1.一种攻击报文的溯源方法,其特征在于,包括:
获取待溯源的攻击报文;
确定所述攻击报文的五元组和攻击时间段;
根据所述五元组和攻击时间段,在预先获取的netflow日志中查询所述攻击报文经过的路由器的标识;
将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列;
将得到的排列结果中的第一个路由器的标识所对应的路由器确定为所述攻击报文的攻击源。
2.如权利要求1所述的方法,其特征在于,在预先获取的netflow日志中查询所述攻击报文经过的路由器的标识,包括:
在预先获取的netflow日志中查询与所述五元组和攻击时间段匹配的路由器的标识;
将查询到的所述匹配的路由器的标识确定是所述攻击报文经过的路由器的标识;
其中,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻落在所述攻击时间段内;
或者,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻与所述攻击时间段的开始时刻的差值的绝对值小于设定阈值;
或者,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻与所述攻击时间段的结束时刻的差值的绝对值小于设定阈值。
3.如权利要求1所述的方法,其特征在于,所述将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列包括:
获取网络拓扑;
将查询到的路由器的标识按照所述网络拓扑指示的路由器连接关系进行排列。
4.如权利要求1所述的方法,其特征在于,所述将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列包括:
获取路由器的下一跳信息;
将查询到的路由器的标识按照所述下一跳信息指示的路由器连接关系进行排列。
5.如权利要求1所述的方法,其特征在于,所述将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列包括:
获取各路由器转发所述攻击报文的时刻;
将查询到的路由器的标识按照转发所述攻击报文的先后顺序进行排列。
6.一种攻击报文的溯源装置,其特征在于,包括:
获取单元,用于获取待溯源的攻击报文;
确定单元,用于确定所述攻击报文的五元组和攻击时间段;
查询单元,用于根据所述五元组和攻击时间段,在预先获取的netflow日志中查询所述攻击报文经过的路由器的标识;
排列单元,用于将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列;
溯源单元,用于将得到的排列结果中的第一个路由器的标识所对应的路由器确定为所述攻击报文的攻击源。
7.如权利要求6所述的装置,其特征在于,所述查询单元具体用于:
在预先获取的netflow日志中查询与所述五元组和攻击时间段匹配的路由器的标识;
将查询到的所述匹配的路由器的标识确定是所述攻击报文经过的路由器的标识;
其中,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻落在所述攻击时间段内;
或者,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻与所述攻击时间段的开始时刻的差值的绝对值小于设定阈值;
或者,所述匹配的路由器转发过携带所述五元组的报文,且转发该报文的时刻与所述攻击时间段的结束时刻的差值的绝对值小于设定阈值。
8.如权利要求6所述的装置,其特征在于,所述排列单元具体用于:
获取网络拓扑;
将查询到的路由器的标识按照所述网络拓扑指示的路由器连接关系进行排列。
9.如权利要求6所述的装置,其特征在于,所述排列单元具体用于:
获取路由器的下一跳信息;
将查询到的路由器的标识按照所述下一跳信息指示的路由器连接关系进行排列。
10.如权利要求6所述的装置,其特征在于,所述排列单元具体用于:
获取各路由器转发所述攻击报文的时刻;
将查询到的路由器的标识按照转发所述攻击报文的先后顺序进行排列。