申请/专利权人：湖南大学

申请日：2024-02-01

公开（公告）日：2024-04-26

公开（公告）号：CN117938527A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.14#实质审查的生效;2024.04.26#公开

摘要：本发明公开了一种数据平面中基于ANN和启发式规则的TCP协议滥用防御方法，属于计算机网络安全领域。其中所述的方法包括：对于乐观ACK，选择ACK序号步长作为特征，收集特征数据后，通过ANN将流检测为正常流和可疑流，再使用启发式的交换机规则对可疑流进行丢包处理。对于ECN滥用，选择交换机出口队列长度作为特征，收集特征数据后，通过ANN将流检测为正常情况下的流和拥塞情况下的流，最后使用基于数据平面编写的数据包处理逻辑对流进行修改报文的处理，使流符合ECN的规则。本发明提出的方法可以防御这两种类型的TCP协议滥用，是一种有效的TCP协议滥用防御方法。

主权项：1.基于ANN和启发式规则的TCP协议滥用防御方法，其特征在于，其中ANN是指人工神经网络，TCP协议滥用是指利用TCP协议的漏洞发起的攻击，会造成网络性能的下降，乐观ACK攻击和显示拥塞通知ECN滥用是TCP协议滥用的两种攻击形式，在可编程数据平面中防御TCP协议滥用不需要对终端主机或协议进行修改，所述攻击防御方法，具体包括如下步骤：乐观ACK攻击防御过程：S1.在可编程数据平面中选择ACK序号步长作为特征；在可编程交换机中载入收集流量特征数据的程序，将收集到的特征作为自定义协议首部的字段附加在克隆数据包中，再发送到部署了检测模型的交换机上，接着再对这些数据包进行协议首部字段解析，得到用于训练乐观ACK攻击检测模型的特征集合；S2.检测模型使用神经网络将流检测为正常流和可疑流两类，在瓶颈链路的上游交换机中，标签1代表该流为可疑流，标签0代表该流为正常流，从而实现乐观ACK攻击的检测；S3.为了缓解乐观ACK攻击，建立一个丢包列表，对于所有可疑流量，再做一次判断，在流中存在乐观ACK攻击的情况下，攻击者提前发送ACK报文，导致确认的数据数量比正常情况下更大，通过计算发送方报文的序列号和有效负载的值，获得期望的确认号，将预期的确认号与实际的接收方报文中的确认号进行比较，如果实际的确认号大于预期的确认号，则确定该流是乐观ACK攻击流，将该流放入丢包列表中以进行丢弃；ECN滥用防御过程：S4.在可编程数据平面中选择交换机出口队列的长度作为特征；在可编程交换机中载入收集流量特征数据的程序，将收集到的特征作为自定义协议首部的字段附加在克隆数据包中，然后发送到部署了检测模型的交换机上，接着再对这些数据包进行协议首部字段解析，得到用于训练ECN滥用检测模型的特征集合；S5.ECN滥用检测模型使用人工神经网络将流检测为两类：正常情况下的流和拥塞情况下的流，若检测结果为0，判定该流为正常情况下的流，若检测结果为1，判定该流为拥塞情况下的流，从而实现ECN滥用的检测；S6.为了缓解ECN的滥用，采用控制状态转换的方法来控制交换机的行为，其中有两种状态，分别是安全状态和拥塞状态，当链路拥塞并且接收方有不恰当的行为时，交换机采取缓解措施，并由安全状态转换为拥塞状态，当交换机处于安全状态时，接收方的报文中ECN响应，即ECE标志位被设置为0；交换机处于拥塞状态时，接收方的报文中ECE标志位被设置为1。

全文数据：

权利要求：

百度查询： 湖南大学 基于ANN和启发式规则的TCP协议滥用防御方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD