CN102045344B - 一种基于路径信息弹性分片的跨域溯源方法及系统 - Google Patents

一种基于路径信息弹性分片的跨域溯源方法及系统 Download PDF

Info

Publication number
CN102045344B
CN102045344B CN2010105457123A CN201010545712A CN102045344B CN 102045344 B CN102045344 B CN 102045344B CN 2010105457123 A CN2010105457123 A CN 2010105457123A CN 201010545712 A CN201010545712 A CN 201010545712A CN 102045344 B CN102045344 B CN 102045344B
Authority
CN
China
Prior art keywords
territory
information
path
packet
territories
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010105457123A
Other languages
English (en)
Other versions
CN102045344A (zh
Inventor
杨放春
王玉龙
李勇辉
苏森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN2010105457123A priority Critical patent/CN102045344B/zh
Publication of CN102045344A publication Critical patent/CN102045344A/zh
Application granted granted Critical
Publication of CN102045344B publication Critical patent/CN102045344B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于路径信息弹性分片的跨域溯源方法,将IP数据包头部中部分数据域分为四个域:Distance域、Identity域、Flag_Num域和Path_Infor域,所述方法包括:MBG接收到IP数据包后,确认IP数据包头部的四个域是否承载有信息,未承载时确定出四个域的承载信息,并分别标记到IP数据包头部的四个域中;承载有信息时对四个域中的承载信息进行验证,验证通过后,将MBG所在AS信息标记到四个域中的对应域并转发IP数据包,验证未通过则确定IP数据包头部的四个域中的承载信息为伪造信息;需对IP数据包溯源时,根据接收到的IP数据包头部的四个域中的承载信息,重构IP数据包所经过的路径。本发明公开了一种实现上述方法的系统。本发明能实现对网络攻击者的准确溯源。

Description

一种基于路径信息弹性分片的跨域溯源方法及系统
技术领域
本发明涉及IP网络的追踪技术,尤其涉及一种针对分布式拒绝服务攻击(DDoS,Distributed Denial of Service)的跨域溯源方法。
背景技术
近几年,随着计算机设备价格的下降、网络速度的大幅改善以及Web应用的蓬勃发展,越来越多的个人电脑、智能终端、企业信息基础设施连接到互联网中,使互联网在社会经济生活中的地位日趋重要。但是,随着互联网的飞速发展,各种针对互联网的威胁技术也日益增多。虽然政府部门针对网络犯罪进行了立法,对网络入侵者予以惩处,但是网络受破坏的案例仍然呈快速增长趋势。这主要归因于IP网络的无认证和无状态特征:如果入侵者伪造IP地址,受害者或执法机关将难以找到线索定位入侵者,无法对其进行惩戒,致使入侵者继续无所顾忌地对网络进行破坏。
在当前发生的网络威胁中,DDoS是最具威胁、最常见的网络威胁之一。2007年4月底,爱沙尼亚遭受持续半个月的DDoS威胁,多个政府网站被迫停站;2009年7月初,韩国受到多次DDoS威胁,导致一些企业、政府部门网站无法正常登录。这两次事件影响范围广泛,损失也十分严重,但事后却无法找到肇事者。一方面说明了IP溯源技术在网络安全中有着重要作用,另一方面也说明了已有的IP溯源技术在实用方面仍存在着缺陷。
当前,研究人员针对DDoS的溯源问题提出了多种解决方案,主要有包标记法、路由器日志记录法、链路测试法、Internet控制报文协议(ICMP,InternetControl Message Protocol)追踪法等。其中包标记法是研究人员最为关注的一种溯源方法,也是目前DDoS的溯源中所采用的主流方法。围绕包标记法,研究人员进行了各方面的研究。根据对IP数据包标记的概率划分,包标记法可分为概率性包标记法(PPM,Probabilistic Packet Marking)和确定性包标记法(DPM,Deterministic Packet Marking)。PPM由于在重构路径时需要大量的IP数据包,因而主要适用于对拒绝服务攻击(DoS,Denial of Service)进行溯源;DDoS中每个入侵主机所发出的IP数据包数量较少,PPM无法保证受害者收到足够IP数据包以重构路径。DPM适用范围较广,但面临的问题是IP数据包包头没有足够空间供路径上所有路由器对IP数据包进行标记,并且,目前已有的DPM方法缺陷较多,比如仅能追踪到受害者所在的自治系统(AS,AutonomousSystem)的入口处,或标记信息占用空间过大,IP数据包包头根本不可能提供所需要的空间。
针对这些问题,研究者提出了在AS层面对IP数据包进行标记的跨域溯源方法。基于AS层面的跨域溯源方法存在以下优点:
1)超过99.5%的IP数据包到达目的地所经过的AS不超过6个,从而所需记录的路径信息较少;
2)AS管理者一般不喜欢泄露内部拓扑,基于AS层面的溯源方法会更容易被互联网服务提供商(ISP,Internet Service Provider)接受;
3)自治系统号(ASN,Autonomous System Number)只有16位,与32位IP地址相比,ASN占用IP数据包包头的空间较小,重构路径时所需的IP数据包数量也较小。
因而,目前认为跨域溯源方法具备更广阔的应用前景。目前提出了称为FAST的跨域溯源方法。FAST使用IP数据包包头的25位空间(分别为服务类型(TOS,the Type of Service)域,标识(Identification)域和保留标志(ReservedFlag)域)作为标记空间,并将这25位标记空间分为三个域,分别是:
NodeAppend域(20位):用于存储路径上各ASN的哈希值;
Hop域(3位):用于指示IP数据包已经经过几个AS;
Hid域(2位):用于指示使用了哪个哈希函数对ASN进行压缩计算。
在FAST的跨域溯源方法中,边界路由器将相应的ASN用哈希函数压缩为4位,并标记到NodeAppend域。受害者收到一定数量带有标记信息的IP数据包后,依据网络拓扑找出可疑路径,并使用不同的哈希函数对这些可疑路径进行计算。如果某条路径的数个哈希值,在所收到的标记信息中均能找到相应值,则该路径是入侵路径。FAST跨域溯源方法可以较快地重构AS层次的入侵路径,但是,FAST跨域溯源方法存在以下问题:
1)边界路由器不管IP数据包到达目的地所经过的AS跳数,一律将ASN压缩为4位,导致当IP数据包从源AS到达目的AS的距离只有1跳或2跳时,仍然需要收到较多的带标记信息的IP数据包,才可重构路径;
2)FAST跨域溯源方法不考虑攻击者和受害者处于同一AS域的情况,导致当攻击者和受害者处于同一AS域时,无法判断攻击者是来自域内还是域外;
3)无法识别伪造的标记信息;
4)受害者需要具备精确的AS层次网络拓扑图和路由信息,才能重构路径,否则将无法重构路径。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于路径信息弹性分片的跨域溯源方法及系统,能在受到网络攻击时,准确地确定出攻击IP数据包的路径,进行攻击点的准确溯源。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于路径信息弹性分片的跨域溯源方法,将IP数据包头部中的部分数据域(IP数据包头部中较少使用的三个域,即TOS域,Identification域和ReservedFlag域,共25比特)分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;所述方法还包括:
MBG接收到IP数据包后,确认所述IP数据包头部的四个域是否承载有信息,未承载时确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中;承载有信息时对所述四个域中的承载信息进行验证,验证通过后,将所述MBG所在AS信息标记到所述四个域中的对应域并转发所述IP数据包,验证未通过则确定所述IP数据包头部的所述四个域中的承载信息为伪造信息;
需对IP数据包溯源时,根据接收到的IP数据包头部的所述四个域中的承载信息,重构IP数据包所经过的路径。
优选地,对所述四个域中承载信息进行验证,验证通过后,将所述MBG所在AS信息标记到所述四个域中的对应域并转发所述IP数据包具体为:
获取IP数据包头部所述四个域的承载信息,并根据所获取的承载信息计算验证码;
根据边界网关协议BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离;
将验证码与所述四个域中的所承载的验证码进行对比,若相等,且所述Distance域承载的距离小于等于5,当前MBG所在自治系统AS到所述IP数据包目的AS的距离小于所述Distance域承载的距离,则所述四个域中承载信息验证通过,根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中;若所述四个域中承载信息验证未通过则所述IP数据包头部的所述四个域中承载信息是伪造的。
优选地,根据所获取的承载信息计算验证码具体为:
根据所述Distance域承载的距离d,通过
Figure BSA00000347390600041
计算出g,其中,
Figure BSA00000347390600042
为向下取整运算符,g表示所述Path_Infor域分配给当前ASN分片的空间大小;
根据BGP的AS路径属性,获得当前MBG所在的AS与所述IP数据包目的AS的距离d’,进一步确定验证码在所述Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g;
计算所述Path_Infor域中承载ASN分片信息后剩余的空间:len=12-OffsetMAC
根据OffsetMAC从所述IP数据包头部的Path_Infor域中提取所述Path_Infor域承载的验证码,所述Path_Infor域中剩余的为ASN的分片信息PATH;
计算验证码MAC’=fx(PATH,len);其中,f为能产生散列消息鉴别码HMAC的函数,x表示共享的密钥,MAC’的位数长度由len指定。
优选地,根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中具体为:
根据所述Distance域中承载的d,将当前MBG所在AS的ASN分为k片,其中,
Figure BSA00000347390600051
为向上取整运算符;
根据所述Flag_Num域承载的p值,将ASN分片中的第p片ASN[p]标记到所述Path_Infor域;
依据路由表判断当前MBG是否位于IP数据包的目的AS,不是时计算承载ASN分片信息后剩余的空间:len-g,计算当前验证码为fx(PATH,len),并将所计算的验证码标记到Path_Infor域中。
优选地,确定所述四个域中的承载信息为伪造信息后,所述方法还包括:
清空所述四个域中的承载信息,重新确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中。
优选地,确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中具体为:
根据BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离d,通过
Figure BSA00000347390600053
计算出g,其中,
Figure BSA00000347390600054
为向下取整运算符,g表示所述Path_Infor域分配给当前ASN分片的空间大小,然后计算当前MBG所在AS的ASN的分片数目
Figure BSA00000347390600055
将ASN分成k片,并将d标记到所述Distance域中;
在0~k-1中随机取值p,将ASN分片的第p片标记到所述Path_Infor域中,并将p标记到所述Flag_Num域中;
利用哈希函数h计算ASN的哈希值:h(ASN)=ID,将ID标记到所述Identity域中;计算len=12-g,并计算验证码MAC=fx(PATH,len),将计算出的验证码标记到所述Path_Infor域中。
优选地,所述重构IP数据包所经过的路径具体为:
根据所述IP数据包头部的Distance域、Identity域和Flag_Num域的值对所述IP数据包进行排序;
依序获取各IP数据包头部四个域的承载信息,并重组路径;用哈希函数h计算所重组路径中首个MBG所在AS的ASN哈希值摘要ID’,并在ID’与所述IP数据包头部的Identity域中的哈希摘要ID相同时,输出所述IP数据包的重组路径,为入侵路径。
一种基于路径信息弹性分片的跨域溯源系统,所述系统包括划分单元、确认单元、确定单元、标记单元、验证单元和路径重构单元,其中,
划分单元,用于将IP数据包头部较少使用的三个域,即TOS域,Identification域和Reserved Flag域,共25比特,分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;
确认单元,用于确认MBG接收到的IP数据包头部的四个域是否承载有信息,未承载时触发确定单元,承载有信息时触发验证单元;
确定单元,用于确定出四个域的承载信息;
标记单元,用于将所述确定单元确定的承载信息分别标记到所述IP数据包头部的所述四个域中;以及,在所述四个域中的承载信息验证通过后,将当前MBG所在AS信息标记到所述四个域中的对应域;
验证单元,用于对所述四个域中的承载信息进行验证,验证通过后,触发标记单元;验证未通过则确定所述IP数据包头部的所述四个域中的承载信息为伪造信息;
路径重构单元,用于根据接收到的IP数据包头部的所述四个域中的承载信息,重构IP数据包所经过的路径。
优选地,所述验证单元进一步获取IP数据包头部所述四个域的承载信息,并根据所获取的承载信息计算验证码;根据边界网关协议BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离;将验证码与所述四个域中的所承载的验证码进行对比,若相等,且所述Distance域承载的距离小于等于5,当前MBG所在自治系统AS到所述IP数据包目的AS的距离小于所述Distance域承载的距离,则所述四个域中承载信息验证通过;以及,所述标记单元进一步根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中;若所述四个域中承载信息验证未通过则所述IP数据包头部的所述四个域中承载信息是伪造的。
优选地,所述验证单元根据所获取的承载信息计算验证码具体为:
根据所述Distance域承载的距离d,通过
Figure BSA00000347390600071
计算出g,其中,
Figure BSA00000347390600072
为向下取整运算符,g表示所述Path_Infor域分配给当前ASN分片的空间大小;
根据BGP的AS路径属性,获得当前MBG所在的AS与所述IP数据包目的AS的距离d’,进一步确定验证码在所述Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g;
计算所述Path_Infor域中承载ASN分片信息后剩余的空间:len=12-OffsetMAC
根据OffsetMAC从所述IP数据包头部的Path_Infor域中提取所述Path_Infor域承载的验证码,所述Path_Infor域中剩余的为ASN的分片信息PATH;
计算验证码MAC’=fx(PATH,len);其中,f为能产生散列消息鉴别码HMAC的函数,x表示共享的密钥,MAC’的位数长度由len指定。
本发明通过对IP数据包头部较少使用的三个域,即TOS域,Identification域和Reserved Flag域,进行重新划域,将其分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;这样,当MBG接收到IP数据包后,根据上述四个域中承载的相关信息对该IP数据包头部承载的信息是否是伪造信息进行判断,当判断出为伪造信息时将对该IP数据包头部进行重新标记;以及,在受到网络攻击时,将根据IP数据包头部的上述四个域中承载信息进行IP数据包路径的重构,从而能实现对网络攻击者的准确溯源。
附图说明
图1为本发明基于路径信息弹性分片的跨域溯源的流程图;
图2为本发明重构入侵路径的流程图;
图3为本发明基于路径信息弹性分片的跨域溯源的系统的功能方框示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明作进一步详细说明。
本发明中,主要是使用IP数据包头部的25位空间作为标记空间,存储ASN相关的标记信息;即将IP头部的TOS域(8比特),Identification域(16比特)和Reserved Flag域(1比特)作为标记空间;将该25位空间分为4个域,分别为:Distance域(3比特),Identity域(7比特),Flag_Num域(3比特),Path_Infor域(12比特)。其中,
Distance域:存储对该IP数据包进行标记的第一个MBG所在AS到IP数据包目的AS的距离d。当攻击者与受害者处于同一AS时,d=0;当攻击者与受害者位于相邻AS时,d=1,如此类推;
Identity域:存储对该IP数据包进行标记的第一个MBG所对应ASN的哈希摘要值ID;
Flag_Num域:指示路径上的MBG应该将其ASN分片信息中的第几片标记到IP数据包中,该值由对该IP数据包进行标记的第一个MBG设定,用p表示该值;
Path_Infor域:存储路径上各MBG所标记的ASN分片信息以及验证码,令PATH表示Path_Infor域中的ASN分片信息,MAC表示Path_Infor域中的验证码。
本发明正是基于上述的IP数据包头部的划分方式而提出的技术方案,具体的,在每个MBG接收到IP数据包后,能根据上述的IP数据包头部的四个域中承载的信息验证该IP数据包头部四个域中承载的信息是否是伪造信息,从而能利用该IP数据包头部四个域中承载的信息进行相应处理;并且,当某网络节点受到攻击后,能根据IP数据包头部四个域中承载的信息对攻击者进行路径重构,从而相当快捷地确定出攻击者的路径,准确地定位出攻击者所在的区域。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图1为本发明基于路径信息弹性分片的跨域溯源方法流程图,如图2所示,本发明基于路径信息弹性分片的跨域溯源方法具体包括以下步骤:
步骤101,确定需要部署本发明方法的边界路由器,对这些路由器进行升级,使其成为实现本发明方法的MBG。具体的,主要是对挑选的边界路由器修改其转发IP数据包的流程,使其在转发IP数据包前对IP数据包标记空间中路径信息进行验证、标记路径信息。
具体的,本发明总共使用IP头部的25位空间作为标记空间,用于存储标记信息,分别是TOS域(8比特),Identification域(16比特),Reserved Flag域(1比特)。图3中阴影部分为本发明所使用的IP头部空间。
本发明将该25位标记空间分为4个域,分别是Distance域(3比特),Identity域(7比特),Flag_Num域(3比特),Path_Infor域(12比特)。其中Distance域用于表示对该IP数据包进行标记的第一个MBG所在AS到IP数据包目的AS的距离;Identity域用于表示对IP数据包进行标记的第一个MBG所对应ASN的哈希摘要值;Flag_Num域用于表示路径上的MBG应该将其ASN分片信息中的第几片标记到IP数据包中,该值由对该IP数据包进行标记的第一个MBG设定;Path_Infor域用于存储路径上各ASN的分片信息。具体的含义在上文中已经明确,这里不再赘述。
步骤102,MBG收到IP数据包,取出IP数据包头部中的标记空间中的标记信息。这里,所述标记空间指IP数据包包头的TOS域,Identification域以及Reserved Flag域。所述标记信息指标记空间中Distance域,Identity域,Flag_Num域,Path_Infor域这四个域中的信息。
步骤103,判断IP数据包头部中的标记信息是否正确。具体的,MBG依据IP数据包Distance域中的值d,计算g,获得每个ASN分片占用的空间大小;然后MBG根据BGP的AS-PATH属性,获得其自身与IP数据包目的AS的距离d’。MBG依据d-d’的值确定IP数据包自从被标记后,已经经过几个MBG,从而可确定验证码MAC在Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g。
计算Path_Infor域中除去保存ASN分片信息的空间后,剩余的空间大小:len=12-OffsetMAC
MBG根据OffsetMAC从Path_Infor域中提取MAC,使Path_Infor域中仅保留ASN的分片信息PATH;计算MAC’=fx(PATH,len)。
将MAC’与标记信息中Flag_Num域的验证码MAC进行对比,如果相等,并且标记信息中Distance域中的值d满足:d≤5,(d-d’)>0,则判定标记信息是正确的;否则,认为标记信息是伪造的。
步骤104,根据Distance域中的值d,将其所对应的ASN分为k段
Figure BSA00000347390600111
其中,d指Distance域中的值,描述第一个对数据包进行标记的MBG到达数据包目的AS的距离;g指在距离为d时,Path_Infor域分配给路径上各AS的空间大小;k表示在空间大小为g比特时,各AS的16位AS编号应该划分成几片;
Figure BSA00000347390600112
表示向上取整运算,
Figure BSA00000347390600113
表示向下取整运算。
步骤105,根据Flag_Num域中的值p标记ASN[p]分片到Path_Infor域。计算len=len-g,验证码MAC=fx(PATH,len)。
步骤106,MBG判定其自身是IP数据包经过的第一个MBG或IP数据包头部中的标记信息是伪造的。也就是说,当确定出MBG是第一个对IP数据包头部标记的MBG时,将确定出IP数据包头部的四个域中的具体承载信息,并标记到所述四个域的各个域中。IP数据包头部中的标记信息是伪造时,此时将对IP数据包头部中的标记信息全部清空,然后再确定出IP数据包头部的四个域中的具体承载信息,并标记到所述四个域的各个域中,相当于当前的MBG是第一个对该IP数据包头部标记的MBG。
步骤107,MBG根据自身与IP数据包目的AS的距离d,决定ASN的分片数目k
Figure BSA00000347390600114
同时将d标记到标记空间Distance域中。
步骤108,MBG在0~k-1中随机取值p,指示将ASN分片的第p片标记到标记空间Path_Infor域中。
步骤109,MBG计算其所对应ASN的哈希值,h(ASN)=ID,标记到IP数据包Identity域中。计算len=12-g,验证码MAC=fx(PATH,len)。
步骤110,判定该MBG是否是位于IP数据包的目的AS。
步骤111:如果该MBG不是位于IP数据包目的AS,则将MAC标记到Path_Infor域中,并转发该IP数据包。
图2为本发明重构入侵路径的流程图,如图2所示,本发明重构入侵路径具体包括以下步骤:
步骤112,受害者收到一定数量的、标记空间中信息不相同的IP数据包。需注意的是此步骤需要受害者收集标记信息不相同的IP数据包,从而保证路径上各AS的分片信息均被收集到。
步骤113,依据各IP数据包标记空间中的信息对IP数据包进行分类排序。
步骤114,依顺序取出各IP数据包保存的标记信息,重组路径ASN1…ASNn
步骤115,用哈希函数h计算所重组路径中ASN1的哈希值摘要ID’。
步骤116,判定ID’是否与对应IP数据包标记信息中的哈希摘要ID相同。
步骤117,如果相同,则说明该重构路径是入侵路径,输出入侵路径。
步骤118,如果不相同,则说明该重构路径不是入侵路径。
本发明能抵御伪造的标记信息。众所周知,FAST无法抵御伪造的标记信息,一旦攻击者伪造标记信息,FAST将无法正确重构入侵路径。本发明可以有效识别伪造的标记信息。假设攻击者位于ASN4,受害者位于ASN0,从攻击者到达受害者的路径为(ASN4,ASN3,ASN2,ASN1,ASN0),因而从攻击者到达受害者的真正距离d=4(为方便,下面将从攻击者到达受害者的真正距离记为dac)。如果攻击者伪造标记信息并设置Distance域中的d的值为:d=4,或d≤4,或d≥5(为方便,下面将攻击者伪造的d记为df),依据本发明对标记信息的认证方法,ASN4处的标记路由器将会初始化标记空间,从而清除伪造的标记信息;如果攻击者设置df=5,当ASN4的边界路由器收到IP数据包时,其会对标记信息进行验证。此时,ASN4的边界路由器依据df=5,可计算获悉路径上每个ASN分片占用空间大小为2为,即k=2;该边界路由器与IP数据包目的AS的距离d’=4。因而,ASN4的边界路由器取Path_Infor域的后10位作为MAC,然后根据Path_Infor域前2位所保存的ASN信息计算MAC’,如果MAC与MAC’相等,则边界路由器认为标记信息是正确。但是此时伪造的MAC与MAC’相等的概率大概是1/210(下面使用Pf表示伪造的标记信息被接受的概率)。
表1给出了在不同距离下攻击者伪造标记信息时,伪造信息被接受的概率。从表1可以看出,当dac增大时,Pf变小;当df增大时,Pf随着增大。当dac=0,df=5时,Pf取最大值1/4。
Figure BSA00000347390600131
表1
本发明重构路径所需要的IP数据包数量较合适,当0≤d≤2时,重构路径所需要的IP数据包数量小于或等于FAST重构路径所需要的IP数据包数量;当3≤d≤5时,本发明重构路径所需要的IP数据包数量大于FAST重构路径所需要的IP数据包数量。但是需要指出的是,本发明不需要受害者掌握AS层次的网络拓扑结构,在攻击者和受害者处于同一AS时,仍可识别攻击者所在的AS域。
图3为本发明基于路径信息弹性分片的跨域溯源的系统的功能方框示意图,如图3所示,本发明基于路径信息弹性分片的跨域溯源的系统划分单元30、确认单元31、确定单元32、标记单元33、验证单元34和路径重构单元35,其中,
划分单元30,用于将IP数据包头部中部分数据域分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,这里所指的部分数据域即IP数据包头部中较少使用的三个域,即TOS域,Identification域和Reserved Flag域;其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;
确认单元31,用于确认MBG接收到的IP数据包头部的四个域是否承载有信息,未承载时触发确定单元32,承载有信息时触发验证单元34;
确定单元32,用于确定出四个域的承载信息;
标记单元33,用于将所述确定单元确定的承载信息分别标记到所述IP数据包头部的所述四个域中;以及,在在所述四个域中的承载信息验证通过后,将当前MBG所在AS信息标记到所述四个域中的对应域;
验证单元34,用于对所述四个域中的承载信息进行验证,验证通过后,触发标记单元;验证未通过则确定所述IP数据包头部的所述四个域中的承载信息为伪造信息;
路径重构单元35,用于根据接收到的IP数据包头部的所述四个域中的承载信息,重构IP数据包所经过的路径。
上述验证单元34进一步获取IP数据包头部所述四个域的承载信息,并根据所获取的承载信息计算验证码;根据边界网关协议BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离;将验证码与所述四个域中的所承载的验证码进行对比,若相等,且所述Distance域承载的距离小于等于5,当前MBG所在自治系统AS到所述IP数据包目的AS的距离小于所述Distance域承载的距离,则所述四个域中承载信息验证通过;以及,上述标记单元33进一步根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中;若所述四个域中承载信息验证未通过则所述IP数据包头部的所述四个域中承载信息是伪造的。
上述验证单元34根据所获取的承载信息计算验证码具体为:
根据所述Distance域承载的距离d,通过
Figure BSA00000347390600141
计算出g,其中,g表示所述Path_Infor域分配给当前ASN分片的空间大小;
根据BGP的AS路径属性,获得当前MBG所在的AS与所述IP数据包目的AS的距离d’,进一步确定验证码在所述Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g;
计算所述Path_Infor域中承载ASN分片信息后剩余的空间:len=12-OffsetMAC
根据OffsetMAC从所述IP数据包头部的Path_Infor域中提取所述Path_Infor域承载的验证码,所述Path_Infor域中剩余的为ASN的分片信息PATH;
计算验证码MAC’=fx(PATH,len);其中,f为能产生散列消息鉴别码HMAC的函数,x表示共享的密钥,MAC’的位数长度由len指定。
本领域技术人员应当理解,本发明图3所示的基于路径信息弹性分片的跨域溯源的系统是为实现前述的基于路径信息弹性分片的跨域溯源的方法而设计的,上述各处理单元的实现功能可参照前述方法的相关描述而理解。图中的各处理单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种基于路径信息弹性分片的跨域溯源方法,其特征在于,将IP数据包头部中的部分数据域分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的自治系统号ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;所述方法还包括:
MBG接收到IP数据包后,确认所述IP数据包头部的四个域是否承载有信息,未承载时确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中;承载有信息时对所述四个域中的承载信息进行验证,验证通过后,将所述MBG所在AS信息标记到所述四个域中的对应域并转发所述IP数据包,验证未通过则确定所述IP数据包头部的所述四个域中的承载信息为伪造信息;
需对IP数据包溯源时,根据接收到的IP数据包头部的所述四个域中的承载信息,重构IP数据包所经过的路径。
2.根据权利要求1所述的方法,其特征在于,对所述四个域中承载信息进行验证,验证通过后,将所述MBG所在AS信息标记到所述四个域中的对应域并转发所述IP数据包具体为:
获取IP数据包头部所述四个域的承载信息,并根据所获取的承载信息计算验证码;
根据边界网关协议BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离;
将验证码与所述四个域中的所承载的验证码进行对比,若相等,且所述Distance域承载的距离小于等于5,当前MBG所在自治系统AS到所述IP数据包目的AS的距离小于所述Distance域承载的距离,则所述四个域中承载信息验证通过,根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中;若所述四个域中承载信息验证未通过则所述IP数据包头部的所述四个域中承载信息是伪造的。
3.根据权利要求2所述的方法,其特征在于,根据所获取的承载信息计算验证码具体为:
根据所述Distance域承载的距离d,通过
Figure FDA00002456190800021
计算出g,其中,为向下取整运算符,g表示所述Path_Infor域分配给当前ASN分片的空间大小;
根据BGP的AS路径属性,获得当前MBG所在的AS与所述IP数据包目的AS的距离d’,进一步确定验证码在所述Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g;
计算所述Path_Infor域中承载ASN分片信息后剩余的空间:len=12-OffsetMAC
根据OffsetMAC从所述IP数据包头部的Path_Infor域中提取所述Path_Infor域承载的验证码,所述Path_Infor域中剩余的为ASN的分片信息PATH;
计算验证码MAC’=fx(PATH,len);其中,f为能产生散列消息鉴别码HMAC的函数,x表示共享的密钥,MAC’的位数长度由len指定。
4.根据权利要求3所述的方法,其特征在于,根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中具体为:
根据所述Distance域中承载的d,将当前MBG所在AS的ASN分为k片,其中,
Figure FDA00002456190800024
为向上取整运算符;
根据所述Flag_Num域承载的p值,将ASN分片中的第p片ASN[p]标记到所述Path_Infor域;
依据路由表判断当前MBG是否位于IP数据包的目的AS,不是时计算承载ASN分片信息后剩余的空间:len-g,计算当前验证码为fx(PATH,len),并将所计算的验证码标记到Path_Infor域中。
5.根据权利要求3所述的方法,其特征在于,确定所述四个域中的承载信息为伪造信息后,所述方法还包括:
清空所述四个域中的承载信息,重新确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中。
6.根据权利要求5所述的方法,其特征在于,确定出四个域的承载信息,并分别标记到所述IP数据包头部的所述四个域中具体为:
根据BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离d,计算当前MBG所在AS的ASN的分片数目
Figure FDA00002456190800031
将ASN分成k片,并将d标记到所述Distance域中;
在0~k-1中随机取值p,将ASN分片的第p片标记到所述Path_Infor域中,并将p标记到所述Flag_Num域中;
利用哈希函数h计算ASN的哈希值:h(ASN)=ID,将ID标记到所述Identity域中;计算len=12-g,并计算验证码MAC=fx(PATH,len),将计算出的验证码标记到所述Path_Infor域中。
7.根据权利要求1所述的方法,其特征在于,所述重构IP数据包所经过的路径具体为:
根据所述IP数据包头部的Distance域、Identity域和Flag_Num域的值对所述IP数据包进行排序;
依序获取各IP数据包头部四个域的承载信息,并重组路径;用哈希函数h计算所重组路径中首个MBG所在AS的ASN哈希值摘要ID’,并在所述ID’与所述IP数据包头部的Identity域中的哈希摘要ID相同时,输出所述IP数据包的重组路径,为入侵路径。
8.一种基于路径信息弹性分片的跨域溯源系统,其特征在于,所述系统包括划分单元、确认单元、确定单元、标记单元、验证单元和路径重构单元,其中,
划分单元,用于将IP数据包头部中的部分数据域分为四个域,分别为距离Distance域、标识Identity域、标志号Flag_Num域和路径信息Path_Infor域,其中,Distance域用于承载对所述IP数据包进行标记的首个标记边界网关MBG所在自治系统AS到所述IP数据包目的AS的距离信息,Identity域用于承载对所述IP数据包进行标记的第一个MBG所对应的自治系统号ASN的哈希摘要值ID信息,Flag_Num域用于承载指示所述IP数据包所经过的MBG对应ASN分片信息中的第几片标记到所述Path_Infor域中,Path_Infor域用于承载所述IP数据包所经过的各MBG所标记的ASN分片信息以及验证码;
确认单元,用于确认MBG接收到的IP数据包头部的四个域是否承载有信息,未承载时触发确定单元,承载有信息时触发验证单元;
确定单元,用于确定出四个域的承载信息;
标记单元,用于将所述确定单元确定的承载信息分别标记到所述IP数据包头部的所述四个域中;以及,在在所述四个域中的承载信息验证通过后,将当前MBG所在AS信息标记到所述四个域中的对应域;
验证单元,用于对所述四个域中的承载信息进行验证,验证通过后,触发标记单元;验证未通过则确定所述IP数据包头部的所述四个域中的承载信息为伪造信息;
路径重构单元,用于根据接收到的IP数据包头部的所述四个域中的承载信息,重构IP数据包所经过的路径。
9.根据权利要求8所述的系统,其特征在于,所述验证单元进一步获取IP数据包头部所述四个域的承载信息,并根据所获取的承载信息计算验证码;根据边界网关协议BGP的AS路径属性,获得当前MBG所在AS与IP数据包目的AS的距离;将验证码与所述四个域中的所承载的验证码进行对比,若相等,且所述Distance域承载的距离小于等于5,当前MBG所在AS到所述IP数据包目的AS的距离小于所述Distance域承载的距离,则所述四个域中承载信息验证通过;以及,所述标记单元进一步根据所述四个域中承载信息对当前MBG所在的AS的ASN进行分片,并将指定分片标记到所述Path_Infor域中;若所述四个域中承载信息验证未通过则所述IP数据包头部的所述四个域中承载信息是伪造的。
10.根据权利要求9所述的系统,其特征在于,所述验证单元根据所获取的承载信息计算验证码具体为:
根据所述Distance域承载的距离d,通过计算出g,其中,
Figure FDA00002456190800052
为向下取整运算符,g表示所述Path_Infor域分配给当前ASN分片的空间大小;
根据BGP的AS路径属性,获得当前MBG所在的AS与所述IP数据包目的AS的距离d’,进一步确定验证码在所述Path_Infor域中的偏移位置:OffsetMAC=(d-d’)×g;
计算所述Path_Infor域中承载ASN分片信息后剩余的空间:len=12-OffsetMAC
根据OffsetMAc从所述IP数据包头部的Path_Infor域中提取所述Path_Infor域承载的验证码,所述Path_Infor域中剩余的为ASN的分片信息PATH;
计算验证码MAC’=fx(PATH,len);其中,f为能产生散列消息鉴别码HMAC的函数,x表示共享的密钥,MAC’的位数长度由len指定。
CN2010105457123A 2010-11-16 2010-11-16 一种基于路径信息弹性分片的跨域溯源方法及系统 Expired - Fee Related CN102045344B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010105457123A CN102045344B (zh) 2010-11-16 2010-11-16 一种基于路径信息弹性分片的跨域溯源方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010105457123A CN102045344B (zh) 2010-11-16 2010-11-16 一种基于路径信息弹性分片的跨域溯源方法及系统

Publications (2)

Publication Number Publication Date
CN102045344A CN102045344A (zh) 2011-05-04
CN102045344B true CN102045344B (zh) 2013-04-10

Family

ID=43911115

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105457123A Expired - Fee Related CN102045344B (zh) 2010-11-16 2010-11-16 一种基于路径信息弹性分片的跨域溯源方法及系统

Country Status (1)

Country Link
CN (1) CN102045344B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103177184A (zh) * 2013-01-30 2013-06-26 南京理工大学常熟研究院有限公司 一种低存储开销的运行时递推数据溯源方法
CN103164614A (zh) * 2013-01-30 2013-06-19 南京理工大学常熟研究院有限公司 一种支持数据重现的运行时递推数据溯源方法
CN103226675B (zh) * 2013-03-20 2015-07-29 华中科技大学 一种分析入侵行为的溯源系统及方法
CN104202785B (zh) * 2014-08-05 2018-02-27 浙江大学 一种无线传感网中数据包路径重构方法
CN104684011B (zh) * 2015-02-08 2018-04-27 浙江大学 一种无线传感网络中动态拓扑的测量方法
CN105682089B (zh) * 2015-12-29 2019-04-23 北京交通大学 基于分片的数据保护方法和装置
CN109787900B (zh) * 2017-11-15 2022-04-19 阿里巴巴集团控股有限公司 传输方法、装置、设备和机器可读介质
CN109120602B (zh) * 2018-07-25 2020-12-25 中国人民公安大学 一种IPv6攻击溯源方法
CN111541696B (zh) * 2020-04-24 2021-10-01 清华大学 随机认证嵌入的快速源和路径验证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004008700A2 (en) * 2002-07-12 2004-01-22 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
CN1997023B (zh) * 2006-12-19 2011-04-27 中国科学院研究生院 用于ip追踪的内部边采样方法和系统

Also Published As

Publication number Publication date
CN102045344A (zh) 2011-05-04

Similar Documents

Publication Publication Date Title
CN102045344B (zh) 一种基于路径信息弹性分片的跨域溯源方法及系统
CN105429963B (zh) 基于Modbus/Tcp的入侵检测分析方法
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN112910851B (zh) 基于知识图谱的数据包标记溯源装置
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
CN101518017A (zh) 用于因特网协议(ip)追踪的基于自治系统的边缘标记(asem)
Choi et al. A marking scheme using Huffman codes for IP traceback
CN102055674A (zh) Ip报文及基于该ip报文的信息处理方法及装置
Kang et al. A New Logging-based IP Traceback Approach using Data Mining Techniques.
US20180020014A1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program
Aghaei-Foroushani et al. On evaluating ip traceback schemes: a practical perspective
Ma An effective method for defense against IP spoofing attack
Patil et al. A Hybrid Traceback based Network Forensic Technique to Identifying Origin of Cybercrime.
Chonka et al. Detecting and tracing DDoS attacks by intelligent decision prototype
Lu et al. A novel approach for single-packet IP traceback based on routing path
Athavale et al. Framework for threat analysis and attack modelling of network security protocols
Baskar et al. Adaptive IP traceback mechanism for detecting low rate DDoS attacks
Subbulakshmi et al. Attack source identification at router level in real time using marking algorithm deployed in programmable routers
Durresi et al. Fast autonomous system traceback
Matsuda et al. Design and implementation of unauthorized access tracing system
Bhavani et al. IP traceback through modified probabilistic packet marking algorithm
TW202008758A (zh) 分散式網路流分析惡意行為偵測系統與其方法
Tiwari et al. Secure Socket Shell bruteforce attack detection with petri net modeling
Wang et al. IP traceback based on deterministic packet marking and logging
Ma et al. A Low‐Overhead and High‐Precision Attack Traceback Scheme with Combination Bloom Filters

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130410

Termination date: 20151116

EXPY Termination of patent right or utility model