[发明专利]一种基于流指纹的跨域溯源的方法

说明书

本发明提供了一种基于流指纹的跨域溯源的方法，以流指纹技术为基础，通过采用多层协同的思想，分别从域间层和域内路由层进行攻击路径重构和可疑攻击源定位，包括在域间层，构建全局网络拓扑关系，并利用可疑数据流的流指纹信息实现对不同数据流的关联，从而构建域间可疑攻击路径；在域内路由层，通过关联流表信息重构域内可疑攻击路径；将所述域间可疑攻击路径和域内可疑攻击路径进行融合，得到全网可疑攻击路径。从而降低目标主机遭到的损害。本发明采用流表关联度进行域内可疑路径的构建，利用SDN集中控制和流指纹技术保证了构建路径的高效、准确。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于流指纹的跨域溯源的方法。

背景技术

随着信息化在人们日常生活、经济发展等各方面领域的不断深化，信息网络已成为国家重要的基础设施。然而，风险与利益总是相伴相随，针对数据中心服务器的网络威胁正在与日俱增。分析可知，攻击无论其原理和手段如何，大都结合跳板和匿名通信技术以实现对攻击源和攻击路径的隐藏。这类问题产生的根源在于数据交换过程中数据源的身份不可知，进而导致了恶意攻击路径不可追踪。因此，可疑攻击路径的高效提取和可疑攻击源的准确定位成为亟待解决的问题。

如表1所示，已有溯源技术研究主要分为三类：基于路由日志的攻击路径提取与攻击源定位技术、基于标记的攻击路径提取与攻击源定位技术和基于覆盖网络的攻击路径提取与攻击源定位技术。其中基于日志的攻击路径提取与攻击源定位技术是通过分析网络节点中的日志信息等，并采用数据融合等方法以实现攻击路径提取和攻击源定位。然而这种方法只能用于事后攻击路径的恢复，而且它要求防御方必须能够掌握网络节点的所有信息，因此具有较高的成本。基于覆盖网络的攻击路径提取与攻击源定位技术则是在物理网络的基础上通过提取虚拟或逻辑相连的路径以还原攻击的路径。然而，由于这种方法存在网络物理拓扑复杂、路由层物理拓扑易变等原因，导致其管理开销大、算法复杂度高。基于标记的攻击路径提取与攻击源定位技术又可细分为基于包标记的溯源技术和基于流指纹的溯源技术。这两种方式都是通过标记可疑的数据包以实现攻击路径重构和攻击源定位，因此具有良好的可用性和可扩展性。然而，这两种方法易遭到环路欺骗，从而误导可疑路径提取。与此同时，基于包标记的溯源技术由于载体容量所限，标记内容有限，且易遭到虚假数据包和IP报头替换攻击。

表1已有主流溯源技术比较