本发明专利技术涉及一种基于网络流水印的网络主动追踪方法,以及一种基于网络流水印的网络主动追踪系统。本发明专利技术对追踪链路上的流量首先进行信息熵分析,确定嵌入水印和提取水印的时间点,有针对性的嵌入和提取水印,代替现有系统中随机盲目的嵌入和提取水印,具有更高的追踪效率。本发明专利技术对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析,在信息熵大的时间段增强了水印(追踪标志)的隐蔽性和健壮性,从而具有更高的追踪准确率。本发明专利技术同时对所述追踪的网络节点的输入流和输出流进行检测,对跳板主机来说,在它的输入流量和输出流量中同时能检测到水印,而对于攻击源来说,仅在输出流量中检测到水印。
【技术实现步骤摘要】
本专利技术涉及计算机网络通信安全
,更具体地说,涉及一种基于网络流水 印的网络主动追踪方法,以及一种基于网络流水印的网络主动追踪系统。
技术介绍
随着信息化和网络化的不断发展,网络攻击日益严重,目前,网络追踪已成为网络 安全研究领域的热点。基于网络的攻击大多利用网络协议的不完善性和网络资源、系统资 源的有限性实现对目标的攻击。 针对不同的攻击类型,现有的网络追踪方法主要有入口过滤法、数据包记录法、路 径记录法、日志记录法和数据包标记法等。目前研究和讨论最多的网络追踪技术是在网络 流量中指定特定的特征量作为标志或在数据包中添加数据标志信息,然后通过对这些标志 的检测与追踪来实现对攻击与入侵的追踪。这些追踪技术中添加的标志数据或字段有可能 会被攻击者察觉而伪造数据包来逃避追踪,并且它不适用于对加密流量及匿名通信环境中 流追踪和定位。因此现在研究者致力于提出更强大的主动追踪方法保证网络的安全性。 网络流水印技术是一种主动的追踪技术,它是将主动网络流量分析与数字水印思 想相融合的主动网络流水印技术。它通过在网络流量中嵌入可感知或不可感知的特定信息 来确定流量的所有权或检验流量的原始性,这些特性的信息包括对数据包时间间隔延迟的 控制、网络流量速率大小的控制等等。网络流水印技术通过一定的算法将一些标志性信息 嵌入需要追踪的流量中,只有通过专门的检测器才能正确检测或提取。这些信息不影响原 始流量使用效果,并可以部分或全部从混合数据中恢复出来。一般来讲,一些被动追踪技术 不能对加密数据、匿名通信流量提供保护,现有主动追踪技术数字标签的隐藏性、健壮性比 较弱,容易被破坏和剔除,而网络流水印技术却很好地弥补了这些不足。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种基于网络流水印的网络主动追 踪方法,以及一种基于网络流水印的网络主动追踪系统。 本专利技术的技术方案如下: -种基于网络流水印的网络主动追踪方法,在攻击链路的网络节点中,在只有输 出流的网络节点的输出链路上确定嵌入水印的时间段,完成水印设置和水印嵌入;在攻击 链路的网络节点中,选择任意一个或多个所述网络节点作为需要追踪的起点,在选定的追 踪起点输出流链路和输入流链路上分别提取水印,确认攻击来源;所述的攻击链路为攻击 源节点与被攻击目标之间的通信链路。 作为优选,水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定,具 体为: 1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流 量信息熵大小,流量信息熵大小为预设单位时间间隔内数据包比特熵大小; 2)根据当前采集的流量信息熵大小和网络流量信息熵阈值,确定水印嵌入时间 段。 作为优选,步骤1)中,预设单位时间间隔内流量信息熵的采集方法具体为: 数据包比特熵大小的变化概率Pi,j=Pbyte (i,j) /PbytesM⑴; 其中,Pbyte(i,j)表示每个数据包的大小,Pbyte__(i)表示每个时间间隔总的数据 包个数; 每个单位时间间隔的数据包比特熵 作为优选,步骤2)确定水印嵌入时间段的方法为:如果当前采集的数据包比特熵 大于网络流量信息熵阈值,则确定该单位时间间隔内为所述水印生成的时间段。 作为优选,水印设置包括水印生成、水印嵌入; 水印生成:根据确定的水印嵌入时间段生成水印,选取确定的水印嵌入时间段内 的相邻数据包间时延ipd作为水印载体,调整多个相邻数据包间时延ipd的大小,生成水 印; 水印嵌入:根据生成的水印,按照调整后的相邻数据包间时延ipd发送数据包,形 成含有水印的流量。 作为优选,水印设置具体通过以下方式确定: 计算嵌入水印时间段内数据流中,连续的相邻数据包PjPPj间时延 -t( -tp 其中,t炎别为P廊Pj到达网络中某节点的时刻; 通过如下公式增加或减少每个ipdi来表示水印w1: 根据调整后的相邻数据包间时延_^ =中考+M_Ti进行传输,完成水印的嵌入, 并将存储在数据库中。 作为优选,水印检测包括:水印提取、水印相关性判决、攻击源与攻击跳板的判 决; 水印提取包括: 根据预设单位时间间隔采集攻击链路的网络流量信息熵大小; 根据当前采集的网络流量信息熵大小确定提取水印的时间段; 根据提取水印的时刻点提取网络流量中的水印信息; 水印相关性判决:通过提取的水印与数据库预先存储的水印进行匹配,判断是否 为嵌入的水印。 作为优选,水印相关性通过以下公式确定: 皮尔逊相关系数「其中,PX,Y为皮尔逊相关系数, X =(:钕Y 埗X和Y分别为嵌入的水印序列和 提取的水印序列,筚aTp表示在嵌入水印时间段含有水印信息的相邻数据包间时延,伊《落: 表示提取水印时间段内含有水印信息的相邻数据包间时延。 作为优选,攻击源与攻击跳板的判决,根据追踪主机的输入流与输出流中含有的 水印信息,判断追踪主机为攻击源或攻击跳板。 一种基于网络流水印的网络主动追踪系统,包括:水印嵌入器、水印检测器; 水印嵌入器包括: 水印嵌入时间段选取模块,用于实现水印信息嵌入时间段的确定,包括对来自网 络中的各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析; 水印设置模块,用于生成水印信息,并将水印信息嵌入到的需要追踪的网络流量 中,以及对相邻数据包间时延ipd的调整; 水印检测器用于追踪流量的来源地址,包括: 水印提取模块,用于采集追踪链路上的流量,提取流量中存在的水印; 水印相关性判决模块,用于将水印提取模块中提取的水印信息与预存在数据库中 的嵌入网络流量中的水印信息进行水印相关性比对,判断提取的水印是否为嵌入的水印; 攻击源及攻击跳板判决模块,根据网络节点输出流和输入流中是否存在嵌入的水 印,判断网络节点在攻击链路中所处的位置。 本专利技术的有益效果如下: 1、追踪效率更高 本专利技术对追踪链路上的流量首先进行信息熵分析,确定嵌入水印和提取水印的时 间点,有针对性的嵌入和提取水印,代替现有系统中随机盲目的嵌入和提取水印,因此,具 有更尚的追踪效率。 2、追踪准确率更高 本专利技术对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析, 在信息熵大的时间段,即在携带信息量多的时间段嵌入或提取水印,增强了水印(追踪标 志)的隐蔽性和健壮性。因此,本专利技术的追踪方法不同于现有技术的追踪方法,即使网络上 出现抖动等干扰,仍然能检测到对应的水印,从而具有更高的追踪准确率。 3、判定是攻击源还是攻击跳板更迅速 本专利技术同时对所述追踪的网络节点的输入流和输出流进行检测,根据输入流和输 出流是否存在水印判定所述追踪的网络节点在攻击链路上所处位置。对跳板主机来说,在 它的输入流量和输出流量中同时能检测到水印,而对于攻击源来说,仅在输出流量中检测 到水印。【附图说明】 图1是本专利技术网络当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种基于网络流水印的网络主动追踪方法,其特征在于,在攻击链路的网络节点中,在只有输出流的网络节点的输出链路上确定嵌入水印的时间段,完成水印设置和水印嵌入;在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为需要追踪的起点,在选定的追踪起点输出流链路和输入流链路上分别提取水印,确认攻击来源;所述的攻击链路为攻击源节点与被攻击目标之间的通信链路。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈永红,王珊,田晖,王田,蔡奕侨,
申请(专利权)人:华侨大学,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。