CN103354539A - 一种基于IPv6网络特征的攻击路径还原方法及系统 - Google Patents
一种基于IPv6网络特征的攻击路径还原方法及系统 Download PDFInfo
- Publication number
- CN103354539A CN103354539A CN2012104980565A CN201210498056A CN103354539A CN 103354539 A CN103354539 A CN 103354539A CN 2012104980565 A CN2012104980565 A CN 2012104980565A CN 201210498056 A CN201210498056 A CN 201210498056A CN 103354539 A CN103354539 A CN 103354539A
- Authority
- CN
- China
- Prior art keywords
- routing node
- packet
- mark
- tag field
- territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于IPv6网络特征的攻击路径还原方法及系统,确定路由节点的标记概率后,各路由节点按照预设的标记概率对数据包进行标记,各主机节点获取带有完整标记的数据包,提取标记信息,在排除重复标记的路由节点后,根据距离域还原路由节点图,再根据哈希校验确定具有相同距离的不同路由节点中,数据包所经过的具体路径。本发明的方法将网络编码的思想应用到攻击路径还原方法中,减少了网络开销,并且误报率地,准确性高,对于单路径攻击和多路径攻击都能够进行还原。
Description
技术领域
本发明涉及网络攻击源追踪技术,特别涉及一种基于IPv6网络特征的攻击路径还原方法及系统。
背景技术
IPv6网络的普及是互联网发展的必然趋势。IPv6虽然通过涉及Ipsec提高了网络安全性,但其并未对现有的网络体系结构做出根本性的改变,由于TCP/IP协议的缺陷性,在IPv6网络中依然存在多样的网络攻击形式。
目前众多的网络攻击方式中,大部分的攻击都能实现对攻击源IP地址的隐藏和欺骗,通常情况下,利用经验和攻击软件能够有效的确认攻击形式,但却无法确认攻击源的真实位置,这将大大降低网络攻击应急响应的效果。因此,在攻击发生时能够高效快速的确定攻击源的真实位置以及攻击路径是十分重要的。
网络攻击源追踪技术的研究主要集中在一下几个方面,分段标记算法(Fragment Marking Scheme FMS),FMS把每个路由器的IP地址和冗余信息分成8-bit的片段,每个路由器概率标记包包含一个分片片段。FMS算法对于单点攻击的回追效果比较好,但对于分布式攻击,其误报率比较高。高级标记算法(AMS),该方法能够实现在大规模攻击情况下追溯攻击源,AMS将32位的IP地址转换为8位的hash,大大减少了存储所需的空间,但AMS算法适合分布式攻击形式的计算,对于少量节点的攻击回溯误报率和计算效率偏低。概率标记算法,提出记录路由器hash值进行回溯,但计算量较大;IPv6的扩展头标记实施概率标记算法,也需要较大计算量和较长的重构时间。综上所述,现有网络数据包追踪方法的缺点如下:
1、目前绝大多数网络攻击追溯算法并没有从实际网络环境下的限制因素出发考虑算法的有效性,在实际网络中存在诸多的限制条件,如网络的的开销、传输量、节点复杂度、地址欺骗等诸多因素。
2、现有方案都是在特定设计场景下的攻击回溯方法,其结果输出也是在特定情况下的数据表现,并未考虑复杂网络环境下的实际需求,没有对算法的效率进行特别的考量和优化,如果使用现有技术对实际网络环境进行下的数据包进行追踪,其时间开销和结果输出都不具有实际应用意义。
3、现有方案是针对单一路径攻击或多路径攻击情况下的方法,其处理的攻击形式具有局限性。事实上,在实际网络环境中,节点攻击形式是不确定出现的,有可能是单一节点的攻击,有可能是大规模节点的DDoS攻击,或是两者的交替结合。这需要算法具有完备的高鲁棒性。
4、对于IPv6 网络,由于其地址变为128位,直接使得许多在IPv4网络中应用的攻击追踪方法在IPv6环境下很难部署实施。
5、在IPv6网络中,路由器不会参与IPv6数据包的分片,网络中的数据包的形式包括三种:一种是较小的数据包,大小一般在0~63字节;一种是较大的数据包;第三种是数据包的分片。通过统计获得,绝大多数的攻击数据包为小数据包,因为大的数据包在传输过程中一般都要被分片和重组,这对于攻击包来说会使其容易被发现,所以如何处理小数据包的标记和大数据包的分片标记是解决实际IPv6网络的关键问题。
6、目前的大多数方案中,并没有考虑IPv6扩展报头的编码规范,这使得许多方案没有实际应用意义。
发明内容
本发明提供了一种基于IPv6网络特征的攻击路径还原方法及系统,将随机线性网络编码的思想应用到概率包的标记过程中,在很大程度上减少了统计数据包的数量,减少了网络开销,提高攻击图还原及攻击路径回溯的准确性。
一种基于IPv6网络特征的攻击路径还原方法,包括:
预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
所述的方法中,所述的对数据包进行标记包括:
a.判断数据包中是否包含标记判断域,如果是,则执行步骤b,否则按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,向下一路由节点转发数据包;
b.查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则执行步骤c,否则对数据包的标记域进行重写,并向下一路由节点转发数据包;
c.判断标记跳数,如果标记跳数为1或2,则将当前路由节点的标记信息添加到标记域中,再向下一路由节点转发数据包;如果标记跳数为3,则直接转发数据包。
所述的方法中,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
所述的方法中,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由节点。
所述的方法中,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
所述的方法中,所述的数据包为小数据包和/或部分大数据包的分片。
一种基于IPv6网络特征的攻击路径还原系统,包括:至少一个路由节点及目标主机节点;
路由节点包括:
预设单元,用于预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
标记单元,用于各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
目标主机节点包括:
数据收集单元,用于目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
去重单元,用于按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
节点生成单元,用于根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
路径还原单元,用于根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
所述的系统中,所述的标记单元还包括,对数据包进行标记包括:
标记判断子单元,判断数据包中是否包含标记判断域,如果是,则转入查询子单元,否则转入标记子单元,按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,再进入转发子单元中向下一路由节点转发数据包;
查询子单元,查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则转入标记跳数判断子单元,否则转入标记子单元,对数据包的标记域进行重写,并进入转发子单元中向下一路由节点转发数据包;
标记跳数判断子单元,判断标记跳数,如果标记跳数为1或2,则转入标记子单元,将当前路由节点的标记信息添加到标记域中,再进入转发子单元中,向下一路由节点转发数据包;如果标记跳数为3,则直接进入转发子单元中转发数据包。
所述的系统中,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
所述的系统中,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由的节点。
所述的系统中,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
所述的系统中,所述的数据包为小数据包和/或部分大数据包的分片。
本发明提供了一种基于IPv6网络特征的攻击路径还原方法及系统,确定路由节点的标记概率后,各路由节点按照预设的标记概率对数据包进行标记,各主机节点获取带有完整标记的数据包,提取标记信息,在排除重复标记的路由节点后,根据距离域还原路由节点图,再根据哈希校验确定具有相同距离的不同路由节点中,数据包所经过的具体路径。本发明的方法将网络编码的思想应用到攻击路径还原方法中,减少了网络开销,并且误报率地,准确性高,对于单路径攻击和多路径攻击都能够进行还原。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于IPv6网络特征的攻击路径还原方法流程图;
图2为对数据包进行标记方法流程图;
图3为基于IPv6网络特征的攻击路径还原系统结构图;
图4为标记单元内部结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于IPv6网络特征的攻击路径还原方法及系统,将随机线性网络编码的思想应用到概率包的标记过程中,在很大程度上减少了统计数据包的数量,减少了网络开销,提高攻击图还原及攻击路径回溯的准确性。
一种基于IPv6网络特征的攻击路径还原方法,如图1所示包括:
S101:预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
S102:各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
S103:目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
S104:按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
S105:根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
S106:根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
本发明方法中选择逐条选项报头作为标记编码区域的优势是,在所有扩展报头中,只有逐条选项报头是每一个中间路由器所必须处理的一个扩展报头,并且该扩展报头能够提供足够大的存储空间,在数据存储和编码的灵活性上存在优势。在本方法中,根据逐条选项报头的编码格式对标记域进行统一标记编码,更满足实际应用的意义。
如图2所示,所述的方法中,所述的对数据包进行标记包括:
S201:判断数据包中是否包含标记判断域,如果是,则执行S203,否则执行S202;
S202:按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,向下一路由节点转发数据包;
S203:查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则执行S205,否则执行S204;
S204:对数据包的标记域进行重写,并向下一路由节点转发数据包;
S205:判断标记跳数,如果标记跳数为1或2,则执行S206;如果标记跳数为3,则直接转发数据包;
S206:将当前路由节点的标记信息添加到标记域中,再向下一路由节点转发数据包。
所述的方法中,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
所述的方法中,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由的节点。
所述的方法中,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
所述的方法中,所述的数据包为小数据包和/或部分大数据包的分片。
为更好理解本发明的方法,下面对数据包的标记过程进行举例。
当路由节点确定对数据包进行标记时,将标记信息添加到标记域中,假设三个连续路由节点Ri、Ri+1、Ri+2对数据包进行标记,当前路由节点为Ri,在有限域F2b中随机选取的参数为Ci,距离域为Li。Ri标记方式如表1所示:
其中哈希校验中的XOR为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
Ri+1对数据包继续标记,将自身的标记信息添加到标记域中,标记方式如表2所示:
Ri+2对数据包继续标记,将自身的标记信息添加到标记域中,标记方式如表3所示:
路由标记的过程采用三元组路由标记思想,既保证每个标记三元组代表一组连续路由ID(即网络编码中的边信息),即第一路由对未标记的数据包进行首次标记,然后再其后两个连续的路由节点也分别对其标记,一旦后续路由检测到该数据包不是由当前路由的上一跳路由发送的,则重写数据包,重写方式与标记方式相同,如表1所示。
按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点的方式为将相同距离域的数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,并对随机参数域的矩阵进行逆运算,当随机参数域可逆时,得到的路由节点即排除了该距离域上重复出现过的多余路由节点标记。对于将线性组合域中随机选取的参数及路由节点ID生成矩阵形式,以距离域为L举例如下:
其中C为随机参数,当其矩阵可逆时,即求的各路由节点。
本发明还提供了一种基于IPv6网络特征的攻击路径还原系统,如图3所示包括:至少一个路由节点及目标主机节点;
路由节点包括:
预设单元301,用于预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
标记单元302,用于各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
目标主机节点包括:
数据收集单元303,用于目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
去重单元304,用于按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
节点生成单元305,用于根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
路径还原单元306,用于根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
所述的系统中,所述的标记单元如图4所示还包括,对数据包进行标记包括:
标记判断子单元401,判断数据包中是否包含标记判断域,如果是,则转入查询子单元402,否则转入标记子单元404,按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,再进入转发子单元405中向下一路由节点转发数据包;
查询子单元402,查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则转入标记跳数判断子单元403,否则转入标记子单元404,对数据包的标记域进行重写,并进入转发子单元405中向下一路由节点转发数据包;
标记跳数判断子单元403,判断标记跳数,如果标记跳数为1或2,则转入标记子单元404,将当前路由节点的标记信息添加到标记域中,再进入转发子单元405中,向下一路由节点转发数据包;如果标记跳数为3,则直接进入转发子单元405中转发数据包。
所述的系统中,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
所述的系统中,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由的节点。
所述的系统中,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
所述的系统中,所述的数据包为小数据包和/或部分大数据包的分片。
本发明提供了一种基于IPv6网络特征的攻击路径还原方法及系统,确定路由节点的标记概率后,各路由节点按照预设的标记概率对数据包进行标记,各主机节点获取带有完整标记的数据包,提取标记信息,在排除重复标记的路由节点后,根据距离域还原路由节点图,再根据哈希校验确定具有相同距离的不同路由节点中,数据包所经过的具体路径。本发明的方法将网络编码的思想应用到攻击路径还原方法中,减少了网络开销,并且误报率地,准确性高,对于单路径攻击和多路径攻击都能够进行还原。
本发明利用随机线性网络编码的思想,将网络中多条链路上传输的数据包在节点处进行编码融合,增加单次传输数据的信息量,并且在实际网络中存在多种复杂的情况,对于网络攻击路径的还原,IP地址欺骗直接影响方案的有效性,本发明利用路由节点重写机制和路由节点距离,削减IP地址欺骗的影响。在保证攻击回溯的效率和准确性的情况下具有较低的网络开销。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种基于IPv6网络特征的攻击路径还原方法,其特征在于,包括:
预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
2.如权利要求1所述的方法,其特征在于,所述的对数据包进行标记包括:
a.判断数据包中是否包含标记判断域,如果是,则执行步骤b,否则按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,向下一路由节点转发数据包;
b.查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则执行步骤c,否则对数据包的标记域进行重写,并向下一路由节点转发数据包;
c.判断标记跳数,如果标记跳数为1或2,则将当前路由节点的标记信息添加到标记域中,再向下一路由节点转发数据包;如果标记跳数为3,则直接转发数据包。
3.如权利要求1或2所述的方法,其特征在于,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
4.如权利要求3所述的方法,其特征在于,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由的节点。
5.如权利要求2所述的方法,其特征在于,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
6.如权利要求1或2所述的方法,其特征在于,所述的数据包为小数据包和/或部分大数据包的分片。
7.一种基于IPv6网络特征的攻击路径还原系统,其特征在于,包括:至少一个路由节点及目标主机节点;
路由节点包括:
预设单元,用于预设路由节点对数据包进行标记的概率,确定数据包扩展报头中的逐跳选项报头做为数据包的标记域,所述的标记域包括标记判断域、标记跳数、线性组合域、随机参数域、距离域和哈希校验;
标记单元,用于各路由节点根据相同的预设的标记概率获取经过的数据包,并将路由节点的标记信息写入标记域中,对数据包进行标记;
目标主机节点包括:
数据收集单元,用于目标主机节点收集带有完整标记的数据包,提取标记域中的标记信息;
去重单元,用于按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点;
节点生成单元,用于根据排除重复路由节点后的路由节点、距离域,绘制各距离域的路由节点图;
路径还原单元,用于根据哈希校验,确定具有相同距离的不同路由节点中数据包所经过的路径,还原攻击路线图;
所述带有完整标记的数据包为被三个连续路由节点标记的数据包。
8.如权利要求7所述的系统,其特征在于,所述的标记单元还包括,对数据包进行标记包括:
标记判断子单元,判断数据包中是否包含标记判断域,如果是,则转入查询子单元,否则转入标记子单元,按照TLV编码格式配置路由节点在数据包内的标记域,并将当前路由节点的标记信息添加到标记域中,再进入转发子单元中向下一路由节点转发数据包;
查询子单元,查询路由表,判断数据包是否为上一跳路由节点标记的数据包,如果是,则转入标记跳数判断子单元,否则转入标记子单元,对数据包的标记域进行重写,并进入转发子单元中向下一路由节点转发数据包;
标记跳数判断子单元,判断标记跳数,如果标记跳数为1或2,则转入标记子单元,将当前路由节点的标记信息添加到标记域中,再进入转发子单元中,向下一路由节点转发数据包;如果标记跳数为3,则直接进入转发子单元中转发数据包。
9.如权利要求7或8所述的系统,其特征在于,所述的将当前路由节点的标记信息添加到标记域中为,记录标记判断域为1;标记跳数随路由节点数量增加,最小为1,最大为3;线性组合域为标记数据包的三个连续路由节点的路由节点ID与有限域F2b中随机选取的参数的线性组合;随机参数域为三位,分别存放连续三个路由节点在有限域F2b中随机选取的参数;距离域为路由节点中记录的距离目标节点的距离;哈希校验为当前路由节点IP地址的哈希值异或上一路由节点IP地址的哈希值的结果。
10.如权利要求9所述的系统,其特征在于,所述的按距离域将收集到的数据包分类,并排除具有相同距离域的重复路由节点为:将同一分类数据包标记域中,线性组合域中随机选取的参数及路由节点ID生成矩阵形式,当随机选取的参数矩阵可逆时,则得到的路由节点ID为排除了具有相同距离域的重复路由的节点。
11.如权利要求8所述的系统,其特征在于,所述的对数据包的标记域进行重写为,清除数据包标记域中的标记信息,按照当前路由节点信息对标记域进行重新标记。
12.如权利要求7或8所述的系统,其特征在于,所述的数据包为小数据包和/或部分大数据包的分片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210498056.5A CN103354539B (zh) | 2012-11-29 | 2012-11-29 | 一种基于IPv6网络特征的攻击路径还原方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210498056.5A CN103354539B (zh) | 2012-11-29 | 2012-11-29 | 一种基于IPv6网络特征的攻击路径还原方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103354539A true CN103354539A (zh) | 2013-10-16 |
| CN103354539B CN103354539B (zh) | 2016-05-11 |
Family
ID=49310849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210498056.5A Active CN103354539B (zh) | 2012-11-29 | 2012-11-29 | 一种基于IPv6网络特征的攻击路径还原方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103354539B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105338570A (zh) * | 2015-10-08 | 2016-02-17 | 山东大学(威海) | 基于伪随机序列的无线传感器网络数据溯源方法 |
| CN105682098A (zh) * | 2016-02-24 | 2016-06-15 | 中南大学 | 一种无线传感器网络中基于信任的概率标记溯源追踪方法 |
| CN107979589A (zh) * | 2017-10-27 | 2018-05-01 | 杭州安恒信息技术有限公司 | 攻击路线展示方法、装置及设备 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN110505237A (zh) * | 2019-09-03 | 2019-11-26 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| CN112995040A (zh) * | 2021-04-29 | 2021-06-18 | 中国人民解放军国防科技大学 | 一种基于设备标识计算的报文路径溯源方法及装置 |
| CN114362990A (zh) * | 2021-11-12 | 2022-04-15 | 安天科技集团股份有限公司 | 一种攻击路径确定方法、装置、电子设备及可读存储介质 |
| CN114650171A (zh) * | 2022-02-24 | 2022-06-21 | 中国电子科技集团公司第十五研究所 | 一种多层融合信标检测与路径还原方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777182A (zh) * | 2005-12-06 | 2006-05-24 | 南京邮电大学 | 一种基于洪泛攻击的高效、安全追踪方案 |
| US20070157314A1 (en) * | 2005-12-30 | 2007-07-05 | Industry Academic Cooperation Foundation Of Kyungh | METHOD FOR TRACING-BACK IP ON IPv6 NETWORK |
| CN101873258A (zh) * | 2010-06-07 | 2010-10-27 | 清华大学 | 一种概率包标记及攻击源追溯方法、系统及装置 |
-
2012
- 2012-11-29 CN CN201210498056.5A patent/CN103354539B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777182A (zh) * | 2005-12-06 | 2006-05-24 | 南京邮电大学 | 一种基于洪泛攻击的高效、安全追踪方案 |
| US20070157314A1 (en) * | 2005-12-30 | 2007-07-05 | Industry Academic Cooperation Foundation Of Kyungh | METHOD FOR TRACING-BACK IP ON IPv6 NETWORK |
| CN101873258A (zh) * | 2010-06-07 | 2010-10-27 | 清华大学 | 一种概率包标记及攻击源追溯方法、系统及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 孙亮: "分布式拒绝服务攻击检测及追踪技术的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 July 2010 (2010-07-15) * |
| 杨俊 等: "基于扩展头随机标记的IPv6攻击源追踪方案", 《计算机应用研究》, vol. 27, no. 6, 30 June 2010 (2010-06-30) * |
| 闫巧 等: "基于确定线性网络编码的IPv6追踪", 《计算机应用》, vol. 31, no. 9, 30 September 2011 (2011-09-30) * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105338570A (zh) * | 2015-10-08 | 2016-02-17 | 山东大学(威海) | 基于伪随机序列的无线传感器网络数据溯源方法 |
| CN105338570B (zh) * | 2015-10-08 | 2018-10-26 | 山东大学(威海) | 基于伪随机序列的无线传感器网络数据溯源方法 |
| CN105682098A (zh) * | 2016-02-24 | 2016-06-15 | 中南大学 | 一种无线传感器网络中基于信任的概率标记溯源追踪方法 |
| CN105682098B (zh) * | 2016-02-24 | 2018-11-30 | 中南大学 | 一种无线传感器网络中基于信任的概率标记溯源追踪方法 |
| CN108696473B (zh) * | 2017-04-05 | 2020-11-24 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN107979589B (zh) * | 2017-10-27 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 攻击路线展示方法、装置及设备 |
| CN107979589A (zh) * | 2017-10-27 | 2018-05-01 | 杭州安恒信息技术有限公司 | 攻击路线展示方法、装置及设备 |
| CN110505237A (zh) * | 2019-09-03 | 2019-11-26 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| CN110505237B (zh) * | 2019-09-03 | 2021-08-13 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| CN112995040A (zh) * | 2021-04-29 | 2021-06-18 | 中国人民解放军国防科技大学 | 一种基于设备标识计算的报文路径溯源方法及装置 |
| CN112995040B (zh) * | 2021-04-29 | 2021-08-03 | 中国人民解放军国防科技大学 | 一种基于设备标识计算的报文路径溯源方法及装置 |
| CN114362990A (zh) * | 2021-11-12 | 2022-04-15 | 安天科技集团股份有限公司 | 一种攻击路径确定方法、装置、电子设备及可读存储介质 |
| CN114362990B (zh) * | 2021-11-12 | 2023-08-29 | 安天科技集团股份有限公司 | 一种攻击路径确定方法、装置、电子设备及可读存储介质 |
| CN114650171A (zh) * | 2022-02-24 | 2022-06-21 | 中国电子科技集团公司第十五研究所 | 一种多层融合信标检测与路径还原方法和装置 |
| CN114650171B (zh) * | 2022-02-24 | 2023-04-18 | 中国电子科技集团公司第十五研究所 | 一种多层融合信标检测与路径还原方法、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103354539B (zh) | 2016-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103354539B (zh) | 一种基于IPv6网络特征的攻击路径还原方法及系统 | |
| Sung et al. | IP traceback-based intelligent packet filtering: A novel technique for defending against Internet DDoS attacks | |
| US8711883B2 (en) | Multiple carrier compression scheme | |
| CN102447694B (zh) | 一种IPv6网络虚假源地址数据包追溯方法和装置 | |
| CN104272677B (zh) | 基于点到多点的多播标签分发协议本地保护解决方案 | |
| CN101518017A (zh) | 用于因特网协议(ip)追踪的基于自治系统的边缘标记(asem) | |
| CN102404197A (zh) | 分组的伪线层中包括的数据路径处理信息 | |
| Choi et al. | A marking scheme using Huffman codes for IP traceback | |
| CN102045344B (zh) | 一种基于路径信息弹性分片的跨域溯源方法及系统 | |
| CN1777182A (zh) | 一种基于洪泛攻击的高效、安全追踪方案 | |
| CN112910851A (zh) | 基于知识图谱的数据包标记溯源装置 | |
| Patil et al. | Unmasking of source identity, a step beyond in cyber forensic | |
| CN102801727A (zh) | 一种基于自治域系统的DDoS攻击追踪方法 | |
| CN106464600A (zh) | 用于在第3层网络中提供拥塞通知的系统和方法 | |
| KR101267493B1 (ko) | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 | |
| Aghaei-Foroushani et al. | On evaluating ip traceback schemes: a practical perspective | |
| Al-Duwairi et al. | Topology based packet marking | |
| Borokhovich et al. | The show must go on: Fundamental data plane connectivity services for dependable SDNs | |
| Patil et al. | A Hybrid Traceback based Network Forensic Technique to Identifying Origin of Cybercrime. | |
| Sun et al. | Modified deterministic packet marking for DDoS attack traceback in IPv6 network | |
| Li et al. | A proposal for cyber-attack trace-back using packet marking and logging | |
| Kim et al. | IP traceback with sparsely-tagged fragment marking scheme under massively multiple attack paths | |
| CN113542188A (zh) | 报文检测的方法以及第一网络设备 | |
| Subash et al. | An enhanced hybrid scheme for IP Traceback | |
| Zhou et al. | Fast traceback against large-scale DDoS attack in high-speed internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Patentee after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for restoring attacking path based on IPv6 network features Effective date of registration: 20181119 Granted publication date: 20160511 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990001084 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20200508 Granted publication date: 20160511 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: 2018990001084 |