[发明专利]基于知识图谱的数据包标记溯源装置

说明书

本发明公开了一种基于知识图谱的数据包标记溯源装置，将入侵检测技术与攻击溯源技术结合起来，入侵检测技术主要是根据知识图谱技术描述网络流量的行为进行检测分析，绘制出通信双方的关联关系，统计出连接数，一旦超过设定的阈值便判断出现异常流量，并对异常行为实施相应的操作；溯源技术强调的是一种追本溯源的技术，根据追踪路径重现数据历史的溯源，路径溯源更多的是利用数据包中的标记信息确定数据包在网络传输过程中所转发的路径。当网络收到恶意数据包攻击时，利用标记设备可以准确又高效的实现数据包的溯源，这在一定程度上能够比较快捷的缓解或者防御分布式拒绝服务攻击或者恶意数据包攻击。

技术领域

本发明涉及网络安全中的攻击溯源领域，尤其涉及一种基于知识图谱的数据包标记溯源装置。

背景技术

我国已经成为全世界遭受网络攻击最为严重的国家之一，网络安全现状十分严峻，如何进行有针对性的防御，这一问题困扰国内外网络安全产学研界多年，是目前网络安全研究的一大难题。

为了从根源上阻断网络攻击，往往需要追查攻击的源头，比如攻击的IP地址、实施攻击的黑客及其组织等。现有安全防护系统大都侧重于对网络攻击的发现与阻断，均难以提供对攻击源头的准确溯源能力。如果无法确定攻击源的位置，也就无法对攻击进行针对性的防护，难以从根本上防止攻击者的再次攻击，更无法对网络攻击者形成威慑力。

网络攻击溯源分析与主动防护技术，是目前网络安全的核心关键技术。其中，数据包标记技术是目前溯源研究较多而且成果最为丰富的一类技术方法，它是通过对传输的数据包打上特殊的标记，来实现对攻击者的溯源。这种技术的溯源过程分为了两步:数据包标记和受害者路径重构。数据包标记过程由网络上的传输节点完成，比如路由器。受害者路径重构在受害端完成，通过特定算法，对数据包中标记的信息进行识别重组，最终完成攻击路径的重组。在IP数据包中，有一些区域不会被用到，或者被覆盖也不会影响网络应用的，在数据包标记方法中，利用这类区域来记录标记信息。数据包标记利用传输节点(带有标记功能的路由器)，将路径关键信息标记在网络数据包中，受害端如果受到了攻击，则会收集攻击数据包中的标记信息来对攻击路径进行重构。

发明内容

针对现有安全防护系统大都侧重于对网络攻击的发现与阻断，均难以提供对攻击源头的准确溯源能力的问题，本发明公开了一种适用于区域网络下的基于知识图谱的数据包标记溯源装置，将入侵检测技术与攻击溯源技术结合起来，并应用于区域网络。入侵检测技术也就是指异常检测技术，主要是根据知识图谱技术描述网络流量的行为进行检测分析，绘制出通信双方的关联关系，统计出连接数，一旦超过设定的阈值便判断出现异常流量，并对异常行为实施相应的操作；溯源技术强调的是一种追本溯源的技术，根据追踪路径重现数据历史的溯源，路径溯源更多的是利用数据包中的标记信息确定数据包在网络传输过程中所转发的路径。当网络收到恶意数据包攻击时，利用标记设备可以准确又高效的实现数据包的溯源，这在一定程度上能够比较快捷的缓解或者防御分布式拒绝服务攻击或者恶意数据包攻击。

本发明公开了一种基于知识图谱的数据包标记溯源装置，包括异常检测模块、追踪控制模块、路径重构模块、反馈模块，其中异常检测模块与追踪控制模块相连接，追踪控制模块与路径重构模块相连接，路径重构模块与反馈模块相连接；

所述异常检测模块，对经过该溯源装置管辖区域内所有数据包进行异常检测分析，监测网络中传输的报文，构建知识图谱，若检测出异常，利用知识图谱构建中的实体抽取技术得到异常实体，进行包标记溯源，得到攻击路径，发布预警异常；

所述追踪控制模块，实现数据包标记功能，其接收到异常检测模块发布的预警异常后，进行数据包标记；数据包标记过程采取概率包标记，以一定的概率将自身路由器的标识标记到数据包中；

所述路径重构模块，当该模块收到追踪控制模块的溯源请求时，将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，确定标记路由器的IP，而后根据顺序依次将得到的路由器IP依次加入到攻击树，依此得到攻击路径；