徑快速回溯的具體實現(xiàn)可以包括以下步驟:
[0070]步驟一，新建空的活節(jié)點隊列Q和空的攻擊路徑鏈表L ;其中，活節(jié)點表示還沒有計算處理的節(jié)點。
[0071]步驟二，從攻擊安全事件中提取攻擊源IP地址/段、攻擊目的IP地址/段、攻擊時間等信息，并根據(jù)提取信息及存儲的NetFlow數(shù)據(jù)關(guān)聯(lián)查詢攻擊流量信息，S卩，以攻擊源地址、攻擊目的地址、攻擊時間段等為查詢條件從采集的NetFlow信息中查詢攻擊流量，包括攻擊所流經(jīng)的路由器、路由器端口以及攻擊流量大小。
[0072]步驟三，確定攻擊源路由器與端口信息以及攻擊目的路由器與端口信息:如路由器用戶側(cè)端口輸出流量含有攻擊目的地址，則為攻擊目的路由器與端口 ；如路由器用戶側(cè)端口輸入流量含有攻擊源地址，則為攻擊源路由器與端口 ；并根據(jù)路由拓撲關(guān)系將攻擊源子網(wǎng)與攻擊源路由器的連接關(guān)系以及攻擊目的子網(wǎng)與攻擊目的路由器的連接關(guān)系放入攻擊路徑鏈表L。
[0073]圖4是本公開確定攻擊源路由器與端口信息以及攻擊目的路由器與端口信息的一個實例的示意圖。
[0074]如圖4所示，用戶側(cè)端口 portl的輸入流量就是攻擊用戶主機1到R1用戶側(cè)端口portl的流量，包含有攻擊源地址到攻擊目的地址的流量信息。用戶側(cè)端口 port3的輸出流量就是用戶側(cè)端口 3到被攻擊用戶主機的流量，包含有攻擊源地址到攻擊目的地址的流量信息。
[0075]步驟四，因為針對一個攻擊，攻擊目的是一個，而攻擊源可能是多個，所以從攻擊目的路由器R開始訪問，此時節(jié)點R是已被訪問的節(jié)點。令U =攻擊目的路由器R，標記R為已被訪問。
[0076]步驟五，以節(jié)點R作為擴展節(jié)點，根據(jù)網(wǎng)絡(luò)拓撲連接關(guān)系，搜索所有與R相鄰的節(jié)點I
[0077]步驟六，判斷節(jié)點W是否已被訪問，如已被訪問，則轉(zhuǎn)步驟十，否則轉(zhuǎn)步驟七；
[0078]步驟七，如果節(jié)點W還未被訪問，則判斷在節(jié)點W與節(jié)點R相連的端口輸出流量中是否有攻擊源到攻擊目的的流量，如沒有，則轉(zhuǎn)步驟八，否則，轉(zhuǎn)步驟九；
[0079]步驟八，如果節(jié)點W還未被訪問，且在節(jié)點W與節(jié)點R相連端口輸出流量中未查詢到攻擊源到攻擊目的的流量，則將節(jié)點W打上已被訪問的標記。
[0080]步驟九，如果在節(jié)點W與節(jié)點R相連端口輸出流量中查詢到攻擊源到攻擊目的的流量，則將W放入活節(jié)點隊列Q的對尾，將節(jié)點W打上已被訪問的標記，并將節(jié)點R與節(jié)點W的連接關(guān)系放入攻擊路徑鏈表L。
[0081]步驟十，判斷是否已處理完所有與節(jié)點R相連的節(jié)點，如果未處理完，則轉(zhuǎn)步驟十一，否則，轉(zhuǎn)步驟十二；
[0082]步驟^^一，提取下一個與節(jié)點R相連的節(jié)點W，并轉(zhuǎn)步驟六；
[0083]步驟十二，判斷活節(jié)點隊列Q是否為空，如為空，則結(jié)束整個流程，否則轉(zhuǎn)步驟十三；
[0084]步驟十三，訪問與節(jié)點R相鄰的所有節(jié)點后，再取出活節(jié)點隊列Q的第一元素U作為擴展節(jié)點，轉(zhuǎn)步驟五，如同對節(jié)點R的處理算法一樣，處理擴展節(jié)點U，這樣的處理一直進行到活節(jié)點隊列空時為止。
[0085]最后，根據(jù)攻擊路徑鏈表L可對攻擊路徑進行重演回放，即，根據(jù)攻擊路徑鏈接關(guān)系在拓撲中進行展示。
[0086]該實施例通過基于Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)、攻擊安全事件等信息進行綜合關(guān)聯(lián)分析，不但可以準確地定位攻擊源，而且還可以對攻擊流量穿行路徑進行分析。
[0087]本領(lǐng)域普通技術(shù)人員可以理解，實現(xiàn)上述方法實施例的全部和部分步驟可以通過程序指令相關(guān)的硬件來完成，前述的程序可以存儲于一計算設(shè)備可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟，而前述的存儲介質(zhì)可以包括ROM、RAM、磁碟和光盤等各種可以存儲程序代碼的介質(zhì)。
[0088]圖5是本公開一個實施例的對系統(tǒng)攻擊進行路徑回溯的裝置的結(jié)構(gòu)示意圖。
[0089]如圖5所示，該實施例中的裝置50可以包括采集單元502、獲取單元504和回溯單元506。其中，
[0090]采集單元502，用于采集Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息；
[0091]獲取單元504，用于獲取系統(tǒng)攻擊安全事件；
[0092]回溯單元506，用于基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進行路徑回溯。
[0093]在該實施例中，基于獲取的系統(tǒng)攻擊安全事件、Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息進行綜合關(guān)聯(lián)分析，可以實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析，具有監(jiān)控范圍大、智能性高、以及快速準確定位攻擊源以及攻擊路徑等特點，解決了現(xiàn)有技術(shù)中存在的自動化程度不高的問題，有效地提升了互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
[0094]在一個實施例中，獲取單元可以通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。
[0095]在另一實施例中，Netflow數(shù)據(jù)中包含數(shù)據(jù)流的五元組信息與流量大小。
[0096]在又一實施例中，系統(tǒng)攻擊安全事件可以包括但不限于攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。
[0097]在再一實施例中，回溯單元可以包括攻擊信息提取子單元、流量信息提取子單元、確定子單元和遍歷子單元。其中，
[0098]攻擊信息提取子單元，用于從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間；
[0099]流量信息提取子單元，用于根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息；
[0100]確定子單元，用于根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端口；
[0101]遍歷子單元，用于自攻擊目的路由器與端口開始，根據(jù)路由拓撲數(shù)據(jù)開始遍歷拓撲結(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。
[0102]本公開上述實施例基于Netflow數(shù)據(jù)和路由拓撲，針對DDoS攻擊進行攻擊路徑的快速回溯，具體地基于Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)、攻擊安全事件等信息進行綜合關(guān)聯(lián)分析，實現(xiàn)對網(wǎng)絡(luò)攻擊路徑的快速回溯分析；該方法具有監(jiān)控范圍大、智能性高特點，能快速準確定位攻擊源及重演攻擊路徑，解決了現(xiàn)有技術(shù)中存在的自動化程度不高以及不能對攻擊流量穿行路徑進行分析的問題，提升了攻擊溯源的分析能力。
[0103]本說明書中各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同和相似的部分可以相互參見。對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處可以參見方法實施例部分的說明。
[0104]雖然已參照示例性實施例描述了本公開，但應(yīng)理解，本公開不限于上述的示例性實施例。對于本領(lǐng)域技術(shù)人員顯然的是，可以在不背離本公開的范圍和精神的條件下修改上述的示例性實施例。所附的權(quán)利要求的范圍應(yīng)被賦予最寬的解釋，以包含所有這樣的修改以及等同的結(jié)構(gòu)和功能。
【主權(quán)項】
1.一種對系統(tǒng)攻擊進行路徑回溯的方法，其特征在于，包括: 采集Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息； 獲取系統(tǒng)攻擊安全事件； 基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進行路徑回溯。2.根據(jù)權(quán)利要求1所述的對系統(tǒng)攻擊進行路徑回溯的方法，其特征在于，通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。3.根據(jù)權(quán)利要求1所述的對系統(tǒng)攻擊進行路徑回溯的方法，其特征在于，所述Netflow數(shù)據(jù)中包含數(shù)據(jù)流的五元組信息與流量大小。4.根據(jù)權(quán)利要求1所述的對系統(tǒng)攻擊進行路徑回溯的方法，其特征在于，所述系統(tǒng)攻擊安全事件包括攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。5.根據(jù)權(quán)利要求4所述的對系統(tǒng)攻擊進行路徑回溯的方法，其特征在于，利用廣度遍歷法對系統(tǒng)攻擊進行路徑回溯包括: 從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間； 根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息； 根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端口 ； 自攻擊目的路由器與端口開始，根據(jù)路由拓撲數(shù)據(jù)開始遍歷拓撲結(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。6.一種對系統(tǒng)攻擊進行路徑回溯的裝置，其特征在于，包括: 采集單元，用于采集Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息； 獲取單元，用于獲取系統(tǒng)攻擊安全事件； 回溯單元，用于基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進行路徑回溯。7.根據(jù)權(quán)利要求6所述的對系統(tǒng)攻擊進行路徑回溯的裝置，其特征在于，所述獲取單元通過流量分析系統(tǒng)獲取系統(tǒng)攻擊安全事件或基于采集的Netflow數(shù)據(jù)分析出系統(tǒng)攻擊安全事件。8.根據(jù)權(quán)利要求6所述的對系統(tǒng)攻擊進行路徑回溯的裝置，其特征在于，所述Netflow數(shù)據(jù)中包含數(shù)據(jù)流的五元組信息與流量大小。9.根據(jù)權(quán)利要求6所述的對系統(tǒng)攻擊進行路徑回溯的裝置，其特征在于，所述系統(tǒng)攻擊安全事件包括攻擊源IP地址與端口、攻擊目的IP地址與端口、攻擊類型以及攻擊時間。10.根據(jù)權(quán)利要求9所述的對系統(tǒng)攻擊進行路徑回溯的裝置，其特征在于，所述回溯單元包括: 攻擊信息提取子單元，用于從系統(tǒng)攻擊安全事件中提取出攻擊源IP地址、攻擊目的IP地址與攻擊時間； 流量信息提取子單元，用于根據(jù)攻擊源IP地址、攻擊目的IP地址與攻擊時間從Netflow數(shù)據(jù)中提取相應(yīng)的流量信息； 確定子單元，用于根據(jù)提取的相應(yīng)的流量信息確定攻擊源路由器與端口以及攻擊目的路由器與端口； 遍歷子單元，用于自攻擊目的路由器與端口開始，根據(jù)路由拓撲數(shù)據(jù)開始遍歷拓撲結(jié)構(gòu)中的所有節(jié)點，并根據(jù)各節(jié)點之間的連接關(guān)系形成攻擊路徑鏈表，以實現(xiàn)對攻擊路徑的回溯。
【專利摘要】本公開涉及一種對系統(tǒng)攻擊進行路徑回溯的方法與裝置。該方法包括采集Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息；獲取系統(tǒng)攻擊安全事件；基于系統(tǒng)攻擊安全事件與所采集的Netflow數(shù)據(jù)、路由拓撲數(shù)據(jù)以及路由器信息，利用廣度遍歷法對系統(tǒng)攻擊進行路徑回溯。本公開可以有效地提升互聯(lián)網(wǎng)攻擊應(yīng)急響應(yīng)處理效率。
【IPC分類】H04L12/26, H04L29/06
【公開號】CN105337951
【申請?zhí)枴緾N201410400921
【發(fā)明人】史國水, 汪來富, 羅志強, 沈軍
【申請人】中國電信股份有限公司
【公開日】2016年2月17日
【申請日】2014年8月15日