技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，具體而言，涉及一種異常網(wǎng)絡(luò)流量的攻擊源追蹤方法及裝置。

背景技術(shù)

目前，基于網(wǎng)絡(luò)的攻擊大多利用網(wǎng)絡(luò)資源、系統(tǒng)資源的有限性，或利用網(wǎng)絡(luò)協(xié)議和認(rèn)證機(jī)制自身的不完善性，通過在短時(shí)間內(nèi)發(fā)動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊，消耗特定資源，實(shí)現(xiàn)對目標(biāo)的攻擊。現(xiàn)有的網(wǎng)絡(luò)安全機(jī)制如入侵檢測系統(tǒng)(IDS)、防火墻和虛擬專用網(wǎng)絡(luò)(VPN)以及容忍攻擊技術(shù)等均只是在遭受到網(wǎng)絡(luò)攻擊時(shí)被動(dòng)地進(jìn)行防御：例如，設(shè)置諸如Random Drop，SYN Cookie、帶寬限制之類的防護(hù)算法，實(shí)現(xiàn)IDS與防火墻聯(lián)動(dòng)以及技術(shù)專家分析攻擊等辦法。

上述網(wǎng)絡(luò)安全機(jī)制大多收效甚微，只能緩解網(wǎng)絡(luò)攻擊，并不能定位攻擊的源頭(即攻擊源)，因此，基于網(wǎng)絡(luò)的攻擊己經(jīng)成為當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的嚴(yán)重阻礙，再加上網(wǎng)絡(luò)本身的虛擬性為執(zhí)法過程帶來了很大的難度。

針對相關(guān)技術(shù)中的上述問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

針對相關(guān)技術(shù)中的上述問題，本發(fā)明主要目的在于提供一種異常網(wǎng)絡(luò)流量的攻擊源追蹤方法及裝置，以至少解決上述問題。

為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明的一個(gè)方面，提供了一種異常網(wǎng)絡(luò)流量的攻擊源追蹤方法，包括：在攻擊鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)中，選擇任意一個(gè)或多個(gè)所述網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)，其中，所述攻擊鏈路為被攻擊目標(biāo)和攻擊源之間的通信鏈路；根據(jù)所述追蹤起點(diǎn)逐級確定所述攻擊鏈路中的上一級網(wǎng)絡(luò)節(jié)點(diǎn)，直至確認(rèn)最終的攻擊源。

為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明的另一方面，提供了一種異常網(wǎng)絡(luò)流量的攻擊源追蹤裝置，包括：選擇模塊，用于在攻擊鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)中，選擇任意一個(gè)或多個(gè)所述網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)，其中，所述攻擊鏈路為被攻擊目標(biāo)和攻擊源之間的通信鏈路；確定模塊，用于根據(jù)所述追蹤起點(diǎn)逐級確定所述攻擊鏈路中的上一級網(wǎng)絡(luò)節(jié)點(diǎn)，直至確認(rèn)最終的攻擊源。

通過本發(fā)明，采用選擇攻擊鏈路中的任意網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)逐級確定上一級網(wǎng)絡(luò)節(jié)點(diǎn)的技術(shù)手段，解決了相關(guān)技術(shù)中，網(wǎng)絡(luò)安全機(jī)制，只能緩解網(wǎng)絡(luò)攻擊，并不能定位攻擊的源頭(即攻擊源)的問題，進(jìn)而達(dá)到了可以反向追蹤定位攻擊源的效果。

附圖說明

構(gòu)成本申請的一部分的附圖用來提供對本發(fā)明的進(jìn)一步理解，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：

圖1為根據(jù)本發(fā)明實(shí)施例的異常網(wǎng)絡(luò)流量的攻擊源追蹤方法流程示意圖；

圖2為根據(jù)本發(fā)明實(shí)施例的異常網(wǎng)絡(luò)流量的攻擊源追蹤裝置的結(jié)構(gòu)框圖；

圖3為根據(jù)本發(fā)明實(shí)施例的異常網(wǎng)絡(luò)流量的攻擊源追蹤裝置的結(jié)構(gòu)示意圖；

圖4為根據(jù)本發(fā)明實(shí)施例的反向攻擊流量追蹤示意圖；

圖5為根據(jù)本發(fā)明實(shí)施例的第1級來源流量追蹤示意圖；

圖6為根據(jù)本發(fā)明實(shí)施例的第2級來源流量追蹤示意圖；

圖7為根據(jù)本發(fā)明實(shí)施例的第3級來源流量追蹤示意圖。

具體實(shí)施方式

需要說明的是，在不沖突的情況下，本申請中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。

圖1為根據(jù)本發(fā)明實(shí)施例的異常網(wǎng)絡(luò)流量的攻擊源追蹤方法流程示意圖。如圖1所示，該方法包括：

步驟S102，在攻擊鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)中，選擇任意一個(gè)或多個(gè)所述網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)，其中，所述攻擊鏈路為被攻擊目標(biāo)和攻擊源之間的通信鏈路；

步驟S104，根據(jù)所述追蹤起點(diǎn)逐級確定所述攻擊鏈路中的上一級網(wǎng)絡(luò)節(jié)點(diǎn)，直至確認(rèn)最終的攻擊源。

通過上述處理過程，由于采用了根據(jù)追蹤起點(diǎn)逐級確定所述攻擊鏈路中的上一級網(wǎng)絡(luò)節(jié)點(diǎn)，直至確認(rèn)最終的攻擊源的技術(shù)手段，因此，可以實(shí)現(xiàn)反向追蹤定位攻擊源，提高了網(wǎng)絡(luò)安全執(zhí)法性。

在步驟S102中，可以任意選擇攻擊鏈路中的一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)，還可以根據(jù)預(yù)設(shè)條件選擇網(wǎng)絡(luò)節(jié)點(diǎn)作為追蹤起點(diǎn)，例如：根據(jù)預(yù)設(shè)周期采集所述攻擊鏈路的網(wǎng)絡(luò)節(jié)點(diǎn)的端口數(shù)據(jù)包載荷；根據(jù)當(dāng)前采集的數(shù)據(jù)包載荷和上一個(gè)所述預(yù)設(shè)周期采集的數(shù)據(jù)包載荷確定所述追蹤起點(diǎn)。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施方式中，上述數(shù)據(jù)包載荷為所述預(yù)設(shè)周期內(nèi)平均每個(gè)數(shù)據(jù)包載荷。其中，該預(yù)設(shè)周期內(nèi)平均每個(gè)數(shù)據(jù)包載荷可以通過以下方式確定：預(yù)設(shè)周期內(nèi)平均每個(gè)數(shù)據(jù)包載荷＝預(yù)設(shè)周期內(nèi)平均帶寬/預(yù)設(shè)周期內(nèi)數(shù)據(jù)包總數(shù)。