射放大器进行识别。

进一步地，所述s1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认，并收集反射放大器的数据。

进一步地，所述反射放大器ip库则用于将反射放大器数据收集模块收集的反射放大器数据进行保存备份，便后后期调用。

进一步地，所述s2中模型训练模块在构建攻击检测模块时，自主搭建常见协议的反射放大器，产生流量数据作为各个协议部分的反射放大攻击流量，另外收集大量互联网上的反射放大攻击流量数据与正常的流量数据，之后利用特征选择算法，如统计排序的网络流量特征选择方法对特征进行选择，再按照选择好的特征对流量数据集提取特征，并做好标注，使用机器学习算法训练生成攻击检测模型。

进一步地，所述s3中攻击检测模块在检测时，主要是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击，当一组流量数据进入系统，按照攻击检测模型需要的特征匹配提取这组流量的特征，并将这组流量特征输入训练好的攻击检测模型，用攻击检测模型判断流量是否存在已知类型的反射放大攻击。

进一步地，所述s4中未知攻击检测模块在检测时，利用请求响应数据包大小与数量比，对比过程为：先计算a1＝响应数据包大小/请求数据包大小，a2＝响应数据包数量/请求数据包数量，若a1的大小超过某一阈值α1，或者a2的大小超过某一阈值α2，则认为存在非已知的反射放大器，进入模型更新模块和反射放大器数据收集模块。

进一步地，所述s5中模型更新模块中在更新时，利用主动探测等方式，收集大量关于攻击检测模型无法识别的反射放大器的流量数据，将收集到流量数据集加入到原来的流量数据集中，组成新的数据集，之后利用新的数据集，重新对攻击检测模型进行训练，生成能够识别新类型反射放大器的攻击检测模型。

进一步地，所述s6中反射放大器数据收集模块在验证时，先利用在前面的模块收集到的反射放大器的ip地址、特征等信息，对检测出的反射放大器进行主动探测，确定其具体的放大倍数等属性，之后确定反射放大器信息无误后，将探测到的反射放大器的数据加入反射放大器ip库。

(三)有益效果

本发明具有以下有益效果：

(1)、该基于主被动结合的反射放大器识别方法，通过模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器ip库构成识别系统，在识别时，主要分为被动流量中反射放大器识别、未知反射放大器的发现和基于主动方式的反射放大器验证三个步骤，其中通过设置攻击检测模块，能够从被动流量中识别反射放大器，相比无范围的主动式的反射放大器探测方法，节省了大量带宽，同时通过设置未知攻击检测模块，能够对识别为不存在已知类型的反射放大攻击的被动流量，进行请求响应数据包大小与数量比的二次计算，发现未知类型的反射放大器，使得系统具有自动识别未知类型的反射放大器功能，功能更加强大，安全防护性更高；

(2)、该基于主被动结合的反射放大器识别方法，通过设置反射放大器数据收集模块，能够对被动流量中识别的反射放大器进行主动验证，确定其具体的放大倍数/属性，准确的收集了反射放大器的信息，同时能够再一次对检测结果进行验证，又一次提高了检测的准确性。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

图1为本发明提供的一种基于主被动结合的反射放大器识别方法系统框图；

图2为现有技术中反射攻击基本原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要理解的是，术语“开孔”、“上”、“下”、“厚度”、“顶”、“中”、“长度”、“内”、“四周”等指示方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的组件或元件必须具有特定的方位，以特定的方位构造和操作，因此不能理解为对本发明的限制。

请参阅图1-2，本发明实施例提供一种技术方案：一种基于主被动结合的反射放大器识别方法，包括以下操作步骤：

s1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器ip库构成识别系统；

s2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；

s3、反射放大攻击类型检测：将流量输入s2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入s6中，否则进入s4；

s4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入s5中，若不存在未知攻击，则系统运转结束；

s5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；

s6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器ip库。

所述s1中模型训练模块主要针对已知的反射放大器生成攻击检测模型，而所述攻击检测模块是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击。

所述s1中未知攻击检测模块是对攻击检测模型判断为不存在已知类型攻击的流量，利用请求响应数据包大小与数量比，检测其是否存在未知攻击，所述模块更新模块主要用于对攻击检测模型进行更新，使之能够对其无法识别的反射放大器进行识别。

所述s1中反射放大器数据收集模块主要是使用主动探测的方式对反射放大器的放大倍数等属性进行确认，并收集反射放大器的数据。

所述反射放大器ip库则用于将反射放大器数据收集模块收集的反射放大器数据进行保存备份，便后后期调用。

所述s2中模型训练模块在构建攻击检测模块时，自主搭建常见协议的反射放大器，产生流量数据作为各个协议部分的反射放大攻击流量，另外收集大量互联网上的反射放大攻击流量数据与正常的流量数据，之后利用特征选择算法，如统计排序的网络流量特征选择方法对特征进行选择，再按照选择好的特征对流量数据集提取特征，并做好标注，使用机器学习算法训练生成攻击检测模型。

所述s3中攻击检测模块在检测时，主要是利用已生成的攻击检测模型判断被动流量中是否存在反射放大攻击，当一组流量数据进入系统，按照攻击检测模型需要的特征匹配提取这组流量的特征，并将这组流量特征输入训练好的攻击检测模型，用攻击检测模型判断流量是否存在已知类型的反射放大攻击。

所述s4中未知攻击检测模块在检测时，利用请求响应数据包大小与数量比，对比过程为：先计算a1＝响应数据包大小/请求数据包大小，a2＝响应数据包数量/请求数据包数量，若a1的大小超过某一阈值α1，或者a2的大小超过某一阈值α2，则认为存在非已知的反射放大器，进入模型更新模块和反射放大器数据收集模块。

所述s5中模型更新模块中在更新时，利用主动探测等方式，收集大量关于攻击检测模型无法识别的反射放大器的流量数据，将收集到流量数据集加入到原来的流量数据集中，组成新的数据集，之后利用新的数据集，重新对攻击检测模型进行训练，生成能够识别新类型反射放大器的攻击检测模型。

所述s6中反射放大器数据收集模块在验证时，先利用在前面的模块收集到的反射放大器的ip地址、特征等信息，对检测出的反射放大器进行主动探测，确定其具体的放大倍数等属性，之后确定反射放大器信息无误后，将探测到的反射放大器的数据加入反射放大器ip库。

工作原理：

s1、构建识别系统：设置模型训练模块、未知攻击检测模块、模型更新模块、反射放大器数据收集模块以及反射放大器ip库构成识别系统；

s2、构建攻击检测模块：收集已知的反射放大器数据，并输送至模型训练模块中，利用特征选择算法，训练生成攻击检测模型；

s3、反射放大攻击类型检测：将流量输入s2中构建完成的攻击检测模块中，检测是否存在已知攻击类型的反射放大攻击，若检测出攻击，则进入s6中，否则进入s4；

s4、未知攻击检测：流量数据输入未知攻击检测模块中，利用请求响应数据包大小与数量比，检测流量中是否存在未知攻击，若检测出存在未知攻击，则进入s5中，若不存在未知攻击，则系统运转结束；

s5、攻击检测模型更新：流量数据特征输入模型更新模块中，针对检测出的未知攻击的流量数据，更新攻击检测模型，使得数据集更新攻击检测模型能够对无法识别的反射放大器进行识别；

s6、反射放大器验证：流量数据输入至反射放大器数据收集模块中，使用主动的方式验证检出的反射放大器，对其放大倍数等属性进行确认，同时将反射放大器的数据计入反射放大器ip库。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。