CN105072083B - 一种基于网络流水印的网络主动追踪方法及系统 - Google Patents
一种基于网络流水印的网络主动追踪方法及系统 Download PDFInfo
- Publication number
- CN105072083B CN105072083B CN201510386446.7A CN201510386446A CN105072083B CN 105072083 B CN105072083 B CN 105072083B CN 201510386446 A CN201510386446 A CN 201510386446A CN 105072083 B CN105072083 B CN 105072083B
- Authority
- CN
- China
- Prior art keywords
- watermark
- network
- flow
- tracking
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000000605 extraction Methods 0.000 claims abstract description 14
- 238000004458 analytical method Methods 0.000 claims abstract description 7
- 238000001514 detection method Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 201000004569 Blindness Diseases 0.000 abstract 1
- 238000003780 insertion Methods 0.000 abstract 1
- 230000037431 insertion Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009189 diving Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于网络流水印的网络主动追踪方法,以及一种基于网络流水印的网络主动追踪系统。本发明对追踪链路上的流量首先进行信息熵分析,确定嵌入水印和提取水印的时间点,有针对性的嵌入和提取水印,代替现有系统中随机盲目的嵌入和提取水印,具有更高的追踪效率。本发明对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析,在信息熵大的时间段增强了水印(追踪标志)的隐蔽性和健壮性,从而具有更高的追踪准确率。本发明同时对所述追踪的网络节点的输入流和输出流进行检测,对跳板主机来说,在它的输入流量和输出流量中同时能检测到水印,而对于攻击源来说,仅在输出流量中检测到水印。
Description
技术领域
本发明涉及计算机网络通信安全技术领域,更具体地说,涉及一种基于网络流水印的网络主动追踪方法,以及一种基于网络流水印的网络主动追踪系统。
背景技术
随着信息化和网络化的不断发展,网络攻击日益严重,目前,网络追踪已成为网络安全研究领域的热点。基于网络的攻击大多利用网络协议的不完善性和网络资源、系统资源的有限性实现对目标的攻击。
针对不同的攻击类型,现有的网络追踪方法主要有入口过滤法、数据包记录法、路径记录法、日志记录法和数据包标记法等。目前研究和讨论最多的网络追踪技术是在网络流量中指定特定的特征量作为标志或在数据包中添加数据标志信息,然后通过对这些标志的检测与追踪来实现对攻击与入侵的追踪。这些追踪技术中添加的标志数据或字段有可能会被攻击者察觉而伪造数据包来逃避追踪,并且它不适用于对加密流量及匿名通信环境中流追踪和定位。因此现在研究者致力于提出更强大的主动追踪方法保证网络的安全性。
网络流水印技术是一种主动的追踪技术,它是将主动网络流量分析与数字水印思想相融合的主动网络流水印技术。它通过在网络流量中嵌入可感知或不可感知的特定信息来确定流量的所有权或检验流量的原始性,这些特性的信息包括对数据包时间间隔延迟的控制、网络流量速率大小的控制等等。网络流水印技术通过一定的算法将一些标志性信息嵌入需要追踪的流量中,只有通过专门的检测器才能正确检测或提取。这些信息不影响原始流量使用效果,并可以部分或全部从混合数据中恢复出来。一般来讲,一些被动追踪技术不能对加密数据、匿名通信流量提供保护,现有主动追踪技术数字标签的隐藏性、健壮性比较弱,容易被破坏和剔除,而网络流水印技术却很好地弥补了这些不足。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于网络流水印的网络主动追踪方法,以及一种基于网络流水印的网络主动追踪系统。
本发明的技术方案如下:
一种基于网络流水印的网络主动追踪方法,在攻击链路的网络节点中,在只有输出流的网络节点的输出链路上确定嵌入水印的时间段,完成水印设置和水印嵌入;在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为需要追踪的起点,在选定的追踪起点输出流链路和输入流链路上分别提取水印,确认攻击来源;所述的攻击链路为攻击源节点与被攻击目标之间的通信链路。
作为优选,水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定,具体为:
1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流量信息熵大小,流量信息熵大小为预设单位时间间隔内数据包比特熵大小;
2)根据当前采集的流量信息熵大小和网络流量信息熵阈值,确定水印嵌入时间段。
作为优选,步骤1)中,预设单位时间间隔内流量信息熵的采集方法具体为:
数据包比特熵大小的变化概率Pi,j=Pbyte(i,j)/Pbyte_sum(i);
其中,Pbyte(i,j)表示每个数据包的大小,Pbyte_sum(i)表示每个时间间隔总的数据包个数;
每个单位时间间隔的数据包比特熵
作为优选,步骤2)确定水印嵌入时间段的方法为:如果当前采集的数据包比特熵大于网络流量信息熵阈值,则确定该单位时间间隔内为所述水印生成的时间段。
作为优选,水印设置包括水印生成、水印嵌入;
水印生成:根据确定的水印嵌入时间段生成水印,选取确定的水印嵌入时间段内的相邻数据包间时延ipd作为水印载体,调整多个相邻数据包间时延ipd的大小,生成水印;
水印嵌入:根据生成的水印,按照调整后的相邻数据包间时延ipd发送数据包,形成含有水印的流量。
作为优选,水印设置具体通过以下方式确定:
计算嵌入水印时间段内数据流中,连续的相邻数据包Pi和Pj间时延
其中,ti与tj分别为Pi和Pj到达网络中某节点的时刻;
通过如下公式增加或减少每个ipdi来表示水印wi:
根据调整后的相邻数据包间时延进行传输,完成水印的嵌入,并将存储在数据库中。
作为优选,水印检测包括:水印提取、水印相关性判决、攻击源与攻击跳板的判决;
水印提取包括:
根据预设单位时间间隔采集攻击链路的网络流量信息熵大小;
根据当前采集的网络流量信息熵大小确定提取水印的时间段;
根据提取水印的时刻点提取网络流量中的水印信息;
水印相关性判决:通过提取的水印与数据库预先存储的水印进行匹配,判断是否为嵌入的水印。
作为优选,水印相关性通过以下公式确定:
皮尔逊相关系数
其中,ρX,Y为皮尔逊相关系数,X和Y分别为嵌入的水印序列和提取的水印序列,表示在嵌入水印时间段含有水印信息的相邻数据包间时延,表示提取水印时间段内含有水印信息的相邻数据包间时延。
作为优选,攻击源与攻击跳板的判决,根据追踪主机的输入流与输出流中含有的水印信息,判断追踪主机为攻击源或攻击跳板。
一种基于网络流水印的网络主动追踪系统,包括:水印嵌入器、水印检测器;
水印嵌入器包括:
水印嵌入时间段选取模块,用于实现水印信息嵌入时间段的确定,包括对来自网络中的各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析;
水印设置模块,用于生成水印信息,并将水印信息嵌入到的需要追踪的网络流量中,以及对相邻数据包间时延ipd的调整;
水印检测器用于追踪流量的来源地址,包括:
水印提取模块,用于采集追踪链路上的流量,提取流量中存在的水印;
水印相关性判决模块,用于将水印提取模块中提取的水印信息与预存在数据库中的嵌入网络流量中的水印信息进行水印相关性比对,判断提取的水印是否为嵌入的水印;
攻击源及攻击跳板判决模块,根据网络节点输出流和输入流中是否存在嵌入的水印,判断网络节点在攻击链路中所处的位置。
本发明的有益效果如下:
1、追踪效率更高
本发明对追踪链路上的流量首先进行信息熵分析,确定嵌入水印和提取水印的时间点,有针对性的嵌入和提取水印,代替现有系统中随机盲目的嵌入和提取水印,因此,具有更高的追踪效率。
2、追踪准确率更高
本发明对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析,在信息熵大的时间段,即在携带信息量多的时间段嵌入或提取水印,增强了水印(追踪标志)的隐蔽性和健壮性。因此,本发明的追踪方法不同于现有技术的追踪方法,即使网络上出现抖动等干扰,仍然能检测到对应的水印,从而具有更高的追踪准确率。
3、判定是攻击源还是攻击跳板更迅速
本发明同时对所述追踪的网络节点的输入流和输出流进行检测,根据输入流和输出流是否存在水印判定所述追踪的网络节点在攻击链路上所处位置。对跳板主机来说,在它的输入流量和输出流量中同时能检测到水印,而对于攻击源来说,仅在输出流量中检测到水印。
附图说明
图1是本发明网络追踪系统整体构成及功能逻辑的示意图;
图2是本发明实施例中网络追踪系统在真实网络中的应用部署示意图;
图3是本发明实施例中网络追踪系统实施水印嵌入的流程图;
图4是本发明实施例中网络追踪系统实施水印检测的流程图。
具体实施方式
以下结合附图及实施例对本发明进行进一步的详细说明。
本发明提供一种基于网络流水印的网络主动追踪方法,在攻击链路的网络节点中,在只有输出流的网络节点的输出链路上确定嵌入水印的时间段,完成水印设置和水印嵌入;在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为需要追踪的起点,在选定的追踪起点输出流链路和输入流链路上分别提取水印,确认攻击来源;所述的攻击链路为攻击源节点与被攻击目标之间的通信链路。
水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定,用于选取合适的时间段嵌入水印,有针对性的生成和嵌入水印。具体为:
1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流量信息熵大小,流量信息熵大小为预设单位时间间隔内数据包比特熵大小;步骤1)中,预设单位时间间隔内流量信息熵的采集方法具体为:
数据包比特熵大小的变化概率Pi,j=Pbyte(i,j)/Pbyte_sum(i);
其中,Pbyte(i,j)表示每个数据包的大小,Pbyte_sum(i)表示每个时间间隔总的数据包个数;
每个单位时间间隔的数据包比特熵一旦所求信息熵符合设置的熵阈值,确定所述当前的单位时间间隔是最佳嵌入水印的时间段。
2)根据当前采集的流量信息熵大小和网络流量信息熵阈值,确定水印嵌入时间段。步骤2)确定水印嵌入时间段的方法为:如果当前采集的数据包比特熵大于网络流量信息熵阈值,则确定该单位时间间隔内为所述水印生成的时间段。
水印设置包括水印生成、水印嵌入,具体如下:
水印生成:根据确定的水印嵌入时间段生成水印,选取确定的水印嵌入时间段内的相邻数据包间时延ipd(inter-packet delay)作为水印载体,调整多个相邻数据包间时延ipd的大小,略微调整即可达到最优效果,来嵌入水印信息位wi,实现流内携带水印w的目的,生成水印。
水印嵌入:根据生成的水印,按照调整后的相邻数据包间时延ipd发送数据包,形成含有水印的流量。
本发明中,水印设置具体通过以下方式确定:
计算嵌入水印时间段内数据流中,连续的相邻数据包Pi和Pj间时延
其中,ti与tj分别为Pi和Pj到达网络中某节点的时刻;
通过如下公式增加或减少每个ipdi来表示水印wi:
其中a要足够小;
根据微调后确定相邻数据包间时延根据微调后的时间进行传输,完成水印的嵌入,并将存储在数据库中。
水印检测包括水印提取、水印相关性判决、攻击源与攻击跳板的判决,具体如下:
水印提取包括:
根据预设单位时间间隔采集攻击链路的网络流量信息熵大小;
根据当前采集的网络流量信息熵大小确定提取水印的时间段;
根据提取水印的时刻点提取网络流量中的水印信息。
以信息熵的方式分析所述攻击链路上的流量,为在大量流量中确定可以提取水印的大致时间段范围,恢复网络流量中可能存在的水印。水印提取主要根据如下公式进行提取:
其中,与分别为Pdi和Pdj到达攻击节点的时刻,Pdi和Pdj分别为提取水印时间段内数据流内连续的数据包。
水印相关性判决:通过提取的水印与数据库预先存储的水印进行匹配,判断是否为嵌入的水印。其中,所述水印相关性用于指示提取的水印与嵌入的水印的相似程度。
水印相关性通过以下公式确定:
皮尔逊相关系数
其中,ρX,Y为皮尔逊相关系数,X和Y分别为嵌入的水印序列和提取的水印序列,表示在嵌入水印时间段含有水印信息的相邻数据包间时延,表示提取水印时间段内含有水印信息的相邻数据包间时延。
攻击源与攻击跳板的判决,根据追踪主机的输入流与输出流中含有的水印信息,判断追踪主机为攻击源或攻击跳板。根据检测结果,所述追踪链路上的网络节点的输出流和输入流中都检测到所述嵌入的水印信息,说明所述网络节点为攻击跳板;若所述网络节点只有输出流中存在所述嵌入的水印,表明所述网络节点为攻击源。
为了实现上述的基于网络流水印的网络主动追踪方法,本发明还提供一种基于网络流水印的网络主动追踪系统,包括:水印嵌入器、水印检测器;
水印嵌入器包括:
水印嵌入时间段选取模块,用于实现水印信息嵌入时间段的确定,包括对来自网络中的各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析。本发明中,水印嵌入时间段选取模块获取网络流量信息,并以统计单位时间间隔内信息熵大小的方式对网络流量各种行为进行记录与分析;分析某个单位时间间隔内的信息熵是否大于所述熵阈值,进而确定水印嵌入的时间段。
水印设置模块,用于生成水印信息,并将水印信息嵌入到的需要追踪的网络流量中,以及对相邻数据包间时延ipd的细微调整。本发明中,水印设置模块为所述的的网络主动追踪系统提供水印特征关联追踪提供条件,同时为追踪特征信息记录入库提供数据来源。包括:水印生成模块和水印嵌入器,水印嵌入器用于将调整后的数据包时延ipd恢复到流量中进行传输。
水印检测器用于追踪流量的来源地址,包括:
水印提取模块,用于采集追踪链路上的流量,提取流量中存在的水印;
水印相关性判决模块,用于将水印提取模块中提取的水印信息与预存在数据库中的嵌入网络流量中的水印信息进行水印相关性比对,判断提取的水印是否为嵌入的水印;
攻击源及攻击跳板判决模块,根据网络节点输出流和输入流中是否存在嵌入的水印,判断网络节点在攻击链路中所处的位置。
进一步地,本发明所述的网络主动追踪系统还包括数据库,用于数据库存储和备份所述嵌入的水印数据,保证收集的数据完整和安全。
如图1所示,本发明所述的网络主动追踪系统在物理上由水印嵌入器和水印检测器两部分组成。水印嵌入器包括水印嵌入时间段选取模块、水印设置模块,主要用于生成水印,并将水印嵌入到网络流中。水印检测器主要包括水印提取模块、水印相关性判决模块、攻击源及攻击跳板判决模块,用于提取网络流量中的水印,并判决是否存在攻击。
如图2所示,本发明所述的网络主动追踪系统应用部署在真实网络中,实施水印嵌入的具体步骤如图3所示。
步骤1,如图2所示,对水印嵌入器进行部署,预先设置采样的单位时间和信息熵判断阈值;
步骤2,连续地采集经过水印嵌入器的单位时间间隔内的流量,并对单位时间内的信息熵进行计算,具体实现步骤为:
步骤2.1,计算每个单位时间内每个数据包大小的变化概率Pi,j=Pbyte(i,j)/Pbyte_sum(i),Pbyte(i,j)表示每个数据包的大小,Pbyte_sum(i)表示每个单位时间间隔内总的数据包个数;
步骤2.2,计算每个单位时间的数据包比特熵大小
步骤3,判断每个单位时间上的数据包比特熵是否大于所述设置的熵阈值大小,若大于,确定这个单位时间段可作为嵌入水印的时间段,进入步骤4,否则计算下一个单位时间内的熵值,进入步骤2;
步骤4,水印设置,具体步骤如下:
步骤4.1,选取所述确定的水印嵌入时间段内的多个连续的数据包,计算相邻数据包间时间延迟ti与tj分别为Pi和Pj到达网络中某节点的时刻,Pi和Pj分别是相邻的两个数据包;
步骤4.2,通过以下两个公式增加或减少每个用来表示水印,公式分别为其中a要足够小;
步骤4.3,嵌入水印,根据所述进行微调后确定相邻数据包时延为根据微调后的时间进行传输,完成了水印的嵌入,并将存入数据库。
如图4所示,本发明所述的网络主动追踪系统实施水印检测的流程的具体步骤如下:
步骤1,如图2对水印检测器进行部署,预先设置信息熵检测的判断阈值;
步骤2,连续地采集经过水印检测器的单位时间间隔内的流量,并对单位时间内的流量信息熵进行计算;
步骤3,判断每个单位时间上的数据包比特熵是否大于所述设置的熵阈值大小,若大于,确定这个单位时间段可作为提取水印的时间段,进入步骤4,否则计算下一个单位时间内的熵值,进入步骤2;
步骤4,水印提取,选取所述确定的水印提取时间段内的连续的数据包,计算相邻数据包间的时间延迟 与分别为Pdi和Pdj到达攻击节点的时刻,Pdi和Pdj分别为水印提取时间段内的数据包;
步骤5,水印判决,提取的水印与数据库中存储的水印信息相关性判断,如果相关性强说明提取的水印存在于数据库中,进入步骤6,否则,返回步骤4;
步骤6,依据数据库中存储的水印,判断是否存在除了正常用户链路上的水印还含有其他水印信息,如果存在,说明存在攻击,进入步骤7,否则,判断无攻击;
步骤7,判断所述追踪主机的输入和输出流是否同时含有水印,如果是,判断该主机为攻击的跳板,如果只有输入流中存在水印,说明该主机为攻击源。
上述实施例仅是用来说明本发明,而并非用作对本发明的限定。只要是依据本发明的技术实质,对上述实施例进行变化、变型等都将落在本发明的权利要求的范围内。
Claims (8)
1.一种基于网络流水印的网络主动追踪方法,其特征在于,在攻击链路的网络节点中,在只有输出流的网络节点的输出链路上确定嵌入水印的时间段,完成水印设置和水印嵌入;在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为需要追踪的起点,在选定的追踪起点输出流链路和输入流链路上分别提取水印,确认攻击来源;所述的攻击链路为攻击源节点与被攻击目标之间的通信链路;
水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定,具体为:
1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流量信息熵大小,流量信息熵大小为预设单位时间间隔内数据包比特熵大小;
2)根据当前采集的流量信息熵大小和网络流量信息熵阈值,确定水印嵌入时间段;
步骤2)确定水印嵌入时间段的方法为:如果当前采集的数据包比特熵大于网络流量信息熵阈值,则确定该单位时间间隔内为所述水印生成的时间段。
2.根据权利要求1所述的基于网络流水印的网络主动追踪方法,其特征在于,步骤1)中,预设单位时间间隔内流量信息熵的采集方法具体为:
数据包比特熵大小的变化概率Pi,j=Pbyte(i,j)/Pbyte_sum(i);
其中,Pbyte(i,j)表示每个数据包的大小,Pbyte_sum(i)表示每个时间间隔总的数据包个数;
每个单位时间间隔的数据包比特熵
3.根据权利要求1所述的基于网络流水印的网络主动追踪方法,其特征在于,水印设置包括水印生成、水印嵌入;
水印生成:根据确定的水印嵌入时间段生成水印,选取确定的水印嵌入时间段内的相邻数据包间时延ipd作为水印载体,调整多个相邻数据包间时延ipd的大小,生成水印;
水印嵌入:根据生成的水印,按照调整后的相邻数据包间时延ipd发送数据包,形成含有水印的流量。
4.根据权利要求3所述的基于网络流水印的网络主动追踪方法,其特征在于,水印设置具体通过以下方式确定:
计算嵌入水印时间段内数据流中,连续的相邻数据包Pi和Pj间时延
其中,ti与tj分别为Pi和Pj到达网络中某节点的时刻;
通过如下公式增加或减少每个来表示水印wi:
<mrow>
<msubsup>
<mi>ipd</mi>
<mi>i</mi>
<mi>w</mi>
</msubsup>
<mo>=</mo>
<msubsup>
<mi>ipd</mi>
<mi>i</mi>
<mi>u</mi>
</msubsup>
<mo>+</mo>
<msub>
<mi>e</mi>
<mi>i</mi>
</msub>
<mi>a</mi>
<mo>,</mo>
<mi>a</mi>
<mo>></mo>
<mn>0</mn>
<mo>;</mo>
</mrow>
<mrow>
<msub>
<mi>e</mi>
<mi>i</mi>
</msub>
<mo>=</mo>
<mfenced open = "{" close = "">
<mtable>
<mtr>
<mtd>
<mo>+</mo>
<mn>1</mn>
<mo>,</mo>
<msub>
<mi>w</mi>
<mi>i</mi>
</msub>
<mo>=</mo>
<mn>1</mn>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>-</mo>
<mn>1</mn>
<mo>,</mo>
<msub>
<mi>w</mi>
<mi>i</mi>
</msub>
<mo>=</mo>
<mn>0</mn>
</mtd>
</mtr>
</mtable>
</mfenced>
<mo>;</mo>
</mrow>
根据调整后的相邻数据包间时延进行传输,完成水印的嵌入,并将存储在数据库中。
5.根据权利要求1所述的基于网络流水印的网络主动追踪方法,其特征在于,水印检测包括:水印提取、水印相关性判决、攻击源与攻击跳板的判决;
水印提取包括:
根据预设单位时间间隔采集攻击链路的网络流量信息熵大小;
根据当前采集的网络流量信息熵大小确定提取水印的时间段;
根据提取水印的时刻点提取网络流量中的水印信息;
水印相关性判决:通过提取的水印与数据库预先存储的水印进行匹配,判断是否为嵌入的水印。
6.根据权利要求5所述的基于网络流水印的网络主动追踪方法,其特征在于,水印相关性通过以下公式确定:
皮尔逊相关系数
其中,ρX,Y为皮尔逊相关系数,X和Y分别为嵌入的水印序列和提取的水印序列,表示在嵌入水印时间段含有水印信息的相邻数据包间时延,表示提取水印时间段内含有水印信息的相邻数据包间时延。
7.根据权利要求5所述的基于网络流水印的网络主动追踪方法,其特征在于,攻击源与攻击跳板的判决,根据追踪主机的输入流与输出流中含有的水印信息,判断追踪主机为攻击源或攻击跳板。
8.一种基于网络流水印的网络主动追踪系统,其特征在于,基于权利要求1至7所述的基于网络流水印的网络主动追踪方法进行实现,包括:水印嵌入器、水印检测器;
水印嵌入器包括:
水印嵌入时间段选取模块,用于实现水印信息嵌入时间段的确定,包括对来自网络中的各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析;
水印设置模块,用于生成水印信息,并将水印信息嵌入到的需要追踪的网络流量中,以及对相邻数据包间时延ipd的调整;
水印检测器用于追踪流量的来源地址,包括:
水印提取模块,用于采集追踪链路上的流量,提取流量中存在的水印;
水印相关性判决模块,用于将水印提取模块中提取的水印信息与预存在数据库中的嵌入网络流量中的水印信息进行水印相关性比对,判断提取的水印是否为嵌入的水印;
攻击源及攻击跳板判决模块,根据网络节点输出流和输入流中是否存在嵌入的水印,判断网络节点在攻击链路中所处的位置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510386446.7A CN105072083B (zh) | 2015-07-03 | 2015-07-03 | 一种基于网络流水印的网络主动追踪方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510386446.7A CN105072083B (zh) | 2015-07-03 | 2015-07-03 | 一种基于网络流水印的网络主动追踪方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105072083A CN105072083A (zh) | 2015-11-18 |
CN105072083B true CN105072083B (zh) | 2018-05-25 |
Family
ID=54501368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510386446.7A Active CN105072083B (zh) | 2015-07-03 | 2015-07-03 | 一种基于网络流水印的网络主动追踪方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105072083B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302433B (zh) * | 2016-08-11 | 2019-12-31 | 华侨大学 | 一种基于网络流量预测与熵的网络流水印检测方法及系统 |
CN106686007B (zh) * | 2017-03-03 | 2020-06-02 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
CN107995500B (zh) * | 2017-10-27 | 2019-01-01 | 北京达佳互联信息技术有限公司 | 视频水印识别方法、装置及终端 |
CN110324354B (zh) * | 2019-07-11 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
CN113301044A (zh) * | 2021-05-24 | 2021-08-24 | 中国电子科技集团公司第十五研究所 | 一种面向追踪溯源的扩频网络信标生成方法 |
CN115102664B (zh) * | 2022-05-25 | 2023-09-15 | 北京交通大学 | 用于溯源和信息传输的网络流水印方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
CN103152608A (zh) * | 2013-02-28 | 2013-06-12 | 广东技术师范学院 | 实现数字指纹加密的视频多播传输的方法 |
CN104504642A (zh) * | 2014-12-17 | 2015-04-08 | 北京齐尔布莱特科技有限公司 | 一种在图片中添加水印的方法、装置和计算设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100693371B1 (ko) * | 2005-11-15 | 2007-03-09 | 한국전자통신연구원 | 웨이블릿 기반의 다중 비트 핑거프린트 삽입 및 추출 방법 |
-
2015
- 2015-07-03 CN CN201510386446.7A patent/CN105072083B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
CN103152608A (zh) * | 2013-02-28 | 2013-06-12 | 广东技术师范学院 | 实现数字指纹加密的视频多播传输的方法 |
CN104504642A (zh) * | 2014-12-17 | 2015-04-08 | 北京齐尔布莱特科技有限公司 | 一种在图片中添加水印的方法、装置和计算设备 |
Non-Patent Citations (1)
Title |
---|
基于数字水印的网络追踪方案;潘政;《中国优秀硕士学位论文全文数据库信息科技辑》;20110515;正文第43-44页及图3.4 * |
Also Published As
Publication number | Publication date |
---|---|
CN105072083A (zh) | 2015-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105072083B (zh) | 一种基于网络流水印的网络主动追踪方法及系统 | |
Kiyavash et al. | Multi-flow Attacks Against Network Flow Watermarking Schemes. | |
CN106302433B (zh) | 一种基于网络流量预测与熵的网络流水印检测方法及系统 | |
Peng et al. | On the secrecy of timing-based active watermarking trace-back techniques | |
Joshi et al. | Securing cloud computing environment against DDoS attacks | |
US7389421B2 (en) | Countermeasure against estimation-based attacks of spread-spectrum watermarks | |
Sultana et al. | A provenance based mechanism to identify malicious packet dropping adversaries in sensor networks | |
CN106375157B (zh) | 一种基于相空间重构的网络流关联方法 | |
EP2140650A2 (en) | Method and system for resilient packet traceback in wireless mesh and sensor networks | |
CN104967610A (zh) | 一种基于时隙的水印跳变通信方法 | |
CN105429940B (zh) | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 | |
CN112070496A (zh) | 一种基于动态标记的区块链隐蔽信息传输方法及系统 | |
CN116385250B (zh) | 基于鲁棒水印与脆弱水印的轨迹数据双重水印方法 | |
CN104852914B (zh) | 一种基于数据包间隔的水印跳变通信方法 | |
CN102184244B (zh) | 一种适合于polygon类型、高鲁棒的地理数据库水印方法 | |
CN105827662A (zh) | 一种基于dct变换的on-off时间式隐蔽通信检测方法 | |
KR100744530B1 (ko) | 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 | |
Houmansadr et al. | Multi-flow attack resistant watermarks for network flows | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
CN105404797B (zh) | 一种基于双重冗余的主动网络流数字水印方法 | |
Gong et al. | Invisible flow watermarks for channels with dependent substitution and deletion errors | |
Manjula et al. | A new relational watermarking scheme resilient to additive attacks | |
Naji et al. | " Stego-Analysis Chain, Session Two" Novel Approach of Stego-Analysis System for Image File | |
Yao et al. | An invisible flow watermarking for traffic tracking: A hidden Markov model approach | |
Feng et al. | Ip-pealing: a robust network flow watermarking method based on ip packet sequence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |