买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：天津大学

摘要：本发明涉及计算机通信、网络安全技术，为实现使用多层协议头部字段进行劫持检测,细分各种劫持情况；能实时检测网络中的数据流，系统资源消耗小；不需要借助其他网络资源或者提前建立正常信息的数据库来检测是否存在劫持。本发明采取的技术方案是，基于局域网安全设备的网络劫持检测方法，步骤如下：数据包头部信息检测，记录数据包头部信息，规则匹配，得出检测结果。本发明主要应用于网络通信安全场合。

主权项：1.一种基于局域网安全设备的网络劫持检测方法，其特征是，步骤如下：数据包头部信息检测，记录数据包头部信息，规则匹配，得出检测结果；具体步骤如下：1利用防火墙设备过滤非TCP协议和建立在TCP协议基础上的HTTP协议包，将得到的数据包进行深度包解析，提取其中网络层和应用层的头部字段信息；主要包括：源IP、源端口号、目的IP、目的端口号、TTL值、TCP层的Flags信息位和HTTP响应状态码；2对得到的头部字段信息进行整理，生成条目信息，后续判断是否要对缓存中的条目信息进行更新或者保存该条条目信息在缓存中；1初始时，系统的条目信息为空，新到的数据包根据其四元组信息，直接将条目信息保存在缓存中，其中的四元组信息结构如下：四元组＝Src_IP,Src_port,Dst_IP,Dst_port其中的Src_IP代表源IP,Src_port代表源端口，Dst_IP代表目的IP,Dst_port代表目的端口；2缓存不为空，则要判断新生成的条目信息中的四元组信息是否已存在于缓存中，如果不在，则直接将新生成的条目信息保存在缓存中，否则，需要将新生成条目信息与对应缓存中条目信息的TTL值进行比较，进行以下判断：a如果对比的绝对值超过阈值，则认为是存在异常的会话流，需要进行后续的判断，以细化各种情况；b如果对比的绝对值不超过阈值，则认为当前会话流正常，需要更新缓存中对应条目信息的TTL值；其中TTL_Mean的生成公式如下：TTL_Mean＝TTL_Mean*n-1+TTL新生成的TTL值计算公式如下： 其中New_TTL为整数，为向下取整，TTL_Mean为数据流的TTL平均值，TTL为新生成条目TTL值，n为当前数据流包的总数；3阈值的设置需要实际统计观察，由以下两种方法：a：对比多条数据流的极差，如果一条流的极差很小，那么认为这条数据流没有遭受攻击劫持；相反，则认为遭受劫持攻击；在终端与外网测试服务器进行数据交互中，通过设置服务器返回包的内容，检查前后内容是否遭到更改，并且观察数据流TTL的变化，判断是否遭受劫持；b：通过对访问网站，观察是否返回正确内容，是否有植入恶意广告，是否跳转到其他不相关的网页，观察数据流TTL的变化，判断是否遭受劫持，考虑当前的网络环境，寻找一个适合的大小区分正常数据流和异常数据流；3建立在TTL超过阈值的情况下，后续的判断对应的匹配规则：1：TCP协议Flags位：TCP协议中具有多种flag位，不同的flag位代表当前TCP会话的状态，通过Flags位的变化了解TCP会话是否正常以及出现的问题，flags状态位：F：会话结束P：立即发送A：确认位R：重设位S：同步位R:此字段如果为1,则认为TCP会话过程中出现严重错误，结束此次会话，重新构建新会话；一个TCP数据包中同时包含多个信息位；·Flags信息位为SA，则认为TCP会话握手过程中遭受劫持；·Flags信息为FPA,则初步认为此会话存在异常，结合HTTP层信息进一步判断；·Flags信息位为R,则认为会话通信过程中遭到攻击者重置；·Flags信息位为F，则初步认为此会话存在异常，结合HTTP层信息进一步判断；2：HTTP协议状态码：状态码是从目标服务器得到的详细信息，根据不同的状态码了解目标服务器的状态以及接下来会进行的操作，对这次数据请求的状态反馈，给出主要状态码：200：页面请求成功30{0-7}:理解为页面重定向；·Flags信息位为FPA，且HTTP状态位为30{0-7}，则判断该会话流中部分文件被劫持篡改；·Flags信息位为F，且HTTP状态位为200，则判断会话被攻击者篡改内容且结束会话。

全文数据：

权利要求：

百度查询： 天津大学 基于局域网安全设备的网络劫持检测方法