[发明专利]基于时间特征的分析检测中间人攻击的方法和终端设备

权利要求书

1.一种基于时间特征的分析检测中间人攻击的方法，包括如下步骤：

通过采集正常场景和存在中间人场景的数据包间隔信息，进行数据处理，得到正常数据和非正常数据的门限值；

获取目标设备发送数据包的间隔信息；

对所述目标设备发送数据包的间隔信息进行统计分析，得到分析数据；

将所述分析数据与所述门限值进行比对，判定所述目标设备发送数据包间隔时间所存在的场景为多跳或一跳，从而进行相应的安全处理。

2.如权利要求1所述的方法，其特征在于，通过训练阶段，分别采集正常和非正常场景的数据包间隔数据，通过分析处理，得到可以对正常场景和非正常场景进行合理区分的所述门限值。

3.如权利要求2所述的方法，其特征在于，通过采集同一目标设备的数据帧时间值，获得所述目标设备发送数据包的间隔信息的典型值。

4.如权利要求2所述的方法，其特征在于，所述获取目标设备发送数据包的间隔信息期间，确认策略由正常的延迟确认策略变更为立即确认策略，以快速准确地得到所述数据包的间隔信息。

5.如权利要求2所述的方法，其特征在于，所述目标设备的选择尽量靠近终端设备，以降低长链路带来的环境波动影响，提高计算精度。

6.如权利要求2所述的方法，其特征在于，所述目标设备可选择为DNS服务器。

7.如权利要求2所述的任一方法，其特征在于，通过采集多次所述目标设备的数据包，从而获取目标设备发送数据包的间隔信息，所述分析数据包括平局值和标准值。

8.如权利要求7所述的方法，其特征在于，所述门限值除了上述的实际检测分析得到之外，还可以通过以下方法中的一种获得：

理论计算，加上现实中存在的实际误差进行调整后获得；

多次学习和训练获得。

9.如权利要求1-8所述的任一方法，其特征在于，如果所述场景为一跳，则不存在中间人的安全隐患，如果所述场景为多跳，则存在中间人的安全隐患。

10.一种终端设备，其特征在于，包括：

训练模块，用于通过采集正常场景和存在中间人场景的数据包间隔信息，进行数据处理，得到正常和非正常数据的门限值；

收集模块，用于获取目标设备发送数据包的间隔信息；

分析模块，用于对所述目标设备发送数据包的间隔信息进行统计分析，得到分析数据；

评估模块，用于将所述分析数据与所述门限值进行比对，判定所述目标设备发送数据包间隔时间所存在的场景为多跳或一跳，从而进行相应的安全处理。