本发明专利技术提供了一种基于流指纹的跨域溯源的方法,以流指纹技术为基础,通过采用多层协同的思想,分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位,包括在域间层,构建全局网络拓扑关系,并利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径;在域内路由层,通过关联流表信息重构域内可疑攻击路径;将所述域间可疑攻击路径和域内可疑攻击路径进行融合,得到全网可疑攻击路径。从而降低目标主机遭到的损害。本发明专利技术采用流表关联度进行域内可疑路径的构建,利用SDN集中控制和流指纹技术保证了构建路径的高效、准确。
【技术实现步骤摘要】
一种基于流指纹的跨域溯源的方法
本专利技术涉及网络安全
,具体涉及一种基于流指纹的跨域溯源的方法。
技术介绍
随着信息化在人们日常生活、经济发展等各方面领域的不断深化,信息网络已成为国家重要的基础设施。然而,风险与利益总是相伴相随,针对数据中心服务器的网络威胁正在与日俱增。分析可知,攻击无论其原理和手段如何,大都结合跳板和匿名通信技术以实现对攻击源和攻击路径的隐藏。这类问题产生的根源在于数据交换过程中数据源的身份不可知,进而导致了恶意攻击路径不可追踪。因此,可疑攻击路径的高效提取和可疑攻击源的准确定位成为亟待解决的问题。如表1所示,已有溯源技术研究主要分为三类:基于路由日志的攻击路径提取与攻击源定位技术、基于标记的攻击路径提取与攻击源定位技术和基于覆盖网络的攻击路径提取与攻击源定位技术。其中基于日志的攻击路径提取与攻击源定位技术是通过分析网络节点中的日志信息等,并采用数据融合等方法以实现攻击路径提取和攻击源定位。然而这种方法只能用于事后攻击路径的恢复,而且它要求防御方必须能够掌握网络节点的所有信息,因此具有较高的成本。基于覆盖网络的攻击路径提取与攻击源定位技术则是在物理网络的基础上通过提取虚拟或逻辑相连的路径以还原攻击的路径。然而,由于这种方法存在网络物理拓扑复杂、路由层物理拓扑易变等原因,导致其管理开销大、算法复杂度高。基于标记的攻击路径提取与攻击源定位技术又可细分为基于包标记的溯源技术和基于流指纹的溯源技术。这两种方式都是通过标记可疑的数据包以实现攻击路径重构和攻击源定位,因此具有良好的可用性和可扩展性。然而,这两种方法易遭到环路欺骗,从而误导可疑路径提取。与此同时,基于包标记的溯源技术由于载体容量所限,标记内容有限,且易遭到虚假数据包和IP报头替换攻击。表1已有主流溯源技术比较溯源技术管理开销网络开销适用性健壮性基于日志的溯源大较小事后溯源较强基于覆盖网络中心的溯源大大攻击过程中溯源较差基于包标记的溯源小小两种情况都可较强基于流指纹的溯源小小两种情况都可强由于诸如政务办公、金融股票等领域使用的系统具有数据包加密、低时延、多流交汇和资源有限等的特点,因此,所设计的攻击路径提取和可疑攻击源定位技术要具有带宽消耗小、可同时追踪多流、健壮性强等特点。与此同时,随着软件定义网络的出现与不断发展,它集中控制、全局视图的优势有效解决了传统网络路由分散、管理分布存在的瓶颈。
技术实现思路
本专利技术提供了一种基于流指纹的跨域溯源的方法,以流指纹技术为基础,通过采用多层协同的思想,分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位,从而降低目标主机遭到的损害。为了达到上述目的,本专利技术所采用的技术方案如下:不同于传统网络分布式架构的特点,SDN网络具有集中控制的优势,因此在域内路由层中进行攻击源追溯可以充分利用SDN集中控制的特性,通过分析流表内容进行快速分析。因此,SDN网络下的攻击溯源的时效性相较于传统环境下的更好。一种基于流指纹的跨域溯源的方法,其特征在于,包括以下步骤:在域间层,构建全局网络拓扑关系,并利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径;在域内路由层,通过关联流表信息重构域内可疑攻击路径;将所述域间可疑攻击路径和域内可疑攻击路径进行融合,得到全网可疑攻击路径。进一步,所述利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径的方法,包括以下步骤:根据所述流指纹信息以及全局网络拓扑关系,生成全网的有向图;利用所述流指纹信息确定流入和流出同一交换节点的数据流之间的关联性,并在此基础上构建邻接链接对;将所述有向图转换为邻接链接对有向图;根据所述邻接链接对有向图判断得到可疑数据流流经的全部交换节点的偏序关系,进而构建域间可疑攻击路径。进一步,所述将所述有向图转换为邻接链接对有向图的过程中,将建立连接时间不同,但具有相同的起始节点和终结节点的会话用不同的有向图中的节点表示。进一步,所述可疑数据流的流指纹信息是通过以下步骤进行收集的:SDN控制器通过检测可疑数据流的流指纹信息以获取可疑数据流信息,并生成预警信息发送给总控中心;总控中心依据预警信息中的发送数据流的IP从相应域内的SDN控制器中提取可疑数据流的流指纹信息,并获得与该域逻辑邻接的SDN控制器IP;利用所述逻辑邻接的SDN控制器IP和发送数据流的IP判断逻辑邻接和物理邻接的域是否相同,并依据报告信息和已有的域间网络拓扑进行逐域的回溯,进而得到可疑数据流的流指纹信息。进一步,所述通过关联流表信息重构域内可疑攻击路径的方法,包括以下步骤:根据流指纹信息与数据流的绑定关系即将流指纹嵌入到数据流中后流指纹与被嵌入该指纹的数据流的关系来确定数据流信息;根据可疑数据流入口关系找到可疑数据流的路径;其中可疑数据流入口是指可疑数据流从哪个入口进入到该域的;可疑数据流的路径则是指数据流的域内的数据流传输路径。从对应路由的SDN交换机汇总的流表项中找到与所述数据包匹配的流表条目;将所述数据流的包头信息和流表条目作为流表项搜索队列中的一个匹配项;依据流表关联度构建域内可疑攻击路径。进一步,所述构建全局网络拓扑关系的方法为:通过监测SDN控制器数据端口发送的LLDPPacketOut、FLOW_MOD和接收的FLOW_REMOVED(这三个消息表示的是相应的三个消息类型)消息,得到全局网络拓扑关系。一种基于流指纹的跨域溯源的系统,其特征在于,包括:用于构建全局网络拓扑关系,并利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径的域间层;用于通过关联流表信息重构域内可疑攻击路径的域内路由层;用于将所述域间可疑攻击路径和域内可疑攻击路径进行融合,得到全网可疑攻击路径的总控中心。本专利技术所产生的有益效果如下:1、本专利技术以流指纹技术为基础,通过采用多层协同的思想,分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位,从而降低目标主机遭到的损害。2、本专利技术设计了域间可疑攻击路径的构建算法,能够避免环路欺骗的问题。3、本专利技术所采用的被动式流表收集方式构建网络拓扑关系,保证了拓扑信息收集的全面和零带宽占用。4、本专利技术采用流表关联度进行域内可疑路径的构建,利用SDN集中控制和流指纹技术保证了构建路径的高效、准确。附图说明图1为本专利技术的系统框图;图2为本专利技术实施例的并列关系和选择关系节点有向图转换示意图;图3为本专利技术实施例的基于流表关联度的域内可疑路径构建算法的示意图。具体实施方式下面结合附图和具体的实施例来进一步详细的说明本专利技术,但本专利技术的保护范围并不限于此。本专利技术提供了一种基于流指纹的跨域溯源的方法,通过采用多层协同的思想,分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位。该方法包括以下步骤:步骤一:在域间层,首先依据域间SDN控制器构建全局网络拓扑关系;在此基础上,利用可疑数据流的流指纹实现对不同数据流的关联,从而构建域间可疑攻击路径。进一步,由于域间可疑攻击路径构建可能存在环路欺骗等问题,因此设计了域间可疑攻击路径构建算法。在此基础上,分别给出了关联信息完全条件下的可疑路径提取方法和部分关联信息条件下的可疑路径提取的方法。其中在部分关联信息条件下的可疑路径提取中,利用基于本地时间关系的方法本文档来自技高网...
【技术保护点】
1.一种基于流指纹的跨域溯源的方法,其特征在于,包括以下步骤:在域间层,构建全局网络拓扑关系,并利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径;在域内路由层,通过关联流表信息重构域内可疑攻击路径;将所述域间可疑攻击路径和域内可疑攻击路径进行融合,得到全网可疑攻击路径。
【技术特征摘要】
1.一种基于流指纹的跨域溯源的方法,其特征在于,包括以下步骤:在域间层,构建全局网络拓扑关系,并利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径;在域内路由层,通过关联流表信息重构域内可疑攻击路径;将所述域间可疑攻击路径和域内可疑攻击路径进行融合,得到全网可疑攻击路径。2.根据权利要求1所述的一种基于流指纹的跨域溯源的方法,其特征在于,所述利用可疑数据流的流指纹信息实现对不同数据流的关联,从而构建域间可疑攻击路径的方法,包括以下步骤:根据所述流指纹信息以及全局网络拓扑关系,生成全网的有向图;利用所述流指纹信息确定流入和流出同一交换节点的数据流之间的关联性,并在此基础上构建邻接链接对;将所述有向图转换为邻接链接对有向图;根据所述邻接链接对有向图判断得到可疑数据流流经的全部交换节点的偏序关系,进而构建域间可疑攻击路径。3.根据权利要求1或2所述的一种基于流指纹的跨域溯源的方法,其特征在于,所述将所述有向图转换为邻接链接对有向图的过程中,将建立连接时间不同,但具有相同的起始节点和终结节点的会话用不同的有向图中的节点表示。4.根据权利要求1所述的一种基于流指纹的跨域溯源的方法,其特征在于,所述可疑数据流的流指纹信息是通过以下步骤进行收集的:SDN控制器通过检测可疑数据流的流指纹信息以获取可疑数据流信息,并...
【专利技术属性】
技术研发人员:雷程,刘小虎,张玉臣,刘璟,范钰丹,谭晶磊,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。