[发明专利]对系统攻击进行路径回溯的方法与装置

说明书

本公开涉及一种对系统攻击进行路径回溯的方法与装置。该方法包括采集Netflow数据、路由拓扑数据以及路由器信息；获取系统攻击安全事件；基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息，利用广度遍历法对系统攻击进行路径回溯。本公开可以有效地提升互联网攻击应急响应处理效率。

技术领域

本公开涉及网络与信息安全技术领域，特别地，涉及一种对系统攻击进行路径回溯的方法与装置。

背景技术

为应对日益猖獗的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击，很有必要对攻击流量进行监测分析；目前主要有3种流量监测分析方法：基于网络流量全镜像的监测技术、基于SNMP(Simple Network Management Protocol，简单网络管理协议)的监测技术和基于Netflow的监测技术。

通过比较发现，基于Netflow的监测技术更适合大网，中国电信已部署了基于Netflow的异常流量监控系统和攻击溯源分析系统，用于实时异常流量攻击监测，攻击溯源分析和取证。

但是，目前已建溯源系统在应用于对现网进行攻击溯源排查时，更多地是借助于安全专家的人工分析，且不能对攻击流量穿行路径进行分析，严重影响了攻击响应的处理时效。

发明内容

本公开鉴于以上问题中的至少一个提出了新的技术方案。

本公开在其一个方面提供了一种对系统攻击进行路径回溯的方法，其可以有效地提升互联网攻击应急响应处理效率。

本公开在其另一方面提供了一种对系统攻击进行路径回溯的装置，其可以有效地提升互联网攻击应急响应处理效率。

根据本公开，提供一种对系统攻击进行路径回溯的方法，包括：

采集Netflow数据、路由拓扑数据以及路由器信息；

获取系统攻击安全事件；

基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息，利用广度遍历法对系统攻击进行路径回溯。

在本公开的一些实施例中，通过流量分析系统获取系统攻击安全事件或基于采集的Netflow数据分析出系统攻击安全事件。

在本公开的一些实施例中，所述Netflow数据中包含数据流的五元组信息与流量大小。

在本公开的一些实施例中，所述系统攻击安全事件包括攻击源IP地址与端口、攻击目的IP地址与端口、攻击类型以及攻击时间。

在本公开的一些实施例中，利用广度遍历法对系统攻击进行路径回溯包括：

从系统攻击安全事件中提取出攻击源IP地址、攻击目的IP地址与攻击时间；

根据攻击源IP地址、攻击目的IP地址与攻击时间从Netflow数据中提取相应的流量信息；

根据提取的相应的流量信息确定攻击源路由器与端口以及攻击目的路由器与端口；

自攻击目的路由器与端口开始，根据路由拓扑数据开始遍历拓扑结构中的所有节点，并根据各节点之间的连接关系形成攻击路径链表，以实现对攻击路径的回溯。

根据本公开，还提供了一种对系统攻击进行路径回溯的装置，包括:

采集单元，用于采集Netflow数据、路由拓扑数据以及路由器信息；

获取单元，用于获取系统攻击安全事件；

回溯单元，用于基于系统攻击安全事件与所采集的Netflow数据、路由拓扑数据以及路由器信息，利用广度遍历法对系统攻击进行路径回溯。