技術領域

本發(fā)明涉及互聯(lián)網技術領域，特別涉及一種概率包標記及攻擊源追溯方法、系統(tǒng)及裝置。

背景技術

目前，隨著互聯(lián)網技術的不斷發(fā)展，互聯(lián)網已經成為人們生活中不可或缺的部分，但是與此同時網絡安全問題也變得越來越突出，例如網絡攻擊等問題，網絡安全問題已成為制約互聯(lián)網發(fā)展的主要因素。

為了維護網絡安全需要對攻擊源進行追溯，然而由于TCP/IP協(xié)議在設計之初的缺陷，目前網絡對數(shù)據(jù)包的源地址不進行驗證，只是根據(jù)目的地址進行路由，并將數(shù)據(jù)包轉發(fā)到目標端。因此，攻擊者就可以利用這個漏洞偽造源地址，對遠程主機或網絡進行攻擊，受害者往往無法有效地對攻擊實時阻隔、追蹤溯源、準確定位攻擊者、及責任追究。

為了克服該缺點，目前提出了IP追溯技術，通過IP追溯技術可以確定發(fā)送攻擊包的網絡節(jié)點的位置及攻擊包的傳送路徑，其追蹤過程在一系列路由器的協(xié)助下進行。該類IP追溯技術不僅可以對網絡攻擊進行追溯，對其進行法律制裁，威懾網絡犯罪，而且還可以對數(shù)據(jù)包在網絡中的轉發(fā)路徑進行統(tǒng)計分析，從而進一步優(yōu)化路由配置，這樣有助于網絡整體規(guī)劃及流量工程領域研究。目前，概率包標記技術是IP追溯技術中的一種，具體為，當攻擊包經過路由器時，路由器需將部分路徑信息以一定的概率標記在攻擊包中，這樣受害者就可以收集攻擊包，并根據(jù)攻擊包中的路徑信息恢復出攻擊路徑，從而找出攻擊源。

現(xiàn)有技術存在的缺點是，受害者重構出攻擊路徑需要接收非常多的數(shù)據(jù)包，因此減緩了重構攻擊路徑的速度，另外，目前的各種概率包標記技術無法防御攻擊者偽造的標記，因此還會造成受害者重構的攻擊路徑不準確。

發(fā)明內容

本發(fā)明的目的旨在至少解決上述技術缺陷，特別是解決現(xiàn)有概率包標記技術攻擊路徑重構速度慢，及無法防御攻擊者偽造的標記的缺陷。

為達到上述目的，本發(fā)明一方面提出一種概率包標記方法，包括以下步驟：中繼路由器接收數(shù)據(jù)包，其中，所述數(shù)據(jù)包中包括有所述數(shù)據(jù)包經過的跳數(shù)信息；和所述中繼路由器根據(jù)所述跳數(shù)信息確定標記概率，并以確定的所述標記概率對所述數(shù)據(jù)包進行標記，其中，如果所述數(shù)據(jù)包已經過的路由器跳數(shù)越大，則選擇的標記概率越低。

本發(fā)明另一方面還提出了一種路由器，包括：數(shù)據(jù)包接收模塊，用于接收數(shù)據(jù)包，其中，所述數(shù)據(jù)包中包括有所述數(shù)據(jù)包經過的跳數(shù)信息；和標記模塊，用于根據(jù)所述跳數(shù)信息確定標記概率，并以確定的所述標記概率對所述數(shù)據(jù)包進行標記，其中，如果所述數(shù)據(jù)包已經過的路由器跳數(shù)越大，則選擇的標記概率越低。

本發(fā)明另一方面還提出了一種攻擊源追溯方法，包括以下步驟：第一跳路由器接收來自接入網的數(shù)據(jù)包，并將所述數(shù)據(jù)包中的跳數(shù)信息設置為預設值，并對所述數(shù)據(jù)包進行標記；中繼路由器接收所述第一跳路由器或上一跳中繼路由器發(fā)送的數(shù)據(jù)包，并根據(jù)所述數(shù)據(jù)包中的跳數(shù)信息確定標記概率，以及以確定的所述標記概率對所述數(shù)據(jù)包進行標記，如果所述數(shù)據(jù)包已經過的路由器跳數(shù)越大，則選擇的標記概率越低，其中，所述第一跳路由器和所述中繼路由器在轉發(fā)所述數(shù)據(jù)包時更新所述跳數(shù)信息；和目標主機接收上一跳中繼路由器發(fā)送的多個數(shù)據(jù)包，并根據(jù)所述多個數(shù)據(jù)包中的標記內容對攻擊源進行追溯。

本發(fā)明再一方面還提出了一種攻擊源追溯系統(tǒng)，包括：至少一個第一跳路由器，用于接收來自接入網的數(shù)據(jù)包，并將所述數(shù)據(jù)包中的跳數(shù)信息設置為預設值，并對所述數(shù)據(jù)包進行標記，以及在轉發(fā)所述數(shù)據(jù)包時更新所述跳數(shù)信息；一個或多個中繼路由器，用于接收所述第一跳路由器或上一跳中繼路由器發(fā)送的數(shù)據(jù)包，并根據(jù)所述數(shù)據(jù)包中的跳數(shù)信息確定標記概率，以及以確定的所述標記概率對所述數(shù)據(jù)包進行標記，如果所述數(shù)據(jù)包已經過的路由器跳數(shù)越大，則選擇的標記概率越低，其中，所述中繼路由器在轉發(fā)所述數(shù)據(jù)包時更新所述跳數(shù)信息；和目標主機，用于接收上一跳中繼路由器發(fā)送的多個數(shù)據(jù)包，并根據(jù)所述多個數(shù)據(jù)包中的標記內容對攻擊源進行追溯。

本發(fā)明再一方面還提出了一種路由器，包括：接收模塊，用于接收來自接入網的數(shù)據(jù)包；和設置和標記模塊，用于將所述數(shù)據(jù)包中的跳數(shù)信息設置為預設值，并對所述數(shù)據(jù)包進行標記。

本發(fā)明通過將路由器的標記概率與數(shù)據(jù)包經過的跳數(shù)信息相關聯(lián)，并且所述數(shù)據(jù)包已經過的路由器跳數(shù)越大，則中繼路由器選擇的標記概率越低，因此可以優(yōu)化標記概率的選取，極大地提高重構攻擊路徑的速度，并消除攻擊者偽造標記對路徑重構的影響，并更好的恢復攻擊路徑。