CN112738044B - 一种多协议链路路径追踪方法及系统 - Google Patents
一种多协议链路路径追踪方法及系统 Download PDFInfo
- Publication number
- CN112738044B CN112738044B CN202011531665.7A CN202011531665A CN112738044B CN 112738044 B CN112738044 B CN 112738044B CN 202011531665 A CN202011531665 A CN 202011531665A CN 112738044 B CN112738044 B CN 112738044B
- Authority
- CN
- China
- Prior art keywords
- host
- connection
- remote login
- source host
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明公开了一种多协议链路路径追踪方法及系统,本发明多协议链路路径追踪方法包括:从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路。本发明根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路,从而使得回溯远程登录连接链路与采用的远程登录无关,能够在保持计算机远程登录的便捷性和安全的条件下,在发生多协议多级远程登录攻击时,能够快速有效得对该攻击进行阻断和定位出攻击者。
Description
技术领域
本发明涉及计算机网络、网络安全、远程计算机安全访问技术,具体涉及一种多协议链路路径追踪方法及系统。
背景技术
随着互联网的发展,对于计算机系统的访问不再局限于计算机本地终端的登录,还可以通过远程登录的方式进行访问。通过远程登录,在何时何地都能连接到远程计算机系统,并访问所有应用程序、文件和其它系统资源,就如同通过计算机本地终端访问一样。远程登录在提供了便捷性的同时,也给计算机系统的安全带来了威胁,任何恶意的访问都可以使系统遭受到不可恢复的损坏。计算机系统中存在许多图形的和非图形的远程登录协议,对于这些协议之前提出了SSH路径追踪方法,该方法是根据每条SSH链路的源端口,源主机IP,目的端口和目的主机IP进行链路拼接。但这种方式只能对单一的SSH链路信息进行拼接,当进行多种远程登录协议混合使用时,例如先进行ssh方式登录,在此基础上再进行telnet登录其它主机,之后再进行ssh方式登录时,就无法进行源主机到目的主机连接链路进行准确追踪,也无法确定每条链路使用的具体协议。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种多协议链路路径追踪方法及系统,本发明能够在保持计算机远程登录的便捷性和安全的条件下,在发生多协议多级远程登录攻击时,能够快速有效得对该攻击进行阻断和定位出攻击者。
为了解决上述技术问题,本发明采用的技术方案为:
一种多协议链路路径追踪方法,包括:
1)从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
2)将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路。
可选地,步骤1)包括:
1.1)初始化迭代次数i为1;
1.2)获取目的主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定第i组来源主机集合;
1.3)判断第i组来源主机集合中是否有任一来源主机、源主机相同,若相同,则判定查找目的主机、源主机之间的远程登录连接链路结束,跳转执行步骤2);否则,将迭代次数i加1,并跳转执行下一步;
1.4)针对第i组来源主机集合中的每一个来源主机,获取该来源主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定新的第i组来源主机集合,跳转执行步骤1.2)。
可选地,步骤1.1)中远程登录连接的进程的连接信息包括来源主机、目标主机、目标端口、远程登录协议和进程号。
可选地,步骤1.4)中跳转执行步骤1.2)之前还包括判断迭代次数i是否超过预设阈值的步骤,若迭代次数i超过预设阈值,则判定跟踪失败并退出。
可选地,步骤2)包括:针对得到的一共n组来源主机集合中的所有来源主机,按照来源主机中的远程登录连接的进程记录的连接信息进行拼接,使得拼接的第i组来源主机集合中的来源主机中的目标主机、第i+1组来源主机集合中的来源主机中的源主机合并,形成多条拼接链路,并从所有拼接链路中找出以源主机作为起点、以目的主机作为终点的拼接链路作为最终得到目的主机、源主机之间的完整连接链路。
可选地,步骤2)之后还包括在检测到目的主机受到攻击时,将目的主机、源主机之间的完整连接链路中一条或多条远程登录连接链路进行阻断连接的步骤。
可选地,步骤2)之后还包括在检测到目的主机受到攻击时,还包括根据目的主机的IP地址进行定位跟踪的步骤。
此外,本发明还提供一种多协议链路路径追踪系统,包括:
链路查找程序单元,用于从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
链路拼接程序单元,用于将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路。
此外,本发明还提供一种多协议链路路径追踪系统,包括相互连接的微处理器和存储器,该微处理器被编程或配置以执行所述多协议链路路径追踪方法的步骤,或者该存储中存储有被编程或配置以执行所述多协议链路路径追踪方法的计算机程序。
此外,本发明还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行所述多协议链路路径追踪方法的计算机程序。
和现有技术相比,本发明具有下述优点:
1、本发明根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路,从而使得回溯远程登录连接链路与采用的远程登录无关,能够在保持计算机远程登录的便捷性和安全的条件下,在发生多协议多级远程登录攻击时,能够快速有效得对该攻击进行阻断和定位出攻击者,本发明对混合使用多种远程登录协议进行远程攻击时,能够准确对链路路径进行追踪,对攻击进行阻断。
2、本发明对完整连接链路上的每条链路都具体到使用的远程登录协议,能够快速定位到整个系统安全漏洞,提高系统安全系数。
附图说明
图1为本发明实施例方法的基本流程图。
图2本发明实施例中三主机远程登录连接链路的示意图。
图3本发明实施例中四主机远程登录连接链路的示意图。
具体实施方式
如图1所示,本实施例多协议链路路径追踪方法包括:
1)从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
2)将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路。
本实施例中,步骤1)包括:
1.1)初始化迭代次数i为1;
1.2)获取目的主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定第i组来源主机集合;
1.3)判断第i组来源主机集合中是否有任一来源主机、源主机相同,若相同,则判定查找目的主机、源主机之间的远程登录连接链路结束,跳转执行步骤2);否则,将迭代次数i加1,并跳转执行下一步;
1.4)针对第i组来源主机集合中的每一个来源主机,获取该来源主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定新的第i组来源主机集合,跳转执行步骤1.2)。
本实施例中,步骤1.1)中远程登录连接的进程的连接信息包括来源主机、目标主机、目标端口、远程登录协议和进程号。
本实施例中,步骤1.4)中跳转执行步骤1.2)之前还包括判断迭代次数i是否超过预设阈值的步骤,若迭代次数i超过预设阈值,则判定跟踪失败并退出。
对于每一级的远程登录,在源主机和目的主机上都会分配进程和端口给该连接进行通信。假设存在主机A,主机B和主机C,主机A通过协议a1远程登录到主机B,在该连接中再在主机B上通过协议a2远程登录到C。则在主机B上会产生用于主机A和主机B之间进行通信的进程P1和用于主机B和主机C之间进行通信的进程P2,如图2所示。从图2中可以看出,每个通信进程都带有源主机IP,目的主机IP,源端口,目的端口,使用的协议及其自身的进程号的连接信息。根据系统进程树中的进程关系得知,进程P1是进程P2的祖先进程。由于每个进程的父进程都是唯一的,则把进程P1和进程P2的连接信息拼接起来,合成一个包含上级链路和下级链路的链路单元,即链路路径A->B->C。
对于任意数量主机的多级远程登录跳转时,可将产生的链路单元拼接起来,线程一条新的链路。现假设存在主机A,主机B,主机C和主机D,主机A通过协议a1远程登录到主机B,在该连接中再在主机B上通过协议a2远程登录到C,最后在该连接中再在主机C上通过协议a3远程登录到D。则在主机B和主机C上都可合成一个链路单元,如图3所示。从图3中可以看到,主机B产生的链路单元的下级链路和主机C产生的链路单元的上级链路除了进程号不一样之外,其它的都相同。因此,根据这个条件将这两个链路单元拼接成一个三级链路,即路径A->B->C->D。类似上面的拼接方法,当源主机通过n次跳转远程登录到目标主机时,可以拼接出一条n级链路,即源主机到目标主机的访问路径。
本实施例中,步骤2)包括:针对得到的一共n组来源主机集合中的所有来源主机,按照来源主机中的远程登录连接的进程记录的连接信息进行拼接,使得拼接的第i组来源主机集合中的来源主机中的目标主机、第i+1组来源主机集合中的来源主机中的源主机合并,形成多条拼接链路,并从所有拼接链路中找出以源主机作为起点、以目的主机作为终点的拼接链路作为最终得到目的主机、源主机之间的完整连接链路。
本实施例中,步骤2)之后还包括在检测到目的主机受到攻击时,将目的主机、源主机之间的完整连接链路中一条或多条远程登录连接链路进行阻断连接的步骤。
本实施例中,步骤2)之后还包括在检测到目的主机受到攻击时,还包括根据目的主机的IP地址进行定位跟踪的步骤。
此外,本实施例还提供一种多协议链路路径追踪系统,包括:
链路查找程序单元,用于从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
链路拼接程序单元,用于将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路。
此外,本实施例还提供一种多协议链路路径追踪系统,包括相互连接的微处理器和存储器,该微处理器被编程或配置以执行前述多协议链路路径追踪方法的步骤,或者该存储中存储有被编程或配置以执行前述多协议链路路径追踪方法的计算机程序。
此外,本实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行前述多协议链路路径追踪方法的计算机程序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种多协议链路路径追踪方法,其特征在于,包括:
1)从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
2)将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路;
步骤1)包括:
1.1)初始化迭代次数i为1;
1.2)获取目的主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定第i组来源主机集合;其中远程登录连接的进程的连接信息包括来源主机、目标主机、目标端口、远程登录协议和进程号;
1.3)判断第i组来源主机集合中是否有任一来源主机、源主机相同,若相同,则判定查找目的主机、源主机之间的远程登录连接链路结束,跳转执行步骤2);否则,将迭代次数i加1,并跳转执行下一步;
1.4)针对第i-1组来源主机集合中的每一个来源主机,获取该来源主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定新的第i组来源主机集合;判断迭代次数i是否超过预设阈值的步骤,若迭代次数i超过预设阈值,则判定跟踪失败并退出,否则跳转执行步骤1.3)。
2.根据权利要求1所述的多协议链路路径追踪方法,其特征在于,步骤2)包括:针对得到的一共n组来源主机集合中的所有来源主机,按照来源主机中的远程登录连接的进程记录的连接信息进行拼接,使得拼接的第i组来源主机集合中的来源主机作为连接信息的来源主机、第i+1组来源主机集合中的来源主机作为连接信息的目标主机合并,形成多条拼接链路,并从所有拼接链路中找出以源主机作为起点、以目的主机作为终点的拼接链路作为最终得到目的主机、源主机之间的完整连接链路。
3.根据权利要求1所述的多协议链路路径追踪方法,其特征在于,步骤2)之后还包括在检测到目的主机受到攻击时,将目的主机、源主机之间的完整连接链路中一条或多条远程登录连接链路进行阻断连接的步骤。
4.根据权利要求3所述的多协议链路路径追踪方法,其特征在于,步骤2)之后还包括在检测到目的主机受到攻击时,还包括根据目的主机的IP地址进行定位跟踪的步骤。
5.一种多协议链路路径追踪系统,其特征在于,包括:
链路查找程序单元,用于从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路;
链路拼接程序单元,用于将远程登录连接链路拼接得到目的主机、源主机之间的完整连接链路;
链路查找程序单元从目的主机中的远程登录连接开始、源主机中的远程登录连接为止根据远程登录连接的进程回溯查找目的主机、源主机之间的远程登录连接链路包括:1.1)初始化迭代次数i为1;1.2)获取目的主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定第i组来源主机集合;其中远程登录连接的进程的连接信息包括来源主机、目标主机、目标端口、远程登录协议和进程号;1.3)判断第i组来源主机集合中是否有任一来源主机、源主机相同,若相同,则判定查找目的主机、源主机之间的远程登录连接链路结束,跳转执行链路拼接程序单元;否则,将迭代次数i加1,并跳转执行下一步;1.4)针对第i-1组来源主机集合中的每一个来源主机,获取该来源主机中的远程登录连接的进程,记录该进程的连接信息,并根据该进程的连接信息确定新的第i组来源主机集合;判断迭代次数i是否超过预设阈值的步骤,若迭代次数i超过预设阈值,则判定跟踪失败并退出,否则跳转执行步骤1.3)。
6.一种多协议链路路径追踪系统,包括相互连接的微处理器和存储器,其特征在于,该微处理器被编程或配置以执行权利要求1~4中任意一项所述多协议链路路径追踪方法的步骤,或者该存储器 中存储有被编程或配置以执行权利要求1~4中任意一项所述多协议链路路径追踪方法的计算机程序。
7.一种计算机可读存储介质,其特征在于,该计算机可读存储介质中存储有被编程或配置以执行权利要求1~4中任意一项所述多协议链路路径追踪方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011531665.7A CN112738044B (zh) | 2020-12-22 | 2020-12-22 | 一种多协议链路路径追踪方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011531665.7A CN112738044B (zh) | 2020-12-22 | 2020-12-22 | 一种多协议链路路径追踪方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738044A CN112738044A (zh) | 2021-04-30 |
CN112738044B true CN112738044B (zh) | 2023-03-24 |
Family
ID=75605802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011531665.7A Active CN112738044B (zh) | 2020-12-22 | 2020-12-22 | 一种多协议链路路径追踪方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738044B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111818062A (zh) * | 2020-07-10 | 2020-10-23 | 四川长虹电器股份有限公司 | 基于Docker的CentOS高交互蜜罐系统及其实现方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8799444B2 (en) * | 2005-03-18 | 2014-08-05 | Hewlett-Packard Development Company, L.P. | Automated host discovery and path tracing by network management server |
US8880724B2 (en) * | 2008-01-31 | 2014-11-04 | Cisco Technology, Inc. | Event triggered traceroute for optimized routing in a computer network |
CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
WO2013154532A1 (en) * | 2012-04-10 | 2013-10-17 | Intel Corporation | Techniques to monitor connection paths on networked devices |
CN104009986B (zh) * | 2014-05-22 | 2017-03-15 | 中国电子科技集团公司第三十研究所 | 一种基于主机的网络攻击跳板检测方法及装置 |
JP6906928B2 (ja) * | 2015-11-09 | 2021-07-21 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法 |
CN107135235B (zh) * | 2017-07-05 | 2019-11-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
CN110933032B (zh) * | 2019-10-25 | 2022-04-05 | 湖南麒麟信安科技股份有限公司 | 一种ssh路径追踪方法、系统及介质 |
CN111628964B (zh) * | 2020-04-03 | 2022-09-30 | 北京奇艺世纪科技有限公司 | 网络攻击溯源方法及装置 |
-
2020
- 2020-12-22 CN CN202011531665.7A patent/CN112738044B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111818062A (zh) * | 2020-07-10 | 2020-10-23 | 四川长虹电器股份有限公司 | 基于Docker的CentOS高交互蜜罐系统及其实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112738044A (zh) | 2021-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
JP6568504B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
US9256831B2 (en) | Match engine for detection of multi-pattern rules | |
EP2988468A1 (en) | Apparatus, method, and program | |
CN106161479B (zh) | 一种支持特征跨包的编码攻击检测方法和装置 | |
EP2533495A2 (en) | Apparatus and method preventing overflow of pending interest table in name based network system | |
CN108494735A (zh) | 一种非法破解登录分析告警方法及装置 | |
CN103955645A (zh) | 恶意进程行为的检测方法、装置及系统 | |
CN113067812B (zh) | Apt攻击事件溯源分析方法、装置和计算机可读介质 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
CN111971931A (zh) | 在区块链网络中验证交易的方法以及构成该网络的节点 | |
KR20190107373A (ko) | 네트워크 프로토콜의 취약점을 탐지하는 퍼징 방법 및 장치 | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN110933032B (zh) | 一种ssh路径追踪方法、系统及介质 | |
CN111049782B (zh) | 反弹式网络攻击的防护方法、装置、设备、系统 | |
CN110875928A (zh) | 一种攻击溯源方法、装置、介质和设备 | |
CN111884989A (zh) | 一种针对电力web系统的漏洞探测方法和系统 | |
CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
CN112738044B (zh) | 一种多协议链路路径追踪方法及系统 | |
US9178902B1 (en) | System and method for determining enterprise information security level | |
KR102022626B1 (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
CN112039895B (zh) | 一种网络协同攻击方法、装置、系统、设备及介质 | |
KR101041997B1 (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |