专利名称:多协议标记交换网络的双向复合信源定位方法
技术领域:
本发明涉及通信网络安全领域中一种多协议标记交换(简称
MPLS)网络的双向复合信源定位方法,特别适用于对MPLS网络中遭 受的洪泛类攻击进行攻击源的快速定位。
背景技术:
概率包标记(简称PPM)及其现有改进算法的基本思想是中间路 由器每收到一个IP通信数据包都以概率对IP通信数据包进行标记。 为了重构攻击路径进行攻击源定位,受害者需要收集大量的标记攻击 数据包才可以定位到攻击端的入口边缘路由器,重构攻击路径的过程 缓慢,计算复杂;而且该算法对付多重的攻击不具有鲁棒性,很难抵 御多源DDoS攻击。因此不适用于对多源洪泛类攻击的快速定位。
传统的包记录法在攻击源较多时虽然可以实现定位,但对每个经 过的IP通信数据包都要进行记录,需要花费海量存储空间和计算时 间。Snoeren提出的源路径隔离引擎(简称SPIE)算法采用了基于 Bloom filter数据结构对IP通信数据包中的特征字段进行存储的机 制有效节省了存储上的耗费,但是在高速网络环境下的开销仍然不 小。因此该算法不适用于高速网络环境中和存储空间有限制的情况 下。
发明内容
本发明所要解决的技术问题在于避免上述背景技术中的不足之 处而提供一种结合边缘概率包标记和概率包记录两种算法对MPLS网 络中的网络攻击进行双向复合信源定位的方法。本发明还采用组合公 钥签名技术保证包标记信息的可信性;并将MPLS网络的历史标签映 射关系记录下来,便于利用该记录信息节省反向追踪査询时的査询开 销。本发明具有定位速度快、网络额外负载小、健壮性好、有效性高、 系统开销小等特点。本发明的目的是这样实现的,它包括下列步骤
①IP通信数据包进入MPLS网络的边缘路由器传输时,边缘路由 器依设定标记概率对工P通信数据包进行标记,标记内容包括边缘路
由器的ID信息,采用基于标识的组合公钥签名技术对ID标记信息进 行数字签名,边缘路由器将IP通信数据包加上MPLS头变成MPLS通 信数据包发送到MPLS网络中传输;
② MPLS通信数据包在MPLS网络中传输时,MPLS通信数据包经 过的每个路由器将依据设定记录概率对MPLS通信数据包进行记录, 记录信息为MPLS通信数据包内容中具有固定长度的特征信息,记录 方法采用Bloom filter数据结构,Bloom filter数据结构以预定周 期循环更新;在MPLS网络的出口边缘路由器将MPLS通信数据包包头 中的标签放进IP通信数据包包头中的设定字段进行标记;
③ 当MPLS网络对标签进行更新时,记录历史标签映射关系, 以设定的时间周期对历史标签映射关系进行更新;
④ 接收端的入侵检测系统(简称IDS)检测到网络攻击时,检 测IP通信数据包的攻击数据包中是否存在标记有边缘路由器ID信息 的标记数据包,如果存在标记数据包,则进行基于组合公钥签名技术 的边缘概率包标记算法的信源定位;否则,提取与设定记录概率相关 数量的样本IP攻击数据包,进行基于MPLS网络标签记录的概率包记 录算法的信源定位;
⑤ 基于组合公钥签名技术的边缘概率包标记算法进行信源定 位时,根据经过标记的攻击数据包中标记的边缘路由器ID信息得到 对应的边缘路由器的公钥,利用边缘路由器的公钥对标记数据包中的 数字签名进行验证,如果对标记数据包的签名验证通过,则提取标记 数据包中的边缘路由器ID信息一步定位到攻击端的边缘路由器,需 要还原正向标记交换攻击路径时,则从攻击端边缘路由器开始,借助 MPLS网络的标记转发表信息或记录的历史标签映射关系还原出标记 交换攻击路径;
基于MPLS网络标签记录的概率包记录算法进行信源定位时, 提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签信息,构造信源定位请求包,通过与被攻击端边缘路由器的攻击特征 匹配确定攻击是否来自远程局域网,如果攻击来自远程局域网,则被 攻击端边缘路由器将信源定位请求发往其上游邻居路由器,各上游邻 居路由器将信源定位请求中的标签信息与它们对应时间段标签映射 条目中的出口标签信息进行查询匹配,标签信息匹配成功后进行信源 定位请求中各样本IP攻击数据包的攻击特征的查询匹配,标签信息 和攻击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路 径上的一个路由器节点,提取匹配命中路由器中匹配命中标签映射条
目的入口标签替代信源定位请求包中的标签信息,再向匹配命中路由 器的各上游邻居路由器发送信源定位请求包进行类似的标签和攻击 特征的査询匹配过程,直至当前匹配命中路由器的各上游邻居路由器
中再没有匹配命中的路由器;
⑦将信源定位结果返回给接收端的IDS,完成对本次MPLS网络 中网络攻击的双向复合信源定位。
本发明与背景技术相比具有如下优点
1. 本发明提出的MPLS网络的双向复合信源定位方法与传统信源
定位方法相比,本发明将基于组合公钥数字签名技术的边缘概率包标
记算法和基于结合MPLS网络标签记录的概率包记录算法相互结合, 在基于组合公钥数字签名技术的边缘概率包标记算法无法定位到攻 击源时,采用基于结合MPLS网络标签记录的概率包记录算法来反向 重构攻击路径,从而很大程度上提高了信源定位系统的有效性。而且 该方法既可以正向还原出攻击路径,又可以反向重构出攻击路径,保 证了在MPLS网络环境下对攻击源的快速有效定位。
2. 本发明提出的基于组合公钥签名技术的边缘概率包标记算法 与传统的PPM算法相比,本发明仅在入口边缘路由器端对数据包依设 定标记概率标记,不仅大大节省了进行信源定位所需要的IP标记数 据包数目,而且可以有效的对付DDoS攻击。本发明还将组合公钥的 签名技术应用于标记数据包,保障了标记数据包的可信性。组合公钥 不基于第三方的非在线认证特点也使得该技术实现起来安全方便。
3. 本发明提出的基于结合MPLS网络标签记录的概率包记录算法
6与传统的SPIE算法相比,本发明将通过MPLS网络路由器的MPLS通 信数据包依据设定记录概率进行特征信息的记录,减小了系统的开 销,可应用于高速网络链路;另外,基于SPIE算法进行反向追踪定 位时,路由器需要向其上游所有路由器发送查询请求,上游每个路由 器都要对特征信息进行匹配。其中的匹配过程包括查询请求中每个样 本攻击数据包特征值的HASH运算,然后对应每个样本攻击数据包都 要进行Bloom filter摘要表的查询匹配,这要浪费大量的系统时间, 实现起来也较复杂。而本发明通过结合历史MPLS标签映射关系的记 录可以优化反向査询,对上游路由器首先进行标签匹配,只有标签匹 配的上游路由器才进行进一步的特征信息匹配,这样就大大减少了系 统复杂性,降低了追踪时的查询开销。而且由于采用标签映射的查询 可以使得上一跳无关邻居节点数目大大减少, 一定程度上降低了节点 误报率。
4.本发明应用于MPLS网络环境,便于利用MPLS面向连接的特 点简化正向路径还原和反向路径重构。本发明具有定位速度快、网络 额外负载小、健壮性好、有效性高、系统开销小等优点。
图1是本发明MPLS网络中双向复合信源定位实施例的原理方框图。
图2是本发明中历史MPLS标签映射关系记录形式的示意图。 图1中,1为基于组合公钥签名技术的边缘概率包标记模块,2 为概率包记录模块,3为提取MPLS报文头中标签标记到IP头模块, 4为历史MPLS标签映射表模块,5为检测标记包模块,6为基于包标 记法定位模块,7为基于包记录法定位模块,8为重构攻击路径和定 位攻击源模块。
具体实施例方式
参照图1、图2。图1是本发明MPLS网络中双向复合信源定位实 施例的原理方框图,它包括基于组合公钥签名技术的边缘概率包标记 模块1,概率包记录模块2,提取MPLS报文头中标签标记到IP头模 块3,历史MPLS标签映射表模块4,检测标记包模块5,基于包标记法定位模块6,基于包记录法定位模块7,重构攻击路径和定位攻击
源模块8,实施例如图l所示连接线路。本发明包括步骤
①IP通信数据包进入MPLS网络的边缘路由器传输时,边缘路由
器依设定标记概率对IP通信数据包进行标记,标记内容包括边缘路
由器的ID信息,采用基于标识的组合公钥签名技术对ID标记信息进 行数字签名,边缘路由器将IP通信数据包加上MPLS头变成MPLS通 信数据包发送到MPLS网络中传输,实施例步骤①由图1中的基于组 合公钥签名技术的边缘概率包标记模块1完成。基于组合公钥签名技 术的边缘概率包标记模块1完成对进入MPLS网络边界的IP通信数据 包进行边缘概率包标记及对标记信息进行基于组合公钥的数字签名。 为了防止标记包被劫获而发动重放攻击以及识别是否遭受到重放攻 击,最终进行数字签名的信息内容包括标记信息边缘路由器的ID、 时间信息T及随机数r。边缘路由器将携带标记信息边缘路由器ID
信息及相应数字签名的标记数据包转发出去。
②MPLS通信数据包在MPLS网络中传输时,MPLS通信数据包经 过的每个路由器将依据设定记录概率对MPLS通信数据包进行记录, 记录信息为MPLS通信数据包内容中具有固定长度的特征信息,记录 方法采用Bloom filter数据结构,Bloom filter数据结构以预定周 期循环更新;在MPLS网络的出口边缘路由器将MPLS通信数据包包头 中的标签放进IP通信数据包包头中的设定字段进行标记,实施例步 骤②由图1中的概率包记录模块2和提取MPLS报文头中标签标记到 IP头模块3完成。概率包记录模块2完成对进入MPLS网络的MPLS 通信数据包进行概率采样和对采样进行包记录的功能。
设定包记录概率A,数据包沿途经过的每个标记交换路由器都以 概率A随机采样,如果被概率采样到,则提取MPLS通信数据包的特 征信息,并向Bloom filter数据结构进行特征摘要映射。由于MPLS 通信数据包包头信息在MPLS网络中转发时是不断变化的,所以MPLS 通信数据包的特征信息字段中不应该包括MPLS通信数据包的包头字 段内容,而与SPIE中选取的特征信息字段相同。
随着Bloom Filter数据结构中记录数据包数目的增大,路由器
8节点被假命中的概率也会增大,针对这种Bloom Filter误报率情况, 采用周期性更新Bloom Filter数据结构的机制。即每隔一定时间将 Bloom Filter数据结构中的信息写入磁盘中存储,同时标注该Bloom Filter的有效时间,然后把Bloom Filter数据结构的信息全部置零 重新进行映射记录。 一般情况下,仅需要对若干个周期的历史记录信 息存储。
提取MPLS报文头中标签标记到IP头模块3完成MPLS通信数据 包包头中标签信息的提取和将标签信息标记入IP通信数据包包头的 设定字段中。
③ 当MPLS网络对标签进行更新时,记录历史标签映射关系, 以设定的时间周期对历史标签映射关系进行更新,实施例步骤③由图 1中的历史MPLS标签映射表模块4完成。历史MPLS标签映射表模块 4完成对要进行更新的标签及其映射关系进行记录的功能。
对MPLS标签的记录过程如下每当标记转发信息表进行更新时, 都要将相应的标签映射关系记录在历史MPLS标签映射表中,并记录 更新时间,记录格式如图2所示。
由于MPLS入口边缘路由器无入口标签,出口边缘路由器无出口 标签,所以这里规定这两个都为。
同Bloom filter数据结构一样,历史MPLS标签映射表也是仅对
历史映射记录信息存储一定时间,这个机制避免了因无用信息累积造 成的空间浪费。
④ 接收端的IDS检测到网络攻击时,检测IP通信数据包的攻 击数据包中是否存在标记有边缘路由器ID信息的标记数据包,如果 存在标记数据包,则进行基于组合公钥签名技术的边缘概率包标记算 法的信源定位;否则,提取与设定记录概率相关数量的样本IP攻击 数据包,进行基于MPLS网络标签记录的概率包记录算法的信源定位, 实施例步骤④由图1中的检测标记包模块5完成。检测标记包模块5 完成对IP攻击数据包中标记数据包的检测功能。
首先,标记检测模块检测收到的IP攻击数据包中是否有经标记 和签名过的数据包,如果有,则直接进行基于组合公钥签名技术的边
9缘概率包标记法的信源定位。如果在收到的IP攻击数据包中没有检 测到标记数据包,则抽取与设定记录概率相关数量的样本攻击数据
包,提取这些样本攻击数据包的特征字段组成基于结合MPLS标签记
录的概率包记录法的定位请求包。概率包记录法定位中,根据IP攻 击数据包包头设定字段中所携带的标签是否一致来区分进行追踪所 需要的样本攻击包,只有携带相同标签的攻击数据包才被加入同一个 攻击样本集中。
⑤基于组合公钥签名技术的边缘概率包标记算法进行信源定
位时,根据IP标记攻击数据包中标记的边缘路由器ID信息得到对应 的边缘路由器的公钥,利用边缘路由器的公钥对标记数据包中的数字 签名进行验证,如果对标记数据包的签名验证通过,则提取标记数据 包中的边缘路由器ID信息一步定位到攻击端的边缘路由器,需要还 原正向标记交换攻击路径时,则从攻击端边缘路由器开始,借助MPLS 网络的标记转发信息表信息或记录的历史标签映射关系还原出标记 交换攻击路径,实施例步骤⑤由图1中的基于包标记法定位模块6 完成。基于包标记法定位模块6完成基于组合公钥签名技术的边缘概 率包标记法的信源定位。
首先根据标记数据包中的所标记的边缘路由器ID信息,基于组 合公钥矩阵得到对应的边缘路由器的公钥。然后利用边缘路由器的公 钥对数字签名进行解密,如果解密结果中ID信息与标记的路由器ID 信息一致,时间信息在有效范围内,随机数未曾重复出现,则表示标 记信息可信;否则,表示标记是不可信的。根据具有可信标记的攻击 数据包中边缘路由器的K)信息可以一步定位到攻击端的入口边缘路 由器。
需要还原正向标记交换攻击路径时,可以从定位到的入口边缘路 由器出发,如果标记转发信息表的信息还没有进行更新,直接根据 MPLS网络的标记转发信息表就可以还原出正向标记交换攻击路径; 而如果MPLS网络的标记转发信息表已经更新不存在了,则到相应时 间段的历史MPLS标签映射表中进行入口/出口标签映射关系的匹配 也可以还原出正向标记交换攻击路径,最终实现基于组合公钥数字签名技术的边缘概率包标记法的信源定位。
基于MPLS网络标签记录的概率包记录算法进行信源定位时, 提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签 信息,构造信源定位请求包,通过与被攻击端边缘路由器的攻击特征 匹配确定攻击是否来自远程局域网,如果攻击来自远程局域网,则被 攻击端边缘路由器将信源定位请求发往其上游邻居路由器,各上游邻 居路由器将信源定位请求中的标签信息与它们对应时间段标签映射 条目中的出口标签信息进行査询匹配,标签信息匹配成功后进行信源 定位请求中各样本攻击数据包的攻击特征的查询匹配,标签信息和攻 击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路径上 的一个路由器节点,提取匹配命中路由器中匹配命中标签映射条目的 入口标签替代信源定位请求包中的标签信息,再向匹配命中路由器的 各上游邻居路由器发送信源定位请求包进行类似的标签和攻击特征 的査询匹配过程,直至当前匹配命中路由器的各上游邻居路由器中再 没有匹配命中的路由器,实施例步骤⑥由图1中的基于包记录法定位
模块7完成。基于包记录法定位模±夭7完成基于包记录法的反向路径
重构过程。
攻击端的边缘路由器(简称出口边缘路由器)收到信源定位请求 后,将信源定位请求包中的样本攻击数据包的特征信息在与信源定位
请求包中时间信息相符的对应时间段的Bloom filter数据结构中进 行攻击特征信息的査询匹配,如果查询匹配成功,则表示攻击来自于 远程网络;否则,表示攻击来自于本地局域网。 -
如果攻击来.自于远程网络,则出口边缘路由器信源定位请求包发 送给它的各邻居路由器,邻居路由器首先将信源定位请求包中的标签 信息与标记转发信息表中的标签映射条目的出口标签项进行匹配,如 果是非实时的情况,则直接与历史MPLS标签映射表中对应时间段内 各标签映射条目的出口标签项进行标签查询匹配。如果转发信息表中 或历史MPLS标签映射表中没有相匹配的条目,那么说明攻击数据包 流不曾经由该路由器转发,不再需要进行样本攻击数据包特征信息的 匹配。而如果匹配结果表明有对应的标签匹配条目,则再查询其对应时间段存储的Bloom filter数据结构信息以确定是否记录过样本攻 击包中的特征信息,如果有记录,那么表明攻击包确实经过该路由器, 接着提取匹配命中路由器中所命中的标签映射条目的入口标签替代 信源定位请求包中的标签信息,构成新的信源定位请求包,发往命中 路由器的上游邻居路由器,上游邻居路由器仍然进行如上所述的标签 和攻击特征的匹配过程,直到再没有相匹配的路由器为止,那么当前 路由器可能就是攻击端的入口边缘路由器。
在基于概率包记录法的反向追踪定位过程中,判定命中一个路由 器节点需要匹配命中多少个样本攻击数据包的特征信息应该选择一 个合适的命中阈值。命中阈值选择的越大,精确性就越高,但是相应 进行查询匹配的系统开销就越大;而命中阈值选择的过小,路有器节 点被假命中的概率就会较高。实际应用时,需要对开销和假命中概率 之间进行权衡,选择一个合适的命中阈值。
⑦将信源定位结果返回给接收端的IDS,完成对本次MPLS网络 中网络攻击的双向复合信源定位,实施例步骤⑦由图1中的重构攻击 路径和定位攻击源模块8完成。重构攻击路径和定位攻击源模块8完 成对最后追踪结果的整理并返回给受攻击者或IDS。如果定位成功, 则将攻击路径及最后定位的攻击源返回;如果定位失败,则返回失败 消息。
完成多协议标记交换网络的双向复合信源定位。
1权利要求
1. 一种多协议标记交换网络的双向复合信源定位方法,其特征在于包括步骤①IP通信数据包进入多协议标记交换网络的边缘路由器传输时,边缘路由器依设定标记概率对IP通信数据包进行标记,标记内容包括边缘路由器的ID信息,采用基于标识的组合公钥签名技术对ID标记信息进行数字签名,边缘路由器将IP通信数据包加上MPLS头变成MPLS通信数据包发送到多协议标记交换网络中传输;②MPLS通信数据包在多协议标记交换网络中传输时,MPLS通信数据包经过的每个路由器将依据设定记录概率对MPLS通信数据包进行记录,记录信息为MPLS通信数据包内容中具有固定长度的特征信息,记录方法采用Bloom filter数据结构,Bloom filter数据结构以预定周期循环更新;在多协议标记交换网络的出口边缘路由器将MPLS通信数据包包头中的标签放进IP通信数据包包头中的设定字段进行标记;③当多协议标记交换网络对标签进行更新时,记录历史标签映射关系,以设定的时间周期对历史标签映射关系进行更新;④接收端的入侵检测系统检测到网络攻击时,检测IP通信数据包的攻击数据包中是否存在标记有边缘路由器ID信息的标记数据包,如果存在标记数据包,则进行基于组合公钥签名技术的边缘概率包标记算法的信源定位;否则,提取与设定记录概率相关数量的样本IP攻击数据包,进行基于多协议标记交换网络标签记录的概率包记录算法的信源定位;⑤基于组合公钥签名技术的边缘概率包标记算法进行信源定位时,根据经过标记的攻击数据包中标记的边缘路由器ID信息得到对应的边缘路由器的公钥,利用边缘路由器的公钥对标记数据包中的数字签名进行验证,如果对标记数据包的签名验证通过,则提取标记数据包中的边缘路由器ID信息一步定位到攻击端的边缘路由器,需要还原正向标记交换攻击路径时,则从攻击端边缘路由器开始,借助多协议标记交换网络的标记转发表信息或记录的历史标签映射关系还原出标记交换攻击路径;⑥基于多协议标记交换网络标签记录的概率包记录算法进行信源定位时,提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签信息,构造信源定位请求包,通过与被攻击端边缘路由器的攻击特征匹配确定攻击是否来自远程局域网,如果攻击来自远程局域网,则被攻击端边缘路由器将信源定位请求发往其上游邻居路由器,各上游邻居路由器将信源定位请求中的标签信息与它们对应时间段标签映射条目中的出口标签信息进行查询匹配,标签信息匹配成功后进行信源定位请求中各样本IP攻击数据包的攻击特征的查询匹配,标签信息和攻击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路径上的一个路由器节点,提取匹配命中路由器中匹配命中标签映射条目的入口标签替代信源定位请求包中的标签信息,再向匹配命中路由器的各上游邻居路由器发送信源定位请求包进行类似的标签和攻击特征的查询匹配过程,直至当前匹配命中路由器的各上游邻居路由器中再没有匹配命中的路由器;⑦将信源定位结果返回给接收端的入侵检测系统,完成对本次多协议标记交换网络中网络攻击的双向复合信源定位。
全文摘要
本发明公开了一种多协议标记交换网络的双向复合信源定位方法,它涉及通信网络安全领域中通过信源定位技术对MPLS网络中遭受的网络攻击进行主动反击的技术。它采用两种算法相结合实现攻击源定位一种是基于组合公钥签名技术的边缘概率包标记算法,对进入网络的数据包以设定概率进行标记,并对标记进行基于组合公钥的签名;另一种是基于MPLS网络标签记录的概率包记录算法,对网络中传输的数据包以设定概率进行记录,更新历史MPLS标签映射记录。信源定位系统依据标记信息或记录信息可定位到攻击源。本发明具有定位速度快、网络额外负载小、健壮性好、有效性高、系统开销小等优点,特别适用于对MPLS网络中遭受的洪泛类攻击进行定位。
文档编号H04L12/56GK101447916SQ20081008021
公开日2009年6月3日 申请日期2008年12月25日 优先权日2008年12月25日
发明者刘存才, 巍 吴, 妥艳君, 张林杰, 艳 李, 李丹镝, 杨国瑞, 赵丽霞, 炜 邓, 骆连合 申请人:中国电子科技集团公司第五十四研究所