一种基于gbf的追踪溯源系统及其工作方法

一种基于gbf的追踪溯源系统及其工作方法
【专利摘要】本发明提供了一种基于GBF的追踪溯源系统及其工作方法，所述系统包含若干路由器、若干网络自治域管理机、受害端溯源组件、路由器标记组件、路由器溯源组件、管理机溯源组件。其工作方法的原理是利用广义布隆过滤器作为标记空间，通过路由器标记组件、受害端溯源组件、路由器溯源组件和管理机溯源组件以路由器逐级逆向追踪和自治域逐级逆向追踪两种方式完成追踪溯源，整个过程分为标记和溯源两个过程，标记由路由器完成，溯源由受害端发起，逐级回溯，由最接近攻击端的设备将结果发回受害端。本发明利用GBF来存储标记信息，准确度高。
【专利说明】—种基于GBF的追踪溯源系统及其工作方法
【技术领域】
[0001]本发明涉及网络【技术领域】，尤其涉及一种基于GBF的追踪溯源系统及其工作方法。
【背景技术】
[0002]网络追踪溯源指确定网络攻击者身份或位置，以及攻击中间介质的过程。身份指攻击者名字、帐号或与之有关系的类似信息；位置包括其地理位置或虚拟地址，如IP地址、MAC地址等。网络追踪溯源的主旨思想是使用网络信息数据分析确认攻击源。网络追踪溯源至少具有以下三点重要意义:(1)从源头上遏制攻击；(2)指导防御方采取有针对性防御措施；(3)为从司法上惩治网络罪犯提供有力证据。按照网络是否协作，可以将网络追踪溯源分为协作与非协作两类，在协作网域中进行网络追踪溯源可以得到ISP(网络服务提供商)和自治域网络管理员的支持和配合，而在非协作网域进行网络追踪溯源没有这样的便利条件。按照网络追踪溯源的深度和精度的不同，有学者将网络追踪溯源分为四个层次:第一层，追踪溯源攻击主机；第二层，追踪溯源攻击控制主机；第三层，追踪溯源攻击者；第四层，追踪溯源攻击组织机构。目前，相关的研究仍集中在第一层追踪溯源，即追踪溯源攻击主机，国外将第一层的追踪溯源称为IP Traceback,即追踪伪造源IP的数据包，包括数据包标记法、链路测试法、日志记录法、iTrace法等。
[0003]数据包标记法的核心思想是路由器对所转发的数据包做标记，受害端收到数据包后可以根据标记信息重构攻击路径。通常选择数据包未使用的位置做标记，不影响正常数据流解析；最早的数据包标记追踪溯源直接在数据包中标记路由器的IP地址，由于每个IP地址占4字节，而数据包从攻击端到达受害端可能经过很多个路由器，需要的存储空间就会非常大，这可能引起两个问题:数据包长度可能超过MTU (最大传输单元)；网络负载大幅增加。之后，研究人员提出了概率包标记法，数据包中只预留了一个路由器的标记空间，路由器以一个较小的概率P进行标记，后续的标记将覆盖前边的标记，受害端接收到距离d跳路由器标记数据包的概率是P(l-P)d-1。如果攻击者发送足够多的数据包并且路由相对稳定，那么受害主机就至少能收到攻击路径上每个路由器的一个样本。根据样本的数量排列所有路由器可以重构出一个有序的路径。虽然概率包标记法减轻了路由器和网络的负载，减小了数据包的长度，但追踪溯源时需要收集大量数据包，重构路径速度慢，如果有多个攻击者，那么在相同的距离上会存在多个路由器，无法区分多条攻击路径。
[0004]上述两种数据包标记法都缺乏实用性。

【发明内容】

[0005]为解决上述问题，本发明提供了一种基于GBF的追踪溯源系统，包含若干路由器、若干网络自治域管理机、受害端溯源组件、路由器标记组件、路由器溯源组件、管理机溯源组件；
所述管理机溯源组件布置在网络自治域的管理机中，所述管理机知晓其所在网络自治域系统的网络拓扑，管理机溯源组件负责执行逐本网络自治域逆向追踪；
路由器标记组件、路由器溯源组件部署在路由器上，所述路由器标记组件负责将路由器自身的IP地址标记到数据包GBF中，路由器溯源组件负责执行逐路由器逆向追踪；
受害端溯源组件部署在受害端上，用于构造ICMP溯源数据包发送给路由器标记组件或管理机溯源组件，以发起追踪溯源，并对追踪溯源结果进行解析。
[0006]进一步的，ICMP溯源数据包设有用于IP地址存放的IP_DATA区域。
[0007]进一步的，ICMP溯源数据包中还含有从攻击数据包中提取的GBF和开辟的IP地址存储空间，各级路由器标记组件和/或路由器溯源组件将攻击路径上的路由器IP地址写入ICMP溯源数据包的IP_DATA区域。
[0008]所述的基于GBF的追踪溯源系统的工作方法，包括下列步骤:
步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址通过标记到IP数据包中；
步骤2:数据包到达终端；
步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则进行步骤4，如不是则不处理；
步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器的溯源组件，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域；发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域；
步骤5:系统判断所述最邻近路由器是否为其所在自治域的边界路由器，如是则直接跳至步骤9，否则进行步骤6 ;
所述边界路由器是攻击路径上，自治域跨域接收来自临近自治域数据包时的第一级路由器或者发送数据包到临近自治域时的最后一级路由器。在追溯过程中，判断是否为边界路由器很重要，因为跨域需要MT的协作才能进行；
步骤6:最邻近路由器查询GBF，根据IP地址判断攻击路径上的上一级路由器，所述最邻近路由器将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域，并将ICMP溯源数据包发给上一级路由器；
步骤7:系统判断所述上一级路由器是否为边界路由器，如是，则跳至步骤9，否则所述上一级路由器通过查询GBF判断其在攻击路径上的再上一级路由器，将自己的IP地址源数据包的IP地址写入了 ICMP溯源数据包的IP_DATA区域，发给再上一级路由器；
判断是否为边界路由器很重要，因为跨域需要MT的协作才能进行；
步骤8:将所述再上一级路由器作为上一级路由器，重复步骤7，直到到达最临近攻击端的路由器；
步骤9:所述边界路由器ICMP溯源数据包被发送给其所在自治域的管理机溯源组件，所述管理机溯源组件判断GBF中记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤10，否则本自治域的管理机上的组件将ICMP溯源数据包发回
给受害端；
步骤10:1CMP溯源数据包被本自治域的边界路由器发送至攻击路径上的临接自治域的边界路由器； 步骤11:所述临接自治域的边界路由器作为上一级路由器，进行步骤7，直到到达攻击端临近的路由器；
步骤12:所述攻击端临近的路由器所在自治域的管理机的组件将ICMP溯源数据包发回受害端；
步骤13:受害端的溯源组件重构路径。
[0009]进一步的，上述方法步骤I中，路由器标记组件通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
[0010]作为另外一种实施方式，所述的基于GBF的追踪溯源系统的工作方法，包括下列步骤:
步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址标记到IP数据包中；步骤2:数据包到达终端。
[0011]步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则将发送端作为攻击端，接收端作为受害端进行步骤4，如不是则不处理。
[0012]步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器所在自治域的管理机，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域；发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域。
[0013]步骤5:最邻近路由器所在自治域的管理机进行域内追踪，即对该自治域内的路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域；
步骤6:所述最邻近路由器所在自治域的管理机判断GBF中是否记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤7，否则最邻近路由器所在自治域的管理机将域内追踪的结果发回受害端；
步骤7:最邻近路由器所在自治域的管理机将ICMP溯源数据包发送到攻击路径上的临接自治域的管理机，该临接自治域的管理机进行域内追踪，即对该自治域内的所有路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域；
步骤8:所述临接自治域作为最邻近路由器，重复进行步骤6，直到到达攻击端所在自治域。
[0014]步骤9:受害端的溯源组件重构路径。
[0015]进一步的，上述另一种【具体实施方式】步骤I中，路由器标记组件通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
[0016]本发明的有益效果为:
本发明设计的数据包标记追踪溯源方法利用GBF来存储标记信息，具有如下优点:只占用固定大小的空间，数据包不会随着经过路由器数目的增多而增大，减轻了溯源对网络的压力；可以对单独的数据包进行溯源，无需收集大量的数据包；既可以即时溯源也可以事后溯源；与存储空间的初始状态无关，即使攻击者构造攻击数据包时任意填充GBF空间，也不影响追踪溯源，而BF面临这样的攻击。GBF的错报率随着hash函数的数目增加而减小，在错报率上优于BF。逐自治域溯源的方法，即使有一两个节点出现漏报或错报，也可以 重构大致的攻击路径。
【专利附图】

【附图说明】
[0017]图1为本发明所述方法标记和溯源两个过程示意图。
[0018]图2为本发明所述系统示意图。
[0019]图3为ICMP溯源数据包格式示意图。
[0020]图4为逐路由器逆向追踪过程示意图。
[0021]图5为逐自治域逆向追踪过程示意图。
【具体实施方式】
[0022]本发明要解决的技术问题，一是受害端计算量的最小化，原来完全由受害端进行路径重构，现在设计一种逐级逆向追踪方案，将路径重构的计算量分摊到网络中的各个设备上；二是存储空间的最大化利用，即使用尽量小的数据包存储空间标记尽量多的路由器信息；三是构建一个完整的基于GBF的包标记追踪溯源系统。
[0023]本发明提出的基于GBF的包标记追踪溯源系统的技术构思为:所述系统使用GBF(Generalized Bloom Filters,广义布隆过滤器)作为标记信息的存储空间,在数据包中开辟较小的存储空间，存储较多的标记信息，通过调节参数，可以控制标记的冲突概率，使漏报率、错报率符合实际使用的需要。此外，设计了基于逐级逆向追踪的路径重构方法，可以从携带了 GBF的数据包中提取标记信息并实现追踪溯源。
[0024]基于GBF的包标记追踪溯源系统的工作步骤分为标记和溯源两个过程，标记由路由器完成，溯源由受害端发起，逐级回溯，由最接近攻击端的设备将结果发回受害端。
[0025]如图1所示，标号为①的是攻击数据包经过路由器时，路由器的标记过程。标号为②的是受害端发起溯源请求进行逐级回溯的过程，标号③的是最接近攻击端的设备(路由器或自治域管理机)将结果发回受害端的过程。
[0026]下面对本系统进行详细说明。
[0027]本发明所述基于GBF的追踪溯源系统，如图2所示:若干路由器、各个路由器上设置的路由器标记组件RM(Router Mark)及路由器溯源组件RT(Router Traceback)、受害端溯源组件VT (Victim Traceback)、若干网络自治域的管理机、各个网络自治域的管理机上设置的管理机溯源组件MT (Manager Traceback)。
[0028]所述管理机及管理机溯源组件MT的概念为:Internet是由多个自治域(Autonomous System)组成,通常一个自治域代表了一个组织，组织对本自治域具有完全的管理权，该自治域中必须部署一个管理机，且管理机知晓本自治系统的网络拓扑，所述管理机溯源组件MT安装在管理机中，用于管理机发起追溯。
[0029]图2中，η代表数据包经过的路由器数目，m代表数据包经过的自治域数目。所述RM, RT是部署到路由器上的组件，RM负责将路由器自身的IP地址标记到数据包GBF中，RT负责执行逐路由器逆向追踪。
[0030]MT是部署到管理机上的组件，负责执行逐自治域逆向追踪。
[0031]VT是部署在受害端(受害主机或IDS)的组件。VT是追踪溯源的发起者，当IDS(入侵检测系统)检测到攻击发生时，VT构造ICMP溯源数据包发送给受害端最临近路由器的RT或所述最临近路由器所在自治域管理器的MT，由该RT、MT开始之后的追踪溯源。ICMP溯源数据包中含有从攻击数据包中提取的GBF和开辟的IP地址存储空间。
[0032]VT同时也是追踪溯源结果的解析者，各级RT、MT会将攻击路径上的路由器IP地址写入ICMP溯源数据包的IP_DATA区域并由最接近攻击机的RT或MT将ICMP溯源数据包发回给VT，VT读取IP_DATA区域就能得到攻击路径。ICMP溯源数据包的格式如图3所示。
[0033]下面对逐路由器逆向追踪过程和逐自治域逆向追踪过程进行说明。
[0034]以图4为例说明逐路由器逆向追踪的过程。
[0035]攻击数据包经过R4-R3-R2-R1到达受害端；受害端向Rl发起溯源请求；R1通过查询GBF判断R2在攻击路径上并将ICMP溯源数据包发给R2 ；R2收到ICMP溯源请求包之后，对于R3、R5，检查发现R3的IP地址属于GBF而R5的IP地址不属于GBF，于是R2将ICMP数据包发给R3 ；R3通过同样的判断过程将ICMP溯源数据包发给R4 ；R4只有R3 —个邻接路由器，找不到其他IP地址属于GBF的路由器，R4将ICMP溯源数据包发回给受害端；在整个回溯过程中，受害端以及各个路由器都将自己的IP地址写入了 ICMP溯源数据包的IP_DATA区域，因此，受害端可以得到攻击路径V-R1-R2-R3-R4。
[0036]逐自治域逆向追踪过程。
[0037]以图5为例说明逐自治域逆向追踪的过程。从A (攻击者)发出的数据包经过R9-R8-R7-R3-R1到达V (受害者);VT构造ICMP溯源数据包并发给ASl的管理机Ml开始溯源；M1首先进行域内追踪，即对ASl内的所有路由器Rl、R2...R7逐一判断GBF中是否包含它们的标记，得到域内追踪的结果R1-R3-R7并将结果写入ICMP溯源数据包IP_DATA区域，Ml接着寻找上级AS，即判断GBF中是否包含邻接AS的边界路由器R8、R14的标记，判断结果为包含R8的标记，于是Ml将ICMP溯源数据包发给M2 ；M2做与Ml同样的工作，得到AS2域内的追踪结果R8-R9并写入IP_DATA，但没有上级AS，M2将结果发回VT ；VT重构攻击路径为V-R1-R3-R7- R8-R9，追踪溯源结束。
[0038]需要说明的是，逐路由器逆向追踪过程和逐自治域逆向追踪过程是两个可以并行实施或者单独实施的方案。
[0039]为了更好的理解本发明，下面对本系统的工作方式进行步骤性的说明。
[0040]【具体实施方式】1:
步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
[0041]步骤2:数据包到达终端。
[0042]步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则进行步骤
4,如不是则不处理。
[0043]步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器的溯源组件，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域。发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域。
[0044]步骤5:系统判断所述最邻近路由器是否为其所在自治域的边界路由器，如是则直接跳至步骤9，否则进行步骤6。
[0045]所述边界路由器是攻击路径上，自治域跨域接收来自临近自治域数据包时的第一级路由器或者发送数据包到临近自治域时的最后一级路由器。在追溯过程中，判断是否为边界路由器很重要，因为跨域需要MT的协作才能进行。
[0046]步骤6:最邻近路由器查询GBF，根据IP地址判断攻击路径上的上一级路由器，所述最邻近路由器将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域，并将ICMP溯源数据包发给上一级路由器。
[0047]步骤7:系统判断所述上一级路由器是否为边界路由器，如是，则跳至步骤9，否则所述上一级路由器通过查询GBF判断其在攻击路径上的再上一级路由器，将自己的IP地址源数据包的IP地址写入了 ICMP溯源数据包的IP_DATA区域，发给再上一级路由器。
[0048]判断是否为边界路由器很重要，因为跨域需要MT的协作才能进行。
[0049]步骤8:将所述再上一级路由器作为上一级路由器，重复步骤7，直到到达最临近攻击端的路由器。
[0050]步骤9:所述边界路由器ICMP溯源数据包被发送给其所在自治域的管理机溯源组件，所述管理机溯源组件判断GBF中记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤10，否则本自治域的管理机上的组件将ICMP溯源数据包发回给受害端。
[0051]步骤10:1CMP溯源数据包被本自治域的边界路由器发送至攻击路径上的临接自治域的边界路由器。
[0052]步骤11:所述临接自治域的边界路由器作为上一级路由器，进行步骤7，直到到达攻击端临近的路由器。
[0053]步骤12:所述攻击端临近的路由器所在自治域的管理机的组件将ICMP溯源数据包发回受害端。
[0054]步骤13:受害端的溯源组件重构路径。
[0055]【具体实施方式】2:
步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
[0056]步骤2:数据包到达终端。
[0057]步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则将发送端作为攻击端，接收端作为受害端进行步骤4，如不是则不处理‘
步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器所在自治域的管理机，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域。发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域。
[0058]步骤5:最邻近路由器所在自治域的管理机进行域内追踪，即对该自治域内的路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域。
[0059]步骤6:所述最邻近路由器所在自治域的管理机判断GBF中是否记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤7，否则最邻近路由器所在自治域的管理机将域内追踪的结果发回受害端。
[0060]步骤7:最邻近路由器所在自治域的管理机将ICMP溯源数据包发送到攻击路径上的临接自治域的管理机，该临接自治域的管理机进行域内追踪，即对该自治域内的所有路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域。
[0061]步骤8:所述临接自治域作为最邻近路由器，重复进行步骤6，直到到达攻击端所在自治域。
[0062]步骤9:受害端的溯源组件重构路径。
[0063]本发明的有益效果为:
本发明设计的数据包标记追踪溯源方法利用GBF来存储标记信息，具有如下优点:只占用固定大小的空间，数据包不会随着经过路由器数目的增多而增大，减轻了溯源对网络的压力；可以对单独的数据包进行溯源，无需收集大量的数据包；既可以即时溯源也可以事后溯源；与存储空间的初始状态无关，即使攻击者构造攻击数据包时任意填充GBF空间，也不影响追踪溯源，而BF面临这样的攻击。GBF的错报率随着hash函数的数目增加而减小，在错报率上优于BF。逐自治域溯源的方法，即使有一两个节点出现漏报或错报，也可以重构大致的攻击路径。
【权利要求】
1.一种基于GBF的追踪溯源系统，其特征在于，包含若干路由器、若干网络自治域管理机、受害端溯源组件、路由器标记组件、路由器溯源组件、管理机溯源组件； 所述管理机溯源组件布置在网络自治域的管理机中，所述管理机知晓其所在网络自治域系统的网络拓扑，管理机溯源组件负责执行逐本网络自治域逆向追踪； 路由器标记组件、路由器溯源组件部署在路由器上，所述路由器标记组件负责将路由器自身的IP地址标记到数据包GBF中，路由器溯源组件负责执行逐路由器逆向追踪； 受害端溯源组件部署在受害端上，用于构造ICMP溯源数据包发送给路由器标记组件或管理机溯源组件，以发起追踪溯源，并对追踪溯源结果进行解析。
2.如权利要求1所述的基于GBF的追踪溯源系统，其特征在于，ICMP溯源数据包设有用于IP地址存放的IP_DATA区域。
3.如权利要求1所述的基于GBF的追踪溯源系统，其特征在于，ICMP溯源数据包中还含有从攻击数据包中提取的GBF和开辟的IP地址存储空间，各级路由器标记组件和/或路由器溯源组件将攻击路径上的路由器IP地址写入ICMP溯源数据包的IP_DATA区域。
4.如权利要求1所述的基于GBF的追踪溯源系统的工作方法，其特征在于，包括下列步骤: 步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址通过标记到IP数据包中； 步骤2:数据包到达终端； 步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则进行步骤4，如不是则不处理； 步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器的溯源组件，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域；发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域； 步骤5:系统判断所述最邻近路由器是否为其所在自治域的边界路由器，如是则直接跳至步骤9，否则进行步骤6 ; 步骤6:最邻近路由器查询GBF，根据IP地址判断攻击路径上的上一级路由器，所述最邻近路由器将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域，并将ICMP溯源数据包发给上一级路由器； 步骤7:系统判断所述上一级路由器是否为边界路由器，如是，则跳至步骤9，否则所述上一级路由器通过查询GBF判断其在攻击路径上的再上一级路由器，将自己的IP地址源数据包的IP地址写入了 ICMP溯源数据包的IP_DATA区域，发给再上一级路由器； 步骤8:将所述再上一级路由器作为上一级路由器，重复步骤7，直到到达最临近攻击端的路由器； 步骤9:所述边界路由器ICMP溯源数据包被发送给其所在自治域的管理机溯源组件，所述管理机溯源组件判断GBF中记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤10，否则本自治域的管理机上的组件将ICMP溯源数据包发回给受害端； 步骤10:1CMP溯源数据包被本自治域的边界路由器发送至攻击路径上的临接自治域的边界路由器； 步骤11:所述临接自治域的边界路由器作为上一级路由器，进行步骤7，直到到达攻击端临近的路由器； 步骤12:所述攻击端临近的路由器所在自治域的管理机的组件将ICMP溯源数据包发回受害端； 步骤13:受害端的溯源组件重构路径。
5.如权利要求3所述的基于GBF的追踪溯源系统的工作方法，其特征在于，步骤I中，路由器标记组件通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
6.如权利要求1所述的基于GBF的追踪溯源系统的工作方法，其特征在于，包括下列步骤: 步骤1:发送端发送数据包，所述数据包经过至少一个网络自治域的至少一个路由器开始传输，所有被经过的路由器的标记组件将路由器自身的IP地址标记到IP数据包中； 步骤2:数据包到达终端； 步骤3:入侵检测系统检测接收到的数据包是否为攻击数据包，如是则将发送端作为攻击端，接收端作为受害端进行步骤4，如不是则不处理； 步骤4:受害端溯源组件构造ICMP溯源数据包发送给其最邻近路由器所在自治域的管理机，所述ICMP溯源数据包中含有从攻击数据包中提取的GBF和用于地址存储的IP_DATA区域；发送前，受害端将自己的IP地址写入到ICMP溯源数据包的IP_DATA区域； 步骤5:最邻近路由器所在自治域的管理机进行域内追踪，即对该自治域内的路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域； 步骤6:所述最邻近路由器所在自治域的管理机判断GBF中是否记录的攻击路径上是否包含临接自治域的边界路由器的标记，如果包含，则进行步骤7，否则最邻近路由器所在自治域的管理机将域内追踪的结果发回受害端； 步骤7:最邻近路由器所在自治域的管理机将ICMP溯源数据包发送到攻击路径上的临接自治域的管理机，该临接自治域的管理机进行域内追踪，即对该自治域内的所有路由节点逐一判断GBF中是否包含它们的标记，得到域内追踪的结果并将结果写入ICMP溯源数据包IP_DATA区域； 步骤8:所述临接自治域作为最邻近路由器，重复进行步骤6，直到到达攻击端所在自治域； 步骤9:受害端的溯源组件重构路径。
7.如权利要求6所述的基于GBF的追踪溯源系统的工作方法，其特征在于，步骤I中，路由器标记组件通过HASH函数压缩运算后以GBF数据结构形式标记到IP数据包Opt1n字段中。
【文档编号】H04L29/06GK104038384SQ201410218893
【公开日】2014年9月10日 申请日期:2014年5月22日 优先权日:2014年5月22日
【发明者】陈周国, 刘波, 蒲石, 黄宸 申请人:中国电子科技集团公司第三十研究所