[发明专利]基于FRIT的攻击溯源方法

说明书

本发明公开了一种基于FRIT的攻击溯源方法，所述方法结合数据包标记和路由记录两种方法进行溯源，首先，将路由器接口编号为0‑n；其次，将数据包的标记值设为该数据包转入到路由器所经过的接口的编号，并将数据包的旧标记值存储在路由器中，从而达到标记攻击路径的作用；最后，通过标记值和路由器日志重构攻击路径以达到溯源目的。本发明所提出的攻击溯源方案FRIT仅需一个数据包即可完成溯源任务，大大减少了溯源过程的复杂程度，并且在保证溯源精确率的同时对减缓了路由器的存储负担。

技术领域

本发明涉及一种攻击溯源方法，具体涉及一种基于路由器的FRIT（Fast RouteInterface Traceback）攻击溯源方法。

背景技术

攻击溯源方法可以大致可以分为四类，其中，链路测试、通过ICMP包回溯和日志记录方案因回溯时间以及各类资源的限制，已经很少有对这三类方法进行研究改进，而最近比较流行的数据包标记方案因其不受攻击时间影响而成为目前的主流溯源方法。而根据溯源方案所使用协议层次的不同，其可以通过数据链路层和网络层两种方式进行回溯，其中，数据链路层通过对数据链路进行试探性检测，并根据检测结果确定某条链路是否为攻击链路，从而重构完整的攻击路径。但是，这类方法有其局限性，即如果在路径没有完全重构时，攻击行为停止了，那么将无法继续重构。由于这一缺点，大部分研究集中在网络层溯源，而对链路层溯源的相关研究很少，而在网络层溯源中，基于路由器接口的方案可以高效准确的进行溯源，因此，已经成为目前溯源研究中的重点。

有研究者提出的RIHT溯源方案就是一种使用路由器接口的方案，其使用路由器日志记录和包标记混合的方式进行标记回溯。在计算方式上，其使用简单的乘除减少计算时间；在存储方式上，其使用哈希表数据结构，以减少搜索时间。但是，由于哈希方法必然会有冲突，从而导致日志记录时间较高的问题。

发明内容

本发明针对WEB攻击后重构攻击路径问题问题，本发明在计算时间上和存储开销上对现有攻击溯源方法进行改进，提供了一种基于FRIT的攻击溯源方法。该方法减少了溯源过程的复杂程度，并且在保证溯源精确率的同时减缓了路由器的存储负担。

本发明的目的是通过以下技术方案实现的：

一种基于FRIT的攻击溯源方法，结合数据包标记和路由记录两种方法进行溯源，首先，将路由器接口编号为0-n；其次，将数据包的标记值设为该数据包转入到路由器所经过的接口的编号，并将数据包的旧标记值存储在路由器中，从而达到标记攻击路径的作用；最后，通过标记值和路由器日志重构攻击路径以达到溯源目的。具体包括如下步骤：

步骤一、数据包标记与日志记录

（1）将路由器接口编号为0-n，在路由器中建立一个动态二维数组，所述动态二维数组行和列的最大值为n，n为路由器的连接接口的总数；