[发明专利]IP源地址追溯的方法

权利要求书

1.一种IP源地址追溯的方法，其特征在于，包括以下步骤：

获取网络望远镜捕获的攻击数据；

对所述攻击数据进行分析，获取攻击中所包含的ICMP报文信息，其 中：

从分析的所述攻击数据中获取文本文件，然后从所述文本文件中提 取所有针对特定受害者IP地址的报文，并按照时间戳对所述报文按照 升序排列；

根据设定的时间间隔，若两个报文之间的时间间隔在所设定的间隔 之内，则它们属于同一次攻击，依次划分出所有的攻击；

从划分出的攻击中选择某一次攻击，并提取出此次攻击中所包含的 ICMP报文信息；

根据所述ICMP报文信息提取路由器的IP地址，结合互联网自治系统 关系数据构建所述互联网自治系统之间的路径。

2.如权利要求1所述的IP源地址追溯的方法，其特征在于，对所述 攻击数据进行分析包括以下步骤：

获取网络望远镜捕获的攻击数据，所述攻击数据为LZO压缩文件格式；

解压缩LZO压缩文件，得到PCAP格式二进制数据文件，然后解析 PCAP文件，得到包含IP报文头部的文本文件。

3.如权利要求1所述的IP源地址追溯的方法，其特征在于，根据所 述ICMP报文信息提取路由器的IP地址包括以下步骤：

从所述ICMP报文信息中剔除ICMP类型为UNREACH_PORT的报文 以及剔除所述ICMP报文信息中源地址与原始IP报文目的地址相同的 ICMP报文；

对其余的ICMP报文，从中提取路由器的IP地址。

4.如权利要求3所述的IP源地址追溯的方法，其特征在于，结合互 联网自治系统关系数据构建所述互联网自治系统之间的路径包括以下步 骤：

将所述IP地址映射到所属的互联网自治系统，同时将受害者IP地址 映射到所属互联网自治系统；

根据所述互联网自治系统的关系数据，构建所述互联网自治系统之间 的路径。

5.如权利要求4所述的IP源地址追溯的方法，其特征在于，进一步 包括：

根据构建的所述互联网自治系统之间的路径，绘制IP源地址追溯图。