一種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追蹤方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信安全技術(shù)領(lǐng)域����,更具體地說,涉及一種基于網(wǎng)絡(luò)流水 印的網(wǎng)絡(luò)主動追蹤方法��,以及一種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追蹤系統(tǒng)��。
【背景技術(shù)】
[0002] 隨著信息化和網(wǎng)絡(luò)化的不斷發(fā)展�,網(wǎng)絡(luò)攻擊日益嚴(yán)重�,目前,網(wǎng)絡(luò)追蹤已成為網(wǎng)絡(luò) 安全研究領(lǐng)域的熱點(diǎn)?����;诰W(wǎng)絡(luò)的攻擊大多利用網(wǎng)絡(luò)協(xié)議的不完善性和網(wǎng)絡(luò)資源�����、系統(tǒng)資 源的有限性實(shí)現(xiàn)對目標(biāo)的攻擊��。
[0003] 針對不同的攻擊類型����,現(xiàn)有的網(wǎng)絡(luò)追蹤方法主要有入口過濾法、數(shù)據(jù)包記錄法����、路 徑記錄法、日志記錄法和數(shù)據(jù)包標(biāo)記法等�。目前研究和討論最多的網(wǎng)絡(luò)追蹤技術(shù)是在網(wǎng)絡(luò) 流量中指定特定的特征量作為標(biāo)志或在數(shù)據(jù)包中添加數(shù)據(jù)標(biāo)志信息,然后通過對這些標(biāo)志 的檢測與追蹤來實(shí)現(xiàn)對攻擊與入侵的追蹤�。這些追蹤技術(shù)中添加的標(biāo)志數(shù)據(jù)或字段有可能 會被攻擊者察覺而偽造數(shù)據(jù)包來逃避追蹤,并且它不適用于對加密流量及匿名通信環(huán)境中 流追蹤和定位����。因此現(xiàn)在研究者致力于提出更強(qiáng)大的主動追蹤方法保證網(wǎng)絡(luò)的安全性���。
[0004] 網(wǎng)絡(luò)流水印技術(shù)是一種主動的追蹤技術(shù),它是將主動網(wǎng)絡(luò)流量分析與數(shù)字水印思 想相融合的主動網(wǎng)絡(luò)流水印技術(shù)�。它通過在網(wǎng)絡(luò)流量中嵌入可感知或不可感知的特定信息 來確定流量的所有權(quán)或檢驗(yàn)流量的原始性,這些特性的信息包括對數(shù)據(jù)包時間間隔延遲的 控制�、網(wǎng)絡(luò)流量速率大小的控制等等。網(wǎng)絡(luò)流水印技術(shù)通過一定的算法將一些標(biāo)志性信息 嵌入需要追蹤的流量中��,只有通過專門的檢測器才能正確檢測或提取���。這些信息不影響原 始流量使用效果�����,并可以部分或全部從混合數(shù)據(jù)中恢復(fù)出來����。一般來講�����,一些被動追蹤技術(shù) 不能對加密數(shù)據(jù)����、匿名通信流量提供保護(hù)����,現(xiàn)有主動追蹤技術(shù)數(shù)字標(biāo)簽的隱藏性�、健壯性比 較弱�����,容易被破壞和剔除��,而網(wǎng)絡(luò)流水印技術(shù)卻很好地彌補(bǔ)了這些不足�����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足�,提供一種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追 蹤方法,以及一種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追蹤系統(tǒng)�。
[0006] 本發(fā)明的技術(shù)方案如下:
[0007] -種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追蹤方法,在攻擊鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)中����,在只有輸 出流的網(wǎng)絡(luò)節(jié)點(diǎn)的輸出鏈路上確定嵌入水印的時間段,完成水印設(shè)置和水印嵌入�����;在攻擊 鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)中,選擇任意一個或多個所述網(wǎng)絡(luò)節(jié)點(diǎn)作為需要追蹤的起點(diǎn)�����,在選定的追 蹤起點(diǎn)輸出流鏈路和輸入流鏈路上分別提取水印�,確認(rèn)攻擊來源;所述的攻擊鏈路為攻擊 源節(jié)點(diǎn)與被攻擊目標(biāo)之間的通信鏈路����。
[0008] 作為優(yōu)選,水印嵌入時間段通過以信息熵的方式主動分析網(wǎng)絡(luò)流量進(jìn)行確定�����,具 體為:
[0009] 1)根據(jù)預(yù)設(shè)單位時間間隔采集選定的追蹤起點(diǎn)輸出流鏈路和輸入流鏈路上的流 量信息熵大小�����,流量信息熵大小為預(yù)設(shè)單位時間間隔內(nèi)數(shù)據(jù)包比特熵大?��?;
[0010] 2)根據(jù)當(dāng)前采集的流量信息熵大小和網(wǎng)絡(luò)流量信息熵閾值�,確定水印嵌入時間 段。
[0011] 作為優(yōu)選���,步驟1)中�,預(yù)設(shè)單位時間間隔內(nèi)流量信息熵的采集方法具體為:
[0012] 數(shù)據(jù)包比特熵大小的變化概率Pi,j=Pbyte (i,j) /PbytesM⑴�;
[0013] 其中,Pbyte(i����,j)表示每個數(shù)據(jù)包的大小�,Pbyte__(i)表示每個時間間隔總的數(shù)據(jù) 包個數(shù);
[0014] 每個單位時間間隔的數(shù)據(jù)包比特熵
[0015] 作為優(yōu)選�,步驟2)確定水印嵌入時間段的方法為:如果當(dāng)前采集的數(shù)據(jù)包比特熵 大于網(wǎng)絡(luò)流量信息熵閾值,則確定該單位時間間隔內(nèi)為所述水印生成的時間段�����。
[0016] 作為優(yōu)選����,水印設(shè)置包括水印生成、水印嵌入�����;
[0017] 水印生成:根據(jù)確定的水印嵌入時間段生成水印��,選取確定的水印嵌入時間段內(nèi) 的相鄰數(shù)據(jù)包間時延ipd作為水印載體,調(diào)整多個相鄰數(shù)據(jù)包間時延ipd的大小����,生成水 印��;
[0018] 水印嵌入:根據(jù)生成的水印��,按照調(diào)整后的相鄰數(shù)據(jù)包間時延ipd發(fā)送數(shù)據(jù)包����,形 成含有水印的流量。
[0019] 作為優(yōu)選�����,水印設(shè)置具體通過以下方式確定:
[0020] 計(jì)算嵌入水印時間段內(nèi)數(shù)據(jù)流中��,連續(xù)的相鄰數(shù)據(jù)包PjPPj間時延 -t( -tp
[0021] 其中���,t炎別為P廊Pj到達(dá)網(wǎng)絡(luò)中某節(jié)點(diǎn)的時刻����;
[0022] 通過如下公式增加或減少每個ipdi來表示水印w1:
[0025] 根據(jù)調(diào)整后的相鄰數(shù)據(jù)包間時延_^ =中考+M_Ti進(jìn)行傳輸,完成水印的嵌入��, 并將存儲在數(shù)據(jù)庫中�。
[0026] 作為優(yōu)選,水印檢測包括:水印提取����、水印相關(guān)性判決、攻擊源與攻擊跳板的判 決�����;
[0027] 水印提取包括:
[0028] 根據(jù)預(yù)設(shè)單位時間間隔采集攻擊鏈路的網(wǎng)絡(luò)流量信息熵大??��;
[0029] 根據(jù)當(dāng)前采集的網(wǎng)絡(luò)流量信息熵大小確定提取水印的時間段���;
[0030] 根據(jù)提取水印的時刻點(diǎn)提取網(wǎng)絡(luò)流量中的水印信息;
[0031] 水印相關(guān)性判決:通過提取的水印與數(shù)據(jù)庫預(yù)先存儲的水印進(jìn)行匹配��,判斷是否 為嵌入的水印�����。
[0032] 作為優(yōu)選,水印相關(guān)性通過以下公式確定:
[0033] 皮爾遜相關(guān)系數(shù)「
[0034]其中�����,PX,Y為皮爾遜相關(guān)系數(shù)�����, X =(:釹Y 埗X和Y分別為嵌入的水印序列和 提取的水印序列�����,篳aTp表示在嵌入水印時間段含有水印信息的相鄰數(shù)據(jù)包間時延��,伊《落: 表示提取水印時間段內(nèi)含有水印信息的相鄰數(shù)據(jù)包間時延���。
[0035] 作為優(yōu)選��,攻擊源與攻擊跳板的判決�,根據(jù)追蹤主機(jī)的輸入流與輸出流中含有的 水印信息����,判斷追蹤主機(jī)為攻擊源或攻擊跳板。
[0036] 一種基于網(wǎng)絡(luò)流水印的網(wǎng)絡(luò)主動追蹤系統(tǒng)���,包括:水印嵌入器���、水印檢測器��;
[0037] 水印嵌入器包括:
[0038] 水印嵌入時間段選取模塊�����,用于實(shí)現(xiàn)水印信息嵌入時間段的確定��,包括對來自網(wǎng) 絡(luò)中的各種流量的采集與統(tǒng)計(jì)���、以信息熵的方式主動分析網(wǎng)絡(luò)流量進(jìn)行主動分析;
[0039] 水印設(shè)置模塊����,用于生成水印信息���,并將水印信息嵌入到的需要追蹤的網(wǎng)絡(luò)流量 中�����,以及對相鄰數(shù)據(jù)包間時延ipd的調(diào)整��;
[0040] 水印檢測器用于追蹤流量的來源地址���,包括:
[0041] 水印提取模塊�����,用于采集追蹤鏈路上的流量���,提取流量中存在的水印����;
[0042] 水印相關(guān)性判決模塊,用于將水印提取模塊中提取的水印信息與預(yù)存在數(shù)據(jù)庫中 的嵌入網(wǎng)絡(luò)流量中的水印信息進(jìn)行水印相關(guān)性比對�,判斷提取的水印是否為嵌入的水印�����; [0043] 攻擊源及攻擊跳板判決模塊�����,根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)輸出流和輸入流中是否存在嵌入的水 印�����,判斷網(wǎng)絡(luò)節(jié)點(diǎn)在攻擊鏈路中所處的位置。
[0044] 本發(fā)明的有益效果如下:
[0045] 1����、追蹤效率更高
[0046] 本發(fā)明對追蹤鏈路上的流量首先進(jìn)行信息熵分析,確定嵌入水印和提取水印的時 間點(diǎn)����,有針對性的嵌入和提取水印,代替現(xiàn)有系統(tǒng)中隨機(jī)盲目的嵌入和提取水印��,因此����,具 有更尚的追蹤效率。
[0047] 2�����、追蹤準(zhǔn)確率更高
[0048] 本發(fā)明對追蹤鏈路上的流量在嵌入和提取水印之前首先對流量進(jìn)行信息熵分析���, 在信息熵大的時間段,即在攜帶信息量多的時間段嵌入或提取水印�����,增強(qiáng)了水印(追蹤標(biāo) 志)的隱蔽性和健壯性�����。因此����,本發(fā)明的追蹤方法不同于現(xiàn)有技術(shù)的追蹤方法,即使網(wǎng)絡(luò)上 出現(xiàn)抖動等干擾�,仍然能檢測到對應(yīng)的水印,從而具有更高的追蹤準(zhǔn)確率�����。
[0049] 3�����、判定是攻擊源還是攻擊跳板更迅速
[0050] 本發(fā)明同時對所述追蹤的網(wǎng)絡(luò)節(jié)點(diǎn)的輸入流和輸出流進(jìn)行檢測�����,根據(jù)輸入流和輸 出流是否存在水印判定所述追蹤的網(wǎng)絡(luò)節(jié)點(diǎn)在攻擊鏈路上所處位置�。對跳板主機(jī)來說�����,在 它的輸入流量和輸出流量中同時能檢測到水印���,而對于攻擊源來說,僅在輸出流量中檢測 到水印����。
【附圖說明】
[0051] 圖1是本發(fā)明網(wǎng)絡(luò)