基于多维度信息的网络攻击溯源技术研究

摘要

随着互联网的普及，网络攻击越来越泛滥，技术手段也越来越隐蔽。然而，类似于入侵检测系统的被动式攻击防御手段已经不能及时有效的减少攻击的危害，必须采用更有针对性的主动防御措施来应对新兴、复杂的网络攻击。因此，研究基于追踪溯源的主动确定攻击源头的技术在目前就显得尤为重要。 针对网络攻击防御技术的发展现状，提出一种基于多维度信息的网络攻击溯源方法。该方法主要对攻击检测到的多类攻击信息进行分析与处理，获取攻击类型和攻击者的地理位置、主机信息、攻击工具指纹、攻击状态等多维度的特征，来达到构建攻击者画像的目的。 （1）针对攻击信息中的警报内容冗余问题，采用基于层次聚类的警报内容聚类方法和基于时间窗口的警报内容去重方法，处理的结果按照时间轴排列，直观的展示攻击时间和攻击类型的关系。 （2）针对攻击者的地理位置定位和主机信息探测，利用攻击信息中的IP信息，采用B-Tree算法搜索IP地址库，来定位地理位置，调用Nmap库，来进行攻击主机信息探测；针对攻击工具的检测，过滤自定义的工具检测规则所产生的警报信息，来识别攻击者的工具指纹；针对攻击状态判断，通过在数据包内容信息中匹配HTTP状态码，来判断攻击状态。 （3）采用基于多维度信息的网络攻击溯源方法，对三个攻击者的十四种类型的攻击数据包进行实验，来验证该方法的正确性。首先，实验对同源IP的攻击信息进行统计分析，宏观了解攻击概况；接着针对警报内容进行去冗处理，其聚类率达到98.6%，攻击类型占比为100%，很大程度上减少了警报的数量，直观的展示了时间和攻击类型的对应关系；最后，分析实验结果，证明该方法能正确的溯源攻击者地理位置、主机信息、攻击工具和攻击状态。

目录

第一个书签之前