技術(shù)總結(jié)
本發(fā)明的目的在于提供一種發(fā)現(xiàn)內(nèi)網(wǎng)被控重路由節(jié)點的主動流量分析方法�����。該方法步驟如下:網(wǎng)絡(luò)流水印標記設(shè)備監(jiān)視流入系統(tǒng)的TCP或UDP連接�,其中TCP連接從TCP的握手協(xié)議判斷起始,UDP連接以新的UDP流的第一個包為起始時間����,假設(shè)一個數(shù)據(jù)流F的起始時間為t0,則將F按照時間跨度T為時隙窗口進行分割��;對通過網(wǎng)絡(luò)邊界設(shè)備的流入數(shù)據(jù)流進行網(wǎng)絡(luò)流水印標記操作���;在流出數(shù)據(jù)流中檢測是否包含與標記水印相應(yīng)的水印信息;根據(jù)水印信息的檢測情況�����,確定內(nèi)網(wǎng)中是否存在被控重路由節(jié)點,并根據(jù)檢出存在水印的數(shù)據(jù)流的IP地址和端口來定位內(nèi)網(wǎng)主機���。本發(fā)明大大提高了對跳板利用攻擊的響應(yīng)速度���,亦可作為功能模塊,提升網(wǎng)絡(luò)針對高級持續(xù)威脅的發(fā)現(xiàn)能力��。
技術(shù)研發(fā)人員:周鵬飛;岳鵬;劉光杰;劉偉偉;翟江濤;戴躍偉
受保護的技術(shù)使用者:南京理工大學(xué)
文檔號碼:201710123335
技術(shù)研發(fā)日:2017.03.03
技術(shù)公布日:2017.05.17