[发明专利]一种基于流指纹的跨域溯源的方法

权利要求书

1.一种基于流指纹的跨域溯源的方法，其特征在于，包括以下步骤：

在域间层，构建全局网络拓扑关系，并利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径；

在域内路由层，通过关联流表信息重构域内可疑攻击路径；

将所述域间可疑攻击路径和域内可疑攻击路径进行融合，得到全网可疑攻击路径。

2.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径的方法，包括以下步骤：

根据所述流指纹信息以及全局网络拓扑关系，生成全网的有向图；

利用所述流指纹信息确定流入和流出同一交换节点的数据流之间的关联性，并在此基础上构建邻接链接对；

将所述有向图转换为邻接链接对有向图；

根据所述邻接链接对有向图判断得到可疑数据流流经的全部交换节点的偏序关系，进而构建域间可疑攻击路径。

3.根据权利要求1或2所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述将所述有向图转换为邻接链接对有向图的过程中，将建立连接时间不同，但具有相同的起始节点和终结节点的会话用不同的有向图中的节点表示。

4.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述可疑数据流的流指纹信息是通过以下步骤进行收集的：

SDN控制器通过检测可疑数据流的流指纹信息以获取可疑数据流信息，并生成预警信息发送给总控中心；

总控中心依据预警信息中的发送数据流的IP从相应域内的SDN控制器中提取可疑数据流的流指纹信息，并获得与该域逻辑邻接的SDN控制器IP；

利用所述逻辑邻接的SDN控制器IP和发送数据流的IP判断逻辑邻接和物理邻接的域是否相同，并依据报告信息和已有的域间网络拓扑进行逐域的回溯，进而得到可疑数据流的流指纹信息。

5.根据权利要求1所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述通过关联流表信息重构域内可疑攻击路径的方法，包括以下步骤：

根据流指纹信息与数据流的绑定关系即将流指纹嵌入到数据流中后流指纹与被嵌入该指纹的数据流的关系来确定数据流信息；

根据可疑数据流入口关系找到可疑数据流的路径；其中可疑数据流入口是指可疑数据流从哪个入口进入到该域的；可疑数据流的路径则是指数据流的域内的数据流传输路径；

从对应路由的SDN交换机汇总的流表项中找到与所述数据包匹配的流表条目；

将所述数据流的包头信息和流表条目作为流表项搜索队列中的一个匹配项；

依据流表关联度构建域内可疑攻击路径。

6.根据权利要求1或2所述的一种基于流指纹的跨域溯源的方法，其特征在于，所述构建全局网络拓扑关系的方法为：

通过监测SDN控制器数据端口发送的LLDP PacketOut、FLOW_MOD和接收的FLOW_REMOVED消息，得到全局网络拓扑关系。