對系統(tǒng)攻擊進(jìn)行路徑回溯的方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本公開涉及網(wǎng)絡(luò)與信息安全技術(shù)領(lǐng)域，特別地，涉及一種對系統(tǒng)攻擊進(jìn)行路徑回溯的方法與裝置。
【背景技術(shù)】
[0002]為應(yīng)對日益娼獗的DDoS (Distributed Denial of Service,分布式拒絕服務(wù))攻擊，很有必要對攻擊流量進(jìn)行監(jiān)測分析；目前主要有3種流量監(jiān)測分析方法:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP (Simple Network Management Protocol,簡單網(wǎng)絡(luò)管理協(xié)議)的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)。
[0003]通過比較發(fā)現(xiàn)，基于Netflow的監(jiān)測技術(shù)更適合大網(wǎng)，中國電信已部署了基于Netf low的異常流量監(jiān)控系統(tǒng)和攻擊溯源分析系統(tǒng)，用于實時異常流量攻擊監(jiān)測，攻擊溯源分析和取證。
[0004]但是，目前已建溯源系統(tǒng)在應(yīng)用于對現(xiàn)網(wǎng)進(jìn)行攻擊溯源排查時，更多地是借助于安全專家的人工分析，且不能對攻擊流量穿行路徑進(jìn)行分析，嚴(yán)重影響了攻擊響應(yīng)的處理時效。

【發(fā)明內(nèi)容】

[0005]本公開鑒于以上問題中的至少一個提出了新的技術(shù)方案。
[0006]本公開在其一個方面提供了一種對系統(tǒng)攻擊進(jìn)行路徑回溯的方法，其可以有效地提升互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
[0007]本公開在其另一方面提供了一種對系統(tǒng)攻擊進(jìn)行路徑回溯的裝置，其可以有效地提升互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
[0008]根據(jù)本公開，提供一種對系統(tǒng)攻擊進(jìn)行路徑回溯的方法，包括:
[0009]采集Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息；
[0010]獲取系統(tǒng)攻擊安全事件；
[0011]基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進(jìn)行路徑回溯。
[0012]在本公開的一些實施例中，通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。
[0013]在本公開的一些實施例中，所述Netflow數(shù)據(jù)中包含數(shù)據(jù)流的五元組信息與流量大小。
[0014]在本公開的一些實施例中，所述系統(tǒng)攻擊安全事件包括攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。
[0015]在本公開的一些實施例中，利用廣度遍歷法對系統(tǒng)攻擊進(jìn)行路徑回溯包括:
[0016]從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間；
[0017]根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息；
[0018]根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端Π ;
[0019]自攻擊目的路由器與端口開始，根據(jù)路由拓?fù)鋽?shù)據(jù)開始遍歷拓?fù)浣Y(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。
[0020]根據(jù)本公開，還提供了一種對系統(tǒng)攻擊進(jìn)行路徑回溯的裝置，包括:
[0021]采集單元，用于采集Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息；
[0022]獲取單元，用于獲取系統(tǒng)攻擊安全事件；
[0023]回溯單元，用于基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進(jìn)行路徑回溯。
[0024]在本公開的一些實施例中，所述獲取單元通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。
[0025]在本公開的一些實施例中，所述Netflow數(shù)據(jù)中包含數(shù)據(jù)流的五元組信息與流量大小。
[0026]在本公開的一些實施例中，所述系統(tǒng)攻擊安全事件包括攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。
[0027]在本公開的一些實施例中，所述回溯單元包括:
[0028]攻擊信息提取子單元，用于從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間；
[0029]流量信息提取子單元，用于根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息；
[0030]確定子單元，用于根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端口；
[0031]遍歷子單元，用于自攻擊目的路由器與端口開始，根據(jù)路由拓?fù)鋽?shù)據(jù)開始遍歷拓?fù)浣Y(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。
[0032]在本公開的技術(shù)方案中，基于獲取的系統(tǒng)攻擊安全事件、Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息進(jìn)行綜合關(guān)聯(lián)分析，可以實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析，具有監(jiān)控范圍大、智能性高、以及快速準(zhǔn)確定位攻擊源以及攻擊路徑等特點，解決了現(xiàn)有技術(shù)中存在的自動化程度不高的問題，有效地提升了互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
【附圖說明】
[0033]此處所說明的附圖用來提供對本公開的進(jìn)一步理解，構(gòu)成本申請的一部分。在附圖中:
[0034]圖1是本公開一個實施例的對系統(tǒng)攻擊進(jìn)行路徑回溯的方法的流程示意圖。
[0035]圖2是本公開另一實施例的對系統(tǒng)攻擊進(jìn)行路徑回溯的方法的流程示意圖。
[0036]圖3是本公開利用廣度遍歷法實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析的一個實例的示意圖。
[0037]圖4是本公開確定攻擊源路由器與端口信息以及攻擊目的路由器與端口信息的一個實例的示意圖。
[0038]圖5是本公開一個實施例的對系統(tǒng)攻擊進(jìn)行路徑回溯的裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0039]下面將參照附圖描述本公開。要注意的是，以下的描述在本質(zhì)上僅是解釋性和示例性的，決不作為對本公開及其應(yīng)用或使用的任何限制。除非另外特別說明，否則，在實施例中闡述的部件和步驟的相對布置以及數(shù)字表達(dá)式和數(shù)值并不限制本公開的范圍。另外，本領(lǐng)域技術(shù)人員已知的技術(shù)、方法和裝置可能不被詳細(xì)討論，但在適當(dāng)?shù)那闆r下意在成為說明書的一部分。
[0040]本公開下述實施例對現(xiàn)有技術(shù)手段存在的攻擊溯源能力不足以及不能對攻擊流量穿行路徑進(jìn)行分析的問題，提出了一種對系統(tǒng)攻擊進(jìn)行路徑回溯的技術(shù)方案，可以有效地提升互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)的處理效率。
[0041]圖1是本公開一個實施例的對系統(tǒng)攻擊進(jìn)行路徑回溯的方法的流程示意圖。
[0042]如圖1所示，該實施例可以包括以下步驟:
[0043]S102，采集Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息；
[0044]具體地，可以由路由器采集Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息。
[0045]其中，Netflow數(shù)據(jù)中可以包含但并不限于數(shù)據(jù)流的五元組信息與流量大小。具體地,Netflow提供網(wǎng)絡(luò)流量的會話級視圖，記錄下每個TCP/IP事務(wù)的信息。一個Netflow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源與目的端口號。
[0046]路由器拓?fù)滏溄雨P(guān)系包括鏈接源路由器和端口、目的路由器和端口的鏈接關(guān)系，以及路由器和子網(wǎng)鏈接關(guān)系。
[0047]S104，獲取系統(tǒng)攻擊安全事件；
[0048]其中，系統(tǒng)攻擊安全事件可以包括但不限于攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。具體地，攻擊類型可以包括但不限于DDoS攻擊安全事件。
[0049]在一個實例中，可以通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。
[0050]具體地，可以直接自流量分析系統(tǒng)獲取該系統(tǒng)檢測出的系統(tǒng)攻擊安全事件，或者在由路由器采集到Netflow數(shù)據(jù)后，自己根據(jù)Netflow數(shù)據(jù)分析出其中可能存在的系統(tǒng)攻擊安全事件。
[0051]S106，基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進(jìn)行路徑回溯；
[0052]具體地，基于系統(tǒng)攻擊安全事件中承載的信息自所采集的Netflow數(shù)據(jù)中提取相關(guān)數(shù)據(jù)，再利用路由拓?fù)鋽?shù)據(jù)和路由器信息基于廣度遍歷法即可回溯攻擊路徑。
[0053]在該實施例中，基于獲取的系統(tǒng)攻擊安全事件、Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)以及路由器信息進(jìn)行綜合關(guān)聯(lián)分析，可以實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析，具有監(jiān)控范圍大、智能性高、以及快速準(zhǔn)確定位攻擊源以及攻擊路徑等特點，解決了現(xiàn)有技術(shù)中存在的自動化程度不高的問題，有效地提升了互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
[0054]在一個實施例中，利用廣度遍歷法對系統(tǒng)攻擊進(jìn)行路徑回溯的步驟可以包括:
[0055]從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間；
[0056]根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息；
[0057]根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端□;
[0058]自攻擊目的路由器與端口開始，根據(jù)路由拓?fù)鋽?shù)據(jù)開始遍歷拓?fù)浣Y(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。
[0059]需要指出的是，由于多個攻擊源可能一起攻擊同一攻擊目的路由器，因此，自攻擊目的路由器與端口開始遍歷。
[0060]圖2是本公開另一實施例的對系統(tǒng)攻擊進(jìn)行路徑回溯的方法的流程示意圖。
[0061 ] 在該實施例中，以DDoS攻擊為例進(jìn)行詳細(xì)的說明。
[0062]如圖2所示，要針對DDoS攻擊進(jìn)行攻擊路徑的快速回溯，可以通過以下步驟實現(xiàn):
[0063]步驟一，采集、存儲Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)、攻擊安全事件、路由器等數(shù)據(jù)信息；
[0064]具體地，可以由路由器采集NetFlow數(shù)據(jù)、路由器拓?fù)溥B接關(guān)系以及端口信息，從流量分析系統(tǒng)采集攻擊安全事件。
[0065]步驟二，通過采集流量分析系統(tǒng)的攻擊安全事件或基于采集的Netflow流量數(shù)據(jù)進(jìn)行分析，根據(jù)TCP鏈接閾值監(jiān)測DDoS攻擊安全事件；
[0066]具體地，可以通過SYSL0G接收流量分析系統(tǒng)的攻擊安全事件。
[0067]步驟三，基于已采集的數(shù)據(jù)與監(jiān)測到的DDoS攻擊安全事件，采用廣度遍歷算法，實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析。
[0068]圖3是本公開利用廣度遍歷法實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析的一個實例的示意圖。
[0069]如圖3所示，基于采集的Netflow數(shù)據(jù)、路由拓?fù)鋽?shù)據(jù)、攻擊安全事件、路由器等信息，實現(xiàn)DDoS攻擊路