[发明专利]对系统攻击进行路径回溯的方法与装置

权利要求书

1.一种对系统攻击进行路径回溯的方法，其特征在于，包括：

采集Netflow数据、路由拓扑数据以及路由器信息；

获取系统攻击安全事件；

基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息，利用广度遍历法对系统攻击进行路径回溯；

其中，所述利用广度遍历法对系统攻击进行路径回溯包括：

基于所述系统攻击安全事件中承载的信息，自所述Netflow数据中提取相应的流量信息，以确定路由拓扑数据和路由器信息；

根据所述路由拓扑数据和所述路由器信息，基于广度遍历法进行路径回溯。

2.根据权利要求1所述的对系统攻击进行路径回溯的方法，其特征在于，通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。

3.根据权利要求1所述的对系统攻击进行路径回溯的方法，其特征在于，所述Netflow数据中包含数据流的五元组信息与流量大小。

4.根据权利要求1所述的对系统攻击进行路径回溯的方法，其特征在于，所述系统攻击安全事件包括攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。

5.根据权利要求4所述的对系统攻击进行路径回溯的方法，其特征在于，利用广度遍历法对系统攻击进行路径回溯包括：

从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间；

根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息；

根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端口；

自攻击目的路由器与端口开始，根据路由拓扑数据开始遍历拓扑结构中的所有节点，并根据各节点之间的连接关系形成攻击路径链表，以实现对攻击路径的回溯。

6.一种对系统攻击进行路径回溯的装置，其特征在于，包括：

采集单元，用于采集Netflow数据、路由拓扑数据以及路由器信息；

获取单元，用于获取系统攻击安全事件；

回溯单元，用于基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息，利用广度遍历法对系统攻击进行路径回溯；

其中，所述回溯单元基于所述系统攻击安全事件中承载的信息，自所述Netflow数据中提取相应的流量信息，以确定路由拓扑数据和路由器信息，根据所述路由拓扑数据和所述路由器信息，基于广度遍历法进行路径回溯。

7.根据权利要求6所述的对系统攻击进行路径回溯的装置，其特征在于，所述获取单元通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。

8.根据权利要求6所述的对系统攻击进行路径回溯的装置，其特征在于，所述Netflow数据中包含数据流的五元组信息与流量大小。

9.根据权利要求6所述的对系统攻击进行路径回溯的装置，其特征在于，所述系统攻击安全事件包括攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。

10.根据权利要求9所述的对系统攻击进行路径回溯的装置，其特征在于，所述回溯单元包括：

攻击信息提取子单元，用于从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间；

流量信息提取子单元，用于根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息；

确定子单元，用于根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端口；

遍历子单元，用于自攻击目的路由器与端口开始，根据路由拓扑数据开始遍历拓扑结构中的所有节点，并根据各节点之间的连接关系形成攻击路径链表，以实现对攻击路径的回溯。