[发明专利]面向追踪溯源应用的多层协议网络信标植入检测方法

说明书

为了克服现有的基于概率数据包标记技术难以进行单包溯源、易引起与现有协议的兼容性等问题，本发明提出一种面向追踪溯源应用的多层协议网络信标植入检测方法，引入网络信标技术，通过对受监测目标流量的网络层、传输层、应用层三层协议中的某些精心选择字段进行网络信标构造植入，形成具有隐蔽性、稳定性、易检测性的网络信标植入；有针对性的开展基于多层协议特定字段内容的网络信标检测，识别定位具有植入网络信标的流量，选取或组合使用网络层、传输层、应用层三层协议中的合适字段进行网络信标植入，通过协同监测检测的方式开展攻击路径的还原，可以进行基于单包信标发现的追踪溯源。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种面向追踪溯源应用的多层协议网络信标植入检测方法。

背景技术

目前，随着互联网技术的应用和发展，网络攻击者对企业网、电信网、省网、国际网等关键业务网以及网络基础设施造成了严重的威胁。攻击者为了隐藏自身的身份和流量源，一般会采用多级跳板转发的方式来规避追踪溯源，极大地增加了安全防御方对攻击者追踪溯源的难度。

基于海量威胁情报关联分析追踪溯源技术存在威胁情报不能及时更新而导致追踪溯源效果差的问题。此外，现有追踪溯源技术面对未知攻击难以进行有效感知，难以实现对攻击活动高效稳定的追踪溯源。现有的基于概率数据包标记技术，检测端需要收到较多的数据包才能够重构攻击路径，难以进行单包溯源，同时信标植入需要在TP报头预留较多信息域，易引起与现有协议的兼容性问题，有可能导致网络信标被路由器强制清除。

如何实现对攻击活动高效稳定的追踪溯源，是当前迫切需要解决的一个问题。

发明内容

为了克服现有的基于概率数据包标记技术难以进行单包溯源、易引起与现有协议的兼容性等问题，本发明提出一种面向追踪溯源应用的多层协议网络信标植入检测方法，引入网络信标技术，通过对受监测目标流量的网络层、传输层、应用层三层协议中的某些精心选择字段进行网络信标构造植入，形成具有隐蔽性、稳定性、易检测性的网络信标植入。在检测设备上，有针对性的开展基于多层协议特定字段内容的网络信标检测，识别定位具有植入网络信标的流量。选取或组合使用网络层、传输层、应用层三层协议中的合适字段进行网络信标植入，能够适应对多种非加密变换型攻击路径的追踪。选取网络层、传输层、应用层三层协议中的合适字段进行网络信标植入，通过协同监测检测的方式开展攻击路径的还原，可以进行基于单包信标发现的追踪溯源。

本发明公开了一种面向追踪溯源应用的多层协议网络信标植入检测方法，其步骤包括：

S1，基于多层协议的网络信标植入，依据网络信标植入的层级，包括应用层协议信标植入、传输层协议信标植入、网络层协议信标植入。

基于多层协议的网络信标植入的具体步骤为：

S11，依据追踪目标的网络流量协议类型和网络构建类型，选择使用应用层协议信标植入、传输层协议信标植入、网络层协议信标植入中的一种或多种；

S12，若选择在应用层进行网络信标注入，选择HTTP、SSL/TLS、DNS等协议报文的特定位置植入网络信标，并提供对其他应用层协议网络信标植入的扩展能力；

S121，HTTP协议网络信标植入，是在HTTP头部的可自定义字段植入信标，具体的，选择在HTTP头部的请求包中的User-Agent字段植入具有识别性、伪装性的网络信标字符串，或者选择在HTTP头部的应答包中的Expires字段植入网络信标字符串，该字符串的内容是一个固定应答过期时间的设置值。

S122，SSL/TLS协议网络信标植入，为了实现植入的隐蔽性和无干扰性，选择在SSL/TLS协议握手阶段的ClientHello包内的支持密码算法套件和摘要算法套件中添加自定义的具有特定特征的网络信标信息，如特定的二进制字符串；该网络信标信息为32比特长度且既有唯一识别性也有伪装性的代表算法套件的二进制字符串。