[發明專利]一種自動檢測IPsec協議中間人攻擊的方法有效
| 申請號: | 201710997699.7 | 申請日: | 2017-10-24 |
| 公開(公告)號: | CN107786554B | 公開(公告)日: | 2019-08-02 |
| 發明(設計)人: | 王冠群;何清剛;黃俊恒;孫云霄;王佰玲;劉揚 | 申請(專利權)人: | 哈爾濱工業大學(威海);威海天之衛網絡空間安全科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L9/08 |
| 代理公司: | 濟南金迪知識產權代理有限公司 37219 | 代理人: | 楊樹云 |
| 地址: | 264209 山*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 自動檢測 ipsec 協議 中間人 攻擊 方法 裝置 | ||
1.一種自動檢測IPsec協議中間人攻擊的方法,其特征在于,包括步驟如下:
A、IKE協商第一階段:
(1)在IPsec建立安全隧道時,在客戶端或服務器端獲取IKE協商第一階段各數據報的發送、返回時間;
(2)計算相鄰兩個數據報之間的時間間隔,即t2、t3、t4、t5、t6;相鄰兩個數據報之間的時間間隔是指發出或接收到上一個數據報后至接收到或發出下一個數據報之間的時間間隔;
(3)計算相鄰兩個數據報之間的時間間隔t2、t3、t4、t5、t6的方差e1;
(4)比較e1與E1的大小,如果e1>E1,則發出中間人攻擊警報,提醒工作人員進行處理;否則,則認為是正常連接;E1的取值為0.0001-0.02;
B、IKE協商第二階段:
(5)在客戶端或服務器端獲取IKE協商第二階段各數據報的發送、返回時間;
(6)計算相鄰兩個數據報之間的時間間隔,即t7、t8、t9;
(7)計算相鄰兩個數據報之間的時間間隔t7、t8、t9的方差e2;
(8)比較e2與E2,如果e2>E2,則發出中間人攻擊警報,提醒工作人員進行處理;否則,則認為是正常連接,E2的取值為0.0003-0.024。
2.根據權利要求1所述的一種自動檢測IPsec協議中間人攻擊的方法,其特征在于,E1=0.01,E2=0.005。
3.根據權利要求1或2所述的一種自動檢測IPsec協議中間人攻擊的方法,其特征在于,所述步驟(1),在客戶端或服務器端獲取IKE協商第一階段各數據報的發送、返回時間,包括步驟如下:
a、獲取數據報:從目標網卡上使用tcpdump工具直接在目標網卡上抓取數據報,或者使用DPDK技術旁路獲取數據報;
b、過濾獲取目標數據報:根據數據報中的特定標志位進行過濾,獲取目標數據報;所述特定標志位包括源端口、目的端口、主模式以及Responder SPI;
c、預處理獲取收發時間:使用tcpdump命令或者wireshark抓包工具,獲取目標數據報的所有信息,根據時間信息在所有信息中的位置,獲取目標網卡收發該數據報的收發時間值。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于哈爾濱工業大學(威海);威海天之衛網絡空間安全科技有限公司,未經哈爾濱工業大學(威海);威海天之衛網絡空間安全科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710997699.7/1.html,轉載請聲明來源鉆瓜專利網。
