一种基于网络流水印的网络主动追踪方法及系统

摘要

本发明涉及一种基于网络流水印的网络主动追踪方法，以及一种基于网络流水印的网络主动追踪系统。本发明对追踪链路上的流量首先进行信息熵分析，确定嵌入水印和提取水印的时间点，有针对性的嵌入和提取水印，代替现有系统中随机盲目的嵌入和提取水印，具有更高的追踪效率。本发明对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析，在信息熵大的时间段增强了水印(追踪标志)的隐蔽性和健壮性，从而具有更高的追踪准确率。本发明同时对所述追踪的网络节点的输入流和输出流进行检测，对跳板主机来说，在它的输入流量和输出流量中同时能检测到水印，而对于攻击源来说，仅在输出流量中检测到水印。

说明书

技术领域

本发明涉及计算机网络通信安全技术领域，更具体地说，涉及一种基于网络流水印的网 络主动追踪方法，以及一种基于网络流水印的网络主动追踪系统。

背景技术

随着信息化和网络化的不断发展，网络攻击日益严重，目前，网络追踪已成为网络安全 研究领域的热点。基于网络的攻击大多利用网络协议的不完善性和网络资源、系统资源的有 限性实现对目标的攻击。

针对不同的攻击类型，现有的网络追踪方法主要有入口过滤法、数据包记录法、路径记 录法、日志记录法和数据包标记法等。目前研究和讨论最多的网络追踪技术是在网络流量中 指定特定的特征量作为标志或在数据包中添加数据标志信息，然后通过对这些标志的检测与 追踪来实现对攻击与入侵的追踪。这些追踪技术中添加的标志数据或字段有可能会被攻击者 察觉而伪造数据包来逃避追踪，并且它不适用于对加密流量及匿名通信环境中流追踪和定位。 因此现在研究者致力于提出更强大的主动追踪方法保证网络的安全性。

网络流水印技术是一种主动的追踪技术，它是将主动网络流量分析与数字水印思想相融 合的主动网络流水印技术。它通过在网络流量中嵌入可感知或不可感知的特定信息来确定流 量的所有权或检验流量的原始性，这些特性的信息包括对数据包时间间隔延迟的控制、网络 流量速率大小的控制等等。网络流水印技术通过一定的算法将一些标志性信息嵌入需要追踪 的流量中，只有通过专门的检测器才能正确检测或提取。这些信息不影响原始流量使用效果， 并可以部分或全部从混合数据中恢复出来。一般来讲，一些被动追踪技术不能对加密数据、 匿名通信流量提供保护，现有主动追踪技术数字标签的隐藏性、健壮性比较弱，容易被破坏 和剔除，而网络流水印技术却很好地弥补了这些不足。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于网络流水印的网络主动追踪方法， 以及一种基于网络流水印的网络主动追踪系统。

本发明的技术方案如下：

一种基于网络流水印的网络主动追踪方法，在攻击链路的网络节点中，在只有输出流的 网络节点的输出链路上确定嵌入水印的时间段，完成水印设置和水印嵌入；在攻击链路的网 络节点中，选择任意一个或多个所述网络节点作为需要追踪的起点，在选定的追踪起点输出 流链路和输入流链路上分别提取水印，确认攻击来源；所述的攻击链路为攻击源节点与被攻 击目标之间的通信链路。

作为优选，水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定，具体为：

1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流量信息熵 大小，流量信息熵大小为预设单位时间间隔内数据包比特熵大小；

2)根据当前采集的流量信息熵大小和网络流量信息熵阈值，确定水印嵌入时间段。

作为优选，步骤1)中，预设单位时间间隔内流量信息熵的采集方法具体为：

数据包比特熵大小的变化概率P_i，j＝P_byte(i，j)/P_{byte_sum}(i)；

其中，P_byte(i，j)表示每个数据包的大小，P_{byte_sum}(i)表示每个时间间隔总的数据包个数；

每个单位时间间隔的数据包比特熵

作为优选，步骤2)确定水印嵌入时间段的方法为：如果当前采集的数据包比特熵大于 网络流量信息熵阈值，则确定该单位时间间隔内为所述水印生成的时间段。

作为优选，水印设置包括水印生成、水印嵌入；

水印生成：根据确定的水印嵌入时间段生成水印，选取确定的水印嵌入时间段内的相邻 数据包间时延ipd作为水印载体，调整多个相邻数据包间时延ipd的大小，生成水印；

水印嵌入：根据生成的水印，按照调整后的相邻数据包间时延ipd发送数据包，形成含 有水印的流量。

作为优选，水印设置具体通过以下方式确定：

计算嵌入水印时间段内数据流中，连续的相邻数据包P_i和P_j间时延

其中，t_i与t_j分别为P_i和P_j到达网络中某节点的时刻；

通过如下公式增加或减少每个ipd_i来表示水印w_i：

${\mathrm{ipd}}_i^w={\mathrm{ipd}}_i^u+e_{i}a,a>0;$

$e_i=\left(\begin{array}{cc}+1,& w_i=1\\ -1,& w_i=0\end{array}\right);$

根据调整后的相邻数据包间时延进行传输，完成水印的嵌入，并将 存储在数据库中。

作为优选，水印检测包括：水印提取、水印相关性判决、攻击源与攻击跳板的判决；

水印提取包括：

根据预设单位时间间隔采集攻击链路的网络流量信息熵大小；

根据当前采集的网络流量信息熵大小确定提取水印的时间段；

根据提取水印的时刻点提取网络流量中的水印信息；

水印相关性判决：通过提取的水印与数据库预先存储的水印进行匹配，判断是否为嵌入 的水印。

作为优选，水印相关性通过以下公式确定：

皮尔逊相关系数${\rho }_{X,Y}=\frac{{\mathrm{n\Sigma }}_{i=1}^n{x}_i{y}_i-{\Sigma }_{i=1}^n{x}_i{y}_i}{\sqrt{{\mathrm{n\Sigma }}_{i=1}^n{x}_i^2-{\left({\Sigma }_{i=1}^n{x}_i\right)}^2}\sqrt{{\mathrm{n\Sigma }}_{i=1}^n{y}_i^2-{\left({\Sigma }_{i=1}^n{y}_i\right)}^2}};$

其中，ρ_X，Y为皮尔逊相关系数，$X=\{{\mathrm{ipd}}_1^w,{\mathrm{ipd}}_2^w,...,{\mathrm{ipd}}_n^w\},Y=\{{\mathrm{ipd}}_{d1}^w,{\mathrm{ipd}}_{d2}^w,...,{\mathrm{ipd}}_{dn}^w\},$X和Y分别为嵌入的水印序列和提取的水印序列，表示在嵌入水印时间段含有水印信息 的相邻数据包间时延，表示提取水印时间段内含有水印信息的相邻数据包间时延。

作为优选，攻击源与攻击跳板的判决，根据追踪主机的输入流与输出流中含有的水印信 息，判断追踪主机为攻击源或攻击跳板。

一种基于网络流水印的网络主动追踪系统，包括：水印嵌入器、水印检测器；

水印嵌入器包括：

水印嵌入时间段选取模块，用于实现水印信息嵌入时间段的确定，包括对来自网络中的 各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析；

水印设置模块，用于生成水印信息，并将水印信息嵌入到的需要追踪的网络流量中，以 及对相邻数据包间时延ipd的调整；

水印检测器用于追踪流量的来源地址，包括：

水印提取模块，用于采集追踪链路上的流量，提取流量中存在的水印；

水印相关性判决模块，用于将水印提取模块中提取的水印信息与预存在数据库中的嵌入 网络流量中的水印信息进行水印相关性比对，判断提取的水印是否为嵌入的水印；

攻击源及攻击跳板判决模块，根据网络节点输出流和输入流中是否存在嵌入的水印，判 断网络节点在攻击链路中所处的位置。

本发明的有益效果如下：

1、追踪效率更高

本发明对追踪链路上的流量首先进行信息熵分析，确定嵌入水印和提取水印的时间点， 有针对性的嵌入和提取水印，代替现有系统中随机盲目的嵌入和提取水印，因此，具有更高 的追踪效率。

2、追踪准确率更高

本发明对追踪链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析，在信息 熵大的时间段，即在携带信息量多的时间段嵌入或提取水印，增强了水印(追踪标志)的隐 蔽性和健壮性。因此，本发明的追踪方法不同于现有技术的追踪方法，即使网络上出现抖动 等干扰，仍然能检测到对应的水印，从而具有更高的追踪准确率。

3、判定是攻击源还是攻击跳板更迅速

本发明同时对所述追踪的网络节点的输入流和输出流进行检测，根据输入流和输出流是 否存在水印判定所述追踪的网络节点在攻击链路上所处位置。对跳板主机来说，在它的输入 流量和输出流量中同时能检测到水印，而对于攻击源来说，仅在输出流量中检测到水印。

附图说明

图1是本发明网络追踪系统整体构成及功能逻辑的示意图；

图2是本发明实施例中网络追踪系统在真实网络中的应用部署示意图；

图3是本发明实施例中网络追踪系统实施水印嵌入的流程图；

图4是本发明实施例中网络追踪系统实施水印检测的流程图。

具体实施方式

以下结合附图及实施例对本发明进行进一步的详细说明。

本发明提供一种基于网络流水印的网络主动追踪方法，在攻击链路的网络节点中，在只 有输出流的网络节点的输出链路上确定嵌入水印的时间段，完成水印设置和水印嵌入；在攻 击链路的网络节点中，选择任意一个或多个所述网络节点作为需要追踪的起点，在选定的追 踪起点输出流链路和输入流链路上分别提取水印，确认攻击来源；所述的攻击链路为攻击源 节点与被攻击目标之间的通信链路。

水印嵌入时间段通过以信息熵的方式主动分析网络流量进行确定，用于选取合适的时间 段嵌入水印，有针对性的生成和嵌入水印。具体为：

1)根据预设单位时间间隔采集选定的追踪起点输出流链路和输入流链路上的流量信息熵 大小，流量信息熵大小为预设单位时间间隔内数据包比特熵大小；步骤1)中，预设单位时 间间隔内流量信息熵的采集方法具体为：

数据包比特熵大小的变化概率P_i，j＝P_byte(i，j)/P_{byte_sum}(i)；

其中，P_byte(i，j)表示每个数据包的大小，P_{byte_sum}(i)表示每个时间间隔总的数据包个数；

每个单位时间间隔的数据包比特熵一旦所求信息熵符合设置的 熵阈值，确定所述当前的单位时间间隔是最佳嵌入水印的时间段。

2)根据当前采集的流量信息熵大小和网络流量信息熵阈值，确定水印嵌入时间段。步骤 2)确定水印嵌入时间段的方法为：如果当前采集的数据包比特熵大于网络流量信息熵阈值， 则确定该单位时间间隔内为所述水印生成的时间段。

水印设置包括水印生成、水印嵌入，具体如下：

水印生成：根据确定的水印嵌入时间段生成水印，选取确定的水印嵌入时间段内的相邻 数据包间时延ipd(inter-packetdelay)作为水印载体，调整多个相邻数据包间时延ipd的大小， 略微调整即可达到最优效果，来嵌入水印信息位w_i，实现流内携带水印w的目的，生成水印。

水印嵌入：根据生成的水印，按照调整后的相邻数据包间时延ipd发送数据包，形成含 有水印的流量。

本发明中，水印设置具体通过以下方式确定：

计算嵌入水印时间段内数据流中，连续的相邻数据包P_i和P_j间时延

其中，t_i与t_j分别为P_i和P_j到达网络中某节点的时刻；

通过如下公式增加或减少每个ipd_i来表示水印w_i：

${\mathrm{ipd}}_i^w={\mathrm{ipd}}_i^u+e_{i}a,a>0,$其中a要足够小；

$e_i=\left(\begin{array}{cc}+1,& w_i=1\\ -1,& w_i=0\end{array}\right);$

根据微调后确定相邻数据包间时延根据微调后的时间进行传输，完 成水印的嵌入，并将存储在数据库中。

水印检测包括水印提取、水印相关性判决、攻击源与攻击跳板的判决，具体如下：

水印提取包括：

根据预设单位时间间隔采集攻击链路的网络流量信息熵大小；

根据当前采集的网络流量信息熵大小确定提取水印的时间段；

根据提取水印的时刻点提取网络流量中的水印信息。

以信息熵的方式分析所述攻击链路上的流量，为在大量流量中确定可以提取水印的大致 时间段范围，恢复网络流量中可能存在的水印。水印提取主要根据如下公式进行提取：

${\mathrm{ipd}}_{di}^w=t_i^r-t_j^r;$

其中，与分别为P_di和P_dj到达攻击节点的时刻，P_di和P_dj分别为提取水印时间段内数 据流内连续的数据包。

水印相关性判决：通过提取的水印与数据库预先存储的水印进行匹配，判断是否为嵌入 的水印。其中，所述水印相关性用于指示提取的水印与嵌入的水印的相似程度。

水印相关性通过以下公式确定：

皮尔逊相关系数${\rho }_{X,Y}=\frac{{\mathrm{n\Sigma }}_{i=1}^n{x}_i{y}_i-{\Sigma }_{i=1}^n{x}_i{y}_i}{\sqrt{{\mathrm{n\Sigma }}_{i=1}^n{x}_i^2-{\left({\Sigma }_{i=1}^n{x}_i\right)}^2}\sqrt{{\mathrm{n\Sigma }}_{i=1}^n{y}_i^2-{\left({\Sigma }_{i=1}^n{y}_i\right)}^2}};$

其中，ρ_X，Y为皮尔逊相关系数，$X=\{{\mathrm{ipd}}_1^w,{\mathrm{ipd}}_2^w,...,{\mathrm{ipd}}_n^w\},Y=\{{\mathrm{ipd}}_{d1}^w,{\mathrm{ipd}}_{d2}^w,...,{\mathrm{ipd}}_{dn}^w\},$X和Y分别为嵌入的水印序列和提取的水印序列，表示在嵌入水印时间段含有水印信息 的相邻数据包间时延，表示提取水印时间段内含有水印信息的相邻数据包间时延。

攻击源与攻击跳板的判决，根据追踪主机的输入流与输出流中含有的水印信息，判断追 踪主机为攻击源或攻击跳板。根据检测结果，所述追踪链路上的网络节点的输出流和输入流 中都检测到所述嵌入的水印信息，说明所述网络节点为攻击跳板；若所述网络节点只有输出 流中存在所述嵌入的水印，表明所述网络节点为攻击源。

为了实现上述的基于网络流水印的网络主动追踪方法，本发明还提供一种基于网络流水 印的网络主动追踪系统，包括：水印嵌入器、水印检测器；

水印嵌入器包括：

水印嵌入时间段选取模块，用于实现水印信息嵌入时间段的确定，包括对来自网络中的 各种流量的采集与统计、以信息熵的方式主动分析网络流量进行主动分析。本发明中，水印 嵌入时间段选取模块获取网络流量信息，并以统计单位时间间隔内信息熵大小的方式对网络 流量各种行为进行记录与分析；分析某个单位时间间隔内的信息熵是否大于所述熵阈值，进 而确定水印嵌入的时间段。

水印设置模块，用于生成水印信息，并将水印信息嵌入到的需要追踪的网络流量中，以 及对相邻数据包间时延ipd的细微调整。本发明中，水印设置模块为所述的的网络主动追踪 系统提供水印特征关联追踪提供条件，同时为追踪特征信息记录入库提供数据来源。包括： 水印生成模块和水印嵌入器，水印嵌入器用于将调整后的数据包时延ipd恢复到流量中进行 传输。

水印检测器用于追踪流量的来源地址，包括：

水印提取模块，用于采集追踪链路上的流量，提取流量中存在的水印；

水印相关性判决模块，用于将水印提取模块中提取的水印信息与预存在数据库中的嵌入 网络流量中的水印信息进行水印相关性比对，判断提取的水印是否为嵌入的水印；

攻击源及攻击跳板判决模块，根据网络节点输出流和输入流中是否存在嵌入的水印，判 断网络节点在攻击链路中所处的位置。

进一步地，本发明所述的网络主动追踪系统还包括数据库，用于数据库存储和备份所述 嵌入的水印数据，保证收集的数据完整和安全。

如图1所示，本发明所述的网络主动追踪系统在物理上由水印嵌入器和水印检测器两部 分组成。水印嵌入器包括水印嵌入时间段选取模块、水印设置模块，主要用于生成水印，并 将水印嵌入到网络流中。水印检测器主要包括水印提取模块、水印相关性判决模块、攻击源 及攻击跳板判决模块，用于提取网络流量中的水印，并判决是否存在攻击。

如图2所示，本发明所述的网络主动追踪系统应用部署在真实网络中，实施水印嵌入的 具体步骤如图3所示。

步骤1，如图2所示，对水印嵌入器进行部署，预先设置采样的单位时间和信息熵判断 阈值；

步骤2，连续地采集经过水印嵌入器的单位时间间隔内的流量，并对单位时间内的信息 熵进行计算，具体实现步骤为：

步骤2.1，计算每个单位时间内每个数据包大小的变化概率P_i，j＝P_byte(i，j)/P_{byte_sum}(i)， P_byte(i，j)表示每个数据包的大小，P_{byte_sum}(i)表示每个单位时间间隔内总的数据包个数；

步骤2.2，计算每个单位时间的数据包比特熵大小

步骤3，判断每个单位时间上的数据包比特熵是否大于所述设置的熵阈值大小，若大于， 确定这个单位时间段可作为嵌入水印的时间段，进入步骤4，否则计算下一个单位时间内的 熵值，进入步骤2；

步骤4，水印设置，具体步骤如下：

步骤4.1，选取所述确定的水印嵌入时间段内的多个连续的数据包，计算相邻数据包间时 间延迟t_i与t_j分别为P_i和P_j到达网络中某节点的时刻，P_i和P_j分别是相邻的两 个数据包；

步骤4.2，通过以下两个公式增加或减少每个用来表示水印，公式分别为 ${\mathrm{ipd}}_i^w={\mathrm{ipd}}_i^u+e_{i}a,a>0,e_i=\left(\begin{array}{cc}+1,& w_i=1\\ -1,& w_i=0\end{array}\right),$其中a要足够小；

步骤4.3，嵌入水印，根据所述进行微调后确定相邻数据包时延为根 据微调后的时间进行传输，完成了水印的嵌入，并将存入数据库。

如图4所示，本发明所述的网络主动追踪系统实施水印检测的流程的具体步骤如下：

步骤1，如图2对水印检测器进行部署，预先设置信息熵检测的判断阈值；

步骤2，连续地采集经过水印检测器的单位时间间隔内的流量，并对单位时间内的流量 信息熵进行计算；

步骤3，判断每个单位时间上的数据包比特熵是否大于所述设置的熵阈值大小，若大于， 确定这个单位时间段可作为提取水印的时间段，进入步骤4，否则计算下一个单位时间内的 熵值，进入步骤2；

步骤4，水印提取，选取所述确定的水印提取时间段内的连续的数据包，计算相邻数据 包间的时间延迟与分别为P_di和P_dj到达攻击节点的时刻,P_di和P_dj分别为 水印提取时间段内的数据包；

步骤5，水印判决，提取的水印与数据库中存储的水印信息相关性判断，如果相关性强 说明提取的水印存在于数据库中，进入步骤6，否则，返回步骤4；

步骤6，依据数据库中存储的水印，判断是否存在除了正常用户链路上的水印还含有其 他水印信息，如果存在，说明存在攻击，进入步骤7，否则，判断无攻击；

步骤7，判断所述追踪主机的输入和输出流是否同时含有水印，如果是，判断该主机为 攻击的跳板，如果只有输入流中存在水印，说明该主机为攻击源。

上述实施例仅是用来说明本发明，而并非用作对本发明的限定。只要是依据本发明的技 术实质，对上述实施例进行变化、变型等都将落在本发明的权利要求的范围内。