[发明专利]一种网络溯源方法及系统

说明书

本发明提供了一种网络溯源方法及系统。一种网络溯源方法，包括：获取已完成身份认证的用户设备的第一溯源信息，以及接入设备监听IP地址配置过程中所建立的第二溯源信息；根据所述第一溯源信息及所述第二溯源信息，建立并记录溯源信息组；响应于对目标IP地址的追溯，查询所述目标IP地址所对应的溯源信息组，以确定所述目标IP地址所对应的用户。本发明可应用于网络追溯与用户审计，适用于IPv4、IPv6以及两者混合网络环境以及DHCP、SLAAC、静态配置等多种地址分配方式，并且无需对终端设备进行更改，不需要对主机行为进行修改，易于部署，不需要使用网络地址转换技术，也不会改变端到端属性。

技术领域

本发明属于互联网技术领域，具体是一种网络溯源方法及系统。

背景技术

IP地址伪造导致网络安全问题日益凸显，借助伪造源地址发起的分布式拒绝服务攻击(DDoS，Distributed Denial of Service)是当前互联网重要的安全威胁之一。根据美国全球商务网络安全控制解决方案和服务提供机构Arbor Network数据统计，全球DDoS攻击流量峰值已屡次突破8000Gbps，对全球网络空间安全造成巨大威胁。

伪造源IP地址发起DDoS攻击方式有多种，比如使用伪造源地址隐藏攻击者真实位置，发起TCP SYN Flooding攻击；伪造受害者IP作为源地址发送DNS请求，发起DNS反射攻击；使用受害者IP作为源地址发送ICMP请求到广播域，发起Smurf攻击等。清华大学研究团队提出的SAVA(Source Address Validation Architecture，源地址验证体系结构)基于接入网、域内、域间三个层次的考虑，提出了IP源地址验证的体系化解决方案，为解决IP源地址伪造问题提供了重要基础。IP源地址真实性为实行审计问责机制提供了可能，但IP地址与现实世界中的用户实体之间还存在一道隔阂，使得审计过程只能追溯到IP地址，而不能追溯到IP地址所对应的用户实体，难以对网络攻击者形成强有力的威慑。在真实IP源地址基础上，如果能将用户实体与IP地址进行关联，并实行强有力的审计问责机制，可对攻击者形成强烈的威慑，从而有效缓解网络攻击。

发明内容

为了有效缓解网络攻击，使审计过程能够追溯到IP地址所对应的用户实体，本发明提供了一种网络溯源方法及系统。

第一方面，本发明实施例提供一种网络溯源方法，包括：

获取已完成身份认证的用户设备的第一溯源信息，以及接入设备监听IP地址配置过程中所建立的第二溯源信息；

根据所述第一溯源信息及所述第二溯源信息，建立并记录溯源信息组；

响应于对目标IP地址的追溯，查询所述目标IP地址所对应的溯源信息组，以确定所述目标IP地址所对应的用户。

在一些实施方式中，所述第一溯源信息，包括MAC地址、用户名、接入网络时间之间的绑定关系；

所述第二溯源信息，包括IP地址与MAC地址之间的绑定关系。

在一些实施方式中，所述溯源信息组，包括MAC地址、IP地址、用户名、接入网络时间及设备接入点之间的绑定关系。

在一些实施方式中，所述设备接入点是VLAN端口、SSID、AP Name中的任意一种。

在一些实施方式中，所述身份认证为802.1X认证。

在一些实施方式中，所述IP地址配置包括静态配置、DHCP地址配置、SLAAC地址配置中的任意一种。

第二方面，本发明实施例提供一种网络溯源系统，包括：

管理服务器，用于执行第一方面所述的网络溯源方法的步骤。

在一些实施方式中，所述系统还包括：

认证服务器，用于对用户设备进行身份认证。