技術領域

本發明涉及通信網絡安全領域一種基于組合公鑰數字簽名技術的邊緣概率包標記方法，特別適用于低速/高速網絡遭受DoS/DDoS攻擊時對攻擊源進行實時或非實時的追蹤定位。

背景技術

Savage等人于2000年提出的概率包標記(簡稱PPM)方法的基本思想是中間路由器每收到一個數據包都以概率對數據包進行標記，標記的信息內容是路由器的IP地址信息。受害者通過收集大量的標記攻擊數據包可以定位到攻擊端的入口邊緣路由器。后來PPM的一些改進算法通過一定的措施在一定程度上減少了定位所需要的標記攻擊數據包個數，但是總體來說計算過程仍然比較復雜。

為了解決路由器偽造標記信息，Song，D.X.等提出了高級認證包標記(簡稱AAPM)法，該方法采用兩種認證機制來防止路由器由于被脅迫而產生偽造的標記信息，這兩種認證機制都采用每個路由器與受害者共享一個密鑰，路由器對標記數據包加密之后發送出去。發送一段時間后，才將密鑰發送給受害者。該方法采用復雜的認證機制增加了系統的復雜性；密鑰傳遞增加了額外的網絡負載，傳遞過程也無法保證密鑰信息不會遭受劫獲或修改等威脅；另外，該方法對時間同步也有一定的要求。

PPM及其現有的改進算法都存在兩個嚴重的缺陷：

1.重構攻擊路徑的過程緩慢。進行信源追蹤需要大量的標記攻擊數據包，計算復雜。

2.對付多重的攻擊不具有魯棒性。很難抵御多源DDoS攻擊，當攻擊源數目超過20時，重構攻擊路徑所要求的計算強度與誤重構率都很大。

發明內容

本發明所要解決的技術問題在于避免上述背景技術中的不足之處而提供一種基于組合公鑰簽名技術的邊緣概率包標記方法，本發明采用組合公鑰簽名技術保證了標記信息的可信性，還在進行組合公鑰數字簽名的信息內容中增加了時間信息和隨機數來防止重放攻擊。本發明具有實現簡單，與現有協議兼容，追蹤速度快，允許事后分析，無額外網絡負載，適用于多源DDoS攻擊定位，安全性高等特點。

本發明的目的是這樣實現的，它包括下列步驟：

①當用戶終端發出的數據包進入邊緣路由器時，邊緣路由器對數據包的標記字段進行過濾，如果發現偽造標記字段，則將標記字段修正為初始全‘0’默認值，否則不進行清‘0’處理；

②由邊緣路由器對過濾后的數據包以設定概率進行采樣，沒被設定概率采樣到的數據包進行正常的數據轉發；被設定概率采樣到的數據包，邊緣路由器將本路由器的ID信息標記進采樣到的數據包的標記字段中；

③邊緣路由器采用其基于ID信息的私鑰對標記數據包進行數字簽名，數字簽名的信息內容為邊緣路由器的ID信息、時間T及一個隨機數r；

④接收端的入侵檢測系統檢測到網絡攻擊時，檢查數據包中的每個攻擊數據包的標記字段是否被標記，抽取出標記字段不同的攻擊數據包；

⑤依據攻擊數據包中標記的邊緣路由器ID信息得到對應的邊緣路由器公鑰，利用邊緣路由器公鑰對攻擊數據包的數字簽名進行驗證其標記信息可信與否；

⑥將標記信息不可信的攻擊數據包丟棄；根據具有可信標記信息的攻擊數據包中標記的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器，實現基于組合公鑰數字簽名技術的邊緣概率包標記方法的信源定位。

本發明與背景技術相比具有如下優點：

?1.本發明中提出的邊緣概率包標記，與傳統PPM及其改進算法相比，不僅降低了系統開銷，實現起來比較簡單，而且使得用于進行攻擊源定位所需的標記攻擊數據包數量大大減少。另外，本發明對付多攻擊源攻擊也具有很好的魯棒性，保證了對DDoS攻擊中多個攻擊源的有效定位。

2.本發明與PPM及其改進算法相比，結合了入口過濾機制，防止攻擊端對標記字段的偽造，安全性高。

3.本發明與AAPM算法相比，采用了基于組合公鑰的簽名技術。組合公鑰簽名技術與邊緣概率包標記結合不需要密鑰的傳遞，因此不會增加額外的網絡負載，安全性也得到了保證，對時間同步也無要求。另外，組合公鑰不基于第三方的非在線驗證特點也使得驗證容易實現。

4.本發明與AAPM算法相比，在簽名內容中加入時間信息和隨機數信息防止了重放攻擊。

5.本發明適用于高速網絡條件下對攻擊源實時或事后的定位。本發明具有定位速度快、高可信性、簡單易實現，系統開銷小等優點。

附圖說明

圖1是本發明基于組合公鑰簽名技術的邊緣概率包標記實施例的原理方框圖。

圖2是本發明對標記包進行基于組合公鑰的數字簽名工作過程示意圖。