多协议标记交换网络的双向复合信源定位方法

摘要

本发明公开了一种多协议标记交换网络的双向复合信源定位方法，它涉及通信网络安全领域中通过信源定位技术对MPLS网络中遭受的网络攻击进行主动反击的技术。它采用两种算法相结合实现攻击源定位：一种是基于组合公钥签名技术的边缘概率包标记算法，对进入网络的数据包以设定概率进行标记，并对标记进行基于组合公钥的签名；另一种是基于MPLS网络标签记录的概率包记录算法，对网络中传输的数据包以设定概率进行记录，更新历史MPLS标签映射记录。信源定位系统依据标记信息或记录信息可定位到攻击源。本发明具有定位速度快、网络额外负载小、健壮性好、有效性高、系统开销小等优点，特别适用于对MPLS网络中遭受的洪泛类攻击进行定位。

主权项

一种多协议标记交换网络的双向复合信源定位方法，其特征在于包括步骤：①IP通信数据包进入多协议标记交换网络的边缘路由器传输时，边缘路由器依设定标记概率对IP通信数据包进行标记，标记内容包括边缘路由器的ID信息，采用基于标识的组合公钥签名技术对边缘路由器的ID信息进行数字签名，边缘路由器将IP通信数据包加上MPLS头变成MPLS通信数据包发送到多协议标记交换网络中传输；②MPLS通信数据包在多协议标记交换网络中传输时，MPLS通信数据包经过的每个路由器将依据设定记录概率对MPLS通信数据包进行记录，记录信息为MPLS通信数据包内容中具有固定长度的特征信息，记录方法采用Bloom filter数据结构，Bloom filter数据结构以预定周期循环更新；在多协议标记交换网络的出口边缘路由器将MPLS通信数据包包头中的标签放进IP通信数据包包头中的设定字段进行标记；③当多协议标记交换网络对标签进行更新时，记录历史标签映射关系，以设定的时间周期对历史标签映射关系进行更新；④接收端的入侵检测系统检测到网络攻击时，检测IP通信数据包的攻击数据包中是否存在标记有边缘路由器ID信息的标记数据包，如果存在标记数据包，则进行基于组合公钥签名技术的边缘概率包标记算法的信源定位；否则，提取与设定记录概率相关数量的样本IP攻击数据包，进行基于多协议标记交换网络标签记录的概率包记录算法的信源定位；⑤基于组合公钥签名技术的边缘概率包标记算法进行信源定位时，根据经过标记的攻击数据包中标记的边缘路由器ID信息得到对应的边缘路由器的公钥，利用边缘路由器的公钥对标记数据包中的数字签名进行验证，如果对标记数据包的签名验证通过，则提取标记数据包中的边缘路由器ID信息一步定位到攻击端的边缘路由器，需要还原正向标记交换攻击路径时，则从攻击端边缘路由器开始，借助多协议标记交换网络的标记转发表信息或记录的历史标签映射关系还原出标记交换攻击路径；基于多协议标记交换网络标签记录的概率包记录算法进行信源定位时，提取样本IP攻击数据包的特征字段、时间信息及包头中标记的标签信息，构造信源定位请求包，通过与被攻击端边缘路由器的攻击特征匹配确定攻击是否来自远程局域网，如果攻击来自远程局域网，则被攻击端边缘路由器将信源定位请求包发往其上游邻居路由器，各上游邻居路由器将信源定位请求包中的标签信息与它们对应时间段标签映射条目中的出口标签信息进行查询匹配，标签信息匹配成功后进行信源定位请求中各样本IP攻击数据包的攻击特征的查询匹配，标签信息和攻击特征均查询匹配成功后表示当前进行匹配的路由器为攻击路径上的一个路由器节点，提取匹配命中路由器中匹配命中标签映射条目的入口标签替代信源定位请求包中的标签信息，再向匹配命中路由器的各上游邻居路由器发送信源定位请求包进行标签和攻击特征的查询匹配过程，直至当前匹配命中路由器的各上游邻居路由器中再没有匹配命中的路由器；⑥将信源定位结果返回给接收端的入侵检测系统，完成对本次多协议标记交换网络中网络攻击的双向复合信源定位。