对系统攻击进行路径回溯的方法与装置的制造方法
【技术领域】
[0001]本公开涉及网络与信息安全技术领域,特别地,涉及一种对系统攻击进行路径回溯的方法与装置。
【背景技术】
[0002]为应对日益娼獗的DDoS (Distributed Denial of Service,分布式拒绝服务)攻击,很有必要对攻击流量进行监测分析;目前主要有3种流量监测分析方法:基于网络流量全镜像的监测技术、基于SNMP (Simple Network Management Protocol,简单网络管理协议)的监测技术和基于Netflow的监测技术。
[0003]通过比较发现,基于Netflow的监测技术更适合大网,中国电信已部署了基于Netf low的异常流量监控系统和攻击溯源分析系统,用于实时异常流量攻击监测,攻击溯源分析和取证。
[0004]但是,目前已建溯源系统在应用于对现网进行攻击溯源排查时,更多地是借助于安全专家的人工分析,且不能对攻击流量穿行路径进行分析,严重影响了攻击响应的处理时效。
【发明内容】
[0005]本公开鉴于以上问题中的至少一个提出了新的技术方案。
[0006]本公开在其一个方面提供了一种对系统攻击进行路径回溯的方法,其可以有效地提升互联网攻击应急响应处理效率。
[0007]本公开在其另一方面提供了一种对系统攻击进行路径回溯的装置,其可以有效地提升互联网攻击应急响应处理效率。
[0008]根据本公开,提供一种对系统攻击进行路径回溯的方法,包括:
[0009]采集Netflow数据、路由拓扑数据以及路由器信息;
[0010]获取系统攻击安全事件;
[0011]基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息,利用广度遍历法对系统攻击进行路径回溯。
[0012]在本公开的一些实施例中,通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。
[0013]在本公开的一些实施例中,所述Netflow数据中包含数据流的五元组信息与流量大小。
[0014]在本公开的一些实施例中,所述系统攻击安全事件包括攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。
[0015]在本公开的一些实施例中,利用广度遍历法对系统攻击进行路径回溯包括:
[0016]从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间;
[0017]根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息;
[0018]根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端Π ;
[0019]自攻击目的路由器与端口开始,根据路由拓扑数据开始遍历拓扑结构中的所有节点,并根据各节点之间的连接关系形成攻击路径链表,以实现对攻击路径的回溯。
[0020]根据本公开,还提供了一种对系统攻击进行路径回溯的装置,包括:
[0021]采集单元,用于采集Netflow数据、路由拓扑数据以及路由器信息;
[0022]获取单元,用于获取系统攻击安全事件;
[0023]回溯单元,用于基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息,利用广度遍历法对系统攻击进行路径回溯。
[0024]在本公开的一些实施例中,所述获取单元通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。
[0025]在本公开的一些实施例中,所述Netflow数据中包含数据流的五元组信息与流量大小。
[0026]在本公开的一些实施例中,所述系统攻击安全事件包括攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。
[0027]在本公开的一些实施例中,所述回溯单元包括:
[0028]攻击信息提取子单元,用于从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间;
[0029]流量信息提取子单元,用于根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息;
[0030]确定子单元,用于根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端口;
[0031]遍历子单元,用于自攻击目的路由器与端口开始,根据路由拓扑数据开始遍历拓扑结构中的所有节点,并根据各节点之间的连接关系形成攻击路径链表,以实现对攻击路径的回溯。
[0032]在本公开的技术方案中,基于获取的系统攻击安全事件、Netflow数据、路由拓扑数据以及路由器信息进行综合关联分析,可以实现对网络攻击路径的快速回溯分析,具有监控范围大、智能性高、以及快速准确定位攻击源以及攻击路径等特点,解决了现有技术中存在的自动化程度不高的问题,有效地提升了互联网攻击应急响应处理效率。
【附图说明】
[0033]此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附图中:
[0034]图1是本公开一个实施例的对系统攻击进行路径回溯的方法的流程示意图。
[0035]图2是本公开另一实施例的对系统攻击进行路径回溯的方法的流程示意图。
[0036]图3是本公开利用广度遍历法实现对网络攻击路径的快速回溯分析的一个实例的示意图。
[0037]图4是本公开确定攻击源路由器与端口信息以及攻击目的路由器与端口信息的一个实例的示意图。
[0038]图5是本公开一个实施例的对系统攻击进行路径回溯的装置的结构示意图。
【具体实施方式】
[0039]下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外,本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为说明书的一部分。
[0040]本公开下述实施例对现有技术手段存在的攻击溯源能力不足以及不能对攻击流量穿行路径进行分析的问题,提出了一种对系统攻击进行路径回溯的技术方案,可以有效地提升互联网攻击应急响应的处理效率。
[0041]图1是本公开一个实施例的对系统攻击进行路径回溯的方法的流程示意图。
[0042]如图1所示,该实施例可以包括以下步骤:
[0043]S102,采集Netflow数据、路由拓扑数据以及路由器信息;
[0044]具体地,可以由路由器采集Netflow数据、路由拓扑数据以及路由器信息。
[0045]其中,Netflow数据中可以包含但并不限于数据流的五元组信息与流量大小。具体地,Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。一个Netflow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源与目的端口号。
[0046]路由器拓扑链接关系包括链接源路由器和端口、目的路由器和端口的链接关系,以及路由器和子网链接关系。
[0047]S104,获取系统攻击安全事件;
[0048]其中,系统攻击安全事件可以包括但不限于攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。具体地,攻击类型可以包括但不限于DDoS攻击安全事件。
[0049]在一个实例中,可以通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。
[0050]具体地,可以直接自流量分析系统获取该系统检测出的系统攻击安全事件,或者在由路由器采集到Netflow数据后,自己根据Netflow数据分析出其中可能存在的系统攻击安全事件。
[0051]S106,基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息,利用广度遍历法对系统攻击进行路径回溯;
[0052]具体地,基于系统攻击安全事件中承载的信息自所采集的Netflow数据中提取相关数据,再利用路由拓扑数据和路由器信息基于广度遍历法即可回溯攻击路径。
[0053]在该实施例中,基于获取的系统攻击安全事件、Netflow数据、路由拓扑数据以及路由器信息进行综合关联分析,可以实现对网络攻击路径的快速回溯分析,具有监控范围大、智能性高、以及快速准确定位攻击源以及攻击路径等特点,解决了现有技术中存在的自动化程度不高的问题,有效地提升了互联网攻击应急响应处理效率。
[0054]在一个实施例中,利用广度遍历法对系统攻击进行路径回溯的步骤可以包括:
[0055]从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间;
[0056]根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息;
[0057]根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端□;
[0058]自攻击目的路由器与端口开始,根据路由拓扑数据开始遍历拓扑结构中的所有节点,并根据各节点之间的连接关系形成攻击路径链表,以实现对攻击路径的回溯。
[0059]需要指出的是,由于多个攻击源可能一起攻击同一攻击目的路由器,因此,自攻击目的路由器与端口开始遍历。
[0060]图2是本公开另一实施例的对系统攻击进行路径回溯的方法的流程示意图。
[0061 ] 在该实施例中,以DDoS攻击为例进行详细的说明。
[0062]如图2所示,要针对DDoS攻击进行攻击路径的快速回溯,可以通过以下步骤实现:
[0063]步骤一,采集、存储Netflow数据、路由拓扑数据、攻击安全事件、路由器等数据信息;
[0064]具体地,可以由路由器采集NetFlow数据、路由器拓扑连接关系以及端口信息,从流量分析系统采集攻击安全事件。
[0065]步骤二,通过采集流量分析系统的攻击安全事件或基于采集的Netflow流量数据进行分析,根据TCP链接阈值监测DDoS攻击安全事件;
[0066]具体地,可以通过SYSL0G接收流量分析系统的攻击安全事件。
[0067]步骤三,基于已采集的数据与监测到的DDoS攻击安全事件,采用广度遍历算法,实现对网络攻击路径的快速回溯分析。
[0068]图3是本公开利用广度遍历法实现对网络攻击路径的快速回溯分析的一个实例的示意图。
[0069]如图3所示,基于采集的Netflow数据、路由拓扑数据、攻击安全事件、路由器等信息,实现DDoS攻击路