技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)安全領(lǐng)域中一種多協(xié)議標(biāo)記交換(簡稱MPLS)網(wǎng)絡(luò)的雙向復(fù)合信源定位方法，特別適用于對MPLS網(wǎng)絡(luò)中遭受的洪泛類攻擊進行攻擊源的快速定位。?

背景技術(shù)

概率包標(biāo)記(簡稱PPM)及其現(xiàn)有改進算法的基本思想是中間路由器每收到一個IP通信數(shù)據(jù)包都以概率對IP通信數(shù)據(jù)包進行標(biāo)記。為了重構(gòu)攻擊路徑進行攻擊源定位，受害者需要收集大量的標(biāo)記攻擊數(shù)據(jù)包才可以定位到攻擊端的入口邊緣路由器，重構(gòu)攻擊路徑的過程緩慢，計算復(fù)雜；而且該算法對付多重的攻擊不具有魯棒性，很難抵御多源DDoS攻擊。因此不適用于對多源洪泛類攻擊的快速定位。?

傳統(tǒng)的包記錄法在攻擊源較多時雖然可以實現(xiàn)定位，但對每個經(jīng)過的IP通信數(shù)據(jù)包都要進行記錄，需要花費海量存儲空間和計算時間。Snoeren提出的源路徑隔離引擎(簡稱SPIE)算法采用了基于Bloom?filter數(shù)據(jù)結(jié)構(gòu)對IP通信數(shù)據(jù)包中的特征字段進行存儲的機制有效節(jié)省了存儲上的耗費，但是在高速網(wǎng)絡(luò)環(huán)境下的開銷仍然不小。因此該算法不適用于高速網(wǎng)絡(luò)環(huán)境中和存儲空間有限制的情況下。?

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題在于避免上述背景技術(shù)中的不足之處而提供一種結(jié)合邊緣概率包標(biāo)記和概率包記錄兩種算法對MPLS網(wǎng)絡(luò)中的網(wǎng)絡(luò)攻擊進行雙向復(fù)合信源定位的方法。本發(fā)明還采用組合公鑰簽名技術(shù)保證包標(biāo)記信息的可信性；并將MPLS網(wǎng)絡(luò)的歷史標(biāo)簽映射關(guān)系記錄下來，便于利用該記錄信息節(jié)省反向追蹤查詢時的查詢開銷。本發(fā)明具有定位速度快、網(wǎng)絡(luò)額外負載小、健壯性好、有效性高、系統(tǒng)開銷小等特點。?

本發(fā)明的目的是這樣實現(xiàn)的，它包括下列步驟：?

①IP通信數(shù)據(jù)包進入MPLS網(wǎng)絡(luò)的邊緣路由器傳輸時，邊緣路由器依設(shè)定標(biāo)記概率對IP通信數(shù)據(jù)包進行標(biāo)記，標(biāo)記內(nèi)容包括邊緣路由器的ID信息，采用基于標(biāo)識的組合公鑰簽名技術(shù)對邊緣路由器的ID信息進行數(shù)字簽名，邊緣路由器將IP通信數(shù)據(jù)包加上MPLS頭變成MPLS通信數(shù)據(jù)包發(fā)送到MPLS網(wǎng)絡(luò)中傳輸；?

②MPLS通信數(shù)據(jù)包在MPLS網(wǎng)絡(luò)中傳輸時，MPLS通信數(shù)據(jù)包經(jīng)過的每個路由器將依據(jù)設(shè)定記錄概率對MPLS通信數(shù)據(jù)包進行記錄，記錄信息為MPLS通信數(shù)據(jù)包內(nèi)容中具有固定長度的特征信息，記錄方法采用Bloom?filter數(shù)據(jù)結(jié)構(gòu)，Bloom?filter數(shù)據(jù)結(jié)構(gòu)以預(yù)定周期循環(huán)更新；在MPLS網(wǎng)絡(luò)的出口邊緣路由器將MPLS通信數(shù)據(jù)包包頭中的標(biāo)簽放進IP通信數(shù)據(jù)包包頭中的設(shè)定字段進行標(biāo)記；?

③當(dāng)MPLS網(wǎng)絡(luò)對標(biāo)簽進行更新時，記錄歷史標(biāo)簽映射關(guān)系，以設(shè)定的時間周期對歷史標(biāo)簽映射關(guān)系進行更新；?

④接收端的入侵檢測系統(tǒng)(簡稱IDS)檢測到網(wǎng)絡(luò)攻擊時，檢測IP通信數(shù)據(jù)包的攻擊數(shù)據(jù)包中是否存在標(biāo)記有邊緣路由器ID信息的標(biāo)記數(shù)據(jù)包，如果存在標(biāo)記數(shù)據(jù)包，則進行基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法的信源定位；否則，提取與設(shè)定記錄概率相關(guān)數(shù)量的樣本IP攻擊數(shù)據(jù)包，進行基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法的信源定位；?

⑤基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記算法進行信源定位時，根據(jù)經(jīng)過標(biāo)記的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng)的邊緣路由器的公鑰，利用邊緣路由器的公鑰對標(biāo)記數(shù)據(jù)包中的數(shù)字簽名進行驗證，如果對標(biāo)記數(shù)據(jù)包的簽名驗證通過，則提取標(biāo)記數(shù)據(jù)包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器，需要還原正向標(biāo)記交換攻擊路徑時，則從攻擊端邊緣路由器開始，借助MPLS網(wǎng)絡(luò)的標(biāo)記轉(zhuǎn)發(fā)表信息或記錄的歷史標(biāo)簽映射關(guān)系還原出標(biāo)記交換攻擊路徑；?

基于MPLS網(wǎng)絡(luò)標(biāo)簽記錄的概率包記錄算法進行信源定位時，提取樣本IP攻擊數(shù)據(jù)包的特征字段、時間信息及包頭中標(biāo)記的標(biāo)簽?信息，構(gòu)造信源定位請求包，通過與被攻擊端邊緣路由器的攻擊特征匹配確定攻擊是否來自遠程局域網(wǎng)，如果攻擊來自遠程局域網(wǎng)，則被攻擊端邊緣路由器將信源定位請求包發(fā)往其上游鄰居路由器，各上游鄰居路由器將信源定位請求包中的標(biāo)簽信息與它們對應(yīng)時間段標(biāo)簽映射條目中的出口標(biāo)簽信息進行查詢匹配，標(biāo)簽信息匹配成功后進行信源定位請求中各樣本IP攻擊數(shù)據(jù)包的攻擊特征的查詢匹配，標(biāo)簽信息和攻擊特征均查詢匹配成功后表示當(dāng)前進行匹配的路由器為攻擊路徑上的一個路由器節(jié)點，提取匹配命中路由器中匹配命中標(biāo)簽映射條目的入口標(biāo)簽替代信源定位請求包中的標(biāo)簽信息，再向匹配命中路由器的各上游鄰居路由器發(fā)送信源定位請求包進行類似的標(biāo)簽和攻擊特征的查詢匹配過程，直至當(dāng)前匹配命中路由器的各上游鄰居路由器中再沒有匹配命中的路由器；?