[发明专利]异常网络流量的攻击源追踪方法及装置

说明书

技术领域

本发明涉及网络通信领域，具体而言，涉及一种异常网络流量的攻击源追踪方法及装置。

背景技术

目前，基于网络的攻击大多利用网络资源、系统资源的有限性，或利用网络协议和认证机制自身的不完善性，通过在短时间内发动大规模网络攻击，消耗特定资源，实现对目标的攻击。现有的网络安全机制如入侵检测系统(IDS)、防火墙和虚拟专用网络(VPN)以及容忍攻击技术等均只是在遭受到网络攻击时被动地进行防御：例如，设置诸如Random Drop，SYN Cookie、带宽限制之类的防护算法，实现IDS与防火墙联动以及技术专家分析攻击等办法。

上述网络安全机制大多收效甚微，只能缓解网络攻击，并不能定位攻击的源头(即攻击源)，因此，基于网络的攻击己经成为当前网络信息系统的严重阻碍，再加上网络本身的虚拟性为执法过程带来了很大的难度。

针对相关技术中的上述问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的上述问题，本发明主要目的在于提供一种异常网络流量的攻击源追踪方法及装置，以至少解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种异常网络流量的攻击源追踪方法，包括：在攻击链路的网络节点中，选择任意一个或多个所述网络节点作为追踪起点，其中，所述攻击链路为被攻击目标和攻击源之间的通信链路；根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点，直至确认最终的攻击源。

为了实现上述目的，根据本发明的另一方面，提供了一种异常网络流量的攻击源追踪装置，包括：选择模块，用于在攻击链路的网络节点中，选择任意一个或多个所述网络节点作为追踪起点，其中，所述攻击链路为被攻击目标和攻击源之间的通信链路；确定模块，用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点，直至确认最终的攻击源。

通过本发明，采用选择攻击链路中的任意网络节点作为追踪起点逐级确定上一级网络节点的技术手段，解决了相关技术中，网络安全机制，只能缓解网络攻击，并不能定位攻击的源头(即攻击源)的问题，进而达到了可以反向追踪定位攻击源的效果。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图；

图2为根据本发明实施例的异常网络流量的攻击源追踪装置的结构框图；

图3为根据本发明实施例的异常网络流量的攻击源追踪装置的结构示意图；

图4为根据本发明实施例的反向攻击流量追踪示意图；

图5为根据本发明实施例的第1级来源流量追踪示意图；

图6为根据本发明实施例的第2级来源流量追踪示意图；

图7为根据本发明实施例的第3级来源流量追踪示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

图1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图。如图1所示，该方法包括：

步骤S102，在攻击链路的网络节点中，选择任意一个或多个所述网络节点作为追踪起点，其中，所述攻击链路为被攻击目标和攻击源之间的通信链路；

步骤S104，根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点，直至确认最终的攻击源。

通过上述处理过程，由于采用了根据追踪起点逐级确定所述攻击链路中的上一级网络节点，直至确认最终的攻击源的技术手段，因此，可以实现反向追踪定位攻击源，提高了网络安全执法性。

在步骤S102中，可以任意选择攻击链路中的一个或多个网络节点作为追踪起点，还可以根据预设条件选择网络节点作为追踪起点，例如：根据预设周期采集所述攻击链路的网络节点的端口数据包载荷；根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追踪起点。

在本发明的一个优选实施方式中，上述数据包载荷为所述预设周期内平均每个数据包载荷。其中，该预设周期内平均每个数据包载荷可以通过以下方式确定：预设周期内平均每个数据包载荷＝预设周期内平均带宽/预设周期内数据包总数。