基于知识图谱的数据包标记溯源装置

技术领域

本发明涉及网络安全中的攻击溯源领域，尤其涉及一种基于知识图谱的数据包标记溯源装置。

背景技术

我国已经成为全世界遭受网络攻击最为严重的国家之一，网络安全现状十分严峻，如何进行有针对性的防御，这一问题困扰国内外网络安全产学研界多年，是目前网络安全研究的一大难题。

为了从根源上阻断网络攻击，往往需要追查攻击的源头，比如攻击的IP地址、实施攻击的黑客及其组织等。现有安全防护系统大都侧重于对网络攻击的发现与阻断，均难以提供对攻击源头的准确溯源能力。如果无法确定攻击源的位置，也就无法对攻击进行针对性的防护，难以从根本上防止攻击者的再次攻击，更无法对网络攻击者形成威慑力。

网络攻击溯源分析与主动防护技术，是目前网络安全的核心关键技术。其中，数据包标记技术是目前溯源研究较多而且成果最为丰富的一类技术方法，它是通过对传输的数据包打上特殊的标记，来实现对攻击者的溯源。这种技术的溯源过程分为了两步:数据包标记和受害者路径重构。数据包标记过程由网络上的传输节点完成，比如路由器。受害者路径重构在受害端完成，通过特定算法，对数据包中标记的信息进行识别重组，最终完成攻击路径的重组。在IP数据包中，有一些区域不会被用到，或者被覆盖也不会影响网络应用的，在数据包标记方法中，利用这类区域来记录标记信息。数据包标记利用传输节点(带有标记功能的路由器)，将路径关键信息标记在网络数据包中，受害端如果受到了攻击，则会收集攻击数据包中的标记信息来对攻击路径进行重构。

发明内容

针对现有安全防护系统大都侧重于对网络攻击的发现与阻断，均难以提供对攻击源头的准确溯源能力的问题，本发明公开了一种适用于区域网络下的基于知识图谱的数据包标记溯源装置，将入侵检测技术与攻击溯源技术结合起来，并应用于区域网络。入侵检测技术也就是指异常检测技术，主要是根据知识图谱技术描述网络流量的行为进行检测分析，绘制出通信双方的关联关系，统计出连接数，一旦超过设定的阈值便判断出现异常流量，并对异常行为实施相应的操作；溯源技术强调的是一种追本溯源的技术，根据追踪路径重现数据历史的溯源，路径溯源更多的是利用数据包中的标记信息确定数据包在网络传输过程中所转发的路径。当网络收到恶意数据包攻击时，利用标记设备可以准确又高效的实现数据包的溯源，这在一定程度上能够比较快捷的缓解或者防御分布式拒绝服务攻击或者恶意数据包攻击。

本发明公开了一种基于知识图谱的数据包标记溯源装置，包括异常检测模块、追踪控制模块、路径重构模块、反馈模块，其中异常检测模块与追踪控制模块相连接，追踪控制模块与路径重构模块相连接，路径重构模块与反馈模块相连接；

所述异常检测模块，对经过该溯源装置管辖区域内所有数据包进行异常检测分析，监测网络中传输的报文，构建知识图谱，若检测出异常，利用知识图谱构建中的实体抽取技术得到异常实体，进行包标记溯源，得到攻击路径，发布预警异常；

所述追踪控制模块，实现数据包标记功能，其接收到异常检测模块发布的预警异常后，进行数据包标记；数据包标记过程采取概率包标记，以一定的概率将自身路由器的标识标记到数据包中；

所述路径重构模块，当该模块收到追踪控制模块的溯源请求时，将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，确定标记路由器的IP，而后根据顺序依次将得到的路由器IP依次加入到攻击树，依此得到攻击路径；

所述的反馈模块，用于将此次检测的异常信息以及攻击者信息，溯源的路径信息以可视化信息方式进行显示。

所述的异常检测模块与追踪控制模块进行连接，异常检测模块将预警异常发送给追踪控制模块，追踪控制模块收到预警异常后开始工作，开启数据包标记过程。

所述的追踪控制模块的数据包标记过程，其所用的标记信息是路由器的分片IP地址信息，以生存时间(TTL)计算标记概率，对于收到的数据包，重写一个标记时间以替换原数据包中的生存时间，以抵御数据包的攻击。

所述的路径重构模块将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现。

所述的异常检测模块，对于接收到的一个数据报文，分析该数据报文的源IP和目的IP，判断其图谱中是否已经存在这两个实体，如果没有就新建两个实体，如果已存在则找到该两个实体；找到该两个实体后，对这两个实体构建连接，创建实连接和虚连接，先遍历有关此两个实体的所有响应报文的关系，若回应报文的序列号中有和此两个报文的响应相匹配的，那么这两个实体的连接为实连接，否则这两个实体的连接为虚连接，结束对此报文的分析；知识图谱构造完成后，根据知识图谱中两个实体间的连接关系分别统计出连接关系数量、实连接占比、虚连接占比；若虚连接占比超过阈值，那么判断出所分析的通信流量存在异常，发布预警异常。所述的知识图谱构造，首先获取网络传输报文数据，对此数据进行实体抽取，然后按照实体之间存在的关系进行关联。

所述的追踪控制模块，接收到异常检测发布的预警异常后，开启包标记过程，具体为：对网络路径上的路由器的IP地址进行处理，对该IP地址从高位至低位均分为4块，得到分片IP地址信息，并各分片IP地址信息进行hash变换，得到4个分片IP地址信息对应的hash段值，设偏移量为i的数据包的分片哈希值等于hash

所述的路径重构模块，按照受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现，其具体包括，

S1，在目标主机将收到的数据包按照距离字段值划分成不同的数据包集合；

S2，从距离字段distance＝0开始，构建知识图谱，重组各分片IP地址，将各分片IP地址重新关联为同一节点地址，分别抽取取值为0距离字段，分片信息中对应的IP地址、hash等实体，按照偏移量Offset＝{0,1,2,3},顺时针构建知识图谱，将分片IP地址作为实体，同时对其进行hash变换得到的hash函数值也作为实体，分片IP地址和对应的hash函数值的两者关系是对应的哈希变换，最后抽取偏移量为0的数据包中的分片hash作为实体。按照偏移量顺序提取分片IP地址重组得到的IP，即为路由器节点对应的IP，也为攻击树的最后一跳的节点；

S3，从distance＝1开始，分别对各个数据包IP_frag字段和Hash_frag字段进行异或处理，从而还原出上一跳的节点信息，最后重复步骤S2中的知识图谱构建过程，关联匹配同一节点，得出上一跳的IP信息，也就是攻击树的倒数第二跳的节点；将distance值加1，重复步骤S3的过程，获取对应跳的IP信息，直到最大的distance值；

S4，以受害者为攻击树的根节点，从distance＝0开始将重组的IP信息加入攻击树，直到最大的distance的节点信息还原完，攻击路径重构完成。

与现有技术相比，本发明的有益效果：

1.本发明引进知识图谱技术，用于异常检测过程和数据包的关联匹配到同一节点的过程，通过改进标记域，由原方案的16bit的分段IP改进为8bit的分段IP,理论上提高了路径重构的效率，同时保证了溯源准确度。

2.在实际场景中攻击路径不止一条，多攻击路径下，会有多个根节点，在推理前一个节点时会将前一个节点的分段IP或者分段Hash与根节点相对应的分段IP或者分段Hash相异或，在本发明中通过知识图谱技术完成这一过程。例如在已知

附图说明

图1是本发明溯源装置结构示意图；

图2是本发明中路由器的IP地址分片；

图3是本发明中一个路由器组成的标记信息；

图4是本发明中正常匹配关联的标记信息的知识图谱图；

图5是本发明中异常匹配关联的标记信息的知识图谱图。

具体实施方式

为了更好的了解本发明内容，这里给出一个实施例。

如图1所示，本发明提供了一种基于知识图谱的包标记溯源装置，该装置是将异常行为检测与溯源技术结合起来，有选择的对数据包进行标记来达到溯源的目的，提高了攻击溯源的正确率与效率。本发明公开了一种基于知识图谱的数据包标记溯源装置，包括异常检测模块，追踪控制模块，路径重构模块，反馈模块，其中异常检测模块与追踪控制模块相连接，追踪控制模块与路径重构模块相连接，路径重构模块与反馈模块相连接。

所述异常检测模块对经过该溯源装置管辖区域内所有数据包进行异常检测分析，监测网络中传输的报文，构建知识图谱，若检测出异常，利用知识图谱构建中的实体抽取技术得到异常实体(IP)，此IP为攻击实体一方、攻击路径中的某一跳路由或无攻击行为者，所以进行包标记溯源，得到攻击路径，发布预警异常；

所述追踪控制模块，实现数据包标记功能，其接收到异常检测模块发布的预警异常后，进行数据包标记；数据包标记过程采取概率包标记，以一定的概率将自身路由器的标识标记到数据包中；

所述路径重构模块，当该模块收到追踪控制模块的溯源请求时，将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，确定标记路由器的IP，而后根据顺序依次将得到的路由器IP依次加入到攻击树，依此得到攻击路径；

所述的反馈模块，用于将此次检测的异常信息以及攻击者信息，溯源的路径信息以可视化信息方式进行显示。

所述的异常检测模块与追踪控制模块进行连接，异常检测模块将预警异常发送给追踪控制模块，追踪控制模块收到预警异常后开始工作，开启数据包标记过程。

所述的追踪控制模块的数据包标记过程，其所用的标记信息是路由器的分片IP地址信息，以生存时间(TTL)计算标记概率，对于收到数据包，重写一个标记时间以替换原数据包中的生存时间，以抵御数据包的攻击。

所述的路径重构模块将受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现。

所述的异常检测模块，对于接收到的一个数据报文，分析该数据报文的源IP和目的IP，判断其图谱中是否已经存在这两个实体，如果没有就新建两个实体，如果已存在则找到该两个实体；找到该两个实体后，对这两个实体构建连接，创建实连接和虚连接，先遍历有关此两个实体的所有响应报文的关系，若回应报文的序列号中有和此两个报文的响应相匹配的，那么这两个实体的连接为实连接，否则这两个实体的连接为虚连接，结束对此报文的分析；知识图谱构造完成后，根据知识图谱中两个实体间的连接关系分别统计出连接关系数量、实连接占比、虚连接占比；若虚连接占比超过阈值，那么判断出所分析的通信流量存在异常，发布预警异常。所述的知识图谱构造，首先获取网络传输报文数据，对此数据进行实体抽取，然后按照实体之间存在的关系进行关联。

所述的追踪控制模块，接收到异常检测发布的预警异常后，开启包标记过程，具体为：对网络路径上的路由器的IP地址进行处理，对该IP地址从高位至低位均分为4块，得到分片IP地址信息，并各分片IP地址信息进行Hash变换，得到4个分片IP地址信息对应的hash段值，如图2所示，得到四个分片hash段值，设偏移量为i的数据包的分片哈希值等于hash

所述的路径重构模块，按照受害端收到的标记过的数据包按照距离字段进行分类，提取标记信息并将各个路由器的分片IP地址信息匹配到同一路由器，此过程采用知识图谱技术实现，其具体包括，

S1，在目标主机将收到的数据包按照距离字段值划分成不同的数据包集合；

S2，从距离字段distance＝0开始，构建知识图谱，重组各分片IP地址，将各分片IP地址重新关联为同一节点地址，分别抽取取值为0距离字段，分片信息中对应的IP地址、Hash等实体，按照偏移量Offset＝{0,1,2,3},顺时针构建知识图谱，例如偏移量为0的数据包，将分片IP地址作为实体，同时对其进行Hash变换得到的Hash函数值也作为实体，分片IP地址和对应的Hash函数值的两者关系是对应的哈希变换，最后抽取偏移量为0的数据包中的分片hash作为实体。图4是本发明中正常匹配关联的标记信息的知识图谱图所示，若能构建出图4所示的关系，那么4个偏移量对应的数据包为同一节点信息，图5是本发明中异常匹配关联的标记信息的知识图谱图，如图5所示，4个偏移量对应的数据包就不是同一节点信息，因为分片ip所对应的哈希函数并没有和4段分组信息中的分片哈希函数有两两对应的关系。按照偏移量顺序提取分片IP地址重组得到的IP，即为路由器节点对应的IP，也为攻击树的最后一跳的节点；

S3，从distance＝1开始，分别对各个数据包IP_frag字段和Hash_frag字段进行异或处理，因为存储的是上一跳信息与最后一跳信息的异或值，并且由distance＝0构建出了最后一跳ip和hash信息，从而还原出上一跳的节点信息，最后重复步骤S2中的知识图谱构建过程，关联匹配同一节点，得出上一跳的IP信息，也就是攻击树的倒数第二跳的节点；将distance值加1，重复步骤S3的过程，获取对应跳的IP信息，直到最大的distance值；

S4，以受害者为攻击树的根节点，从distance＝0开始将重组的IP信息加入攻击树，直到最大的distance的节点信息还原完，攻击路径重构完成。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。