【技術實現步驟摘要】
本專利技術涉及一種基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,屬于互聯網安全。
技術介紹
1、互聯網號碼資源分配機構是一個負責管理全球互聯網號碼資源的組織,包括ip地址、自治域編號(autonomous?system?number,asn)、域名等,它的主要職責是制定全球互聯網號碼資源的分配規則和標準,確保互聯網的穩定和安全,它將世界上的互聯網劃分為多個as,每個as內部有很多網絡設備,分配給該as的ip地址段將被配置在這些網絡設備上。互
2、聯網號碼資源分配機構之間存在著一種垂直的隸屬管理關系,除最頂層的互聯網號碼資源分配機構外,每層的互聯網資源分配機構的ip地址段、as號等資源均從上級分配機構的資源池獲得,按照從上至下順序分別是:互聯網數字分配機構(internet?assignednumbers?authority,iana)、五大互聯網注冊機構(regional?internet?registry,rir)、國家互聯網注冊機構(national?internet?registry,nir)/地區互聯網注冊機構(localinternet?registry,lir)、互聯網運營商(internet?service?provider,isp),資源公鑰基礎設施(resource?public?key?infrastructure,rpki)的可信路由簽發體系沿用了這種垂直管理架構。
3、為增強域間路由系統的安全,資源公鑰基礎設施(resource?public?keyinfrastructur
4、因此,如何在基于路由的網絡數據轉發系統受到惡意的攻擊時通過rpki可信路由前綴簽發體系,實現對網絡攻擊流量起源的精準定位,通過網絡防御手段降低甚至消滅攻擊對當前網絡的危害,是互聯網路由系統中亟待解決的問題。
技術實現思路
1、針對現有技術的不足,本專利技術提供一種基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,通過在路由網絡中支持的rpki可信路由前綴簽發體系,實現對網絡入侵檢測系統所發現的大批量泛洪流量及惡意流量進行溯源,達到精準獲取攻擊源位置的目的。
2、具體來說,rpki可信路由前綴簽發系統對于收集上來的各個自治域可信路由前綴等信息,在進行分析和整理后刻畫出當前路由網絡的精準拓撲畫像,針對網絡中大規模泛洪攻擊流量以及惡意訪問流量,rpki可信路由前綴簽發系統依據網絡入侵檢測系統所上報的攻擊流量的源ip地址等信息,在遍歷本地數據庫中的拓撲畫像后,定位出網絡攻擊源所處的網絡位置,實現對網絡攻擊流量的溯源功能。
3、本專利技術的技術方案如下:
4、一種基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,步驟如下:
5、(1)rpki可信路由前綴簽發系統初始化網絡拓撲畫像矩陣;
6、(2)rpki可信路由前綴簽發系統初始化roa信息表;
7、(3)互聯網運營商(isp)roa管理系統啟動roa信息上報;
8、(4)網絡攻擊監測探針進行網絡攻擊監測,發現網絡攻擊后,給rpki可信路由前綴簽發系統發送網絡攻擊告警報文;
9、(5)rpki可信路由前綴簽發系統監聽網絡數據,準備接收報文;
10、(6)rpki可信路由前綴簽發系統接收步驟(3)的roa信息上報報文,根據報文內容確定執行步驟;
11、(7)利用步驟(6)從報文中獲得的roa所屬自治域編號和所屬網絡設備編號,掃描網絡拓撲畫像矩陣,取出網絡設備詳細記錄;
12、(8)利用步驟(6)從報文中獲得的roa前綴和roa前綴掩碼合成ip地址前綴,以及利用步驟(6)從報文中獲得的接口索引,填充網絡設備詳細記錄的ip地址前綴和接口索引字段,返回執行步驟(4);
13、(9)rpki可信路由前綴簽發系統接收步驟(4)的網絡攻擊告警報文,根據報文確定執行過程;
14、(10)在系統產生提示信息,返回步驟(4)繼續執行。
15、根據本專利技術優選的,步驟(1)中,網絡拓撲畫像矩陣是一個二維數組,二維數組的上標代表asn,下標代表該as內部網絡設備編號,每一個網絡拓撲畫像矩陣單元中保存著多個網絡設備的詳細信息,詳細信息包括接口索引和對應的ip地址前綴,其中,接口索引為當前網絡設備中本接口的索引值,ip地址前綴為當前網絡設備中本接口下所分配的ip網段信息。
16、根據本專利技術優選的,步驟(1)中,初始化過程為,rpki可信路由前綴簽發系統創建一個上標最大值為4096,下標最大值為4096的網絡拓撲畫像矩陣,每一個網絡拓撲畫像矩陣單元保存的網絡設備詳細信息記錄為空。
17、網絡拓撲畫像矩陣的上標(自治域編號)最大值和下標(網絡設備編號)最大值是為矩陣所預留的最大存儲空間,實際的應用中有可能會出現小于4096個自治域數量和4096個網絡設備的情況,此時網絡拓撲畫像矩陣被部分使用,但是不會出現超過最大值導致網絡拓撲畫像記錄不完整的情況。
18、根據本專利技術優選的,步驟(2)中,roa信息表包括roa記錄編號、roa前綴、roa前綴掩碼、roa所屬自治域編號、所屬網絡設備編號,其中,roa記錄編號為roa記錄在roa信息表中的索引值,roa前綴為可信路由信息前綴值,roa前綴掩碼為可信路由信息前綴的掩碼值,roa所屬自治域編號為可信路由前綴所歸屬的自治域編號值,所屬網絡設備編號為當前roa前綴所配置的網絡設備的索引值,rpki可信路由前綴簽發系統將roa信息表初始化為空。
19、根據本專利技術優選的,步驟(3)中,roa信息上報流程為,從本地配置文件中取出本地可信前綴分配信息,組裝可信前綴注冊報文,將配置文件中讀取出來的roa前綴、roa前綴掩碼、roa所屬自治域編號、所屬網絡設備編號和接口索引填入報文的roa前綴、roa前綴掩碼、roa所屬自治域編號、所屬網絡設備編號和接口索引字段,報文的目的地址為rpki可信路由前綴簽發系統所在的服務器地址。
20、根據本專利技術優選的,步驟(4)具體為,探測出網絡攻擊流量后,從網絡攻擊流量中提取出報文的源ip地址,從本地配置文件中取出攻擊處理方式和網絡攻擊監測探針ip地址,組裝網絡攻擊告警報文,將取出的攻擊流量源ip地址填入網絡攻擊告警報文的攻擊網段ip信息,報文的目的地址利用從本地配置文件取出的網絡攻擊監測探針ip地址填充。
21、根本文檔來自技高網...
【技術保護點】
1.一種基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟如下:
2.如權利要求1所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(1)中,網絡拓撲畫像矩陣是一個二維數組,二維數組的上標代表ASN,下標代表該AS內部網絡設備編號,每一個網絡拓撲畫像矩陣單元中保存著多個網絡設備的詳細信息,詳細信息包括接口索引和對應的IP地址前綴,其中,接口索引為當前網絡設備中本接口的索引值,IP地址前綴為當前網絡設備中本接口下所分配的IP網段信息。
3.如權利要求2所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(1)中,初始化過程為,RPKI可信路由前綴簽發系統創建一個上標最大值為4096,下標最大值為4096的網絡拓撲畫像矩陣,每一個網絡拓撲畫像矩陣單元保存的網絡設備詳細信息記錄為空。
4.如權利要求3所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(2)中,ROA信息表包括ROA記錄編號、ROA前綴、ROA前綴掩碼、ROA所屬自治域編號、所屬網絡設備編號,其中,
5.如權利要求4所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(3)中,ROA信息上報流程為,從本地配置文件中取出本地可信前綴分配信息,組裝可信前綴注冊報文,將配置文件中讀取出來的ROA前綴、ROA前綴掩碼、ROA所屬自治域編號、所屬網絡設備編號和接口索引填入報文的ROA前綴、ROA前綴掩碼、ROA所屬自治域編號、所屬網絡設備編號和接口索引字段,報文的目的地址為RPKI可信路由前綴簽發系統所在的服務器地址。
6.如權利要求5所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(4)具體為,探測出網絡攻擊流量后,從網絡攻擊流量中提取出報文的源IP地址,從本地配置文件中取出攻擊處理方式和網絡攻擊監測探針IP地址,組裝網絡攻擊告警報文,將取出的攻擊流量源IP地址填入網絡攻擊告警報文的攻擊網段IP信息,報文的目的地址利用從本地配置文件取出的網絡攻擊監測探針IP地址填充。
7.如權利要求6所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(6)具體為,從上報報文中取出ROA前綴、ROA前綴掩碼、ROA所屬自治域編號、所屬網絡設備編號和接口索引,根據ROA前綴和ROA前綴掩碼遍歷ROA信息表,如果查找到記錄,則執行步驟(6.1),如果未查找到記錄,則執行步驟(6.2);
8.如權利要求7所述的基于RPKI可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(9)具體為,從報文中取出攻擊網段IP信息,掃描ROA信息表,如果查找到記錄,則執行步驟(9.1)、步驟(9.2)和步驟(9.3),如果沒有查找到記錄,則執行步驟(9.4);
...【技術特征摘要】
1.一種基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟如下:
2.如權利要求1所述的基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(1)中,網絡拓撲畫像矩陣是一個二維數組,二維數組的上標代表asn,下標代表該as內部網絡設備編號,每一個網絡拓撲畫像矩陣單元中保存著多個網絡設備的詳細信息,詳細信息包括接口索引和對應的ip地址前綴,其中,接口索引為當前網絡設備中本接口的索引值,ip地址前綴為當前網絡設備中本接口下所分配的ip網段信息。
3.如權利要求2所述的基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(1)中,初始化過程為,rpki可信路由前綴簽發系統創建一個上標最大值為4096,下標最大值為4096的網絡拓撲畫像矩陣,每一個網絡拓撲畫像矩陣單元保存的網絡設備詳細信息記錄為空。
4.如權利要求3所述的基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,其特征在于,步驟(2)中,roa信息表包括roa記錄編號、roa前綴、roa前綴掩碼、roa所屬自治域編號、所屬網絡設備編號,其中,roa記錄編號為roa記錄在roa信息表中的索引值,roa前綴為可信路由信息前綴值,roa前綴掩碼為可信路由信息前綴的掩碼值,roa所屬自治域編號為可信路由前綴所歸屬的自治域編號值,所屬網絡設備編號為當前roa前綴所配置的網絡設備的索引值,rpki可信路由前綴簽發系統將roa信息表初始化為空。
5.如權利要求4所述的基于rpki可信路由簽發體系的網絡攻擊動態溯源方法,...
【專利技術屬性】
技術研發人員:王宇亮,李康,楊晗,李宗鵬,徐明偉,楊波,
申請(專利權)人:泉城省實驗室,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。