一种多协议标记交换网络的双向复合信源定位方法,其特征在于包括步骤: ①IP通信数据包进入多协议标记交换网络的边缘路由器传输时,边缘路由器依设定标记概率对IP通信数据包进行标记,标记内容包括边缘路由器的ID信息,采用基于标识的组合公钥签 名技术对ID标记信息进行数字签名,边缘路由器将IP通信数据包加上MPLS头变成MPLS通信数据包发送到多协议标记交换网络中传输; ②MPLS通信数据包在多协议标记交换网络中传输时,MPLS通信数据包经过的每个路由器将依据设定记录概率对 MPLS通信数据包进行记录,记录信息为MPLS通信数据包内容中具有固定长度的特征信息,记录方法采用Bloom filter数据结构,Bloom filter数据结构以预定周期循环更新;在多协议标记交换网络的出口边缘路由器将MPLS通信数据包包头中的标签放进IP通信数据包包头中的设定字段进行标记; ③当多协议标记交换网络对标签进行更新时,记录历史标签映射关系,以设定的时间周期对历史标签映射关系进行更新; ④接收端的入侵检测系统检测到网络攻击时,检测IP通信数据包的攻 击数据包中是否存在标记有边缘路由器ID信息的标记数据包,如果存在标记数据包,则进行基于组合公钥签名技术的边缘概率包标记算法的信源定位;否则,提取与设定记录概率相关数量的样本IP攻击数据包,进行基于多协议标记交换网络标签记录的概率包记录算法的信源定位; ⑤基于组合公钥签名技术的边缘概率包标记算法进行信源定位时,根据经过标记的攻击数据包中标记的边缘路由器ID信息得到对应的边缘路由器的公钥,利用边缘路由器的公钥对标记数据包中的数字签名进行验证,如果对标记数据包的签名验证通过, 则提取标记数据包中的边缘路由器ID信息一步定位到攻击端的边缘路由器,需要还原正向标记交换攻击路径时,则从攻击端边缘路由器开始,借助多协议标记交换网络的标记转发表信息或记录的历史标签映射关系还原出标记交换攻击路径; ⑥基于多协议标记交换 网络标签记录的概率包记录算法进行信源定位时,提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签信息,构造信源定位请求包,通过与被攻击端边缘路由器的攻击特征匹配确定攻击是否来自远程局域网,如果攻击来自远程局域网,则被攻击端边缘路由器将信源定位请求发往其上游邻居路由器,各上游邻居路由器将信源定位请求中的标签信息与它们对应时间段标签映射条目中的出口标签信息进行查询匹配,标签信息匹配成功后进行信源定位请求中各样本IP攻击数据包的攻击特征的查询匹配,标签信息和攻击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路径上的一个路由器节点,提取匹配命中路由器中匹配命中标签映射条目的入口标签替代信源定位请求包中的标签信息,再向匹配命中路由器的各上游邻居路由器发送信源定位请求包进行类似的标签和攻击特征的查询匹配过程,直至当前匹配命中路由器的各上游邻居路由器中再没有匹配命中的路由器; ⑦将信源定位结果返回给接收端的入侵检测系统,完成对本次多协议标记交换网络中网络攻击的双向复合信源定位。
【技术实现步骤摘要】
【技术保护点】
一种多协议标记交换网络的双向复合信源定位方法,其特征在于包括步骤: ①IP通信数据包进入多协议标记交换网络的边缘路由器传输时,边缘路由器依设定标记概率对IP通信数据包进行标记,标记内容包括边缘路由器的ID信息,采用基于标识的组合公钥签名技术对ID标记信息进行数字签名,边缘路由器将IP通信数据包加上MPLS头变成MPLS通信数据包发送到多协议标记交换网络中传输; ②MPLS通信数据包在多协议标记交换网络中传输时,MPLS通信数据包经过的每个路由器将依据设定记录概率对MPLS通信数据包进行记录,记录信息为MPLS通信数据包内容中具有固定长度的特征信息,记录方法采用Bloom filter数据结构,Bloom filter数据结构以预定周期循环更新;在多协议标记交换网络的出口边缘路由器将MPLS通信数据包包头中的标签放进IP通信数据包包头中的设定字段进行标记; ③当多协议标记交换网络对标签进行更新时,记录历史标签映射关系,以设定的时间周期对历史标签映射关系进行更新; ④接收端的入侵检测系统检测到网络攻击时,检测IP通信数据包的攻击数据包中是否存在标记有边缘路由器ID信息的标记数据包,如果存在标记数据包,则进行基于组合公钥签名技术的边缘概率包标记算法的信源定位;否则,提取与设定记录概率相关数量的样本IP攻击数据包,进行基于多协议标记交换网络标签记录的概率包记录算法的信源定位; ⑤基于组合公钥签名技术的边缘概率包标记算法进行信源定位时,根据经过标记的攻击数据包中标记的边缘路由器ID信息得到对应的边缘路由器的公钥,利用边缘路由器的公钥对标记数据包中的数字签名进行验证,如果对标记数据包的签名验证通过,则提取标记数据包中的边缘路由器ID信息一步定位到攻击端的边缘路由器,需要还原正向标记交换攻击路径时,则从攻击端边缘路由器开始,借助多协议标记交换网络的标记转发表信息或记录的历史标签映射关系还原出标记交换攻击路径; ⑥基于多协议标记交换网络标签记录的概率包记录算法进行信源定位时,提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签信息,构造信源定位请求包,通过与被攻击端边缘路由器的攻击特征匹配确定攻击是否来自远程局域网,如果攻击来自远程局域网,则被攻击端边缘路由器将信源定位请求发往其上游邻居路由器,各上游邻居路由器将信源定位请求中的标签信息与它们对应时间段标签映射条目中的出口标签信息进行查询匹配,标签信息匹配成功后进行信源定位请求中各样本IP攻击数据包的攻击特征的查询匹配,标签信息和攻击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路径上的一个路由器节点,提取匹配命中路由器中匹配命中标签映射条目的入口标签替代信源定位请求包中的标签信息,再向匹配命中路由器的各上游邻居路由器发送信源定位请求包进行类似的标签和攻击特征的查询匹配过程,直至当前匹配命中路由器的各上游邻居路由器中再没有匹配命中的路由器; ⑦将信源定位结果返回给接收端的入侵检测系统,完成对本次多协议标记交换网络中网络攻击的双向复合信源定位。...
【技术特征摘要】
【专利技术属性】
技术研发人员:张林杰,杨国瑞,吴巍,骆连合,刘存才,赵丽霞,妥艳君,邓炜,李丹镝,李艳,
申请(专利权)人:中国电子科技集团公司第五十四研究所,
类型:发明
国别省市:13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。