為了克服現有的基于概率數據包標記技術難以進行單包溯源、易引起與現有協議的兼容性等問題，本發明提出一種面向追蹤溯源應用的多層協議網絡信標植入檢測方法，引入網絡信標技術，通過對受監測目標流量的網絡層、傳輸層、應用層三層協議中的某些精心選擇字段進行網絡信標構造植入，形成具有隱蔽性、穩定性、易檢測性的網絡信標植入；有針對性的開展基于多層協議特定字段內容的網絡信標檢測，識別定位具有植入網絡信標的流量，選取或組合使用網絡層、傳輸層、應用層三層協議中的合適字段進行網絡信標植入，通過協同監測檢測的方式開展攻擊路徑的還原，可以進行基于單包信標發現的追蹤溯源。

技術領域

本發明涉及計算機網絡安全領域，尤其涉及一種面向追蹤溯源應用的多層協議網絡信標植入檢測方法。

背景技術

目前，隨著互聯網技術的應用和發展，網絡攻擊者對企業網、電信網、省網、國際網等關鍵業務網以及網絡基礎設施造成了嚴重的威脅。攻擊者為了隱藏自身的身份和流量源，一般會采用多級跳板轉發的方式來規避追蹤溯源，極大地增加了安全防御方對攻擊者追蹤溯源的難度。

基于海量威脅情報關聯分析追蹤溯源技術存在威脅情報不能及時更新而導致追蹤溯源效果差的問題。此外，現有追蹤溯源技術面對未知攻擊難以進行有效感知，難以實現對攻擊活動高效穩定的追蹤溯源。現有的基于概率數據包標記技術，檢測端需要收到較多的數據包才能夠重構攻擊路徑，難以進行單包溯源，同時信標植入需要在TP報頭預留較多信息域，易引起與現有協議的兼容性問題，有可能導致網絡信標被路由器強制清除。

如何實現對攻擊活動高效穩定的追蹤溯源，是當前迫切需要解決的一個問題。

發明內容

為了克服現有的基于概率數據包標記技術難以進行單包溯源、易引起與現有協議的兼容性等問題，本發明提出一種面向追蹤溯源應用的多層協議網絡信標植入檢測方法，引入網絡信標技術，通過對受監測目標流量的網絡層、傳輸層、應用層三層協議中的某些精心選擇字段進行網絡信標構造植入，形成具有隱蔽性、穩定性、易檢測性的網絡信標植入。在檢測設備上，有針對性的開展基于多層協議特定字段內容的網絡信標檢測，識別定位具有植入網絡信標的流量。選取或組合使用網絡層、傳輸層、應用層三層協議中的合適字段進行網絡信標植入，能夠適應對多種非加密變換型攻擊路徑的追蹤。選取網絡層、傳輸層、應用層三層協議中的合適字段進行網絡信標植入，通過協同監測檢測的方式開展攻擊路徑的還原，可以進行基于單包信標發現的追蹤溯源。

本發明公開了一種面向追蹤溯源應用的多層協議網絡信標植入檢測方法，其步驟包括：

S1，基于多層協議的網絡信標植入，依據網絡信標植入的層級，包括應用層協議信標植入、傳輸層協議信標植入、網絡層協議信標植入。

基于多層協議的網絡信標植入的具體步驟為：

S11，依據追蹤目標的網絡流量協議類型和網絡構建類型，選擇使用應用層協議信標植入、傳輸層協議信標植入、網絡層協議信標植入中的一種或多種；

S12，若選擇在應用層進行網絡信標注入，選擇HTTP、SSL/TLS、DNS等協議報文的特定位置植入網絡信標，并提供對其他應用層協議網絡信標植入的擴展能力；

S121，HTTP協議網絡信標植入，是在HTTP頭部的可自定義字段植入信標，具體的，選擇在HTTP頭部的請求包中的User-Agent字段植入具有識別性、偽裝性的網絡信標字符串，或者選擇在HTTP頭部的應答包中的Expires字段植入網絡信標字符串，該字符串的內容是一個固定應答過期時間的設置值。

S122，SSL/TLS協議網絡信標植入，為了實現植入的隱蔽性和無干擾性，選擇在SSL/TLS協議握手階段的ClientHello包內的支持密碼算法套件和摘要算法套件中添加自定義的具有特定特征的網絡信標信息，如特定的二進制字符串；該網絡信標信息為32比特長度且既有唯一識別性也有偽裝性的代表算法套件的二進制字符串。