WO2013082997A1 - 异常网络流量的攻击源追踪方法及装置 - Google Patents

Abstract

本发明提供了一种异常网络流量的攻击源追踪方法及装置，其中，上述方法包括：在攻击链路的网络节点中，选择任意一个或多个所述网络节点作为追踪起点，其中，所述攻击链路为被攻击目标和攻击源之间的通信链路；根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点，直至确认最终的攻击源。采用本发明提供的上述技术方案，解决了相关技术中，网络安全机制，只能缓解网络攻击，并不能定位攻击的源头（即攻击源）的问题，进而达到了可以反向追踪定位攻击源的效果。

Description

异常网络流量的攻击源追踪方法及装置 技术领域 本发明涉及网络通信领域， 具体而言， 涉及一种异常网络流量的攻击源追踪方法及装 置。 背景技术 目前， 基于网络的攻击大多利用网说络资源、 系统资源的有限性， 或利用网络协议和认 证机制自身的不完善性， 通过在短时间内发动大规模网络攻击， 消耗特定资源， 实现对目 标的攻击。 现有的网络安全机制如入侵检测系统 (IDS)、 防火墙和虚拟专用网络 (VPN)以及 容忍攻击技术等均只是在遭受到网络攻击时被动书地进行防御：例如，设置诸如 Random Drop, SYN Cookie, 带宽限制之类的防护算法， 实现 IDS与防火墙联动以及技术专家分析攻击等 办法。

上述网络安全机制大多收效甚微， 只能缓解网络攻击， 并不能定位攻击的源头 （即攻 击源）， 因此， 基于网络的攻击己经成为当前网络信息系统的严重阻碍， 再加上网络本身的 虚拟性为执法过程带来了很大的难度。 针对相关技术中的上述问题， 目前尚未提出有效的解决方案。 发明内容 针对相关技术中的上述问题， 本发明主要目的在于提供一种异常网络流量的攻击源追 踪方法及装置， 以至少解决上述问题。

为了实现上述目的， 根据本发明的一个方面， 提供了一种异常网络流量的攻击源追踪 方法， 包括： 在攻击链路的网络节点中， 选择任意一个或多个所述网络节点作为追踪起点， 其中， 所述攻击链路为被攻击目标和攻击源之间的通信链路； 根据所述追踪起点逐级确定 所述攻击链路中的上一级网络节点， 直至确认最终的攻击源。

为了实现上述目的， 根据本发明的另一方面， 提供了一种异常网络流量的攻击源追踪 装置， 包括： 选择模块， 用于在攻击链路的网络节点中， 选择任意一个或多个所述网络节 点作为追踪起点， 其中， 所述攻击链路为被攻击目标和攻击源之间的通信链路； 确定模块， 用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点， 直至确认最终的攻击 源。

通过本发明， 采用选择攻击链路中的任意网络节点作为追踪起点逐级确定上一级网络 节点的技术手段， 解决了相关技术中， 网络安全机制， 只能缓解网络攻击， 并不能定位攻 击的源头 （即攻击源） 的问题， 进而达到了可以反向追踪定位攻击源的效果。 附图说明 构成本申请的一部分的附图用来提供对本发明的进一步理解， 本发明的示意性实施例 及其说明用于解释本发明， 并不构成对本发明的不当限定。 在附图中：

图 1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图；

图 2为根据本发明实施例的异常网络流量的攻击源追踪装置的结构框图；

图 3为根据本发明实施例的异常网络流量的攻击源追踪装置的结构示意图； 图 4为根据本发明实施例的反向攻击流量追踪示意图； 图 5为根据本发明实施例的第 1级来源流量追踪示意图；

图 6为根据本发明实施例的第 2级来源流量追踪示意图；

图 7为根据本发明实施例的第 3级来源流量追踪示意图。 具体实施方式 需要说明的是， 在不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互组 合。 下面将参考附图并结合实施例来详细说明本发明。

图 1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图。如图 1所示， 该方法包括：

步骤 S102, 在攻击链路的网络节点中， 选择任意一个或多个所述网络节点作为追踪起 点， 其中， 所述攻击链路为被攻击目标和攻击源之间的通信链路；

步骤 S104, 根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点， 直至确认 最终的攻击源。

通过上述处理过程， 由于采用了根据追踪起点逐级确定所述攻击链路中的上一级网络 节点， 直至确认最终的攻击源的技术手段， 因此， 可以实现反向追踪定位攻击源， 提高了 网络安全执法性。

在步骤 S102中，可以任意选择攻击链路中的一个或多个网络节点作为追踪起点，还可 以根据预设条件选择网络节点作为追踪起点， 例如： 根据预设周期采集所述攻击链路的网 络节点的端口数据包载荷； 根据当前采集的数据包载荷和上一个所述预设周期采集的数据 包载荷确定所述追踪起点。

在本发明的一个优选实施方式中， 上述数据包载荷为所述预设周期内平均每个数据包 载荷。 其中， 该预设周期内平均每个数据包载荷可以通过以下方式确定： 预设周期内平均 每个数据包载荷=预设周期内平均带宽 /预设周期内数据包总数。

在本发明的一个优选实施方式中， 当上述上一级网络节点为多个时， 还可以包括以下 处理步骤： 根据所述攻击链路的匹配度来区分多个不同的上一级网络节点， 其中， 所述匹 配度用于指示所述追踪起点的预设周期内平均每个数据包载荷与不同的所述上一级节点的 预设周期内平均每个数据包载荷的相似程度。 在具体实施时， 上述根据当前采集的数据包载荷和上一个所述预设周期采集的数据包 载荷确定所述追踪起点， 可以通过以下处理过程实现： 根据当前采集的数据包载荷和上一 个所述预设周期采集的数据包载荷确定所述攻击链路的网络节点的端口流的指纹， 其中， 所述流的指纹根据以下公式确定： 流的指纹=【1- ( AP/ABP)] X 100 , AP=P0- (P-l )， ▲BP=BP0- (BP-1 ), P0表示当前数据； （P-l ) 表示当前预设周期的前一个周期数据； BP0 表示前一天的同时刻数据； （BP-1 )表示前一天当前预设周期的前一个周期数据； 当所述流 的指纹在未到达预设阈值时， 确定所述流的指纹所对应的网络节点可作为所述追踪起点。

步骤 S104中， 即根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点，可以 包括以下处理过程：获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量， 其中， 所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时 所增加的网络流量， 所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相 对于网络流量正常时所增加的网络流量； 根据所述入流量增量及所述出流量增量的比值确 定所述上一级节点作为新的追踪起点； 根据所述新的追踪起点逐级确定所述攻击链路中的 所述新的追踪起点的上一级网络节点。

在步骤 S104中，可以通过以下方式确认最终的攻击源： 当所述上一级网络节点的数量 为 0时， 则确定所述上一级网络节点的下一级网络节点为最终的攻击源。 在本实施例中还提供了一种异常网络流量的攻击源追踪装置， 该装置用于实现上述实 施例及优选实施方式， 已经进行过说明的不再赘述， 下面对该装置中涉及到模块进行说明。 如以下所使用的， 术语 "模块"可以实现预定功能的软件和 /或硬件的组合。 尽管以下实施 例所描述的装置较佳地以软件来实现， 但是硬件， 或者软件和硬件的组合的实现也是可能 并被构想的。 图 7为根据本发明实施例的服务质量处理装置的结构框图。 如图 2所示， 该 装置包括：

选择模块 20， 连接至确定模块 22， 用于在攻击链路的网络节点中， 选择任意一个或多 个所述网络节点作为追踪起点， 其中， 所述攻击链路为被攻击目标和攻击源之间的通信链 路；

确定模块 22， 用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点， 直 至确认最终的攻击源。

在本发明的一个优选实施方式中，如图 3所示， 上述确定模块 22可以包括以下处理单 元：

获取单元 220，连接至第一确定单元 222， 获取所述追踪起点的入流量增量及所述上一 级网络节点的出流量增量， 其中， 所述入流量增量为所述追踪起点在其接收的网络流量异 常时相对于网络流量正常时所增加的网络流量， 所述出流量增量为所述上一级网络节点在 其传出的网络流量异常时相对于网络流量正常时所增加的网络流量；

第一确定单元 222，连接至第二确定单元 224，用于根据所述入流量增量及所述出流量 增量的比值确定所述上一级节点作为新的追踪起点；

第二确定单元 224， 用于根据所述新的追踪起点逐级确定所述攻击链路中的所述新的 追踪起点的上一级网络节点， 直至确认最终的攻击源。

为了更好地理解上述实施例， 以下结合具体实例和相关附图详细说明。 在具体说明以 下实施例的技术方案之前， 先说明一下本实例所涉及的一些概念及定义。

1、 平均数据包载荷 PPDA: 采集周期内平均每个数据包大小， 反映周期内数据包规律特征， 计算公式如下： 周期内平均数据包载荷（in/out) =周期内平均带宽（in/out) /周期内数据包总数（in/out) 是或的关系， 可以修改为下面的：

周期内平均数据包载荷 （in) =周期内平均带宽 （in) /周期内数据包总数 （in) 周期内平均数据包载荷 （out) =周期内平均带宽 （out) /周期内数据包总数 （out) 简称： PPDA (Per Package Data Average)

2、 数据包和流的指纹

端口 P当前数据， P0代表当前数据； P-1是相对当前数据采集周期前一个周期的数据; P-2是相对当前数据采集周期前二个周期的数据； FP1是相对当前数据采集周期后一个周期 的预测数据； FP2是相对当前数据采集周期后二个周期的预测数据；

FP2 预测第二个周期数据 FP2=2*FP1 /(P-1/P0+P0/FP1)

FP1 预测第一个周期数据 FP1=2*P0 /(P-2/P-1+P-1/P0)

P0 当前数据

P-1 前一个周期数据

P-2 前二个周期数据 前一天历史数据 （此项为参考基数， 可用于平衡预测数据波动）， 其中 BP0是相对于 P0数据的前一天同一时刻的数据， 其它以此类推；

BP2 前一天后两个周期数据

BP1 前一天后一个周期数据

BP0 前一天同时刻数据

BP-1 前一天前一个周期数据 BP-2 前一天前两个周期数据

▲P=P0-P- 1； ABP=BP0-BP- 1

端口 P流的指纹= ( 1-AP/ABP) X 100% 在 ± 15% (系数可调整）， 根据流的指纹 设定非目标主机为目标点， 作为反向追踪的起点。

3、 反向追踪算法 以攻击目标为起点的反向追踪算法， 是通过确定攻击方向和目的最终端口出发， 向上 逐步计算判断的过程和方法， 其中包括： 增量流向算法和源端口会聚算法

4、 增量流向算法 增量流向算法是一种判断指定端口流量异常的算法， 并通过与进出设备总异常流量的 关系确定增量数据流的来源和目的确定到设备的具体端口， 进而获得攻击的来源端口；

▲T (target) P (Port) (out) =TP0-TP1， 面向攻击目标的出流量增量

▲S ( source) P (Port) (in) = (P0-P1 ) ( l-n)， 除 TP外的所有端口

▲A (all) P (in) =∑ (P0-P1 ) n (in) -ATP (out); 此处 all排除 TP端口， 获得非 攻击流量的入增量

▲A (all) P (out) =∑ (P0-P1 ) n (out) -ATP (in); 此处 all排除 TP端口， 获得非 攻击流量的出增量

正常流量波动系数 =AAP (in) /AAP (out) 在 ±20%内 （系数可调整）

锁定来源端口 SP (i) 可以多个来源： ASPA TP 20% (系数可调整）

辅助判断条件 PPDA (TP) /PPDA (SP) 在 ± 10%内 （系数可调整）

5、 源端口会聚算法 源端口会聚算法是同一网络层面上多台设备参与流量追踪时， 根据在上一级获得总攻 击流量数据在多台设备的分散程度， 进行分别追踪， 循环向下计算获得多条链路， 根据端 口增量算法排除掉不重要的追踪链路， 最后获得主要的攻击来源的汇聚算法。

第 1级算法， 采用增量流向算法确定来源 SP (i) 端口和数量 n;

I第 2级算法， 将 I级确定来源的 SP (i) 上联端口确定为 TP (i)， 重复增量流向算法 获取新的 SP (i) 和数量 n;

第 3级算法， 重复 II级算法， 直到确认最终来源或网络边界 （不受我们监控网络）

6、 攻击链路匹配度 （可疑度）

匹配度是指确认攻击端口的 PPDA与来源端口的 PPDA的相似程度； 根据数据包和流 的指纹 PPDA以及 PPDA波动指数， 为所有获取攻击路径进行标示匹配度， 在同一会聚级 上按照匹配度由高至低进行分步处理。

匹配度 = PPDA (TP) /PPDA (SP) *PPDA波动系数

PPDA波动系数=8??0八 (SP) /PPDA (SP) 或 PPDA (SP) /BPPDA (SP) 取大于 1 一个值

7、 追踪停止 来源端口数量为 0的链路停止追踪， 标记本端口为源， 可以为上行进入不可管理网络 或到达下行用户源头。

Num (SP) =0 以下结合附图详细说明本实施例所采用的技术方案。 本实例的反向追踪方法的流程示 意图可以参见图 4所示。 如图 5所示， 第 1级来源锁定： 目标节点 （相当于追踪起点） 收到来自 C-L1每秒 80 万的数据包流量攻击， 即 ATP=80万， 此处的目标点可以是一台设备， 也可以是一组设备

(具有相同属性或应用的系统）；

根据对 C-L1 的采集数据进行增量流向算法和源端口会聚算法， 最终锁定攻击流量进入 C-L1的源端口；

▲SP (C-L1-I-1 ) =50万 计算匹配度为 99.8%

ASP (C-L1-II-2) =30万 计算匹配度为 98.6%

如图 6所示， 第 2级来源锁定： 将与 C-L1-I-1和 C-L1-I-2端口直连上行端口定位目标 端口：

▲TP (C1-I-1 ) =50万

▲TP (C2-II-2) =30万

根据对 Cl、 C2的采集数据进行增量流向算法和源端口会聚算法， 最终锁定攻击流量 进入 C1和 C2的源端口：

▲SP (C1-II-1 ) =30万 计算匹配度为 96.2%

▲SP (C1-II-2) =20万 计算匹配度为 94.8%

▲SP (C2-II-3) =20万 计算匹配度为 95.1%

▲SP (C2-II-4) =10万 计算匹配度为 93.5 %

如图 7所示， 第 3级来源锁定： 将 C1-II-1、 Cl-II-2、 C2-II-3、 C2-II-4端口直连上行端 口作为目标端口。

▲TP (A1-II-1 ) =30万

▲TP (B1-II-2) =20万

▲TP (A1-II-3) =20万

▲TP (B1-II-4) =10万

根据对 Al、 B1 的采集数据进行增量流向算法和源端口会聚算法， 最终锁定攻击流量 进入 A1和 B1的源端口： ▲SP (Al-III-1 ) =50万 计算匹配度为 99.9%

▲SP (Bl-III-2) =30万 计算匹配度为 99.8% 最终锁定攻击来源到私有网络 1和私有网络 2的接入端口 （即最终停止， 确定最终的 攻击源）。

在另外一个实施例中， 还提供了一种软件， 该软件用于执行上述实施例及优选实施方 式中描述的技术方案。

在另外一个实施例中， 还提供了一种存储介质， 该存储介质中存储有上述软件， 该存 储介质包括但不限于： 光盘、 软盘、 硬盘、 可擦写存储器等。

显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可以用通用的计 算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在多个计算装置所组成的网 络上， 可选地， 它们可以用计算装置可执行的程序代码来实现， 从而， 可以将它们存储在 存储装置中由计算装置来执行， 或者将它们分别制作成各个集成电路模块， 或者将它们中 的多个模块或步骤制作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬 件和软件结合。

以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技术人 员来说， 本发明可以有各种更改和变化。凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种异常网络流量的攻击源追踪方法， 其特征在于， 包括： 在攻击链路的网络节点中， 选择任意一个或多个所述网络节点作为追踪起点， 其 中， 所述攻击链路为被攻击目标和攻击源之间的通信链路； 根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点， 直至确认最终的 攻击源。

2. 根据权利要求 1所述的方法， 其特征在于， 选择任意一个或多个所述网络节点作为追 踪起点， 包括： 根据预设周期采集所述攻击链路的网络节点的端口数据包载荷； 根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追 踪起点。

3. 根据权利要求 2所述的方法， 其特征在于， 所述数据包载荷为所述预设周期内平均每 个数据包载荷。

4. 根据权利要求 3所述的方法， 其特征在于， 所述预设周期内平均每个数据包载荷通过 以下方式确定： 预设周期内平均每个数据包载荷 =预设周期内平均带宽 /预设周期内数据包总数。

5. 根据权利要求 3所述的方法， 其特征在于， 当所述上一级网络节点为多个时， 还包 括： 根据所述攻击链路的匹配度来区分多个不同的上一级网络节点， 其中， 所述匹配 度用于指示所述追踪起点的预设周期内平均每个数据包载荷与不同的所述上一级节点 的预设周期内平均每个数据包载荷的相似程度。

6. 根据权利要求 2所述的方法， 其特征在于， 根据当前采集的数据包载荷和上一个所述 预设周期采集的数据包载荷确定所述追踪起点， 包括： 根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述攻 击链路的网络节点的端口流的指纹， 其中， 所述流的指纹根据以下公式确定： 流的指纹 = [ 1- ( AP/ABP ) ] X 100%, AP=P0- ( P-1 ) , ABP=BP0- ( BP-1 ) ,

P0表示当前数据； （P-1 ) 表示当前预设周期的前一个周期数据； BP0表示前一天的同 时刻数据； （BP-1 ) 表示前一天当前预设周期的前一个周期数据； 当所述流的指纹在未到达预设阈值时， 确定所述流的指纹所对应的网络节点可作 为所述追踪起点。

7. 根据权利要求 1所述的方法， 其特征在于， 根据所述追踪起点逐级确定所述攻击链路 中的上一级网络节点， 包括： 获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量， 其中， 所 述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时所增 加的网络流量， 所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相 对于网络流量正常时所增加的网络流量； 根据所述入流量增量及所述出流量增量的比值确定所述上一级节点作为新的追踪 起点； 根据所述新的追踪起点逐级确定所述攻击链路中的所述新的追踪起点的上一级网 络节点。

8. 根据权利要求 1所述的方法， 其特征在于， 通过以下方式确认最终的攻击源： 当所述上一级网络节点的数量为 0时， 则确定所述上一级网络节点的下一级网络 节点为最终的攻击源。

9. 一种异常网络流量的攻击源追踪装置， 其特征在于， 包括： 选择模块， 用于在攻击链路的网络节点中， 选择任意一个或多个所述网络节点作 为追踪起点， 其中， 所述攻击链路为被攻击目标和攻击源之间的通信链路； 确定模块， 用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点， 直至确认最终的攻击源。

10. 根据权利要求 9所述的装置， 其特征在于， 所述确定模块包括： 获取单元， 获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增 量， 其中， 所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流 量正常时所增加的网络流量， 所述出流量增量为所述上一级网络节点在其传出的网络 流量异常时相对于网络流量正常时所增加的网络流量； 第一确定单元， 用于根据所述入流量增量及所述出流量增量的比值确定所述上一 级节点作为新的追踪起点； 第二确定单元， 用于根据所述新的追踪起点逐级确定所述攻击链路中的所述新的 追踪起点的上一级网络节点， 直至确认最终的攻击源。