基于监控探针联动的网络安全事件溯源系统与方法

摘要

本发明公开了一种基于监控探针联动的网络安全事件溯源系统与方法，它能够对网络安全事件进行精确溯源。其技术方案为：该方法包括：a.根据待溯源的网络安全事件的有关信息，选择合适的监控探针并确定适用的溯源规则；b.将该些溯源规则发布至该些监控探针，收集该些监控探针依据该些溯源规则采集的监控数据，从该些监控数据中提取该网络安全事件的包含发起源IP地址的信息；c.若满足溯源结束条件，则转至步骤d，否则更新该网络安全事件的信息后转至步骤a；d.将当前的该发起源IP地址作为该网络安全事件的最终发起源IP地址提交，流程结束。本发明应用于网络安全领域。

说明书

技术领域

本发明涉及网络信息安全领域，尤其涉及一种网络安全监控系统与方法。

背景技术

信息技术的飞速发展极大地促进了社会生产，使得人们的工作、生活方式产生了巨大的变革，但同时也给社会带来了一定的负面影响。以网络与信息系统为目标的犯罪行为大幅度增加，网络入侵、网上攻击、信息窃取等事件时有发生。信息系统被入侵、内部人员的恶意破坏、越权操作行为等事件一直干扰着企事业单位的正常运转。通过网络联络、策划和实施犯罪活动已经成为新形势下犯罪行为的特征之一。并且，网上诈骗、教唆、侮辱、诽谤与恐吓、色情传播等新的计算机网络手段层出不穷。

要对互联网上发生的各类安全事件进行查处，需要准确溯源定位事件的源头。但由于网络技术的特殊性，目前对网络安全事件进行溯源在技术方面存在一定的困难：

1.由于IP地址的短缺，许多互联网接入环境中采用了NAT技术。在各个大学校园网、小区、宾馆、企事业单位等上网环境中，普遍采用NAT技术访问互联网。由于NAT技术对用户地址进行了转换，在互联网通信上表现为大量用户使用同一个或几个IP地址访问互联网资源，对于安全事件的追溯往往只能获取NAT对外的地址，无法进一步溯源和定位NAT之后的事件发起方。很多涉网案件在追查到NAT的对外IP地址之后就断了线索，无法继续追查下去。

2.在互联网上代理服务器(Proxy)应用十分普遍。一方面许多企业为了方便管理，所有内部人员采用Proxy访问互联网资源，这样在互联网上只能获取该Proxy的IP地址，无法区分不同用户的行为。此外，在互联网上存在大量的免费Proxy以及类似Proxy的转发服务站点，这些站点能够起到隐藏访问者真实IP地址的作用，一些网上犯罪分子为了逃避追踪，大量采用境内外的Proxy进行网络访问，张贴不良信息、实施网上违法行为等，更有一些狡猾的犯罪采用多级Proxy以增加溯源的复杂度。

3.在网上攻击入侵过程中，跳板机得到广泛应用。网上黑客为了逃避追踪溯源，通常在实施攻击和入侵之前，先攻克一些与攻击目标无关的跳板机，然后在跳板机上实施对相应目标的攻击。在目标系统处能够得到的只是相关跳板机的IP地址，无法获取攻击者的真实地址。

以上这些手段在本质上均通过IP地址的转换，造成网上获取的源IP地址并非用户真实源IP地址的现象，使得相关的安全事件难以追踪溯源。而对以上手段进行组合应用将使情况更为复杂。因此造成了网络的匿名和难以追查的特性。

当前在网络安全事件的溯源方面，主要还是以观测到的事件的直接相关IP地址为依据，例如：在入侵检测和审计系统中记录的安全事件，均会存在“源IP地址”字段，该字段即指示了事件的发生源头。在小规模网络上，或者在事件真实发生源未采用NAT、Proxy、跳板机的情况下，该IP地址可以认为是真实源头，但在采用了以上这些手段的情况下则无法实现精确的溯源。

为了解决这一问题，目前普遍采用的是对各个环节的日志信息进行关联分析的方法。但是采用以上方法仍然存在以下问题：

1.互联网上各类服务器的完整记录日志的记录需要很大的开销，一般情况下与自身所提供的服务无关的日志信息不被保留。而溯源分析所需的日志一般需要记录与安全事件相关的详细操作信息，因此未必能够在网上的相关服务器(Proxy，NAT，跳板机)上找到可提供安全事件精确溯源的信息。而且，有些NAT是网络设备提供的功能，基本上不保留全部的地址转化日志。

2.许多Proxy、跳板机是境外节点，不受控制，即使在这些机器上有日志信息一般情况下也无法获得。

3.在跳板机上，基本上所有有关攻击者活动的日志信息均会被攻击者删除。

4.对各类日志进行分析大多只能在事后进行，无法实现实时溯源。

因此，大量的网上攻击事件很难被精确溯源，在很多情况下需要采用大量的人工侧面调查方式，这就大大影响了精确溯源的成功率和效率。

发明内容

本发明的目的在于解决上述问题，提供了一种基于监控探针联动的网络安全事件溯源系统与方法，它能够对网络安全事件进行精确溯源。

本发明的技术方案为：本发明提供了一种基于监控探针联动的网络安全事件溯源系统，结合入侵检测、网络监控和安全审计软件模块对网络安全事件进行精确溯源，该系统包括一个溯源控制中心和多个与该溯源控制中心通过网络通信的监控探针，其中，

该些监控探针进一步包括：

溯源规则接收模块，实时接收从该溯源控制中心发布的溯源规则；

溯源规则转换模块，将接收到的该些溯源规则转换成该入侵检测、网络监控和安全审计软件模块可接收的格式并以此格式提交；

监控数据转换模块，将该入侵检测、网络监控和安全审计软件模块生成的数据转换成与该溯源控制中心约定的监控数据格式；

监控数据上报模块，将监控数据实时上报到该溯源控制中心；

总控模块，启停各个模块，检测故障及恢复；

该溯源控制中心进一步包括：

监控探针信息库，存储该些监控探针的信息；

溯源规则库，存储该些监控探针对应的溯源规则；

监控数据库，存储该些监控探针传送来的监控数据；

溯源规则发布模块，连接该溯源规则库，将存储于该溯源规则库且已经形成的溯源规则向相应的监控探针发送；

监控数据接收模块，连接该监控数据库，实时收集各个监控探针上报的监控数据，并存放于该监控数据库中；

监控探针信息维护模块，连接该监控探针信息库，录入、更新、删除该些监控探针的信息；

溯源规则生成模块，连接该监控探针信息库和该溯源规则库，根据网络安全事件的信息制定所需的溯源规则；

监控探针选择模块，连接该监控探针信息库，根据监控探针的信息以及网络安全事件的相关信息选择适合进行溯源的监控探针；

发起源IP地址提取模块，连接该监控探针信息库，根据监控探针的信息以及监控数据提取路由上最接近网络安全事件的发起源的源IP地址；

监控数据筛选模块，连接该监控数据库，根据发布的溯源规则和截获时间，筛选出与待溯源的网络安全事件相关的监控数据；

溯源总控模块，连接该溯源规则生成模块、监控探针选择模块、发起源IP地址提取模块和监控数据筛选模块，调用该些模块以实现溯源过程；

用户接口模块，连接该监控探针信息维护模块和溯源总控模块，接收用户输入，定义网络安全事件的特征，向用户返回溯源结果。

上述的基于监控探针联动的网络安全事件溯源系统，其中，该溯源总控模块中还设有一迭代单元，迭代溯源过程。

上述的基于监控探针联动的网络安全事件溯源系统，其中，该些监控探针部署于网络的主要通道并采取旁路式监听，包括企业网的网络出口、NAT后端网络通道、IDC(互联网数据中心，Internet Data Center)网络出口、省/市网络出口以及国际出口。

上述的基于监控探针联动的网络安全事件溯源系统，其中，该些监控探针的描述信息至少包括：监控探针标识、对外IP地址范围、内部IP地址范围和溯源规则，其中对外IP地址范围是可能被其他部署于监控网络外部的监控探针所截获的源IP地址的集合，内部IP地址范围是通过该监控探针所监控的网络通道访问互联网的所有IP地址的集合。

上述的基于监控探针联动的网络安全事件溯源系统，其中，该溯源规则至少包括溯源规则标识、网络安全事件的源IP地址、网络安全事件的目标IP地址、网络安全事件相关的传输层协议、源端口、目的端口和事件匹配特征描述。

上述的基于监控探针联动的网络安全事件溯源系统，其中，该监控数据至少包括监控探针标识、截获时间、溯源规则标识、网络安全事件的源IP地址、网络安全事件的目的IP地址、网络安全事件相关的传输层协议、源端口、目的端口和事件匹配特征描述。

基于上述的系统，本发明还提供了一种基于监控探针联动的网络安全事件溯源方法，对网络安全事件进行精确溯源，该方法包括：

a.根据待溯源的网络安全事件的有关信息，选择合适的监控探针并确定适用的溯源规则；

b.将该些溯源规则发布至该些监控探针，收集该些监控探针依据该些溯源规则采集的监控数据，从该些监控数据中提取该网络安全事件的包含发起源IP地址的信息；

c.若满足溯源结束条件，则转至步骤d，否则更新该网络安全事件的信息后转至步骤a；

d.将当前的该发起源IP地址作为该网络安全事件的最终发起源IP地址提交，流程结束。

上述的基于监控探针联动的网络安全事件溯源方法，其中，步骤a确定合适的监控探针的过程进一步包括：

(1.1)查找所有对外IP地址范围包含该网络安全事件的源IP地址的监控探针，如果存在，则以上述的监控探针形成第一监控探针列表，其余的监控探针形成第二监控探针列表，转至步骤(1.2)；否则再查找所有内部IP地址范围包含该网络安全事件的源IP地址的监控探针，如果存在，则以上述的监控探针形成第一监控探针列表，其余的监控探针形成第二监控探针列表，再转至步骤(1.2)；否则再转至步骤(1.4)；其中对外IP地址范围指有可能被其他部署于监控网络外部的监控探针所截获的源IP地址的集合，内部IP地址范围指能够通过该监控探针所监控的网络通道访问互联网的所有IP地址的集合；

(1.2)在该第一监控探针列表中，比对各个监控探针的对外IP地址范围，如果某个监控探针的对外IP地址范围完全包含在另一个监控探针的对外IP地址范围中，则淘汰后者，重复以上淘汰操作直到没有可淘汰的监控探针；然后再比对各个监控探针的内部IP地址范围，如果某个监控探针的内部IP地址范围完全包含在另一个监控探针的内部IP地址范围中，则淘汰后者，形成第三监控探针列表；

(1.3)在该第二监控探针列表中，寻找对外IP地址范围完全包含于形成该第三监控探针列表中的监控探针的对外IP地址范围的监控探针，加入到该第三监控探针列表；然后再次在该第一监控探针列表中寻找内部IP地址范围完全包含于形成该第三监控探针列表中的监控探针的内部IP地址范围的监控探针，加入到该第三监控探针列表中，形成第四监控探针列表，转到步骤(1.5)；

(1.4)在所有监控探针中，比对各个监控探针的对外IP地址范围，如果某个监控探针的对外IP地址范围完全包含在另一个监控探针的对外IP地址范围中，则淘汰前者，重复以上淘汰操作直到没有可淘汰的监控探针，形成第四监控探针列表；

(1.5)该第四监控探针列表即为合适的监控探针；

步骤a确定适用的溯源规则的过程进一步包括：

(2.1)针对对外IP地址范围与内部IP地址范围不同的监控探针，如果该网络安全事件的源IP地址属于该监控探针的内部IP地址范围，则将该溯源规则的目的IP地址置为该网络安全事件的源IP地址，否则将该溯源规则的目的IP地址置为该网络安全事件的目的IP地址；

(2.2)针对对外IP地址范围与内部IP地址范围相同的监控探针，将该溯源规则的目的IP地址置为该网络安全事件的源IP地址；

(2.3)根据该网络安全事件本身在网上传输数据包的特征，设定该网络安全事件的事件匹配特征描述，直接复制该网络安全事件的最初的事件匹配特征描述；

(2.4)根据需要增加对上述所设定的目标IP地址的远程操控协议服务端口规则；

(2.5)所得到的溯源规则即为适用的溯源规则。

上述的基于监控探针联动的网络安全事件溯源方法，其中，步骤b确定该网络安全事件的包含发起源IP地址的信息的过程进一步包括：

(3)选择溯源规则和截获时间均匹配的监控数据作后续处理；

(4)针对该监控数据进行以下操作以确定该发起源IP地址：

(I)一条监控数据记录的源IP地址等于另一条监控数据记录的目的IP地址，淘汰前者的源IP地址；

(II)当一个监控探针上报的监控数据中，源IP地址属于另一条监控数据记录所属的监控探针的对外IP地址范围，则淘汰前者提供的监控数据中的源IP地址；

(III)当一个监控探针上报的监控数据中，源IP地址不属于其内部IP地址范围，而存在另一个监控探针上报的监控数据中，源IP地址属于其内部IP地址范围，则淘汰前者提供的源IP地址；

(IV)如果两个监控探针上报的监控数据中，源IP地址均属于其内部IP地址范围，而其中的一个监控探针的内部IP地址范围包含于另一个监控探针的内部IP地址范围，则淘汰后者提供的源IP地址；

(V)如果存在两条监控数据记录，其中一条监控数据记录的源IP地址为境外地址，目的地址为境内地址，另一条监控数据记录的源IP地址为境内地址，目的地址为境外地址，则淘汰前者包含的源IP地址；

(VI)经过以上淘汰过程，剩下的IP地址为所述发起源IP地址。

上述的基于监控探针联动的网络安全事件溯源方法，其中，步骤c中的结束条件可以是预先设定的溯源次数和溯源时间已经到达、没有收集到该网络安全事件的相关监控数据、没有更新该网络安全事件的相关信息或其任意组合；且步骤d中的最终发起源IP地址为单个IP地址或由多个IP地址构成的一个地址列表。

本发明对比现有技术有如下的有益效果：本发明利用广泛部署的监控探针间的联动，充分发挥各个探针在布控位置上的优势，突破了传统的安全设施之间缺乏有针对性地大范围实施联动的限制，能够在含有NAT、Proxy和跳板机等的复杂网络环境中，全方位、多层次地获取与网络安全事件相关的信息；然后迭代进行这一过程，多次逼近、逐步求精，实现精确溯源。本发明的监控探针和溯源控制中心的实现相对简单，完全可以在现有技术上实现，监控探针可以用目前流行的入侵检测以及网络监控、安全审计技术作为基础，只需要添加联动接口就可以实现。溯源控制中心只需采用本发明的描述的方法用软件编程实现即可，实现较为简单。本发明还采用对监控探针配置“对外IP地址范围”、“内部IP地址范围”来实现最适合溯源的监控探针的查找，以及最接近网络安全事件的发起源的IP地址的提取，既实用又简便，既不需要采用复杂算法，也不需要在存储整个网络的拓扑进行运算。另外，本发明支持可伸缩性的投资，逐步提高监控探针的部署密度，从而达到更精确的溯源精度。

附图说明

图1是本发明的基于监控探针的网络安全事件溯源系统的结构图。

图2是本发明的网络安全事件溯源系统的监控探针的原理框图。

图3是本发明的网络安全事件溯源系统的溯源控制中心的原理框图。

图4是本发明的基于监控探针的网络安全事件溯源方法的流程图。

图5A和图5B是图4步骤S1中确定合适的监控探针过程的细化流程图。

图6是本发明的一个实例的示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的描述。

图1示出了本发明的基于监控探针的网络安全事件溯源系统的结构。请参见图1，系统由一个溯源控制中心11和若干个监控探针12组成，监控探针12布置在主要网络通道上，例如布置在包括企业网的网络出口、NAT后端网络通道、IDC(互联网数据中心，Internet Data Center)网络出口、省/市网络出口以及国际出口，以旁路监听的方式来监听网络数据流。当需要对某个网络安全事件进行精确定位时，溯源控制中心11根据该网络安全事件的相关信息，制定相应的溯源规则并将其发布到相关监控探针12。监控探针12将监控数据报告至溯源控制中心11，溯源控制中心11根据这些监控数据抽取该网络安全事件的发起源IP地址，必要时迭代此过程直至精确溯源网络安全事件的发起源。

图2示出了监控探针的原理。请参见图2，监控探针由计算机软硬件组成，采用目前的机架式服务器或工控机126作为硬件，也可以采用定制的特殊硬件，可基于现有的入侵检测、安全审计、网络监控等软件模块125开发与溯源控制中心11的接口模块。监控探针至少包括：溯源规则接收模块120、溯源规则转换模块121、监控数据转换模块122、监控数据上报模块123、总控模块124。溯源规则接收模块120实时接收从溯源控制中心11布控的溯源规则，并传递给溯源规则转换模块121。溯源规则转换模块121将这些溯源规则转换成入侵检测、网络监控和安全审计软件可接受的格式，并将溯源规则提交给这些软件模块125。监控数据转换模块122将入侵检测、网络监控和安全审计软件模块125生成的数据转换成与溯源控制中心11约定的监控数据格式，并传递给监控数据上报模块123。监控数据上报模块123将监控数据实时上报到溯源控制中心11。总控模块124负责启停各个模块，进行故障检测和恢复等。

图3示出了溯源控制中心的原理。请参见图3，溯源控制中心采用高性能服务器，在数据库系统支持下开发相应软件模块即可实现，主要包括：溯源规则发布模块110、监控数据接收模块111、监控探针信息维护模块112、溯源总控模块113、溯源规则生成模块114、监控探针选择模块115、发起源IP地址提取模块116、监控数据筛选模块117、用户接口模块118、监控探针信息库119、溯源规则库130以及监控数据库131。其中监控探针信息库119存储该些监控探针的信息，溯源规则库130存储该些监控探针对应的溯源规则，监控数据库131存储该些监控探针传送来的监控数据。溯源规则发布模块110将已经形成的溯源规则向相应的监控探针发送，本模块可采用公知的入侵检测、网络监控或安全审计软件模块来实现。监控数据接收模块111实时收集各个监控探针上报的监控数据，存放在监控数据库131中，本模块也可采用公知的入侵检测、网络监控或安全审计软件模块实现。监控探针信息维护模块112录入、更新、删除存储于监控探针信息库119的监控探针相关信息。溯源总控模块113调用相应的模块实现溯源过程，溯源总控模块113中还设有一迭代单元，迭代溯源过程。溯源规则生成模块114根据网络安全事件的有关信息制定所需的溯源规则。监控探针选择模块115根据监控探针的信息以及网络安全事件的相关信息选择合适进行溯源的监控探针。发起源IP地址提取模块116根据监控探针的信息以及监控数据，提取路由上最接近网络安全事件的发起源的源IP地址。监控数据筛选模块117根据发布的溯源规则和截获时间，筛选出与需溯源的网络安全事件相关的监控数据。用户接口模块118接收用户输入，定义网络安全事件的特征，向用户返回溯源结果。

基于上述的网络安全事件溯源系统，图4示出了本发明的网络安全事件溯源方法的流程。请参见图4，下面是对方法流程各步骤的详细描述。

步骤S1：根据待溯源的网络安全事件的有关信息，选择合适的监控探针并确定适用的溯源规则。

确定合适的监控探针的具体方法请结合图5A和图5B所示：

在之前先阐述两个基本概念“对外IP地址范围”和“内部IP地址范围”，

“对外IP地址范围”指有可能被其他部署于所监控网络外部的监控探针所截获的源IP地址的集合，“内部IP地址范围”是指能够通过监控探针所监控的网络通道访问互联网的所有IP地址的集合。

步骤S101：查找所有“对外IP地址范围”包含该网络安全事件的源IP地址的监控探针。

步骤S102：步骤S101的监控探针是否存在？如果存在则进入步骤S103：否则进入步骤S104。

步骤S103：将步骤S101查找到的监控探针形成监控探针列表1，其他探针形成监控探针列表2，并转至步骤S107。

步骤S104：查找所有“内部IP地址范围”包含该网络安全事件的源IP地址的监控探针。

步骤S105：步骤S104的监控探针是否存在？如果存在则进入步骤S106，否则进入步骤S123。

步骤S106：将步骤S104查找到的监控探针形成监控探针列表1，其他探针形成监控探针列表2。

步骤S107：在监控探针列表1中比对每个监控探针的“对外IP地址范围”。

步骤S108：当前的监控探针的“对外IP地址范围”是否完全包含在另一个监控探针的“对外IP地址范围”中，如果是则进入步骤S109，否则进入步骤S110。

步骤S109：淘汰步骤S108中的后者。

步骤S110：监控探针列表1中的监控探针是否已经比对完。如果比对完则进入步骤S111，否则返回步骤S107。

步骤S111：在监控探针列表1中比对每个监控探针的“内部IP地址范围”。

步骤S112：当前的监控探针的“内部IP地址范围”是否完全包含在另一个监控探针的“内部IP地址范围”中，如果是则进入步骤S113，否则进入步骤S114。

步骤S113：淘汰步骤S112中的后者。

步骤S114：监控探针列表1中的监控探针是否已经比对完。如果比对完则淘汰剩下的监控探针组成监控探针列表3，并进入步骤S115，否则返回步骤S111。

步骤S115：在监控探针列表2中比对每个监控探针的“对外IP地址范围”与监控探针列表3中的监控探针的“对外IP地址范围”。

步骤S116：当前监控探针的“对外IP地址范围”是否完全包含于监控探针列表3中的监控探针的“对外IP地址范围”，如果是则进入步骤S117，否则进入步骤S118。

步骤S117：将当前监控探针加入到监控探针列表3中。

步骤S118：监控探针列表2中的监控探针是否已经比对完。如果比对完则进入下一步，否则返回步骤S115。

步骤S119：在监控探针列表2中比对每个监控探针的“内部IP地址范围”与监控探针列表3中的监控探针的“内部IP地址范围”。

步骤S120：当前监控探针的“内部IP地址范围”是否完全包含于监控探针列表3中的监控探针的“内部IP地址范围”，如果是则进入步骤S121，否则进入步骤S122。

步骤S121：将当前监控探针加入到监控探针列表3中。

步骤S122：监控探针列表2中的监控探针是否已经比对完。如果比对完则进入步骤S127，否则返回步骤S119。

步骤S123：在所有监控探针中依次比对每个监控探针的“对外IP地址范围”。

步骤S124：如果当前监控探针的“对外IP地址范围”完全包含在另一个监控探针的“对外IP地址范围”中，则进入步骤S125，否则转入步骤S126。

步骤S125：淘汰步骤S124中的前者。

步骤S126：所有监控探针是否都比对完，如果是则进入步骤S127，否则返回步骤S123。

步骤S127：处理完成的最后的监控探针形成监控探针列表4，即为合适的监控探针。

并且，步骤S1中确定适用的溯源规则的过程如下：

(1)针对对外IP地址范围与内部IP地址范围不同的监控探针，如果该网络安全事件的源IP地址属于该监控探针的内部IP地址范围，则将该溯源规则的目的IP地址置为该网络安全事件的源IP地址，否则将该溯源规则的目的IP地址置为该网络安全事件的目的IP地址；

(2)针对对外IP地址范围与内部IP地址范围相同的监控探针，将该溯源规则的目的IP地址置为该网络安全事件的源IP地址；

(3)根据该网络安全事件本身在网上传输数据包的特征，设定该网络安全事件的事件匹配特征描述，直接复制该网络安全事件的最初的事件匹配特征描述；

(4)根据需要增加对上述所设定的目标IP地址的远程操控协议服务端口规则。

上述方式所得到的溯源规则即为适用的溯源规则。

步骤S2：将该溯源规则发布至监控探针，收集该些监控探针依据该溯源规则采集的监控数据，从该些监控数据中提取该网络安全事件的发起源IP地址以及其他相关信息。

提取发起源IP地址的具体方法如下：

(1)选取溯源规则和截获事件均匹配的监控数据作后续处理；

(2)针对该监控数据进行以下操作以确定该发起源IP地址：

a)一条监控数据记录的源IP地址等于另一条监控数据记录的目的IP地址，淘汰前者的源IP地址；

b)当一个监控探针上报的监控数据中，源IP地址属于另一条监控数据记录所属的监控探针的对外IP地址范围，则淘汰前者提供的监控数据中的源IP地址；

c)当一个监控探针上报的监控数据中，源IP地址不属于其内部IP地址范围，而存在另一个监控探针上报的监控数据中，源IP地址属于其内部IP地址范围，则淘汰前者提供的源IP地址；

d)如果两个监控探针上报的监控数据中，源IP地址均属于其内部IP地址范围，而其中的一个监控探针的内部IP地址范围包含于另一个监控探针的内部IP地址范围，则淘汰后者提供的源IP地址；

e)如果存在两条监控数据记录，其中一条监控数据记录的源IP地址为境外地址，目的地址为境内地址，另一条监控数据记录的源IP地址为境内地址，目的地址为境外地址，则淘汰前者包含的源IP地址；

经过以上淘汰过程，剩下的IP地址为所述发起源IP地址。而其他相关信息的确定均可以通过现有技术来实现。

步骤S3：若满足溯源结束条件，则转至步骤S4，否则更新该网络安全事件的信息后转至步骤S1。

溯源结束条件可以是预先设定的溯源次数和溯源时间已经到达、没有收集到该网络安全事件的相关监控数据、没有更新该网络安全事件的相关信息或其任意组合。

步骤S4：将当前的该发起源IP地址作为该网络安全事件的最终发起源IP地址提交。其中最终发起源IP地址为单个IP地址或多个IP地址构成的一个地址列表。

在实现了监控探针和溯源控制中心，并部署监控探针后，即可对网路安全时间进行溯源。操作人员定义网络安全事件的初始源IP地址、目标IP地址以及其它特征，然后等待系统的最终溯源结果产生。以下采用一个示例说明此过程。

首先假设网络环境。假设如图5所示的一个网络，Net1、Net2、Net3的出口连接境外互联网，Net2.1，Net2.2，Net3.1为下一层网络，Net2.2.1和Net2.2.2为更下一层网络，Net2.2.1.1为内部网络，通过NAT连接Net2.2.1；Probe1、Probe2、Probe3、Probe2.1、Probe2.2、Probe3.1、Probe2.2.1和Probe2.2.1.1分别为部署在网络上相应位置的监控探针。

假设接在Net1出口通道之后的IP地址范围为：179.1.0.0～179.1.255.255，203.23.0.0～203.23.16.255；假设接在Net2出口通道之后的IP地址范围为：185.121.0.0～185.121.255.255；假设接在Net3出口通道之后的IP地址范围为：202.120.0.0～202.120.255.255；假设接在Net2.1出口通道之后的IP地址范围为：185.121.4.0～185.121.7.255；假设接在Net2.2出口通道之后的IP地址范围为：185.121.8.0～185.121.11.255；假设接在Net3.1出口通道之后的IP地址范围为：202.120.211.0～202.120.211.255；假设接在Net2.2.1出口通道之后的IP地址范围为：185.121.9.0～185.121.9.255；假设接在Net2.2.1.1采用内部IP地址范围为：192.168.1.0～192.168.1.255，NAT对外的地址为185.121.9.24。

然后，对监控探针的“内部IP地址范围”和“对外IP地址范围”进行配置。根据网络环境假设以及各监控探针所处的位置，根据本发明对监控探针的“内部IP地址范围”和“对外IP地址范围”的定义，各个监控探针的“内部IP地址范围”和“对外IP地址范围”配置如下：

  监控探针  内部IP地址范围  对外IP地址范围Probe1  179.1.0.0～179.1.255.255203.23.0.0～203.23.16.255  179.1.0.0～179.1.255.255203.23.0.0～203.23.16.255

  Probe2  185.121.0.0～185.121.255.255  185.121.0.0～185.121.255.255  Probe3  202.120.0.0～202.120.255.255  202.120.0.0～202.120.255.255  Probe2.1  185.121.4.0～185.121.7.255  185.121.4.0～185.121.7.255  Probe2.2  185.121.8.0～185.121.11.255  185.121.8.0～185.121.11.255  Probe3.1  202.120.211.0～202.120.211.255  202.120.211.0～202.120.211.255  Probe2.2.1  185.121.9.0～185.121.9.255  185.121.9.0～185.121.9.255  Probe2.2.1.1  192.168.1.0～192.168.1.255  185.121.9.24～185.121.9.24

然后，进行网络安全事件的假设。假设涉及某网络安全事件的源主机位于Net2.2.1.1中，地址为192.168.1.54，采用Windows终端连接到位于Net2.1上的跳板机，该跳板机的地址为185.121.5.91；发起方利用跳板机上的浏览器，连接到境外的proxy，该proxy的地址假设为192.1.1.79，利用境外Proxy中转，对国内Net3.1上的某一台目标主机上的某个论坛版面不断进行不良信息的张贴，该目标主机的地址假设为202.120.211.4。现该目标主机的管理员举报这一网络安全事件，但由于该主机上未保留完整日志，故不知张贴者的源地址。

下面来阐明实际溯源过程。

(1)操作人员确定待溯源的网络安全事件有如下信息：目标IP地址为202.120.211.4，事件匹配特征描述为特定版面的URL以及关键字(这可采用入侵检测系统公知的方法表示)；并设定溯源的结束条件为没有更新该网络安全事件的相关信息。

(2)根据本发明中确定合适的监控探针的方法，所有“对外IP地址范围”包含该事件的源IP地址202.120.211.4(202.120.211.4)的监控探针为Probe3和Probe3.1，而Probe3.1的“对外IP地址范围”完全包含于Probe3的“对外IP地址范围”中，所以淘汰Probe3；没有其它探针的“对外IP地址范围”完全包含于Probe3.1的“对外IP地址范围”中，因此“合适的监控探针”为Probe3.1。

(3)根据本发明中确定适用的溯源规则的方法，形成溯源规则如下表所示：

  字段  溯源规则标识源IP地址目的IP地址传输层协议源端口  目的端口  事件匹配特征描述取值系统内部生成唯一标识，略空202.120.211.4TCP空80  初始确定的特定版面的URL以及关键字

(4)将上述溯源规则发布至监控探针Probe3.1。

(5)获得Probe3.1上报的监控数据，其中，源IP地址为境外Proxy：192.1.1.79，其它内容略。

(6)由于没有其它监控探针上报监控数据，192.1.1.79即为当前的发起源IP地址。

(7)以192.1.1.79作为源IP地址，查找进一步溯源的“合适的监控探针”。根据本发明中确定合适的监控探针的方法，不存在“对外IP地址范围”或“内部IP地址范围”包含该事件的源IP地址(192.1.1.79)的监控探针(因为该地址在境外)，因此得到“合适的监控探针”列表为Probe1、Probe2和Probe3。

(8)根据本发明中确定适用的溯源规则的方法，形成溯源规则如下表所示：

(9)向监控探针Probe1、Probe2和Probe3发布此溯源规则。

(10)经过筛选，获得监控探针Probe2、Probe3和Probe3.1(原来的溯源规则未撤销)上报的监控数据；其中Probe2截获的监控数据的源IP地址和目的IP地址分别为185.121.5.91和192.1.1.79(即185.121.5.91-＞192.1.1.79：8080)，而监控探针Probe3和Probe3.1截获的监控数据均为192.1.1.79-＞202.120.211.4：80。

(11)根据本发明中确定事件的发起源IP地址的方法，“一条监控数据记录的源IP地址等于另一条监控数据记录的目的IP地址，淘汰前者的源IP地址”，淘汰192.1.1.79，取185.121.5.91为当前的发起源IP地址。

(12)以185.121.5.91为源地址，查找进一步溯源的“合适的监控探针”。根据本发明中确定合适的监控探针的方法，监控探针Probe2.1为“合适的监控探针”(“对外IP地址范围”包含185.121.5.91，且“对外IP地址范围”完全包含在Probe2的“对外IP地址范围”中)。

(13)采用与上述步骤8类似的方法，形成溯源规则，并发布至监控探针Probe2.1。

(14)获得以下的监控数据(仅列出源、目的IP，其他略)：

Probe2.1：185.121.9.24-＞185.121.5.91：3389(Windows Terminal)

Probe2：185.121.5.91-＞192.1.1.79：8080(HTTP)

Probe3：192.1.1.79-＞202.120.211.4：80(HTTP)

Probe3.1：192.1.1.79-＞202.120.211.4：80(HTTP)

(15)根据本发明中确定事件的发起源IP地址的方法，“一条监控数据记录的源IP地址等于另一条监控数据记录的目的IP地址，淘汰前者的源IP地址”，淘汰192.1.1.79和185.121.5.91，取185.121.9.24为该事件的当前的发起源IP地址。

(16)以185.121.9.24为源地址，查找进一步溯源的“合适的监控探针”。根据本发明中确定合适的监控探针的方法，监控探针Probe2.2.1.1为“合适的监控探针”。

(17)根据本发明中确定适用的溯源规则的方法，Probe2.2.1.1的“内部IP地址范围”与“对外IP地址范围”不同，且该事件的当前发起源IP地址185.121.9.24不在其“内部IP地址范围”中，因此将溯源规则中的目标IP地址置为事件相关的目标地址185.121.5.91，并设定远程操控协议服务端口规则。

(18)向监控探针Probe2.2.1.1发布上述溯源规则。

(19)获得以下的监控数据(仅列出源、目的IP，其他略)：

Probe2.2.1.1：192.168.1.54-＞185.121.5.91：3389(Windows Terminal)

Probe2.1：185.121.9.24-＞185.121.5.91：3389(Windows Terminal)

Probe2：185.121.5.91-＞192.1.1.79：8080(HTTP)

Probe3：192.1.1.79-＞202.120.211.4：80(HTTP)

Probe3.1：192.1.1.79-＞202.120.211.4：80(HTTP)

(20)根据本发明中确定事件的发起源IP地址的方法，“一条监控数据记录的源IP地址等于另一条监控数据记录的目的IP地址，淘汰前者的源IP地址”，首先淘汰192.1.1.79，185.121.5.91和185.121.9.24，剩下192.168.1.54和185.121.9.24。然后根据法则“当一个监控探针上报的监控数据中，源IP地址属于另一个监控数据记录所属的监控探针的“对外IP地址范围”，则淘汰前者提供的监控数据中的源IP地址”，淘汰185.121.9.24(185.121.9.24属于probe2.2.1.1的“对外IP地址范围”)，取192.168.1.54为该事件的当前的发起源IP地址。

(21)以192.168.1.54为源地址，查找进一步溯源的“合适的监控探针”。根据本发明中确定合适的监控探针的方法，监控探针Probe2.2.1.1为“合适的监控探针”(该监控探针的“内部IP地址范围”包含192.168.1.54)。

(22)根据本发明中确定适用的溯源规则的方法，Probe2.2.1.1的“内部IP地址范围”与“对外IP地址范围”不同，且192.168.1.54在其“内部IP地址范围”中，因此将溯源规则的目的IP地址置为事件相关的源IP地址：192.168.1.54，设定远程操控协议服务端口规则。

(23)截获的监控数据与上一轮溯源所截获的监控数据(即步骤(19))相同(因为没有其他机器向192.168.1.54操作)，因而满足溯源结束条件“没有更新该网络安全事件的相关信息”，将当前的发起源IP地址192.168.1.54作为该事件的最终发起源IP地址提交用户，溯源结束。

上述实施例是提供给本领域普通技术人员来实现或使用本发明的，本领域普通技术人员可在不脱离本发明的发明思想的情况下，对上述实施例做出种种修改或变化，因而本发明的保护范围并不被上述实施例所限，而应该是符合权利要求书提到的创新性特征的最大范围。