專利名稱:一種基于路徑信息彈性分片的跨域溯源方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及IP網(wǎng)絡的追蹤技術��,尤其涉及一種針對分布式拒絕服務攻擊(DDoS���, Distributed Denial of Service)的跨域溯源方法���。
背景技術:
近幾年,隨著計算機設備價格的下降����、網(wǎng)絡速度的大幅改善以及Web應用的蓬勃 發(fā)展���,越來越多的個人電腦���、智能終端、企業(yè)信息基礎設施連接到互聯(lián)網(wǎng)中�����,使互聯(lián)網(wǎng)在社 會經(jīng)濟生活中的地位日趨重要�。但是,隨著互聯(lián)網(wǎng)的飛速發(fā)展��,各種針對互聯(lián)網(wǎng)的威脅技術 也日益增多。雖然政府部門針對網(wǎng)絡犯罪進行了立法�,對網(wǎng)絡入侵者予以懲處,但是網(wǎng)絡受 破壞的案例仍然呈快速增長趨勢���。這主要歸因于IP網(wǎng)絡的無認證和無狀態(tài)特征如果入侵 者偽造IP地址��,受害者或執(zhí)法機關將難以找到線索定位入侵者��,無法對其進行懲戒�,致使 入侵者繼續(xù)無所顧忌地對網(wǎng)絡進行破壞�。
在當前發(fā)生的網(wǎng)絡威脅中,DDoS是最具威脅����、最常見的網(wǎng)絡威脅之一。2007年4 月底�,愛沙尼亞遭受持續(xù)半個月的DDoS威脅,多個政府網(wǎng)站被迫停站����;2009年7月初,韓國 受到多次DDoS威脅�,導致一些企業(yè)、政府部門網(wǎng)站無法正常登錄�����。這兩次事件影響范圍廣 泛,損失也十分嚴重�,但事后卻無法找到肇事者。一方面說明了 IP溯源技術在網(wǎng)絡安全中 有著重要作用����,另一方面也說明了已有的IP溯源技術在實用方面仍存在著缺陷。
當前���,研究人員針對DDoS的溯源問題提出了多種解決方案����,主要有包標記法����、路 由器日志記錄法�、鏈路測試法、Internet控制報文協(xié)議(ICMP���,Internet Control Message Protocol)追蹤法等�����。其中包標記法是研究人員最為關注的一種溯源方法�,也是目前DDoS 的溯源中所采用的主流方法。圍繞包標記法�,研究人員進行了各方面的研究。根據(jù)對IP 數(shù)據(jù)包標記的概率劃分�,包標記法可分為概率性包標記法(PPM,Probabilistic Packet Marking)和確定性包標記法(DPM,Deterministic Packet Marking)���。PPM由于在重構路徑 時需要大量的IP數(shù)據(jù)包���,因而主要適用于對拒絕服務攻擊(DoS,Denial of Service)進行 溯源��;DDoS中每個入侵主機所發(fā)出的IP數(shù)據(jù)包數(shù)量較少����,PPM無法保證受害者收到足夠IP 數(shù)據(jù)包以重構路徑。DPM適用范圍較廣���,但面臨的問題是IP數(shù)據(jù)包包頭沒有足夠空間供路 徑上所有路由器對IP數(shù)據(jù)包進行標記�,并且���,目前已有的DPM方法缺陷較多����,比如僅能追蹤 到受害者所在的自治系統(tǒng)(AS��,Autonomous System)的入口處���,或標記信息占用空間過大�����, IP數(shù)據(jù)包包頭根本不可能提供所需要的空間����。
針對這些問題����,研究者提出了在AS層面對IP數(shù)據(jù)包進行標記的跨域溯源方法?��;?于AS層面的跨域溯源方法存在以下優(yōu)點
1)超過99. 5 %的IP數(shù)據(jù)包到達目的地所經(jīng)過的AS不超過6個,從而所需記錄的 路徑信息較少����;
2) AS管理者一般不喜歡泄露內部拓撲����,基于AS層面的溯源方法會更容易被互聯(lián) 網(wǎng)服務提供商(ISP����,Internet Service Provider)接受;
3)自治系統(tǒng)號(ASN����,Autonomous System Number)只有 16 位,與 32 位 IP 地址相比���,ASN占用IP數(shù)據(jù)包包頭的空間較小���,重構路徑時所需的IP數(shù)據(jù)包數(shù)量也較小。
因而�����,目前認為跨域溯源方法具備更廣闊的應用前景����。目前提出了稱為FAST的跨 域溯源方法。FAST使用IP數(shù)據(jù)包包頭的25位空間(分別為服務類型(TOS,the Type of Service)域�����,標識(Identification)域和保留標志(Reserved Flag)域)作為標記空間��, 并將這25位標記空間分為三個域�,分別是
NodeAppend域(20位)用于存儲路徑上各ASN的哈希值;
Hop域(3位)用于指示IP數(shù)據(jù)包已經(jīng)經(jīng)過幾個AS;
Hid域0位)用于指示使用了哪個哈希函數(shù)對ASN進行壓縮計算���。
在FAST的跨域溯源方法中�,邊界路由器將相應的ASN用哈希函數(shù)壓縮為4位�,并 標記到NodeAppend域。受害者收到一定數(shù)量帶有標記信息的IP數(shù)據(jù)包后��,依據(jù)網(wǎng)絡拓撲 找出可疑路徑���,并使用不同的哈希函數(shù)對這些可疑路徑進行計算�����。如果某條路徑的數(shù)個哈 希值����,在所收到的標記信息中均能找到相應值��,則該路徑是入侵路徑���。FAST跨域溯源方法可 以較快地重構AS層次的入侵路徑,但是��,F(xiàn)AST跨域溯源方法存在以下問題
1)邊界路由器不管IP數(shù)據(jù)包到達目的地所經(jīng)過的AS跳數(shù)�,一律將ASN壓縮為4 位,導致當IP數(shù)據(jù)包從源AS到達目的AS的距離只有1跳或2跳時���,仍然需要收到較多的 帶標記信息的IP數(shù)據(jù)包��,才可重構路徑�����;
2)FAST跨域溯源方法不考慮攻擊者和受害者處于同一 AS域的情況�����,導致當攻擊 者和受害者處于同一 AS域時����,無法判斷攻擊者是來自域內還是域外;
3)無法識別偽造的標記信息����;
4)受害者需要具備精確的AS層次網(wǎng)絡拓撲圖和路由信息�,才能重構路徑,否則將 無法重構路徑����。發(fā)明內容
有鑒于此,本發(fā)明的主要目的在于提供一種基于路徑信息彈性分片的跨域溯源方 法及系統(tǒng)�����,能在受到網(wǎng)絡攻擊時�����,準確地確定出攻擊IP數(shù)據(jù)包的路徑����,進行攻擊點的準確 溯源����。
為達到上述目的,本發(fā)明的技術方案是這樣實現(xiàn)的
一種基于路徑信息彈性分片的跨域溯源方法��,將IP數(shù)據(jù)包頭部中的部分數(shù)據(jù)域 (IP數(shù)據(jù)包頭部中較少使用的三個域�����,即TOS域,Identification域和Reserved Flag域����, 共25比特)分為四個域,分別為距離Distance域����、標識Identity域、標志號Flag_Num域 和路徑信息PathJnfor域�����,其中�����,Distance域用于承載對所述IP數(shù)據(jù)包進行標記的首個 標記邊界網(wǎng)關MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離信息�,Identity域用 于承載對所述IP數(shù)據(jù)包進行標記的第一個MBG所對應的ASN的哈希摘要值ID信息,F(xiàn)lag_ Num域用于承載指示所述IP數(shù)據(jù)包所經(jīng)過的MBG對應ASN分片信息中的第幾片標記到所述 PathJnfor域中�,PathJnfor域用于承載所述IP數(shù)據(jù)包所經(jīng)過的各MBG所標記的ASN分 片信息以及驗證碼;所述方法還包括
MBG接收到IP數(shù)據(jù)包后�����,確認所述IP數(shù)據(jù)包頭部的四個域是否承載有信息����,未承 載時確定出四個域的承載信息,并分別標記到所述IP數(shù)據(jù)包頭部的所述四個域中��;承載有 信息時對所述四個域中的承載信息進行驗證���,驗證通過后�����,將所述MBG所在AS信息標記到所述四個域中的對應域并轉發(fā)所述IP數(shù)據(jù)包���,驗證未通過則確定所述IP數(shù)據(jù)包頭部的所 述四個域中的承載信息為偽造信息;
需對IP數(shù)據(jù)包溯源時�����,根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個域中的承載信息, 重構IP數(shù)據(jù)包所經(jīng)過的路徑��。
優(yōu)選地����,對所述四個域中承載信息進行驗證,驗證通過后����,將所述MBG所在AS信息 標記到所述四個域中的對應域并轉發(fā)所述IP數(shù)據(jù)包具體為
獲取IP數(shù)據(jù)包頭部所述四個域的承載信息����,并根據(jù)所獲取的承載信息計算驗證 碼;
根據(jù)邊界網(wǎng)關協(xié)議BGP的AS路徑屬性��,獲得當前MBG所在AS與IP數(shù)據(jù)包目的AS 的距離�����;
將驗證碼與所述四個域中的所承載的驗證碼進行對比��,若相等�����,且所述Distance 域承載的距離小于等于5,當前MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離小于 所述Distance域承載的距離��,則所述四個域中承載信息驗證通過�,根據(jù)所述四個域中承載 信息對當前MBG所在的AS的ASN進行分片��,并將指定分片標記到所述PathJnfor域中��;若 所述四個域中承載信息驗證未通過則所述IP數(shù)據(jù)包頭部的所述四個域中承載信息是偽造 的����。
優(yōu)選地,根據(jù)所獲取的承載信息計算驗證碼具體為
根據(jù)所述Distance域承載的距離d���,通過
權利要求
1.一種基于路徑信息彈性分片的跨域溯源方法��,其特征在于���,將IP數(shù)據(jù)包頭部中的部 分數(shù)據(jù)域分為四個域,分別為距離Distance域��、標識Identity域����、標志號Flag_Num域和路 徑信息I^thJnfor域��,其中���,Distance域用于承載對所述IP數(shù)據(jù)包進行標記的首個標記邊 界網(wǎng)關MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離信息,Identity域用于承載 對所述IP數(shù)據(jù)包進行標記的第一個MBG所對應的ASN的哈希摘要值ID信息�,F(xiàn)lag_Num域 用于承載指示所述IP數(shù)據(jù)包所經(jīng)過的MBG對應ASN分片信息中的第幾片標記到所述Path_ Infor域中,PathJnfor域用于承載所述IP數(shù)據(jù)包所經(jīng)過的各MBG所標記的ASN分片信息 以及驗證碼�����;所述方法還包括MBG接收到IP數(shù)據(jù)包后����,確認所述IP數(shù)據(jù)包頭部的四個域是否承載有信息���,未承載時 確定出四個域的承載信息�,并分別標記到所述IP數(shù)據(jù)包頭部的所述四個域中����;承載有信息 時對所述四個域中的承載信息進行驗證,驗證通過后����,將所述MBG所在AS信息標記到所述 四個域中的對應域并轉發(fā)所述IP數(shù)據(jù)包�����,驗證未通過則確定所述IP數(shù)據(jù)包頭部的所述四 個域中的承載信息為偽造信息�;需對IP數(shù)據(jù)包溯源時����,根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個域中的承載信息,重構 IP數(shù)據(jù)包所經(jīng)過的路徑�。
2.根據(jù)權利要求1所述的方法,其特征在于�����,對所述四個域中承載信息進行驗證��,驗證 通過后��,將所述MBG所在AS信息標記到所述四個域中的對應域并轉發(fā)所述IP數(shù)據(jù)包具體 為獲取IP數(shù)據(jù)包頭部所述四個域的承載信息�,并根據(jù)所獲取的承載信息計算驗證碼;根據(jù)邊界網(wǎng)關協(xié)議BGP的AS路徑屬性���,獲得當前MBG所在AS與IP數(shù)據(jù)包目的AS的 距離��;將驗證碼與所述四個域中的所承載的驗證碼進行對比��,若相等����,且所述Distance域承 載的距離小于等于5,當前MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離小于所述 Distance域承載的距離���,則所述四個域中承載信息驗證通過��,根據(jù)所述四個域中承載信息 對當前MBG所在的AS的ASN進行分片�,并將指定分片標記到所述I^thJnfor域中���;若所述 四個域中承載信息驗證未通過則所述IP數(shù)據(jù)包頭部的所述四個域中承載信息是偽造的���。
3.根據(jù)權利要求2所述的方法�����,其特征在于�����,根據(jù)所獲取的承載信息計算驗證碼具體為根據(jù)所述Distance域承載的距離d,通過g = h2/(JH)計算出g����,其中,丨_為向下取整運 算符��,g表示所述PathJnfor域分配給當前ASN分片的空間大?��?����;根據(jù)BGP的AS路徑屬性��,獲得當前MBG所在的AS與所述IP數(shù)據(jù)包目的AS的距離d’�����, 進一步確定驗證碼在所述I^athJnfor域中的偏移位置0ffsetMC = (d_d’)Xg �;計算所述PathJnfor域中承載ASN分片信息后剩余的空間len = 12-0ffsetmc �;根據(jù)Offsetme從所述IP數(shù)據(jù)包頭部的PathJnfor域中提取所述PathJnfor域承載 的驗證碼,所述PathJnfor域中剩余的為ASN的分片信息PATH �����;計算驗證碼MAC’ = fx(PATH, len);其中��,f為能產(chǎn)生散列消息鑒別碼HMAC的函數(shù)��,χ 表示共享的密鑰���,MAC’的位數(shù)長度由Ien指定�����。
4.根據(jù)權利要求2所述的方法��,其特征在于��,根據(jù)所述四個域中承載信息對當前MBG所 在的AS的ASN進行分片��,并將指定分片標記到所述PathJnfor域中具體為根據(jù)所述Distance域中承載的d�����,將當前MBG所在AS的ASN分為k片,其中�����,A = |l6/g,Γ為向上取整運算符;根據(jù)所述Flag_Num域承載的ρ值���,將ASN分片中的第ρ片ASN[p]標記到所述Path_ Infor 域���;依據(jù)路由表判斷當前MBG是否位于IP數(shù)據(jù)包的目的AS,不是時計算承載ASN分片信息 后剩余的空間len-g����,計算當前驗證碼為fx (PATH, len),并將所計算的驗證碼標記到Path_ Infor域中�����。
5.根據(jù)權利要求1所述的方法����,其特征在于,確定所述四個域中的承載信息為偽造信 息后�,所述方法還包括清空所述四個域中的承載信息,重新確定出四個域的承載信息�,并分別標記到所述IP 數(shù)據(jù)包頭部的所述四個域中。
6.根據(jù)權利要求5所述的方法�����,其特征在于,確定出四個域的承載信息�����,并分別標記到 所述IP數(shù)據(jù)包頭部的所述四個域中具體為根據(jù)BGP的AS路徑屬性�����,獲得當前MBG所在AS與IP數(shù)據(jù)包目的AS的距離d�,計算當 前MBG所在AS的ASN的分片數(shù)目
7.根據(jù)權利要求1所述的方法,其特征在于���,所述重構IP數(shù)據(jù)包所經(jīng)過的路徑具體為根據(jù)所述IP數(shù)據(jù)包頭部的Distance域����、Identity域和Flag_Num域的值對所述IP數(shù) 據(jù)包進行排序�����;依序獲取各IP數(shù)據(jù)包頭部四個域的承載信息��,并重組路徑�;用哈希函數(shù)h計算所重 組路徑中首個MBG所在AS的ASN哈希值摘要ID’,并在所述ID’與所述IP數(shù)據(jù)包頭部的 Identity域中的哈希摘要ID相同時���,輸出所述IP數(shù)據(jù)包的重組路徑�,為入侵路徑��。
8.一種基于路徑信息彈性分片的跨域溯源系統(tǒng)�����,其特征在于�����,所述系統(tǒng)包括劃分單元�����、 確認單元���、確定單元�、標記單元�����、驗證單元和路徑重構單元���,其中��,劃分單元���,用于將IP數(shù)據(jù)包頭部中的部分數(shù)據(jù)域分為四個域���,分別為距離Distance 域、標識Identity域����、標志號Flag_Num域和路徑信息PathJnfor域,其中���,Distance域用 于承載對所述IP數(shù)據(jù)包進行標記的首個標記邊界網(wǎng)關MBG所在自治系統(tǒng)AS到所述IP數(shù) 據(jù)包目的AS的距離信息��,Identity域用于承載對所述IP數(shù)據(jù)包進行標記的第一個MBG所 對應的ASN的哈希摘要值ID信息���,F(xiàn)lag_Num域用于承載指示所述IP數(shù)據(jù)包所經(jīng)過的MBG 對應ASN分片信息中的第幾片標記到所述PathJnfor域中,PathJnfor域用于承載所述 IP數(shù)據(jù)包所經(jīng)過的各MBG所標記的ASN分片信息以及驗證碼�����;確認單元,用于確認MBG接收到的IP數(shù)據(jù)包頭部的四個域是否承載有信息�,未承載時 觸發(fā)確定單元,承載有信息時觸發(fā)驗證單元�����;確定單元����,用于確定出四個域的承載信息��;標記單元���,用于將所述確定單元確定的承載信息分別標記到所述IP數(shù)據(jù)包頭部的所 述四個域中�����;以及��,在在所述四個域中的承載信息驗證通過后���,將當前MBG所在AS信息標記 到所述四個域中的對應域;驗證單元�,用于對所述四個域中的承載信息進行驗證,驗證通過后,觸發(fā)標記單元����;驗 證未通過則確定所述IP數(shù)據(jù)包頭部的所述四個域中的承載信息為偽造信息;路徑重構單元���,用于根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個域中的承載信息��,重構IP 數(shù)據(jù)包所經(jīng)過的路徑����。
9.根據(jù)權利要求8所述的系統(tǒng)����,其特征在于,所述驗證單元進一步獲取IP數(shù)據(jù)包頭部 所述四個域的承載信息���,并根據(jù)所獲取的承載信息計算驗證碼�����;根據(jù)邊界網(wǎng)關協(xié)議BGP的 AS路徑屬性��,獲得當前MBG所在AS與IP數(shù)據(jù)包目的AS的距離���;將驗證碼與所述四個域中 的所承載的驗證碼進行對比��,若相等�,且所述Distance域承載的距離小于等于5�����,當前MBG 所在AS到所述IP數(shù)據(jù)包目的AS的距離小于所述Distance域承載的距離����,則所述四個域中 承載信息驗證通過���;以及�,所述標記單元進一步根據(jù)所述四個域中承載信息對當前MBG所 在的AS的ASN進行分片�����,并將指定分片標記到所述I^thJnfor域中����;若所述四個域中承載 信息驗證未通過則所述IP數(shù)據(jù)包頭部的所述四個域中承載信息是偽造的。
10.根據(jù)權利要求9所述的系統(tǒng)�,其特征在于,所述驗證單元根據(jù)所獲取的承載信息計 算驗證碼具體為根據(jù)所述Distance域承載的距離d,通過
全文摘要
本發(fā)明公開了一種基于路徑信息彈性分片的跨域溯源方法����,將IP數(shù)據(jù)包頭部中部分數(shù)據(jù)域分為四個域Distance域、Identity域�����、Flag_Num域和Path_Infor域��,所述方法包括MBG接收到IP數(shù)據(jù)包后���,確認IP數(shù)據(jù)包頭部的四個域是否承載有信息���,未承載時確定出四個域的承載信息,并分別標記到IP數(shù)據(jù)包頭部的四個域中�;承載有信息時對四個域中的承載信息進行驗證,驗證通過后����,將MBG所在AS信息標記到四個域中的對應域并轉發(fā)IP數(shù)據(jù)包,驗證未通過則確定IP數(shù)據(jù)包頭部的四個域中的承載信息為偽造信息����;需對IP數(shù)據(jù)包溯源時��,根據(jù)接收到的IP數(shù)據(jù)包頭部的四個域中的承載信息����,重構IP數(shù)據(jù)包所經(jīng)過的路徑�。本發(fā)明公開了一種實現(xiàn)上述方法的系統(tǒng)。本發(fā)明能實現(xiàn)對網(wǎng)絡攻擊者的準確溯源���。
文檔編號H04L12/56GK102045344SQ20101054571
公開日2011年5月4日 申請日期2010年11月16日 優(yōu)先權日2010年11月16日
發(fā)明者李勇輝, 楊放春, 王玉龍, 蘇森 申請人:北京郵電大學