CN116915519B - 数据流溯源的方法、装置、设备以及存储介质 - Google Patents
数据流溯源的方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN116915519B CN116915519B CN202311185964.3A CN202311185964A CN116915519B CN 116915519 B CN116915519 B CN 116915519B CN 202311185964 A CN202311185964 A CN 202311185964A CN 116915519 B CN116915519 B CN 116915519B
- Authority
- CN
- China
- Prior art keywords
- tracing
- path
- source
- address
- digital watermark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 claims abstract description 71
- 238000012544 monitoring process Methods 0.000 claims abstract description 23
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 10
- 238000010801 machine learning Methods 0.000 claims description 5
- 239000007943 implant Substances 0.000 claims description 3
- 238000004590 computer program Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例提供了一种数据流溯源的方法、装置、设备以及存储介质,应用于网络安全技术领域。该方法包括对数据源发出的流量数据包进行数字水印嵌入;基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点并记录对应的时间戳、源IP地址和目的IP地址;根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径。综上可以根据同一数字水印出现在各网络节点的时间戳,结合对应的源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,正确地追踪流量通信路径。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及网络安全技术领域,具体涉及一种数据流溯源的方法、装置、设备以及存储介质。
背景技术
在对网络流量追踪实现网络攻击溯源时,常会遇到某些流量经过多跳进行转发,转发时源IP地址、目的IP地址都会不断变化,这使得当前针对数据流量中目的IP地址进行追踪溯源的难度较大。此外,在构建隐蔽通信链路隧道时,有时候会借助中间的网络通信设备,实现通信IP地址的篡改,但是通过通信终端直接进行目的IP地址溯源,无法正确地追踪流量通信路径。
发明内容
本公开提供了一种数据流溯源的方法、装置、设备以及存储介质。
根据本公开的第一方面,提供了一种数据流溯源的方法。该方法包括:
对数据源发出的流量数据包进行数字水印嵌入;
基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;
当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;
根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径包括:
根据同一数字水印在溯源追踪路径节点出现时的时间戳,构建溯源初始路径;
根据同一数字水印在溯源追踪路径节点出现时的源IP地址和目的IP地址,对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据同一数字水印在溯源追踪路径节点出现时的源IP地址和目的IP地址,对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径包括:
将溯源初始路径中相邻网络节点之间的路径标记为虚线通信路径;
对预设网络节点集合中任意两个网络节点的源IP地址、目的IP地址进行匹配检查,当这两个网络节点的目的IP地址和源IP地址相同时,若这两个网络节点之间存在虚线通信路径,则将这两个网络节点之间的虚线通信路径转为实线通信路径,若这两个网络节点之间不存在虚线通信路径,则在这两个网络节点之间建立实线通信路径,直至预设网络节点集合中任意两个网络节点都进行检查并处理完成,生成各网络节点到数据源的溯源路径,所述预设网络节点集合包括溯源初始路径中时间戳差值小于预设时间差阈值的相邻网络节点。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对数据源发出的流量数据包进行数字水印嵌入包括:
在数据源发出的流量数据包中无用的填充字段***数字水印。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对数据源发出的流量数据包进行数字水印嵌入包括:
将数据源发出的流量数据包的间隔时间序列作为数字水印载体,以使植入数字水印。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
当未发现包括数字水印的流量数据包时,根据各网络节点中任意两个网络节点之间的流量数据包大小和时间间隔、网络节点上流量实时出入比值、以及网络节点上流量会话包序列数量和收发关系,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述数字水印为多个且串行使用的水印标签,所述对数据源发出的流量数据包进行数字水印嵌入包括:
对数据源发出的流量数据包进行多个水印标签的串行嵌入;
所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
根据串行嵌入的多个水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述数字水印为多个且并行使用的水印标签,所述数据源包括多个待追踪数据流的数据源;
所述数据源发出的流量数据包进行数字水印嵌入包括:
对多个待追踪数据流中每个数据源发出的流量数据包进行一个水印标签的嵌入;
所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
针对多个待追踪数据流中每个数据源,根据同一水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成多个并行的待追踪数据流中每个各网络节点到数据源的溯源路径,以实现数据流溯源。
根据本公开的第二方面,提供了一种数据流溯源的装置。该装置包括:
嵌入模块,用于数据源发出的流量数据包进行数字水印嵌入;
监测模块,用于基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;
记录模块,还用于当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;
生成模块,用于根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据源溯源。
根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
本申请实施例提供的一种数据流溯源的方法、装置、设备以及存储介质,能够通过对数据源发出的流量数据包进行数字水印嵌入;再基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;再根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源;基于此,能够基于监测途径各网络节点的流量数据包中嵌入的数字水印,根据同一数字水印出现在各网络节点的时间戳,结合对应的源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,完成正确地追踪流量通信路径。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的实施例的数据流溯源的方法的流程图;
图2示出了根据本公开的实施例的溯源初始路径和其中预设网络节点集合的示意图;
图3示出了根据本公开的实施例的对溯源初始路径中各网络节点进行检查的示意图;
图4示出了根据本公开的实施例的数据流溯源的装置的方框图;
图5示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开中,能够基于监测途径各网络节点的流量数据包中嵌入的数字水印,根据同一数字水印出现在各网络节点的时间戳,结合对应的源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,完成正确地追踪流量通信路径。
图1示出了根据本公开实施例的数据流溯源的方法100的流程图。
在框110,对数据源发出的流量数据包进行数字水印嵌入。
在一些实施例中,数据源可以是用户根据实际需求设置的待追踪数据流的数据源。
在一些实施例中,可以首先对待追踪数据流的数据源进行处理,将其发送出来的流量数据包都嵌入数字水印。
在一些实施例中,在对数据源发出的流量数据包进行数字水印嵌入的同时,可以将数字水印的水印标签记录下来。
需要说明的是,在记录水印标签时,需要确保嵌入数字水印的水印标签的唯一性和确定性,以便后续的溯源追踪。
在框120,基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印。
在一些实施例中,各网络节点可以是网络传输路径上以及其他可疑的网络接口对应的各网络节点。可以在网络传输路径上以及其他可疑的网络接口处部署水印检测程序。
在一些实施例中,水印检测程序可以是基于机器学习的水印检测程序,也可以是基于规则的水印检测程序,目的是通过监测网络传输过程中的流量数据包,以检测其中是否包含数字水印。
在一些实施例中,基于机器学习的水印检测程序主要用于非固定特征场景下的特征提取,比如网络节点通信行为特征的提取。具体地,通过对一个网络节点进出流量数据包大小、间隔时间、前后包序列进出关系等进行分析,通过大量样本训练,发现两个节点通信行为相似性的判断的依据,实现基于网络节点通信行为特征的比较。
在一些实施例中,基于规则的水印检测程序主要用于明确特征的识别,比如流量数据包中的首部特征字符串的匹配、流量数据包应用层内容长度的匹配、传输层端口号匹配等。
在框130,当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址。
在一些实施例中,在网络传输过程中,当基于水印检测程序监测到一个网络节点发现了包括数据水印的流量数据包时,可以将该网络节点标记为溯源追踪路径节点,即监测节点。
在一些实施例中,为了确保溯源追踪路径节点的正确性和可靠性,还可以记录下该溯源追踪路径节点的时间戳、源IP地址、目的IP地址,以便后续进行溯源追踪。
在框140,根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
在一些实施例中,可以基于同一数字水印在溯源追踪路径节点出现时的时间戳,通过对同一个数字水印在各个监测节点出现的时间顺序进行分析,还原从数据源到各监测节点的逻辑传输路径。
例如,可以根据同一个数字水印在各个监测节点的时间戳、源IP地址、目的IP地址,对传输路径进行时间线的还原拼接,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
综上可见,针对网络流量追踪溯源时,常会遇到某些流量经过多跳进行转发,转发时源IP地址、目的IP地址都会不断变化,使得当前针对数据流量中目的IP地址追踪难度较大的问题,本公开可以通过对被溯源追踪的数据源进行处理,将该数据源发送出来的流量数据包都嵌入数字水印,并将数字水印记录下来,在网络传输路径上及其他可疑的网络接口,均部署水印检测程序,将发现数字水印的网络节点标记为溯源追踪路径节点,可以避免转发时源IP地址、目的IP地址都会不断变化,使得当前针对数据流量中目的IP地址追踪难度较大的问题。
另一方面,针对在构建隐蔽通信链路隧道时,有时候会借助中间的网络通信设备,实现通信IP地址的篡改,通过通信终端直接的IP地址溯源,无法正确地追踪流量通信路径的问题,本公开可以通过依据同一个数字水印在各个监测节点出现的时间顺序,可以还原从数据源到监测节点的逻辑传输路径,可以避免无法正确地追踪流量通信路径的问题。
根据本公开的实施例,实现了以下技术效果:
能够通过对数据源发出的流量数据包进行数字水印嵌入;再基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;再根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源;基于此,能够基于监测途径各网络节点的流量数据包中嵌入的数字水印,根据同一数字水印出现在各网络节点的时间戳,结合对应的源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,完成正确地追踪流量通信路径,即通过在监测节点上监测流量数据,追踪水印信息出现的位置,实现攻击溯源的目的。
在一些实施例中,上述对数据源发出的流量数据包进行数字水印嵌入包括:
在数据源发出的流量数据包中无用的填充字段***数字水印。
在一些实施例中,在流量数据包中嵌入数字水印的方式可以是在流量数据包中无用的填充字段直接***数字水印。
根据本公开的实施例,通过在流量数据包中无用的填充字段直接***数字水印,可以更为便捷的完成对数据源发出的流量数据包进行数字水印嵌入操作,提高追踪流量通信路径的效率。
在一些实施例中,上述对数据源发出的流量数据包进行数字水印嵌入包括:
将数据源发出的流量数据包的间隔时间序列作为数字水印载体,以使植入数字水印。
在一些实施例中,在流量数据包中嵌入数字水印的方式还可以是将流量数据包的间隔时间序列作为数字水印载体,实现数字水印的植入。
根据本公开的实施例,通过将流量数据包的间隔时间序列作为数字水印载体,实现数字水印的植入,可以更为精准的完成对数据源发出的流量数据包进行数字水印嵌入操作,避免数字水印缺失或损坏,提高追踪流量通信路径的效率。
在一些实施例中,上述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径包括:
根据同一数字水印在溯源追踪路径节点出现时的时间戳,构建溯源初始路径;
根据同一数字水印在溯源追踪路径节点出现时的源IP地址和目的IP地址,对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径。
在一些实施例中,在进行溯源路径还原拼接时,可以根据同一数字水印出现的位置的时间戳顺序构建溯源初始路径L0。
如图2所示,根据同一数字水印在溯源追踪路径节点出现时的时间戳构建的溯源初始路径L0包括溯源追踪路径节点T1至T10,可以根据同一数字水印在溯源追踪路径节点出现时的源IP地址和目的IP地址,对溯源初始路径中溯源追踪路径节点T1至T10进行检查,生成各网络节点到数据源的溯源路径。
根据本公开的实施例,通过对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径,可以进一步提高追踪流量通信路径的正确性。
在一些实施例中,上述根据同一数字水印在溯源追踪路径节点出现时的源IP地址和目的IP地址,对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径包括:
将溯源初始路径中相邻网络节点之间的路径标记为虚线通信路径;
对预设网络节点集合中任意两个网络节点的源IP地址、目的IP地址进行匹配检查,当这两个网络节点的目的IP地址和源IP地址相同时,若这两个网络节点之间存在虚线通信路径,则将这两个网络节点之间的虚线通信路径转为实线通信路径,若这两个网络节点之间不存在虚线通信路径,则在这两个网络节点之间建立实线通信路径,直至预设网络节点集合中任意两个网络节点都进行检查并处理完成,生成各网络节点到数据源的溯源路径,所述预设网络节点集合包括溯源初始路径中时间戳差值小于预设时间差阈值的相邻网络节点。
在一些实施例中,可以将溯源初始路径L0中相邻网络节点之间的路径均标记为虚线通信路径,然后,检查在溯源初始路径L0上,时间戳差值小于预设时间差阈值dT的相邻网络节点组成的集合Si,即预设网络节点集合。其中,预设时间差阈值dT可以根据用户的实际需求设置。
如图2所示,预设网络节点集合为S1和S2,S1包括溯源追踪路径节点T2、T3和T4,S2包括溯源追踪路径节点T7、T8和T9。
在一些实施例中,以S1为例,可以对S1中任意两个网络节点的源IP地址、目的IP地址进行匹配检查。
如图3所示,设置T2为A节点、T3为B节点、T4为C节点、T5为D节点,检测规则如下所示:
第一步:如果存在两个节点,即A节点的目的IP地址(IP-a3)与B节点的源IP地址(IP-a3)相等,将A、B两个节点标记出来。
第二步:如果A、B两个节点之间原本就存在虚线通信路径,则将A至B节点之间的通信路径由虚线通信路径转为实线通信路径。
第三步:如果A、B两个节点之间原本不存在虚线通信路径,则将B节点***到A节点之后,A、B两个节点之间建立实线通信路径,B节点与A节点原来的后继节点C之间,建立虚线通信路径。B节点的原后继节点D放在C节点之后。
第四步:重复第一步的检查,直到该集合中任意两个节点都检查并处理完成。
在一些实施例中,当溯源初始路径上所有网络节点完成检查后,构建出一条溯源路径,即各网络节点到数据源的溯源路径。该溯源路径上的“实线通信路径”表明流量数据包沿着明确的一条网络层路径传输;“虚线通信路径”表明流量数据包沿着一条逻辑的网络路径传输,该溯源路径上还存在未被发现的转发节点。“虚线通信路径”也有可能是因为源IP地址虚构的情况产生,因此对该情况也用虚线路径表示。
需说明的是,当前的基于IP地址溯源方法,是针对流量目的IP地址逐条变化,实现传输路径的溯源。但是当流量经过路由器、防火墙等不具备修改IP地址的网络设备时,就会默认地认为流量中IP地址不会改变。一旦在这些节点上流量源IP地址发生改变,则导致传统的流量溯源失败。区别于当前的基于IP地址溯源方法,本公开充分考虑了这种风险,以多种特征进行关联分析,如源IP地址和目的IP地址对、水印特征信息、通信行为特征信息等,实现流量追踪的目的,并以源IP地址和目的IP地址的匹配关系,来确定溯源的路径是真实物理路径还是逻辑路径,并分别用实线和虚线标记,实现溯源路径的还原。
根据本公开的实施例,通过上述过程,给出一种对溯源初始路径中各网络节点进行检查,生成各网络节点到数据源的溯源路径的具体方式,能够进一步提高追踪流量通信路径的正确性。
在一些实施例中,上述方法还包括:
当未发现包括数字水印的流量数据包时,根据各网络节点中任意两个网络节点之间的流量数据包大小和时间间隔、网络节点上流量实时出入比值、以及网络节点上流量会话包序列数量和收发关系,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
在一些实施例中,当数据水印发生缺失或者损坏时,就很有可能会导致在网络传输过程中,水印检测程序无法发现包括数字水印的流量数据包,因此,可以通过对两个网络节点之间的通信行为特征的分析,判断这两个网络节点之间的通信流量是否为同一个流量,以此生成各网络节点到数据源的溯源路径,以实现数据流溯源。其中,通信行为特征主要包括流量数据包大小、流量数据包时间间隔、网络节点上流量实时出入比值,以及网络节点上流量会话包序列数量和收发关系。
根据本公开的实施例,针对数据水印发生缺失或者损坏的情况,通过上述对两个网络节点之间的通信行为特征的分析,生成各网络节点到数据源的溯源路径,以实现数据流溯源,可以进一步提高追踪流量通信路径的正确性。
在一些实施例中,为了提高还原拼接路径的精度和可靠性,可以采用多个水印标签进行检测和溯源,也可以在特定的网络节点上进行更精细的时间戳记录。其中,更精细的时间戳记录可以依赖于标准的网络传输协议实现。
在一些实施例中,上述数字水印为多个且串行使用的水印标签,上述对数据源发出的流量数据包进行数字水印嵌入包括:
对数据源发出的流量数据包进行多个水印标签的串行嵌入;
上述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
根据串行嵌入的多个水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
在一些实施例中,当数字水印为多个且串行使用的水印标签时,针对待追踪数据流,可以将其分成若干个不同划分的数据流分类,每个分类中的流量数据包嵌入一种水印标签,对于整个待追踪数据流,相当于是多个水印标签串行嵌入。
根据本公开的实施例,通过上述方式可以提高数字水印检测的概率,抵抗数字水印在待追踪数据流传输过程中遭受意外破坏或损坏的风险,即在流量追踪中,只要有部分流量数据包中的数字水印被检出,即可作为流量追踪的判断依据。
在一些实施例中,上述数字水印为多个且并行使用的水印标签,上述数据源包括多个待追踪数据流的数据源;
上述数据源发出的流量数据包进行数字水印嵌入包括:
对多个待追踪数据流中每个数据源发出的流量数据包进行一个水印标签的嵌入;
上述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
针对多个待追踪数据流中每个数据源,根据同一水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成多个并行的待追踪数据流中每个各网络节点到数据源的溯源路径,以实现数据流溯源。
在一些实施例中,当数字水印为多个且并行使用的水印标签时,这种场景主要针对数据源包括多个待追踪数据流的数据源,需并行进行多个待追踪数据流的追踪。此时,每个待追踪数据流用一种水印标签追踪,防止不同待追踪数据流追踪过程中相互干扰的情况。
根据本公开的实施例,通过上述方式可以提高数字水印检测的效率,可以实现针对多个待追踪数据流的追踪。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图4示出了根据本公开的实施例的数据流溯源的装置400的方框图。如图4所示,装置400包括:
嵌入模块410,用于数据源发出的流量数据包进行数字水印嵌入;
监测模块420,用于基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;
记录模块430,还用于当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;
生成模块440,用于根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据源溯源。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图5示出了能够实施本公开的实施例的示例性电子设备500的方框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
电子设备500包括计算单元501,其可以根据存储在ROM502中的计算机程序或者从存储单元508加载到RAM503中的计算机程序,来执行各种适当的动作和处理。在RAM503中,还可存储电子设备500操作所需的各种程序和数据。计算单元501、ROM502以及RAM503通过总线504彼此相连。I/O接口505也连接至总线504。
电子设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许电子设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。
在一些实施例中,计算机程序的部分或者全部可以经由ROM502和/或通信单元509而被载入和/或安装到电子设备500上。当计算机程序加载到RAM503并由计算单元501执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置;以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (8)
1.一种数据流溯源的方法,其特征在于,包括:
对数据源发出的流量数据包进行数字水印嵌入;
基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;所述水印检测程序为基于机器学习的水印检测程序,或者为基于规则的水印检测程序;
当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;
根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源;
其中,所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径包括:根据同一数字水印在溯源追踪路径节点出现时的时间戳,构建溯源初始路径;将溯源初始路径中相邻网络节点之间的路径标记为虚线通信路径;对预设网络节点集合中任意两个网络节点的源IP地址、目的IP地址进行匹配检查,当这两个网络节点的目的IP地址和源IP地址相同时,若这两个网络节点之间存在虚线通信路径,则将这两个网络节点之间的虚线通信路径转为实线通信路径,若这两个网络节点之间不存在虚线通信路径,则在这两个网络节点之间建立实线通信路径,直至预设网络节点集合中任意两个网络节点都进行检查并处理完成,生成各网络节点到数据源的溯源路径,所述预设网络节点集合包括溯源初始路径中时间戳差值小于预设时间差阈值的相邻网络节点。
2.根据权利要求1所述的方法,其特征在于,所述对数据源发出的流量数据包进行数字水印嵌入包括:
在数据源发出的流量数据包中无用的填充字段***数字水印。
3.根据权利要求1所述的方法,其特征在于,所述对数据源发出的流量数据包进行数字水印嵌入包括:
将数据源发出的流量数据包的间隔时间序列作为数字水印载体,以使植入数字水印。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当未发现包括数字水印的流量数据包时,根据各网络节点中任意两个网络节点之间的流量数据包大小和时间间隔、网络节点上流量实时出入比值、以及网络节点上流量会话包序列数量和收发关系,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
5.根据权利要求1所述的方法,其特征在于,所述数字水印为多个且串行使用的水印标签,所述对数据源发出的流量数据包进行数字水印嵌入包括:
对数据源发出的流量数据包进行多个水印标签的串行嵌入;
所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
根据串行嵌入的多个水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源。
6.根据权利要求1所述的方法,其特征在于,所述数字水印为多个且并行使用的水印标签,所述数据源包括多个待追踪数据流的数据源;
所述数据源发出的流量数据包进行数字水印嵌入包括:
对多个待追踪数据流中每个数据源发出的流量数据包进行一个水印标签的嵌入;
所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据流溯源包括:
针对多个待追踪数据流中每个数据源,根据同一水印标签在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成多个并行的待追踪数据流中每个各网络节点到数据源的溯源路径,以实现数据流溯源。
7.一种网络攻击溯源的装置,其特征在于,包括:
嵌入模块,用于数据源发出的流量数据包进行数字水印嵌入;
监测模块,用于基于水印检测程序监测网络传输过程中途径各网络节点的流量数据包是否包括数字水印;所述水印检测程序为基于机器学习的水印检测程序,或者为基于规则的水印检测程序;
记录模块,还用于当发现包括数字水印的流量数据包时,将对应的网络节点标记为溯源追踪路径节点,并记录对应的时间戳、源IP地址和目的IP地址;
生成模块,用于根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径,以实现数据源溯源;
其中,所述根据同一数字水印在溯源追踪路径节点出现时的时间戳、源IP地址和目的IP地址,生成各网络节点到数据源的溯源路径包括:根据同一数字水印在溯源追踪路径节点出现时的时间戳,构建溯源初始路径;将溯源初始路径中相邻网络节点之间的路径标记为虚线通信路径;对预设网络节点集合中任意两个网络节点的源IP地址、目的IP地址进行匹配检查,当这两个网络节点的目的IP地址和源IP地址相同时,若这两个网络节点之间存在虚线通信路径,则将这两个网络节点之间的虚线通信路径转为实线通信路径,若这两个网络节点之间不存在虚线通信路径,则在这两个网络节点之间建立实线通信路径,直至预设网络节点集合中任意两个网络节点都进行检查并处理完成,生成各网络节点到数据源的溯源路径,所述预设网络节点集合包括溯源初始路径中时间戳差值小于预设时间差阈值的相邻网络节点。
8. 一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311185964.3A CN116915519B (zh) | 2023-09-14 | 2023-09-14 | 数据流溯源的方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311185964.3A CN116915519B (zh) | 2023-09-14 | 2023-09-14 | 数据流溯源的方法、装置、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116915519A CN116915519A (zh) | 2023-10-20 |
CN116915519B true CN116915519B (zh) | 2023-12-12 |
Family
ID=88353544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311185964.3A Active CN116915519B (zh) | 2023-09-14 | 2023-09-14 | 数据流溯源的方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116915519B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118153001B (zh) * | 2024-01-26 | 2024-07-19 | 北京睿航至臻科技有限公司 | 一种基于数据水印的文件溯源方法 |
CN117909943B (zh) * | 2024-03-19 | 2024-05-28 | 北京安华金和科技有限公司 | 一种基于多节点的水印溯源处理方法和*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7593543B1 (en) * | 2005-12-15 | 2009-09-22 | Nvidia Corporation | Apparatus, system, and method for tracing distribution of video content with video watermarks |
CN103975363A (zh) * | 2011-08-03 | 2014-08-06 | Csp-信息及通信技术创新有限责任联盟 | 用于传输和接收多媒体内容的方法和设备 |
CN109309644A (zh) * | 2017-07-26 | 2019-02-05 | 中国科学院信息工程研究所 | 一种基于双正交载体的网络水印标记方法及*** |
CN109657426A (zh) * | 2019-01-30 | 2019-04-19 | 贵州大学 | 一种基于数字签名和数字水印的数据溯源方法 |
CN111711597A (zh) * | 2020-04-16 | 2020-09-25 | 武汉大学 | 一种基于时隙流水印的Tor暗网用户溯源方法及*** |
US11720686B1 (en) * | 2020-04-08 | 2023-08-08 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012095181A1 (en) * | 2011-01-14 | 2012-07-19 | Irdeto Corporate B.V. | Multiparty watermarking method and system |
-
2023
- 2023-09-14 CN CN202311185964.3A patent/CN116915519B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7593543B1 (en) * | 2005-12-15 | 2009-09-22 | Nvidia Corporation | Apparatus, system, and method for tracing distribution of video content with video watermarks |
CN103975363A (zh) * | 2011-08-03 | 2014-08-06 | Csp-信息及通信技术创新有限责任联盟 | 用于传输和接收多媒体内容的方法和设备 |
CN109309644A (zh) * | 2017-07-26 | 2019-02-05 | 中国科学院信息工程研究所 | 一种基于双正交载体的网络水印标记方法及*** |
CN109657426A (zh) * | 2019-01-30 | 2019-04-19 | 贵州大学 | 一种基于数字签名和数字水印的数据溯源方法 |
US11720686B1 (en) * | 2020-04-08 | 2023-08-08 | Wells Fargo Bank, N.A. | Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal |
CN111711597A (zh) * | 2020-04-16 | 2020-09-25 | 武汉大学 | 一种基于时隙流水印的Tor暗网用户溯源方法及*** |
Non-Patent Citations (1)
Title |
---|
王涛.基于主动嗅探的网络流水印追踪溯源***的研究.2021,第2-3章. * |
Also Published As
Publication number | Publication date |
---|---|
CN116915519A (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116915519B (zh) | 数据流溯源的方法、装置、设备以及存储介质 | |
CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN112491643B (zh) | 深度报文检测方法、装置、设备及存储介质 | |
WO2016171691A1 (en) | Network infrastructure device to implement pre-filter rules | |
KR100772523B1 (ko) | 패턴을 이용하는 침입 탐지 장치 및 그 방법 | |
CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及*** | |
CN107612890A (zh) | 一种网络监测方法及*** | |
CN114553591B (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
SG184120A1 (en) | Method of identifying a protocol giving rise to a data flow | |
CN105072618B (zh) | 无线传感器网络中基于校验码的数据可靠性保护方法 | |
US9722955B2 (en) | Buffered session filtering for inline bypass application | |
CN114338510B (zh) | 控制和转发分离的数据转发方法和*** | |
CN105790967A (zh) | 一种网络日志处理方法和装置 | |
CN113518019A (zh) | 基于存活端口的***识别方法 | |
CN101621504A (zh) | 深度报文检测方法和*** | |
CN110784429A (zh) | 恶意流量的检测方法、装置和计算机可读存储介质 | |
CN110855566B (zh) | 上行流量的牵引方法和装置 | |
CN103873317B (zh) | 一种ccsds空间链路协议检测方法及*** | |
CN108900430B (zh) | 一种网络流量阻断的方法及装置 | |
CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
CN110808915B (zh) | 数据流所属应用识别方法、装置及数据处理设备 | |
CN104079493A (zh) | 基于下载资源名的流量识别方法和设备、管控方法和设备 | |
CN113641520B (zh) | 数据处理方法、***、设备以及存储介质 | |
KR20220091897A (ko) | 패턴 기반 SoS 내 실패 유발 상호작용 분석 방법 및 장치 | |
CN109688043B (zh) | 一种imap协议多链接关联解析方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |