面向追踪溯源应用的多层协议网络信标植入检测方法技术

为了克服现有的基于概率数据包标记技术难以进行单包溯源、易引起与现有协议的兼容性等问题，本发明专利技术提出一种面向追踪溯源应用的多层协议网络信标植入检测方法，引入网络信标技术，通过对受监测目标流量的网络层、传输层、应用层三层协议中的某些精心选择字段进行网络信标构造植入，形成具有隐蔽性、稳定性、易检测性的网络信标植入；有针对性的开展基于多层协议特定字段内容的网络信标检测，识别定位具有植入网络信标的流量，选取或组合使用网络层、传输层、应用层三层协议中的合适字段进行网络信标植入，通过协同监测检测的方式开展攻击路径的还原，可以进行基于单包信标发现的追踪溯源。源。源。

【技术实现步骤摘要】
面向追踪溯源应用的多层协议网络信标植入检测方法


[0001]本专利技术涉及计算机网络安全领域，尤其涉及一种面向追踪溯源应用的多层协议网络信标植入检测方法。

技术介绍

[0002]目前，随着互联网技术的应用和发展，网络攻击者对企业网、电信网、省网、国际网等关键业务网以及网络基础设施造成了严重的威胁。攻击者为了隐藏自身的身份和流量源，一般会采用多级跳板转发的方式来规避追踪溯源，极大地增加了安全防御方对攻击者追踪溯源的难度。
[0003]基于海量威胁情报关联分析追踪溯源技术存在威胁情报不能及时更新而导致追踪溯源效果差的问题。此外，现有追踪溯源技术面对未知攻击难以进行有效感知，难以实现对攻击活动高效稳定的追踪溯源。现有的基于概率数据包标记技术，检测端需要收到较多的数据包才能够重构攻击路径，难以进行单包溯源，同时信标植入需要在TP报头预留较多信息域，易引起与现有协议的兼容性问题，有可能导致网络信标被路由器强制清除。
[0004]如何实现对攻击活动高效稳定的追踪溯源，是当前迫切需要解决的一个问题。

技术实现思路
<br/>[0005]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向追踪溯源应用的多层协议网络信标植入检测方法，其特征在于，其步骤包括：S1，基于多层协议的网络信标植入，依据网络信标植入的层级，包括应用层协议信标植入、传输层协议信标植入、网络层协议信标植入；S2，基于多层协议的网络信标检测，依托网络关口或路由节点，探测关口流量中是否出现植入的网络信标；根据网络信标检测的网络层级，包括网络层协议信标检测、传输层协议信标检测、应用层协议信标检测；S3，根据检测恢复出的网络信标，判断数据流的关联性，并对网络数据流进行流量分析，根据流量分析结果，掌控监测流量数据整体路径的走向，通过综合情报分析、蜜罐仿真诱捕、攻击主体溯源定性，实现对各类网络威胁活动的追踪溯源，并对溯源结果进行态势感知及显示。2.一种如权利要求1所述的面向追踪溯源应用的多层协议网络信标植入检测方法，其特征在于，步骤S1所述的基于多层协议的网络信标植入，其具体步骤为：S11，依据追踪目标的网络流量协议类型和网络构建类型，选择使用应用层协议信标植入、传输层协议信标植入、网络层协议信标植入中的一种或多种；S12，若选择在应用层进行网络信标注入，选择HTTP、SSL/TLS、DNS协议报文的特定位置植入网络信标，并提供对其他应用层协议网络信标植入的扩展能力；S13，若选择在传输层进行网络信标植入，选择可变长度的TCP协议报头的可选字段部分植入网络信标；S14，若选择在网络层进行网络信标植入，选择IP报头部分的数据报ID字段植入网络信标；S15，将植入信标的网络数据流通过网络进行传输。3.一种如权利要求2所述的面向追踪溯源应用的多层协议网络信标植入检测方法，其特征在于，所述的步骤S12，其具体包括：S121，HTTP协议网络信标植入，是在HTTP头部的可自定义字段植入信标，具体的，选择在HTTP头部的请求包中的User
‑
Agent字段植入具有识别性、伪装性的网络信标字符串，或者选择在HTTP头部的应答包中的Expires字段植入网络信标字符串；S122，SSL/TLS协议网络信标植入，为了实现植入的隐蔽性和无干扰性，选择在SSL/TLS协议握手阶段的ClientHello包内的支持...

【专利技术属性】
技术研发人员：任传伦，郭世泽，任秋洁，金波，夏建民，俞赛赛，刘晓影，乌吉斯古愣，孟祥頔，
申请(专利权)人：中国电子科技集团公司第十五研究所，
类型：发明
国别省市：