(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111601075.1 (22)申请日 2021.12.24 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 刘胜利　陆炫廷　胡安祥　杨启超　 蔡瑞杰　尹小康　何杰　 (74)专利代理 机构 郑州明华专利代理事务所 (普通合伙) 41162 代理人 高丽华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于流量分析发现未知UDP反射放大攻击的 方法 (57)摘要 本发明属于网络安全技术领域， 具体涉及一 种基于流量 分析发现未知UDP反射放大攻击的方 法。 该方法结合了当前直接分析和基于网络攻击 痕迹分析方法的优点， 通过对日常流量的检测提 取存在反射放大可能的协议， 并自动进行测试相 比于直接分析具有更强的适应性， 能够检测出流 量中包含的所有具有反射放大特种的协议， 而不 必逐一判断， 极大地提升效率； 相比于根据攻击 痕迹分析， 本方法将检测分析的场景从受到网络 攻击后提前到了日常流量中， 做到提前发现， 尽 最大程度减 小网络攻击带来的损失。 权利要求书1页 说明书7页 附图2页 CN 114257452 A 2022.03.29 CN 114257452 A 1.一种基于流 量分析发现未知UD P反射放大攻击的方法， 其特 征在于： 包括以下步骤： 步骤一、 从日常流量中筛选出符合反射放大特性的流量数据， 将获取的流量数据报文 按照地址对应关系进 行分组， 将 每两个地址间的全部通信流量按照时间顺序添加到同一分 组， 并提取报文长度； 步骤二、 将同一方向的多个连续数据包视为一 次回复流量， 计算 回复流量大小； 以回复 流量的前一个数据包作为触发包， 计算触发包长度作为请求流量大小， 根据回复流量与请 求流量计算放大系数 f， 放大系数f为一次反射攻击中回复流量与请求流量的比值； 根据放 大系数f与设定的放大阈值ET的关系 判断流量数据是否具有放大 特性； 若f﹥ET， 则流 量数据具有放大 特性， 反之， 则不具有放大 特性； 步骤三、 将从流量中提取的具备放大特性的数据包样本采用直接重放发包验证的方 法， 提取触发包的UDP载荷作为payload， 用设备本机作为源重新发送该UDP请求包到目的 IP， 并接收对方的回复数据， 判断是 无响应还是有响应； 对于无响应的结果， 不予处 理； 对于有响应的结果， 统计收到的回复数据大小， 计算回复数据与请求数据的比值 f’， 根 据f’与设定的反射 放大阈值RT的关系 判断是否满足反射 放大条件， 若f’﹥RT， 则流 量数据具有反射 放大特性； 反之则不具有。 2.根据权利要求1所述的基于流量分析发现未知UDP反射放大攻击的方法， 其特征在 于： 步骤一中选择在电信骨干网络节点、 子网网关出入口以及包含大量物联网设备 的局域 网环境中获取流 量样本。 3.根据权利要求1所述的基于流量分析发现未知UDP反射放大攻击的方法， 其特征在 于： 步骤一中在数据获取时还包括设置捕获规则， 过滤掉已知的UDP反射放大服务和已经确 定无法反射放大的UD P服务。 4.根据权利要求1所述的基于流量分析发现未知UDP反射放大攻击的方法， 其特征在 于： 步骤三中有响应包括 正常响应和异常响应。 5.根据权利要求1所述的基于流量分析发现未知UDP反射放大攻击的方法， 其特征在 于： 还包括多包触发反射验证， 方法如下： 首先， 将回复流量前的所有数据包分别按时间顺序提取载荷， 以本机作为源按序重新 发送， 统计收到的回复数据大小， 若实际回复流量与估算的回复流量大小相近， 或是回复流 量与请求流量之比仍大于放大阈值ET， 则判断出数据包中包含可以触发反射放大攻击的请 求流量； 然后， 对于满足可反射性的， 将所有报文按时间排列的组合方式依次进行反射性测试， 筛选出反射系数 f’最大的数据样本， 若其大于阈值， 就将其添加到 输出结果中。权　利　要　求　书 1/1 页 2 CN 114257452 A 2基于流量分析发现未知 UDP反射放大攻 击的方法 技术领域 [0001]本发明属于网络安全技术领域， 具体涉及一种基于流量分析发现未知UDP反射放 大攻击的方法。 背景技术 [0002]随着近年来大量社交、 娱乐、 购物和工作等场景从线下转移到线上， DDOS 攻击次数 也呈逐年升高趋势。 其中UDP反射攻击仍然占据主流， 占总攻击数量的88％， CoAP、 WS ‑DD和 ARMS等新型UDP反射攻击手法开始涌现。 [0003]2014年， 某国CDN服务提供商遭受了 峰值达到400Gbit/s的反射型DDoS攻击， 攻击 者利用NTP协议中的monlist命令将流量放大了近200倍。 2018年， 全球知名的某软件代码托 管网站遭受了峰值达到1.35Tbit/s的反射型DDoS攻击， 攻击者利用memcached中的漏洞将 流量放大了近51000倍。 2020年， 某公司遭受到了DDoS攻击， 攻击手法主要为CLDAP反射， 此 次攻击达到2.3Tbit/s， 为有史以来 最猛烈的攻击 。 [0004]UDP反射攻击是利用有漏洞的应用层服务协议发起 的DDoS攻击， 通过伪造地址来 隐藏攻击源。 由于无需组建僵尸网络、 操作更加简单、 攻击源不易被跟踪， UDP反射攻击给安 全事件的溯源和响应处置 造成了很大困难。 [0005]早先， UDP反射放大攻击的主要发现手段有直接分析， 研究人员对广 泛应用的协议 和公共服务进 行系统性分析， 判断是否存在UDP反射放大的可能， 其过程类似于漏洞挖掘中 的代码分析， 对其执行过程进 行逻辑分析然后验证判断。 直接 分析以主动分析为主， 能够针 对性地判断出某协 议是否具备反射放大潜能。 但由于网络协 议不断更新 发展， 特别是IOT设 备的广泛应用， 伴 随着更多非网络公共服务的出现， 而这些服务在设计时对的安全性的标 准较低， 研究人员逐一分析它们需要耗费大量精力， 因此通过该方法发现新反射放大协议 变得越来越困难。 早在2001年， Vern  Paxson就提出了假冒源地址的DDoS攻击模型， 并且分 析了ICMP、 TCP、 UDP、 DNS、 SNMP协议在上述攻击模型下， 由于协议中的某些字段存在设计缺 陷， 存在被用于流量的放大的风险。 2 014年2月， Christian  Rossow等人系统地对SNMP、 DNS、 NTP、 SSDP、 Char  Gen等14种UDP协议进行了系统性的研究， 认为这些协议存在实施反射攻击 的可能。 [0006]由于主动分析协议需要花费较大的研究成本， 且效率低下。 因此， 近年来对UDP反 射放大攻击协议的更新主要来源于记录到的网络攻击后的分析。 通过入侵检测系统记录的 攻击数据， 来复盘攻击细节和过程， 并对其展开相关拓展研究。 2017年11月， 360网络安全研 究院报告称， CLDAP现在是第三大最常见的DRDoS攻击， 仅次于DNS和NTP攻击。 2018年2月， SENKI分析了基于Memcached的反射DDoS攻击(通过UDP/TCP端口11211)， 并且具有前所未有 的放大系数。 2019年9月， Akamai报告了利用WS ‑Discovery协议的DDoS攻击行为(通过TCP/ UDP端口3702)。 上述根据攻击行为痕迹来发现攻击手段的方法虽准确有效， 且成本较低。 但 它存在被动性和滞后性， 只有在受到网络攻击后才能有所发现。 [0007]当前主要采用的两种分析方法， 直接分析法基于原理推断并设计测试来判断协议说　明　书 1/7 页 3 CN 114257452 A 3