本发明专利技术公开了一种利用信息熵和哈希函数进行网络数据流零水印提取的方法,该算法在发送端原始流量中,通过对数据流按时间进行分片,统计数据包大小的分布情况并计算香农熵,利用哈希函数对其进行零水印的提取;在接收端,利用同样的方法再次对接收到的流量进行零水印提取;通过对两端提取的零水印的比较来确认发送端和接收端是否存在明显的网络通信关系。采用本发明专利技术的网络流零水印系统的提取和检测方法,可以有效确定匿名通信系统中发送端和接收端之间的网络通信关系,为DDoS攻击定位提供理论依据。
【技术实现步骤摘要】
本专利技术涉及匿名网络环境下通信双方关系确认领域,更具体的说,涉及一种利用信息熵和哈希函数对网络流进行水印提取的方法,以及一种网络流零水印的提取和检测系统。
技术介绍
随着全球信息化的飞速发展,计算机网络已经是当今世界最为激动人心的高新技术之一。网络的资源共享、信息交换和分布式处理给学习、工作、科研带来极大便利。但层出不穷的各种攻击,给计算机网络和系统带来了巨大的潜在威胁和破坏。进入2000年以来,网络遭受攻击事件不断发生,根据“2003年FBI计算机犯罪与安全调查”显示,DD0S攻击是排名第二的网络犯罪,并且数量不断攀升。DDoS攻击通过控制多台傀儡主机向攻击目标发起大量占用网络带宽的无用报文,以此消耗攻击目标的系统和网络资源,使其无法对外正常提供服务。由于攻击流量的突发性和地址的随机性,导致这种攻击很难用传统的基于流量监控的检测技术从突发性正常流量中区分出来。在众多的DDoS攻击中,SYN Flood无疑是当前最为经典且最被广泛应用的攻击类型,它利用了 TCP协议实现中的漏洞,可以对所有基于TCP/IP协议栈的网络设备产生影响。SYN Flood攻击的具体工作原理为:通过向目标服务器的开放端口发送大量的伪造源地址的攻击报文,导致服务器网络协议栈中的半开连接队列占满缓存,最终宕机停止工作,使得其他用户不能正常访问。各种操作系统,甚至性能较差的防火墙、路由器等都无法有效地防御这种攻击模式。而且通过各种网络工具,该攻击可以方便地伪造源地址,这使得追踪攻击者变得非常困难。针对SYN Flood攻击的特点,解决的根本途径是跟踪攻击流,找出攻击路径并发现攻击源,这就是IP回溯方法。IP回溯旨在从被攻击方开始找到攻击方,是一种重在威慑的方法。IP回溯大致可分为两类。—类是能回溯一定流量的攻击。主要缺点是:(1)对IP协议进行修改;(2)当攻击流量足够大时,回溯性能可接受,对小流量和单包攻击,误报率和漏报率都相当高。另一类是能回溯任意流量的攻击,包括单包攻击。基本原理是:当路由器转发分组时,也对分组信息进行记录;回溯是通过查询分组记录以确定分组经过的路由器。这类方案关键问题是:由于路由器存储资源有限,分组记录容易丢失。为此,我们专利技术了基于数据流零水印的IP回溯方法。数字水印最早是向数据多媒体(如图像、声音、视频信号等)中添加某些数字信息以达到文件真伪鉴别、版权保护等功能。后来为标识网络流量将水印引入网络安全中。网络流零水印是目前数据流水印的一个新的研究方向,其思想是利用原始流量的某些重要特征构造可以唯一识别的水印,因此原始数据流也就认为已经包含了该水印且具备了某些标识。零水印的最大特点就是不改变原始流量的任何数据,保证了水印的不可见性,因此不存在数据流质量下降或水印量受限等问题。
技术实现思路
专利技术的目的在于克服现有技术之不足,提供以及一种基于网络流零水印的IP回溯系统。本专利技术解决其技术问题所采用的技术方案是:提供,包括:在发送端原始流量中,通过对数据流按时间进行分片,统计数据包大小的分布情况并计算香农熵,利用哈希函数对其进行零水印的提取;在接收端,利用同样的方法再次对接收到的流量进行零水印提取;通过对两端提取的零水印的比较来确认发送端和接收端是否存在明显的网络通信关系。优选的,所述网络流零水印的提取的步骤为:A1、获得发送端的原始数据流t,选取合适的偏移量0,按照一定的时间片大小T对数据流进行分片,得到1个时间片。A2、在每一个时间片大小内,统计数据包大小的分布状况;计算每个时间间隔内,不同包大小出现的次数Δ t);A3、计算每个时间间隔内,不同大小包出现的概率:(i Δ t) = Njj (i Δ t)/ Σ sumj = iNj j (i Δ t)其中,N^iAt)代表第i个时间间隔内,同样大小的包出现的次数;Σ,= At)代表同一时间间隔内,不同大小的包出现的总次数,sum代表该时间间隔内不同大小包的和;A4、以随机变量X代表每个时间间隔中不同大小包的取值情况,利用香浓公式,计算各个时间片内的香农熵:Η ⑴,=-Σ nj = !P (x^ logp (x^p (x^代表随机变量中某一特定值时的概率;A5、对信息熵H(X) ’进行量化处理:H(X)=H(X)’*a其中,a是量化单位。A6、输入一组秘钥Key,与量化后的香农熵H(X)进行哈希,得到所需的水印:ff, = HASH (Key ,, Η (Χχ))其中,Wi是最终要求的水印,也是该数据流的特征量,Key i是第i个秘钥,H(X ,)是第i个时间片的熵,HASH0是求水印所需的哈希函数。优选的,在发送端的边界路由收集来自发送端的数据流信息,对其进行零水印的提取,并将提取的零水印W及提取参数转存到第三方代理。优选的,在接收端的边界路由收集发送给接收端的数据流信息,从第三方代理获得零水印提取所需的各种参数,利用零水印的提取的步骤提取接收端接收的数据流所携带的零水印W’,并发送到第三方代理;由第三方代理比较发送端和接收端的零水印是否相同。优选的,包括如下步骤:B1、在被攻击方,首先利用网络流零水印,确定攻击流来自于边界路由;B2、使用零水印提取和网络通信关系确认的方法确认公积流流经的上一个路由的位置;B3、重复步骤B2直到将攻击流锁定在某一特定局域网内;B4、当锁定某一路由器或局域网时,按照零水印提取的方法来确定攻击流流经的主机路线,最终将攻击源锁定在某台或某几台物理机上,以此实现IP回溯。1)本专利技术的有益效果是:在被攻击方,首先利用网络流零水印,确定攻击流来自于哪个路由器或交换机,以此来寻找攻击流流经的路径。2)当锁定某一路由器或局域网时,在以此为跳板,继续向与自身相连的路由器确认攻击流的来源,进一步回溯攻击流的路径。如此循环下去,则可以将攻击源锁定在某一局域网或某几台主机之间。以下结合附图及实施例对本专利技术作进一步详细说明;但本专利技术的不局限于实施例。【附图说明】图1是利用信息熵和哈希函数对网络流进行零水印提取的框架示意图;图2是利用信息熵和哈希函数对网络流进行零水印提取的流程示意图;图3是利用零水印进行通信关系确认的网络框架示意图;图4是利用零水印进行通信关系确认的整体流程示意图;图5是利用零水印进彳丁 IP回溯不意图。【具体实施方式】实施例1参见图1至图5所示,本专利技术的,包括:在发送端原始流量中,通过对数据流按时间进行分片,统计数据包大小的分布情况并计算香农熵,利用哈希函数对其进行零水印的提取;在接收端,利用同样的方法再次对接收到的流量进行零水印提取;通过对两端提取的零水印的比较来确认发送端和接收端是否存在明显的网络通信关系。优选的,所述网络流零水印的提取的步骤为:A1、获得发送端的原始数据流t,选取合适的偏移量0,按照一定的时间片大小T对数据流进行分片,得到1个时间片。A2、在每一个时间片大小内,统计数据包大小的分布状况;计算每个时间间隔内,不同包大小出现的次数Δ t);A3、计算每个时间间隔内,不同大小包出现的概率:(i Δ t) = Njj (i Δ t)/ Σ 二 =凡(i Δ t)其中,N^iAt)代表第i个时间间隔内,同样大小的包出现的次数;Σ,=^,(1 At)代表同一时间间隔内,不同大小的包出现的总次数,sum代本文档来自技高网...
【技术保护点】
一种利用信息熵和哈希函数进行网络数据流零水印提取的方法,其特征在于,包括:在发送端原始流量中,通过对数据流按时间进行分片,统计数据包大小的分布情况并计算香农熵,利用哈希函数对其进行零水印的提取;在接收端,利用同样的方法再次对接收到的流量进行零水印提取;通过对两端提取的零水印的比较来确认发送端和接收端是否存在明显的网络通信关系。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈永红,侯雪艳,田晖,王田,蔡奕侨,
申请(专利权)人:华侨大学,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。