專利名稱:多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的雙向復(fù)合信源定位方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)安全領(lǐng)域中一種多協(xié)議標(biāo)記交換(簡稱
MPLS)網(wǎng)絡(luò)的雙向復(fù)合信源定位方法�,特別適用于對MPLS網(wǎng)絡(luò)中遭 受的洪泛類攻擊進(jìn)行攻擊源的快速定位。
背景技術(shù):
概率包標(biāo)記(簡稱PPM)及其現(xiàn)有改進(jìn)算法的基本思想是中間路 由器每收到一個IP通信數(shù)據(jù)包都以概率對IP通信數(shù)據(jù)包進(jìn)行標(biāo)記����。 為了重構(gòu)攻擊路徑進(jìn)行攻擊源定位,受害者需要收集大量的標(biāo)記攻擊 數(shù)據(jù)包才可以定位到攻擊端的入口邊緣路由器�����,重構(gòu)攻擊路徑的過程 緩慢,計算復(fù)雜����;而且該算法對付多重的攻擊不具有魯棒性�,很難抵 御多源DDoS攻擊。因此不適用于對多源洪泛類攻擊的快速定位�����。
傳統(tǒng)的包記錄法在攻擊源較多時雖然可以實現(xiàn)定位�����,但對每個經(jīng) 過的IP通信數(shù)據(jù)包都要進(jìn)行記錄����,需要花費(fèi)海量存儲空間和計算時 間。Snoeren提出的源路徑隔離引擎(簡稱SPIE)算法采用了基于 Bloom filter數(shù)據(jù)結(jié)構(gòu)對IP通信數(shù)據(jù)包中的特征字段進(jìn)行存儲的機(jī) 制有效節(jié)省了存儲上的耗費(fèi)��,但是在高速網(wǎng)絡(luò)環(huán)境下的開銷仍然不 小����。因此該算法不適用于高速網(wǎng)絡(luò)環(huán)境中和存儲空間有限制的情況 下��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于避免上述背景技術(shù)中的不足之 處而提供一種結(jié)合邊緣概率包標(biāo)記和概率包記錄兩種算法對MPLS網(wǎng) 絡(luò)中的網(wǎng)絡(luò)攻擊進(jìn)行雙向復(fù)合信源定位的方法�。本發(fā)明還采用組合公 鑰簽名技術(shù)保證包標(biāo)記信息的可信性�����;并將MPLS網(wǎng)絡(luò)的歷史標(biāo)簽映 射關(guān)系記錄下來�����,便于利用該記錄信息節(jié)省反向追蹤査詢時的査詢開 銷�����。本發(fā)明具有定位速度快�、網(wǎng)絡(luò)額外負(fù)載小、健壯性好�、有效性高、 系統(tǒng)開銷小等特點(diǎn)��。本發(fā)明的目的是這樣實現(xiàn)的���,它包括下列步驟
①IP通信數(shù)據(jù)包進(jìn)入MPLS網(wǎng)絡(luò)的邊緣路由器傳輸時�����,邊緣路由 器依設(shè)定標(biāo)記概率對工P通信數(shù)據(jù)包進(jìn)行標(biāo)記�����,標(biāo)記內(nèi)容包括邊緣路
由器的ID信息����,采用基于標(biāo)識的組合公鑰簽名技術(shù)對ID標(biāo)記信息進(jìn) 行數(shù)字簽名���,邊緣路由器將IP通信數(shù)據(jù)包加上MPLS頭變成MPLS通 信數(shù)據(jù)包發(fā)送到MPLS網(wǎng)絡(luò)中傳輸����;
② MPLS通信數(shù)據(jù)包在MPLS網(wǎng)絡(luò)中傳輸時���,MPLS通信數(shù)據(jù)包經(jīng) 過的每個路由器將依據(jù)設(shè)定記錄概率對MPLS通信數(shù)據(jù)包進(jìn)行記錄��, 記錄信息為MPLS通信數(shù)據(jù)包內(nèi)容中具有固定長度的特征信息����,記錄 方法采用Bloom filter數(shù)據(jù)結(jié)構(gòu)�,Bloom filter數(shù)據(jù)結(jié)構(gòu)以預(yù)定周 期循環(huán)更新;在MPLS網(wǎng)絡(luò)的出口邊緣路由器將MPLS通信數(shù)據(jù)包包頭 中的標(biāo)簽放進(jìn)IP通信數(shù)據(jù)包包頭中的設(shè)定字段進(jìn)行標(biāo)記�;
③ 當(dāng)MPLS網(wǎng)絡(luò)對標(biāo)簽進(jìn)行更新時����,記錄歷史標(biāo)簽映射關(guān)系�����, 以設(shè)定的時間周期對歷史標(biāo)簽映射關(guān)系進(jìn)行更新��;
④ 接收端的入侵檢測系統(tǒng)(簡稱IDS)檢測到網(wǎng)絡(luò)攻擊時��,檢 測IP通信數(shù)據(jù)包的攻擊數(shù)據(jù)包中是否存在標(biāo)記有邊緣路由器ID信息 的標(biāo)記數(shù)據(jù)包��,如果存在標(biāo)記數(shù)據(jù)包�����,則進(jìn)行基于組合公鑰簽名技術(shù) 的邊緣概率包標(biāo)記算法的信源定位���;否則����,提取與設(shè)定記錄概率相關(guān) 數(shù)量的樣本IP攻擊數(shù)據(jù)包��,進(jìn)行基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記 錄算法的信源定位�����;
⑤ 基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法進(jìn)行信源定 位時,根據(jù)經(jīng)過標(biāo)記的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到 對應(yīng)的邊緣路由器的公鑰��,利用邊緣路由器的公鑰對標(biāo)記數(shù)據(jù)包中的 數(shù)字簽名進(jìn)行驗證��,如果對標(biāo)記數(shù)據(jù)包的簽名驗證通過�,則提取標(biāo)記 數(shù)據(jù)包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器,需 要還原正向標(biāo)記交換攻擊路徑時�����,則從攻擊端邊緣路由器開始���,借助 MPLS網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)表信息或記錄的歷史標(biāo)簽映射關(guān)系還原出標(biāo)記 交換攻擊路徑;
基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法進(jìn)行信源定位時��, 提取樣本IP攻擊數(shù)據(jù)包的特征字段��、時間信息及包頭中標(biāo)記的標(biāo)簽信息�����,構(gòu)造信源定位請求包�,通過與被攻擊端邊緣路由器的攻擊特征 匹配確定攻擊是否來自遠(yuǎn)程局域網(wǎng)�,如果攻擊來自遠(yuǎn)程局域網(wǎng)����,則被 攻擊端邊緣路由器將信源定位請求發(fā)往其上游鄰居路由器,各上游鄰 居路由器將信源定位請求中的標(biāo)簽信息與它們對應(yīng)時間段標(biāo)簽映射 條目中的出口標(biāo)簽信息進(jìn)行查詢匹配���,標(biāo)簽信息匹配成功后進(jìn)行信源 定位請求中各樣本IP攻擊數(shù)據(jù)包的攻擊特征的查詢匹配����,標(biāo)簽信息 和攻擊特征均查詢匹配成功后表示當(dāng)前進(jìn)行匹配的路由器為攻擊路 徑上的一個路由器節(jié)點(diǎn)�,提取匹配命中路由器中匹配命中標(biāo)簽映射條
目的入口標(biāo)簽替代信源定位請求包中的標(biāo)簽信息,再向匹配命中路由 器的各上游鄰居路由器發(fā)送信源定位請求包進(jìn)行類似的標(biāo)簽和攻擊 特征的査詢匹配過程�,直至當(dāng)前匹配命中路由器的各上游鄰居路由器
中再沒有匹配命中的路由器;
⑦將信源定位結(jié)果返回給接收端的IDS,完成對本次MPLS網(wǎng)絡(luò) 中網(wǎng)絡(luò)攻擊的雙向復(fù)合信源定位�����。
本發(fā)明與背景技術(shù)相比具有如下優(yōu)點(diǎn)
1. 本發(fā)明提出的MPLS網(wǎng)絡(luò)的雙向復(fù)合信源定位方法與傳統(tǒng)信源
定位方法相比��,本發(fā)明將基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)
記算法和基于結(jié)合MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法相互結(jié)合����, 在基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記算法無法定位到攻 擊源時,采用基于結(jié)合MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法來反向 重構(gòu)攻擊路徑,從而很大程度上提高了信源定位系統(tǒng)的有效性�。而且 該方法既可以正向還原出攻擊路徑,又可以反向重構(gòu)出攻擊路徑�,保 證了在MPLS網(wǎng)絡(luò)環(huán)境下對攻擊源的快速有效定位。
2. 本發(fā)明提出的基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法 與傳統(tǒng)的PPM算法相比���,本發(fā)明僅在入口邊緣路由器端對數(shù)據(jù)包依設(shè) 定標(biāo)記概率標(biāo)記��,不僅大大節(jié)省了進(jìn)行信源定位所需要的IP標(biāo)記數(shù) 據(jù)包數(shù)目��,而且可以有效的對付DDoS攻擊����。本發(fā)明還將組合公鑰的 簽名技術(shù)應(yīng)用于標(biāo)記數(shù)據(jù)包����,保障了標(biāo)記數(shù)據(jù)包的可信性。組合公鑰 不基于第三方的非在線認(rèn)證特點(diǎn)也使得該技術(shù)實現(xiàn)起來安全方便�����。
3. 本發(fā)明提出的基于結(jié)合MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法
6與傳統(tǒng)的SPIE算法相比���,本發(fā)明將通過MPLS網(wǎng)絡(luò)路由器的MPLS通 信數(shù)據(jù)包依據(jù)設(shè)定記錄概率進(jìn)行特征信息的記錄,減小了系統(tǒng)的開 銷�,可應(yīng)用于高速網(wǎng)絡(luò)鏈路��;另外�����,基于SPIE算法進(jìn)行反向追蹤定 位時�,路由器需要向其上游所有路由器發(fā)送查詢請求�����,上游每個路由 器都要對特征信息進(jìn)行匹配���。其中的匹配過程包括查詢請求中每個樣 本攻擊數(shù)據(jù)包特征值的HASH運(yùn)算���,然后對應(yīng)每個樣本攻擊數(shù)據(jù)包都 要進(jìn)行Bloom filter摘要表的查詢匹配,這要浪費(fèi)大量的系統(tǒng)時間����, 實現(xiàn)起來也較復(fù)雜。而本發(fā)明通過結(jié)合歷史MPLS標(biāo)簽映射關(guān)系的記 錄可以優(yōu)化反向査詢�,對上游路由器首先進(jìn)行標(biāo)簽匹配,只有標(biāo)簽匹 配的上游路由器才進(jìn)行進(jìn)一步的特征信息匹配�,這樣就大大減少了系 統(tǒng)復(fù)雜性,降低了追蹤時的查詢開銷。而且由于采用標(biāo)簽映射的查詢 可以使得上一跳無關(guān)鄰居節(jié)點(diǎn)數(shù)目大大減少����, 一定程度上降低了節(jié)點(diǎn) 誤報率。
4.本發(fā)明應(yīng)用于MPLS網(wǎng)絡(luò)環(huán)境��,便于利用MPLS面向連接的特 點(diǎn)簡化正向路徑還原和反向路徑重構(gòu)�。本發(fā)明具有定位速度快、網(wǎng)絡(luò) 額外負(fù)載小��、健壯性好����、有效性高、系統(tǒng)開銷小等優(yōu)點(diǎn)����。
圖1是本發(fā)明MPLS網(wǎng)絡(luò)中雙向復(fù)合信源定位實施例的原理方框圖。
圖2是本發(fā)明中歷史MPLS標(biāo)簽映射關(guān)系記錄形式的示意圖��。 圖1中��,1為基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記模塊��,2 為概率包記錄模塊��,3為提取MPLS報文頭中標(biāo)簽標(biāo)記到IP頭模塊�, 4為歷史MPLS標(biāo)簽映射表模塊,5為檢測標(biāo)記包模塊����,6為基于包標(biāo) 記法定位模塊,7為基于包記錄法定位模塊�,8為重構(gòu)攻擊路徑和定 位攻擊源模塊。
具體實施例方式
參照圖1��、圖2��。圖1是本發(fā)明MPLS網(wǎng)絡(luò)中雙向復(fù)合信源定位實 施例的原理方框圖�,它包括基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記 模塊1,概率包記錄模塊2�����,提取MPLS報文頭中標(biāo)簽標(biāo)記到IP頭模 塊3�,歷史MPLS標(biāo)簽映射表模塊4,檢測標(biāo)記包模塊5��,基于包標(biāo)記法定位模塊6���,基于包記錄法定位模塊7�����,重構(gòu)攻擊路徑和定位攻擊
源模塊8�,實施例如圖l所示連接線路。本發(fā)明包括步驟
①IP通信數(shù)據(jù)包進(jìn)入MPLS網(wǎng)絡(luò)的邊緣路由器傳輸時����,邊緣路由
器依設(shè)定標(biāo)記概率對IP通信數(shù)據(jù)包進(jìn)行標(biāo)記,標(biāo)記內(nèi)容包括邊緣路
由器的ID信息���,采用基于標(biāo)識的組合公鑰簽名技術(shù)對ID標(biāo)記信息進(jìn) 行數(shù)字簽名��,邊緣路由器將IP通信數(shù)據(jù)包加上MPLS頭變成MPLS通 信數(shù)據(jù)包發(fā)送到MPLS網(wǎng)絡(luò)中傳輸�,實施例步驟①由圖1中的基于組 合公鑰簽名技術(shù)的邊緣概率包標(biāo)記模塊1完成�����?;诮M合公鑰簽名技 術(shù)的邊緣概率包標(biāo)記模塊1完成對進(jìn)入MPLS網(wǎng)絡(luò)邊界的IP通信數(shù)據(jù) 包進(jìn)行邊緣概率包標(biāo)記及對標(biāo)記信息進(jìn)行基于組合公鑰的數(shù)字簽名。 為了防止標(biāo)記包被劫獲而發(fā)動重放攻擊以及識別是否遭受到重放攻 擊�,最終進(jìn)行數(shù)字簽名的信息內(nèi)容包括標(biāo)記信息邊緣路由器的ID、 時間信息T及隨機(jī)數(shù)r��。邊緣路由器將攜帶標(biāo)記信息邊緣路由器ID
信息及相應(yīng)數(shù)字簽名的標(biāo)記數(shù)據(jù)包轉(zhuǎn)發(fā)出去����。
②MPLS通信數(shù)據(jù)包在MPLS網(wǎng)絡(luò)中傳輸時,MPLS通信數(shù)據(jù)包經(jīng) 過的每個路由器將依據(jù)設(shè)定記錄概率對MPLS通信數(shù)據(jù)包進(jìn)行記錄�����, 記錄信息為MPLS通信數(shù)據(jù)包內(nèi)容中具有固定長度的特征信息����,記錄 方法采用Bloom filter數(shù)據(jù)結(jié)構(gòu),Bloom filter數(shù)據(jù)結(jié)構(gòu)以預(yù)定周 期循環(huán)更新����;在MPLS網(wǎng)絡(luò)的出口邊緣路由器將MPLS通信數(shù)據(jù)包包頭 中的標(biāo)簽放進(jìn)IP通信數(shù)據(jù)包包頭中的設(shè)定字段進(jìn)行標(biāo)記,實施例步 驟②由圖1中的概率包記錄模塊2和提取MPLS報文頭中標(biāo)簽標(biāo)記到 IP頭模塊3完成���。概率包記錄模塊2完成對進(jìn)入MPLS網(wǎng)絡(luò)的MPLS 通信數(shù)據(jù)包進(jìn)行概率采樣和對采樣進(jìn)行包記錄的功能��。
設(shè)定包記錄概率A�,數(shù)據(jù)包沿途經(jīng)過的每個標(biāo)記交換路由器都以 概率A隨機(jī)采樣��,如果被概率采樣到�����,則提取MPLS通信數(shù)據(jù)包的特 征信息,并向Bloom filter數(shù)據(jù)結(jié)構(gòu)進(jìn)行特征摘要映射��。由于MPLS 通信數(shù)據(jù)包包頭信息在MPLS網(wǎng)絡(luò)中轉(zhuǎn)發(fā)時是不斷變化的����,所以MPLS 通信數(shù)據(jù)包的特征信息字段中不應(yīng)該包括MPLS通信數(shù)據(jù)包的包頭字 段內(nèi)容,而與SPIE中選取的特征信息字段相同�����。
隨著Bloom Filter數(shù)據(jù)結(jié)構(gòu)中記錄數(shù)據(jù)包數(shù)目的增大����,路由器
8節(jié)點(diǎn)被假命中的概率也會增大,針對這種Bloom Filter誤報率情況�, 采用周期性更新Bloom Filter數(shù)據(jù)結(jié)構(gòu)的機(jī)制。即每隔一定時間將 Bloom Filter數(shù)據(jù)結(jié)構(gòu)中的信息寫入磁盤中存儲����,同時標(biāo)注該Bloom Filter的有效時間,然后把Bloom Filter數(shù)據(jù)結(jié)構(gòu)的信息全部置零 重新進(jìn)行映射記錄����。 一般情況下,僅需要對若干個周期的歷史記錄信 息存儲����。
提取MPLS報文頭中標(biāo)簽標(biāo)記到IP頭模塊3完成MPLS通信數(shù)據(jù) 包包頭中標(biāo)簽信息的提取和將標(biāo)簽信息標(biāo)記入IP通信數(shù)據(jù)包包頭的 設(shè)定字段中��。
③ 當(dāng)MPLS網(wǎng)絡(luò)對標(biāo)簽進(jìn)行更新時�����,記錄歷史標(biāo)簽映射關(guān)系, 以設(shè)定的時間周期對歷史標(biāo)簽映射關(guān)系進(jìn)行更新�,實施例步驟③由圖 1中的歷史MPLS標(biāo)簽映射表模塊4完成。歷史MPLS標(biāo)簽映射表模塊 4完成對要進(jìn)行更新的標(biāo)簽及其映射關(guān)系進(jìn)行記錄的功能���。
對MPLS標(biāo)簽的記錄過程如下每當(dāng)標(biāo)記轉(zhuǎn)發(fā)信息表進(jìn)行更新時�, 都要將相應(yīng)的標(biāo)簽映射關(guān)系記錄在歷史MPLS標(biāo)簽映射表中�,并記錄 更新時間,記錄格式如圖2所示���。
由于MPLS入口邊緣路由器無入口標(biāo)簽�,出口邊緣路由器無出口 標(biāo)簽�����,所以這里規(guī)定這兩個都為����。
同Bloom filter數(shù)據(jù)結(jié)構(gòu)一樣���,歷史MPLS標(biāo)簽映射表也是僅對
歷史映射記錄信息存儲一定時間,這個機(jī)制避免了因無用信息累積造 成的空間浪費(fèi)���。
④ 接收端的IDS檢測到網(wǎng)絡(luò)攻擊時�����,檢測IP通信數(shù)據(jù)包的攻 擊數(shù)據(jù)包中是否存在標(biāo)記有邊緣路由器ID信息的標(biāo)記數(shù)據(jù)包����,如果 存在標(biāo)記數(shù)據(jù)包��,則進(jìn)行基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算 法的信源定位�����;否則��,提取與設(shè)定記錄概率相關(guān)數(shù)量的樣本IP攻擊 數(shù)據(jù)包�����,進(jìn)行基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法的信源定位, 實施例步驟④由圖1中的檢測標(biāo)記包模塊5完成���。檢測標(biāo)記包模塊5 完成對IP攻擊數(shù)據(jù)包中標(biāo)記數(shù)據(jù)包的檢測功能��。
首先���,標(biāo)記檢測模塊檢測收到的IP攻擊數(shù)據(jù)包中是否有經(jīng)標(biāo)記 和簽名過的數(shù)據(jù)包,如果有���,則直接進(jìn)行基于組合公鑰簽名技術(shù)的邊
9緣概率包標(biāo)記法的信源定位。如果在收到的IP攻擊數(shù)據(jù)包中沒有檢 測到標(biāo)記數(shù)據(jù)包�,則抽取與設(shè)定記錄概率相關(guān)數(shù)量的樣本攻擊數(shù)據(jù)
包,提取這些樣本攻擊數(shù)據(jù)包的特征字段組成基于結(jié)合MPLS標(biāo)簽記
錄的概率包記錄法的定位請求包���。概率包記錄法定位中��,根據(jù)IP攻 擊數(shù)據(jù)包包頭設(shè)定字段中所攜帶的標(biāo)簽是否一致來區(qū)分進(jìn)行追蹤所 需要的樣本攻擊包����,只有攜帶相同標(biāo)簽的攻擊數(shù)據(jù)包才被加入同一個 攻擊樣本集中��。
⑤基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法進(jìn)行信源定
位時,根據(jù)IP標(biāo)記攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng) 的邊緣路由器的公鑰�����,利用邊緣路由器的公鑰對標(biāo)記數(shù)據(jù)包中的數(shù)字 簽名進(jìn)行驗證����,如果對標(biāo)記數(shù)據(jù)包的簽名驗證通過,則提取標(biāo)記數(shù)據(jù) 包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器���,需要還 原正向標(biāo)記交換攻擊路徑時�,則從攻擊端邊緣路由器開始��,借助MPLS 網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)信息表信息或記錄的歷史標(biāo)簽映射關(guān)系還原出標(biāo)記 交換攻擊路徑��,實施例步驟⑤由圖1中的基于包標(biāo)記法定位模塊6 完成�����?��;诎鼧?biāo)記法定位模塊6完成基于組合公鑰簽名技術(shù)的邊緣概 率包標(biāo)記法的信源定位��。
首先根據(jù)標(biāo)記數(shù)據(jù)包中的所標(biāo)記的邊緣路由器ID信息��,基于組 合公鑰矩陣得到對應(yīng)的邊緣路由器的公鑰�����。然后利用邊緣路由器的公 鑰對數(shù)字簽名進(jìn)行解密�,如果解密結(jié)果中ID信息與標(biāo)記的路由器ID 信息一致,時間信息在有效范圍內(nèi)���,隨機(jī)數(shù)未曾重復(fù)出現(xiàn)����,則表示標(biāo) 記信息可信���;否則,表示標(biāo)記是不可信的�。根據(jù)具有可信標(biāo)記的攻擊 數(shù)據(jù)包中邊緣路由器的K)信息可以一步定位到攻擊端的入口邊緣路 由器。
需要還原正向標(biāo)記交換攻擊路徑時�����,可以從定位到的入口邊緣路 由器出發(fā)���,如果標(biāo)記轉(zhuǎn)發(fā)信息表的信息還沒有進(jìn)行更新�����,直接根據(jù) MPLS網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)信息表就可以還原出正向標(biāo)記交換攻擊路徑�����; 而如果MPLS網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)信息表已經(jīng)更新不存在了�,則到相應(yīng)時 間段的歷史MPLS標(biāo)簽映射表中進(jìn)行入口/出口標(biāo)簽映射關(guān)系的匹配 也可以還原出正向標(biāo)記交換攻擊路徑,最終實現(xiàn)基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記法的信源定位�。
基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法進(jìn)行信源定位時, 提取樣本IP攻擊數(shù)據(jù)包的特征字段����、時間信息及包頭中標(biāo)記的標(biāo)簽 信息,構(gòu)造信源定位請求包�,通過與被攻擊端邊緣路由器的攻擊特征 匹配確定攻擊是否來自遠(yuǎn)程局域網(wǎng),如果攻擊來自遠(yuǎn)程局域網(wǎng)��,則被 攻擊端邊緣路由器將信源定位請求發(fā)往其上游鄰居路由器��,各上游鄰 居路由器將信源定位請求中的標(biāo)簽信息與它們對應(yīng)時間段標(biāo)簽映射 條目中的出口標(biāo)簽信息進(jìn)行査詢匹配�,標(biāo)簽信息匹配成功后進(jìn)行信源 定位請求中各樣本攻擊數(shù)據(jù)包的攻擊特征的查詢匹配,標(biāo)簽信息和攻 擊特征均查詢匹配成功后表示當(dāng)前進(jìn)行匹配的路由器為攻擊路徑上 的一個路由器節(jié)點(diǎn)�,提取匹配命中路由器中匹配命中標(biāo)簽映射條目的 入口標(biāo)簽替代信源定位請求包中的標(biāo)簽信息,再向匹配命中路由器的 各上游鄰居路由器發(fā)送信源定位請求包進(jìn)行類似的標(biāo)簽和攻擊特征 的査詢匹配過程���,直至當(dāng)前匹配命中路由器的各上游鄰居路由器中再 沒有匹配命中的路由器��,實施例步驟⑥由圖1中的基于包記錄法定位
模塊7完成�。基于包記錄法定位?����!镭?完成基于包記錄法的反向路徑
重構(gòu)過程�。
攻擊端的邊緣路由器(簡稱出口邊緣路由器)收到信源定位請求 后,將信源定位請求包中的樣本攻擊數(shù)據(jù)包的特征信息在與信源定位
請求包中時間信息相符的對應(yīng)時間段的Bloom filter數(shù)據(jù)結(jié)構(gòu)中進(jìn) 行攻擊特征信息的査詢匹配���,如果查詢匹配成功�,則表示攻擊來自于 遠(yuǎn)程網(wǎng)絡(luò)���;否則���,表示攻擊來自于本地局域網(wǎng)�。 -
如果攻擊來.自于遠(yuǎn)程網(wǎng)絡(luò),則出口邊緣路由器信源定位請求包發(fā) 送給它的各鄰居路由器����,鄰居路由器首先將信源定位請求包中的標(biāo)簽 信息與標(biāo)記轉(zhuǎn)發(fā)信息表中的標(biāo)簽映射條目的出口標(biāo)簽項進(jìn)行匹配���,如 果是非實時的情況,則直接與歷史MPLS標(biāo)簽映射表中對應(yīng)時間段內(nèi) 各標(biāo)簽映射條目的出口標(biāo)簽項進(jìn)行標(biāo)簽查詢匹配����。如果轉(zhuǎn)發(fā)信息表中 或歷史MPLS標(biāo)簽映射表中沒有相匹配的條目,那么說明攻擊數(shù)據(jù)包 流不曾經(jīng)由該路由器轉(zhuǎn)發(fā)��,不再需要進(jìn)行樣本攻擊數(shù)據(jù)包特征信息的 匹配��。而如果匹配結(jié)果表明有對應(yīng)的標(biāo)簽匹配條目���,則再查詢其對應(yīng)時間段存儲的Bloom filter數(shù)據(jù)結(jié)構(gòu)信息以確定是否記錄過樣本攻 擊包中的特征信息�,如果有記錄��,那么表明攻擊包確實經(jīng)過該路由器����, 接著提取匹配命中路由器中所命中的標(biāo)簽映射條目的入口標(biāo)簽替代 信源定位請求包中的標(biāo)簽信息,構(gòu)成新的信源定位請求包��,發(fā)往命中 路由器的上游鄰居路由器�����,上游鄰居路由器仍然進(jìn)行如上所述的標(biāo)簽 和攻擊特征的匹配過程,直到再沒有相匹配的路由器為止�,那么當(dāng)前 路由器可能就是攻擊端的入口邊緣路由器。
在基于概率包記錄法的反向追蹤定位過程中��,判定命中一個路由 器節(jié)點(diǎn)需要匹配命中多少個樣本攻擊數(shù)據(jù)包的特征信息應(yīng)該選擇一 個合適的命中閾值�����。命中閾值選擇的越大�����,精確性就越高��,但是相應(yīng) 進(jìn)行查詢匹配的系統(tǒng)開銷就越大���;而命中閾值選擇的過小���,路有器節(jié) 點(diǎn)被假命中的概率就會較高。實際應(yīng)用時�����,需要對開銷和假命中概率 之間進(jìn)行權(quán)衡�����,選擇一個合適的命中閾值����。
⑦將信源定位結(jié)果返回給接收端的IDS,完成對本次MPLS網(wǎng)絡(luò) 中網(wǎng)絡(luò)攻擊的雙向復(fù)合信源定位����,實施例步驟⑦由圖1中的重構(gòu)攻擊 路徑和定位攻擊源模塊8完成。重構(gòu)攻擊路徑和定位攻擊源模塊8完 成對最后追蹤結(jié)果的整理并返回給受攻擊者或IDS����。如果定位成功, 則將攻擊路徑及最后定位的攻擊源返回��;如果定位失敗��,則返回失敗 消息��。
完成多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的雙向復(fù)合信源定位�����。
1權(quán)利要求
1. 一種多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的雙向復(fù)合信源定位方法���,其特征在于包括步驟①IP通信數(shù)據(jù)包進(jìn)入多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的邊緣路由器傳輸時�����,邊緣路由器依設(shè)定標(biāo)記概率對IP通信數(shù)據(jù)包進(jìn)行標(biāo)記���,標(biāo)記內(nèi)容包括邊緣路由器的ID信息�����,采用基于標(biāo)識的組合公鑰簽名技術(shù)對ID標(biāo)記信息進(jìn)行數(shù)字簽名�����,邊緣路由器將IP通信數(shù)據(jù)包加上MPLS頭變成MPLS通信數(shù)據(jù)包發(fā)送到多協(xié)議標(biāo)記交換網(wǎng)絡(luò)中傳輸��;②MPLS通信數(shù)據(jù)包在多協(xié)議標(biāo)記交換網(wǎng)絡(luò)中傳輸時����,MPLS通信數(shù)據(jù)包經(jīng)過的每個路由器將依據(jù)設(shè)定記錄概率對MPLS通信數(shù)據(jù)包進(jìn)行記錄��,記錄信息為MPLS通信數(shù)據(jù)包內(nèi)容中具有固定長度的特征信息����,記錄方法采用Bloom filter數(shù)據(jù)結(jié)構(gòu)���,Bloom filter數(shù)據(jù)結(jié)構(gòu)以預(yù)定周期循環(huán)更新�;在多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的出口邊緣路由器將MPLS通信數(shù)據(jù)包包頭中的標(biāo)簽放進(jìn)IP通信數(shù)據(jù)包包頭中的設(shè)定字段進(jìn)行標(biāo)記;③當(dāng)多協(xié)議標(biāo)記交換網(wǎng)絡(luò)對標(biāo)簽進(jìn)行更新時���,記錄歷史標(biāo)簽映射關(guān)系�,以設(shè)定的時間周期對歷史標(biāo)簽映射關(guān)系進(jìn)行更新����;④接收端的入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊時,檢測IP通信數(shù)據(jù)包的攻擊數(shù)據(jù)包中是否存在標(biāo)記有邊緣路由器ID信息的標(biāo)記數(shù)據(jù)包�,如果存在標(biāo)記數(shù)據(jù)包,則進(jìn)行基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法的信源定位��;否則����,提取與設(shè)定記錄概率相關(guān)數(shù)量的樣本IP攻擊數(shù)據(jù)包,進(jìn)行基于多協(xié)議標(biāo)記交換網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法的信源定位�����;⑤基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法進(jìn)行信源定位時,根據(jù)經(jīng)過標(biāo)記的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng)的邊緣路由器的公鑰�����,利用邊緣路由器的公鑰對標(biāo)記數(shù)據(jù)包中的數(shù)字簽名進(jìn)行驗證����,如果對標(biāo)記數(shù)據(jù)包的簽名驗證通過,則提取標(biāo)記數(shù)據(jù)包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器��,需要還原正向標(biāo)記交換攻擊路徑時�����,則從攻擊端邊緣路由器開始�,借助多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)表信息或記錄的歷史標(biāo)簽映射關(guān)系還原出標(biāo)記交換攻擊路徑;⑥基于多協(xié)議標(biāo)記交換網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法進(jìn)行信源定位時�,提取樣本IP攻擊數(shù)據(jù)包的特征字段、時間信息及包頭中標(biāo)記的標(biāo)簽信息���,構(gòu)造信源定位請求包���,通過與被攻擊端邊緣路由器的攻擊特征匹配確定攻擊是否來自遠(yuǎn)程局域網(wǎng),如果攻擊來自遠(yuǎn)程局域網(wǎng)��,則被攻擊端邊緣路由器將信源定位請求發(fā)往其上游鄰居路由器,各上游鄰居路由器將信源定位請求中的標(biāo)簽信息與它們對應(yīng)時間段標(biāo)簽映射條目中的出口標(biāo)簽信息進(jìn)行查詢匹配����,標(biāo)簽信息匹配成功后進(jìn)行信源定位請求中各樣本IP攻擊數(shù)據(jù)包的攻擊特征的查詢匹配,標(biāo)簽信息和攻擊特征均查詢匹配成功后表示當(dāng)前進(jìn)行匹配的路由器為攻擊路徑上的一個路由器節(jié)點(diǎn)��,提取匹配命中路由器中匹配命中標(biāo)簽映射條目的入口標(biāo)簽替代信源定位請求包中的標(biāo)簽信息�����,再向匹配命中路由器的各上游鄰居路由器發(fā)送信源定位請求包進(jìn)行類似的標(biāo)簽和攻擊特征的查詢匹配過程�����,直至當(dāng)前匹配命中路由器的各上游鄰居路由器中再沒有匹配命中的路由器����;⑦將信源定位結(jié)果返回給接收端的入侵檢測系統(tǒng)����,完成對本次多協(xié)議標(biāo)記交換網(wǎng)絡(luò)中網(wǎng)絡(luò)攻擊的雙向復(fù)合信源定位。
全文摘要
本發(fā)明公開了一種多協(xié)議標(biāo)記交換網(wǎng)絡(luò)的雙向復(fù)合信源定位方法��,它涉及通信網(wǎng)絡(luò)安全領(lǐng)域中通過信源定位技術(shù)對MPLS網(wǎng)絡(luò)中遭受的網(wǎng)絡(luò)攻擊進(jìn)行主動反擊的技術(shù)��。它采用兩種算法相結(jié)合實現(xiàn)攻擊源定位一種是基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法,對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包以設(shè)定概率進(jìn)行標(biāo)記���,并對標(biāo)記進(jìn)行基于組合公鑰的簽名�;另一種是基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法���,對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包以設(shè)定概率進(jìn)行記錄����,更新歷史MPLS標(biāo)簽映射記錄�。信源定位系統(tǒng)依據(jù)標(biāo)記信息或記錄信息可定位到攻擊源。本發(fā)明具有定位速度快��、網(wǎng)絡(luò)額外負(fù)載小���、健壯性好���、有效性高、系統(tǒng)開銷小等優(yōu)點(diǎn)�����,特別適用于對MPLS網(wǎng)絡(luò)中遭受的洪泛類攻擊進(jìn)行定位����。
文檔編號H04L12/56GK101447916SQ20081008021
公開日2009年6月3日 申請日期2008年12月25日 優(yōu)先權(quán)日2008年12月25日
發(fā)明者劉存才, 巍 吳, 妥艷君, 張林杰, 艷 李, 李丹鏑, 楊國瑞, 趙麗霞, 煒 鄧, 駱連合 申請人:中國電子科技集團(tuán)公司第五十四研究所