[发明专利]基于知识图谱的数据包标记溯源装置

权利要求书

1.一种基于知识图谱的数据包标记溯源装置，其特征在于，包括异常检测模块、追踪控制模块、路径重构模块和反馈模块，其中异常检测模块与追踪控制模块相连接，追踪控制模块与路径重构模块相连接，路径重构模块与反馈模块相连接；

所述异常检测模块，对经过该溯源装置管辖区域内所有数据包进行异常检测分析，监测网络中传输的报文，构建知识图谱，若检测出异常，利用知识图谱构建中的实体抽取技术得到异常实体，发布预警异常，追踪控制模块进行数据包标记，路径重构模块进行数据包溯源，得到攻击路径；所述实体包括源IP和目的IP；

所述追踪控制模块，实现数据包标记功能，其接收到异常检测模块发布的预警异常后，进行数据包标记；数据包标记过程采取概率包标记，以一定的概率将自身路由器的标识标记到数据包中；

所述路径重构模块，当该模块收到追踪控制模块的溯源请求时，将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，确定标记路由器的IP，而后根据顺序依次将得到的路由器IP依次加入到攻击树，依此得到攻击路径；

所述的反馈模块，用于将此次检测的异常信息以及攻击者信息，溯源的路径信息以可视化信息方式进行显示；

所述的异常检测模块与追踪控制模块进行连接，异常检测模块将预警异常发送给追踪控制模块，追踪控制模块收到预警异常后开始工作，开启数据包标记过程；

所述的异常检测模块，对于接收到的一个数据报文，分析该数据报文的源IP和目的IP，判断其图谱中是否已经存在这两个实体，如果没有就新建两个实体，如果已存在则找到该两个实体；找到该两个实体后，对这两个实体构建连接，创建实连接和虚连接，先遍历有关此两个实体的所有响应报文的关系，若回应报文的序列号中有和此两个报文的响应相匹配的，那么这两个实体的连接为实连接，否则这两个实体的连接为虚连接，结束对此报文的分析；知识图谱构造完成后，根据知识图谱中两个实体间的连接关系分别统计出连接关系数量、实连接占比和虚连接占比；若虚连接占比超过阈值，那么判断出所分析的通信流量存在异常，发布预警异常；所述的知识图谱构造，首先获取网络传输报文数据，对此数据进行实体抽取，然后按照实体之间存在的关系进行关联。

2.如权利要求1所述的基于知识图谱的数据包标记溯源装置，其特征在于，所述的追踪控制模块的数据包标记过程，其所用的标记信息是路由器的分片IP地址信息，以生存时间计算标记概率，对于收到的数据包，重写一个标记时间以替换原数据包中的生存时间，以抵御数据包的攻击。

3.如权利要求2所述的基于知识图谱的数据包标记溯源装置，其特征在于，所述的追踪控制模块，接收到异常检测发布的预警异常后，开启包标记过程，具体为：对网络路径上的路由器的IP地址进行处理，对该IP地址从高位至低位均分为4块，得到分片IP地址信息，并各分片IP地址信息进行Hash变换，得到4个分片IP地址信息对应的hash段值，设偏移量为i的数据包的分片哈希值等于hash_(i+1)mod4；接收数据包，若TTL值低于某一阈值，那么直接将其进行标记；用来解决攻击者伪造TTL字段躲避路由器的标记的问题；依据TTL值计算标记概率p＝1/(64-ttl)，生成(0，1)之间的随机数x，若xp,则在(0，4)之间生成一个随机数i，则选择将偏移量i的信息写入收到的数据包中，分别对应ip段，hash段，偏移量置i，距离字段置0，距离字段表示标记的路由器距离受害方网络上的距离，转发距离字段对应的数据包；若xp,检查收到的数据包的距离字段是否为0，若为0则表示此数据包已经被上游路由器标记，则在自身路由器的分片IP地址信息中选取和此数据包中的偏移量相同的分片信息和数据包中的ip段和hash段分别进行异或运算，对收到的数据包的距离字段加1；若xp,且距离字段不为0，则只将距离字段加1；转发经过路由器处理的数据包。

4.如权利要求1所述的基于知识图谱的数据包标记溯源装置，其特征在于，所述的路径重构模块将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现。

5.如权利要求4所述的基于知识图谱的数据包标记溯源装置，其特征在于，

所述的路径重构模块，按照受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现，其具体包括，

S1，在目标主机将收到的数据包按照距离字段值划分成不同的数据包集合；

S2，从距离字段distance＝0开始，构建知识图谱，重组各分片IP地址，将各分片IP地址重新关联为同一节点地址，分别抽取取值为0距离字段，分片信息中对应的IP地址、Hash实体，按照偏移量Offset＝{0,1,2,3},顺时针构建知识图谱，将分片IP地址作为实体，同时对其进行Hash变换得到的Hash函数值也作为实体，分片IP地址和对应的Hash函数值的两者关系是对应的哈希变换，最后抽取偏移量为0的数据包中的分片hash作为实体；按照偏移量顺序提取分片IP地址重组得到的IP，即为路由器节点对应的IP，也为攻击树的最后一跳的节点；

S3，从distance＝1开始，分别对各个数据包IP_frag字段和Hash_frag字段进行异或处理，从而还原出上一跳的节点信息，最后重复步骤S2中的知识图谱构建过程，关联匹配同一节点，得出上一跳的IP信息，也就是攻击树的倒数第二跳的节点；将distance值加1，重复步骤S3的过程，获取对应跳的IP信息，直到最大的distance值；

S4，以受害者为攻击树的根节点，从distance＝0开始将重组的IP信息加入攻击树，直到最大的distance的节点信息还原完，攻击路径重构完成。