安全數(shù)據(jù)的自動(dòng)化獵捕和多源告警的溯源研究

鄧志東，唐振營(yíng)，李慧芹，謝瑞楠，劉 爽

（國(guó)家電網(wǎng)有限公司客戶服務(wù)中心信息運(yùn)維中心 天津 300309）

1 引言

在網(wǎng)絡(luò)環(huán)境中，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行追蹤溯源的技術(shù)具有非常重要的現(xiàn)實(shí)意義。其依據(jù)各種先進(jìn)技術(shù)手段，精準(zhǔn)定位網(wǎng)絡(luò)攻擊者，同時(shí)能夠分析網(wǎng)絡(luò)攻擊的傳播路徑，以此來(lái)進(jìn)行有目的性的反制措施，抑制網(wǎng)絡(luò)攻擊的頻率，此外還能增強(qiáng)網(wǎng)絡(luò)攻擊的法律取證效果，在網(wǎng)絡(luò)安全領(lǐng)域有了極強(qiáng)的應(yīng)用。最近幾年來(lái)，有關(guān)于網(wǎng)絡(luò)環(huán)境安全數(shù)據(jù)的自動(dòng)化獵捕和多源告警的溯源研究有了突破性的進(jìn)展，形成了多種技術(shù)融合的方案，這些技術(shù)方案面對(duì)復(fù)雜化和多樣化的網(wǎng)絡(luò)攻擊仍具有進(jìn)一步的提升空間，需要進(jìn)一步實(shí)現(xiàn)技術(shù)的整合和完善。國(guó)家電網(wǎng)安全管理系統(tǒng)非常龐大，每天的告警日志都能達(dá)到十萬(wàn)數(shù)量級(jí)，因此對(duì)這些告警日志進(jìn)行人工處理并不現(xiàn)實(shí)，所以需要對(duì)安全數(shù)據(jù)進(jìn)行自動(dòng)化分析，實(shí)現(xiàn)自動(dòng)溯源警告。國(guó)家電網(wǎng)的客戶服務(wù)系統(tǒng)需要有一整套多源告警的溯源機(jī)制，統(tǒng)一歸集告警數(shù)據(jù)，在計(jì)算機(jī)處理下，對(duì)告警數(shù)據(jù)進(jìn)行仔細(xì)的分析和整合，發(fā)現(xiàn)信息中所蘊(yùn)含的規(guī)律，并精準(zhǔn)定位危險(xiǎn)源，實(shí)現(xiàn)多源告警的溯源[1]。這樣能將原有的十萬(wàn)數(shù)量級(jí)的告警日志進(jìn)一步簡(jiǎn)化為數(shù)十條的告警日志，能大大減輕網(wǎng)絡(luò)安全管理人員的任務(wù)。分析多源告警的溯源技術(shù)時(shí)，能詳細(xì)表達(dá)相應(yīng)的關(guān)聯(lián)結(jié)果，最終處理所得到的告警日志可由人工直接進(jìn)行處理，之后再進(jìn)行驗(yàn)證處置，解放網(wǎng)絡(luò)安全管理人員的工作時(shí)間，同時(shí)也能詳細(xì)分析所面臨的真正的網(wǎng)絡(luò)安全威脅，認(rèn)真地研判分析告警數(shù)據(jù)，實(shí)現(xiàn)整個(gè)國(guó)家電網(wǎng)客戶服務(wù)系統(tǒng)網(wǎng)絡(luò)終端系統(tǒng)的自動(dòng)化維護(hù)。如果發(fā)生網(wǎng)絡(luò)攻擊事件能夠及時(shí)進(jìn)行安全事故響應(yīng)，避免發(fā)生網(wǎng)絡(luò)攻擊事故，減少可能出現(xiàn)的損失。

2 對(duì)于網(wǎng)絡(luò)攻擊追蹤溯源的技術(shù)性概述

對(duì)網(wǎng)絡(luò)攻擊追蹤溯源的技術(shù)性方案按照深度和精確度的要求，可以劃分為4個(gè)主要的層次。在此探討第一和第二層次的追蹤溯源，找到攻擊者所控制的網(wǎng)絡(luò)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊目標(biāo)的定位。

2.1 第一層次研究

第一個(gè)層次的追蹤溯源也被稱為IP追蹤，追蹤技術(shù)多種多樣，可以劃分為路由調(diào)試技術(shù)、數(shù)據(jù)摘要技術(shù)以及數(shù)據(jù)標(biāo)記技術(shù)[2]等。

路由調(diào)試技術(shù)主要是利用路由器的接口沿著攻擊數(shù)據(jù)的傳播路徑，對(duì)其來(lái)源進(jìn)行反向的調(diào)查。這種追蹤調(diào)查的效率比較低，僅僅依靠人工進(jìn)行操作，很難自動(dòng)跟蹤和查找網(wǎng)絡(luò)攻擊的源頭。

借助信息能夠觸發(fā)相應(yīng)的ICMP數(shù)據(jù)包，計(jì)算機(jī)能夠收集ICMP路徑的信息數(shù)據(jù)，重新追蹤和溯源攻擊者的攻擊路徑。但這種方法在追蹤溯源的過(guò)程中會(huì)產(chǎn)生大量的流量，并且對(duì)網(wǎng)絡(luò)的性能影響較大，在追蹤過(guò)程中容易被網(wǎng)絡(luò)自身的防火墻堵塞，使用是有較多的限制。

日志技術(shù)主要是利用在網(wǎng)絡(luò)地址包進(jìn)行傳輸過(guò)程中，由路由器對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)進(jìn)行相應(yīng)的復(fù)制和計(jì)算，并且記錄每一個(gè)數(shù)據(jù)包中的摘要，利用系統(tǒng)中的回溯機(jī)制，對(duì)于轉(zhuǎn)發(fā)的數(shù)據(jù)信息進(jìn)行追蹤，包括網(wǎng)絡(luò)地址完整的傳輸路徑。這種技術(shù)的優(yōu)點(diǎn)是能夠反向跟蹤所有的數(shù)據(jù)包，幾乎不存在漏檢的可能性，且操作性較強(qiáng)。日志技術(shù)的缺點(diǎn)是它要與RSP之間密切合作來(lái)完成[3]，對(duì)于路由器的存儲(chǔ)功能要求比較高，對(duì)于路由器的IPu消耗量比較大，并且很可能對(duì)路由器的流量帶來(lái)相應(yīng)的影響，降低其使用的性能。

日志分析技術(shù)而是對(duì)于主機(jī)系統(tǒng)的日記信息進(jìn)行分析和跟蹤，重點(diǎn)關(guān)注被攻擊者已經(jīng)修改或者是刪除的相關(guān)聯(lián)的日志數(shù)據(jù)，對(duì)于破壞信息的過(guò)程進(jìn)行全過(guò)程的跟蹤，已實(shí)現(xiàn)追蹤溯源的目的。

網(wǎng)絡(luò)快照技術(shù)主要是能夠?qū)崟r(shí)捕捉主機(jī)系統(tǒng)所有的狀態(tài)信息，然后將所捕獲的信息進(jìn)行有效地整合與分析。網(wǎng)絡(luò)快照技術(shù)與日志分析技術(shù)相比，在實(shí)施性和精確性上更加有優(yōu)勢(shì)，但是所花費(fèi)的網(wǎng)絡(luò)資源更大。

網(wǎng)絡(luò)數(shù)據(jù)分析技術(shù)主要對(duì)在受到攻擊時(shí)，對(duì)于發(fā)生攻擊數(shù)據(jù)流上一級(jí)節(jié)點(diǎn)進(jìn)行跟蹤識(shí)別。這種技術(shù)能夠根據(jù)攻擊數(shù)據(jù)流的時(shí)間和內(nèi)容叛變攻擊的數(shù)據(jù)相關(guān)性，能夠準(zhǔn)確梳理出主機(jī)面臨的復(fù)雜關(guān)系，然后對(duì)上部主機(jī)進(jìn)行追蹤的溯源。但這種技術(shù)如果對(duì)匿名加密的攻擊流進(jìn)行追蹤溯源，將面臨較大的難度。

網(wǎng)絡(luò)水印主要目的是確認(rèn)接收和發(fā)送者之間的關(guān)系。這種技術(shù)與被動(dòng)的流量分析相比，漏報(bào)率降低，進(jìn)行實(shí)時(shí)觀測(cè)的數(shù)據(jù)能夠大幅度減少，但是如果面對(duì)多流的攻擊形式，網(wǎng)絡(luò)水印技術(shù)也難以發(fā)揮其有效的應(yīng)用。

事件響應(yīng)技術(shù)可以通過(guò)追蹤溯源技術(shù)人員對(duì)于網(wǎng)絡(luò)進(jìn)行特有的干預(yù)，主要目的是觀測(cè)事件在網(wǎng)絡(luò)環(huán)境中的變化，有變化信息可以確認(rèn)網(wǎng)絡(luò)行為，確定整個(gè)事件的因果之間的聯(lián)系，實(shí)現(xiàn)信息的實(shí)時(shí)追蹤。由于事件響應(yīng)技術(shù)存在延后性，因此其正確率較低，并且信息分解的整個(gè)過(guò)程較為復(fù)雜，所以在實(shí)際中應(yīng)用比較少。

2.2 第二層次的溯源目標(biāo)

針對(duì)于第二層次的溯源目標(biāo)，主要是確定攻擊者的主機(jī)。網(wǎng)絡(luò)攻擊中一般存在較強(qiáng)的因果聯(lián)系，這種因果聯(lián)系在網(wǎng)絡(luò)攻擊事件中具有某種順序，從而形成多種控制性關(guān)系。經(jīng)過(guò)研究可以發(fā)現(xiàn)在網(wǎng)絡(luò)攻擊中可以形成多對(duì)多和多對(duì)一，甚至是多一對(duì)多的控制關(guān)系。網(wǎng)絡(luò)攻擊者要想竊取某臺(tái)主機(jī)的數(shù)據(jù)，可以根據(jù)相應(yīng)的控制程序決定控制方法，也可以復(fù)制主機(jī)的控制模式，按照由弱到強(qiáng)的形式，將整個(gè)控制劃分為反射性控制、跳板型控制、僵尸控制以及物理性控制等多種控制技術(shù)。對(duì)于安全數(shù)據(jù)獵捕和多源告警溯源技術(shù)人員來(lái)說(shuō)，在未知情況下需要確定攻擊者的攻擊手段和控制手段是非常不容易的，需要沿著網(wǎng)絡(luò)攻擊的事件因果鏈，逐漸逆向開(kāi)展網(wǎng)絡(luò)追蹤溯源技術(shù)，才能確定攻擊源。第二層次追蹤溯源的目標(biāo)其實(shí)是一個(gè)推理的過(guò)程，借助攻擊者所使用的網(wǎng)絡(luò)設(shè)備逆向?qū)?shù)據(jù)流傳播途徑進(jìn)行有效的反向查找[3]。這一過(guò)程中必須注意網(wǎng)絡(luò)設(shè)備可以被攻擊者所控制，攻擊者和被攻擊者之間所形成了一場(chǎng)網(wǎng)絡(luò)博弈。目前，還沒(méi)有技術(shù)能夠直接確定網(wǎng)絡(luò)攻擊者的主機(jī)，因此需要對(duì)主機(jī)內(nèi)部實(shí)施有效的監(jiān)測(cè)，可以在主機(jī)信息日志系統(tǒng)信息進(jìn)行分析，捕獲主機(jī)相應(yīng)的信息數(shù)據(jù)，分析主機(jī)信息流，并對(duì)信息流展開(kāi)相應(yīng)的識(shí)別，以便確定網(wǎng)絡(luò)攻擊的因果關(guān)系及后續(xù)的追蹤和溯源。

3 對(duì)于大規(guī)模網(wǎng)絡(luò)攻擊的多源告警溯源技術(shù)探究

多源告警溯源機(jī)制經(jīng)過(guò)多年的發(fā)展，已經(jīng)有了成熟的系統(tǒng)，但是隨著網(wǎng)絡(luò)系統(tǒng)逐漸邁向復(fù)雜化和深層次化方向，對(duì)于多源告警溯源系統(tǒng)需要進(jìn)一步進(jìn)行整合，以實(shí)現(xiàn)實(shí)用性的解決方案。在大規(guī)模網(wǎng)絡(luò)攻擊條件下，多源告警溯源技術(shù)主要面臨以下幾方面的問(wèn)題。

第一是關(guān)于網(wǎng)絡(luò)規(guī)模的問(wèn)題。如果網(wǎng)絡(luò)環(huán)境在特別復(fù)雜的大規(guī)模條件下，對(duì)于攻擊的多源告警溯源研究必須要考慮，由于網(wǎng)絡(luò)規(guī)模擴(kuò)大所帶來(lái)的影響，整個(gè)溯源系統(tǒng)面對(duì)網(wǎng)絡(luò)攻擊時(shí)會(huì)產(chǎn)生大量的數(shù)據(jù)，這種數(shù)據(jù)必須依靠強(qiáng)大的數(shù)據(jù)挖掘才能夠有效實(shí)現(xiàn)追蹤其路徑以及介質(zhì)的目的。對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)所流經(jīng)的數(shù)據(jù)流量比較大，對(duì)追蹤溯源方案提出了更高的性能要求。并且面對(duì)海量的數(shù)據(jù)，需要進(jìn)行實(shí)時(shí)的處理和存儲(chǔ)，以避免發(fā)生信息的堵塞。溯源數(shù)據(jù)在大規(guī)模的網(wǎng)絡(luò)攻擊中，若想得到數(shù)據(jù)的有效整理，必須要采用分布式的保存形式，采用數(shù)據(jù)挖掘方法，對(duì)于溯源數(shù)據(jù)進(jìn)行處理[4]。溯源數(shù)據(jù)要在整個(gè)系統(tǒng)內(nèi)部實(shí)現(xiàn)協(xié)同，需要考慮大規(guī)模網(wǎng)絡(luò)自身對(duì)數(shù)據(jù)的影響，避免由于追蹤溯源而使得整個(gè)網(wǎng)絡(luò)數(shù)據(jù)受到干擾。對(duì)于追蹤溯源的設(shè)備，在使用過(guò)程中需要考慮成本的因素，以滿足經(jīng)濟(jì)上的可行性和現(xiàn)實(shí)中的可操作性。

第二個(gè)問(wèn)題是關(guān)于網(wǎng)絡(luò)管理者的多樣化。大規(guī)模網(wǎng)絡(luò)流量中，每一個(gè)網(wǎng)絡(luò)區(qū)域后面的網(wǎng)絡(luò)管理機(jī)構(gòu)不同，因此需要充分考慮不同的網(wǎng)絡(luò)管理機(jī)構(gòu)如何實(shí)現(xiàn)區(qū)域的溯源，比如說(shuō)不同的網(wǎng)絡(luò)機(jī)構(gòu)如何交換溯源的數(shù)據(jù)，在溯源過(guò)程中如何符合網(wǎng)絡(luò)管理的規(guī)范性等等。

第三個(gè)問(wèn)題是關(guān)于網(wǎng)絡(luò)架構(gòu)的問(wèn)題。在大規(guī)模網(wǎng)絡(luò)中，網(wǎng)絡(luò)體制不同，演進(jìn)的路徑不同。例如，移動(dòng)通信正在由4G向5G邁進(jìn)，Rpv4逐漸向rpv6邁進(jìn)[5]，同時(shí)企業(yè)之間也由于合并或者是業(yè)務(wù)之間的融合性影響，移動(dòng)互聯(lián)網(wǎng)的發(fā)展、三網(wǎng)合一的影響等等。對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的追蹤溯源，需要考慮到大規(guī)模網(wǎng)絡(luò)環(huán)境下所面臨的復(fù)雜環(huán)境，對(duì)最終溯源的設(shè)備配合性、接口的接入問(wèn)題以及設(shè)備的部署問(wèn)題需要進(jìn)行深入的探討，這樣才能夠有效保證溯源所得到的結(jié)果具備真實(shí)性和準(zhǔn)確性，保證溯源的有效性，同時(shí)能夠?qū)崿F(xiàn)可靠的降級(jí)。

第四個(gè)問(wèn)題是關(guān)于溯源設(shè)備的部署。由于大規(guī)模網(wǎng)絡(luò)攻擊所面臨的非常規(guī)性以及復(fù)雜性，在進(jìn)行網(wǎng)絡(luò)設(shè)備的部署時(shí)，需要考慮長(zhǎng)遠(yuǎn)，在部署溯源設(shè)備后，就能夠立即發(fā)揮效益，并且隨著溯源設(shè)備生態(tài)系統(tǒng)的形成，追蹤溯源的成功以及精確度能夠得到快速的提升。對(duì)于一些依靠路由器技術(shù)而進(jìn)行追蹤溯源的方法，由于需要面臨路由器的升級(jí)以及改造的問(wèn)題，如果重新建設(shè)網(wǎng)絡(luò)，進(jìn)行溯源設(shè)備的大規(guī)模部署，難以在現(xiàn)實(shí)中完成。

第五個(gè)問(wèn)題是攻擊命令以及控制的機(jī)制。對(duì)于網(wǎng)絡(luò)環(huán)境進(jìn)行攻擊，一般使用多級(jí)跳板機(jī)制，這種性質(zhì)是中間進(jìn)行加密，并且對(duì)數(shù)據(jù)流進(jìn)行有效的改變。有的攻擊者會(huì)利用僵尸網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)環(huán)境，或采用復(fù)雜的命令控制模型，這種模型能夠有效排除安全人員的追蹤服務(wù)器，防止安全人員找到追蹤者所使用的主機(jī)。

第六個(gè)問(wèn)題是關(guān)于網(wǎng)絡(luò)環(huán)境攻擊者所采用的隱蔽通信的技術(shù)。為了保證自己的網(wǎng)絡(luò)攻擊不被發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者一般采用多種隱蔽手段，如使用P2P的網(wǎng)絡(luò)和通信網(wǎng)絡(luò)采用匿名制等，隱藏惡意的木馬軟件和蠕蟲(chóng)病毒，轉(zhuǎn)移僵尸客戶端和網(wǎng)絡(luò)攻擊者之間的通信。如果在進(jìn)行大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)工具后，所竊取的網(wǎng)絡(luò)數(shù)據(jù)一般也采用免費(fèi)郵箱進(jìn)行傳播，或者是采用數(shù)控主機(jī)上其他隱藏區(qū)域進(jìn)行隱蔽式傳播。網(wǎng)絡(luò)攻擊者可以采用加密或者是ssl加密等技術(shù)性手段，避免在網(wǎng)絡(luò)攻擊中受到一些監(jiān)聽(tīng)的手段，因此針對(duì)于目前的技術(shù)來(lái)說(shuō)，對(duì)于識(shí)別攻擊者所使用的通信環(huán)境以及數(shù)據(jù)具備相當(dāng)大的難度。

要實(shí)現(xiàn)真正的安全數(shù)據(jù)的自動(dòng)化內(nèi)部以及多源告警的溯源技術(shù)，必須要解決以上的6個(gè)問(wèn)題，制定出相應(yīng)的解決方案，這種追蹤溯源告警技術(shù)才能夠具有實(shí)用價(jià)值。只借助于單一的追蹤網(wǎng)絡(luò)技術(shù)，優(yōu)缺點(diǎn)比較明顯，同時(shí)也具有自身的適用性，在大規(guī)模網(wǎng)絡(luò)攻擊環(huán)境下，并不具備追蹤溯源的技術(shù)性標(biāo)準(zhǔn)，因此必須對(duì)各種追蹤技術(shù)進(jìn)行有效的整合，采用多種追蹤溯源的技術(shù)性手段。

從目前技術(shù)性手段上來(lái)說(shuō)，對(duì)于網(wǎng)絡(luò)攻擊的追蹤溯源技術(shù)采用融合手段進(jìn)行研究目前掌握的文獻(xiàn)比較少，在特定的網(wǎng)絡(luò)環(huán)境下，比如說(shuō)IPv4與IPv6混合的環(huán)境或者是單獨(dú)的IPv6的環(huán)境，能夠給出一定的網(wǎng)絡(luò)追蹤溯源的解決方法；或者是使用數(shù)據(jù)標(biāo)記法與路由的記錄法之間能夠進(jìn)行有效的融合，網(wǎng)絡(luò)中的路由器能夠根據(jù)自身轉(zhuǎn)發(fā)的數(shù)據(jù)標(biāo)記，對(duì)于空余情況進(jìn)行記錄，并且及時(shí)進(jìn)行調(diào)整。當(dāng)路由器所標(biāo)記的位置發(fā)生空余時(shí)，能夠及時(shí)將相應(yīng)的地址信息填入標(biāo)記的位置，否則路由器將會(huì)存儲(chǔ)數(shù)據(jù)包中的摘要信息，并且對(duì)標(biāo)記信息有效進(jìn)行清除。這種方法能夠有效融合數(shù)據(jù)標(biāo)記法和路由器記錄法的優(yōu)點(diǎn)，通過(guò)使用數(shù)據(jù)標(biāo)記，能夠有效減輕路由器在信息流分發(fā)時(shí)所面臨的存儲(chǔ)的重壓，能夠有效減少錄入數(shù)據(jù)所面臨的管理性開(kāi)銷。這些融合性的方法以網(wǎng)絡(luò)攻擊的多源告警溯源技術(shù)作為研究，但是在實(shí)際應(yīng)用中靈活性比較差，并不具備較強(qiáng)的通用性，一般只能處理一些特定的網(wǎng)絡(luò)攻擊的追蹤溯源的案例，如果無(wú)法引入新的溯源技術(shù)和手段，將很難改變單技術(shù)，進(jìn)行網(wǎng)絡(luò)攻擊溯源的矛盾性的困境。

面對(duì)這種情況，可以采用這種手段進(jìn)行有效的融合，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行有效的追蹤溯源的方法。可以借助于協(xié)作以及非協(xié)作之間的追蹤溯源機(jī)制，利用通用的網(wǎng)絡(luò)追蹤溯源的技術(shù)性框架來(lái)實(shí)現(xiàn)溯源算法以及系統(tǒng)架構(gòu)的有機(jī)融合，以實(shí)現(xiàn)對(duì)于多源告警準(zhǔn)確定位的目的。

4 多源告警追蹤溯源機(jī)制的系統(tǒng)性網(wǎng)絡(luò)構(gòu)架

采用多種的追蹤溯源技術(shù)需要進(jìn)行有效地融合，對(duì)于系統(tǒng)架構(gòu)進(jìn)行充分完整的設(shè)計(jì)，對(duì)于所追蹤的溯源信息要實(shí)現(xiàn)規(guī)范化，對(duì)于追蹤到的信息，要進(jìn)行有效的處理。在設(shè)計(jì)多源告警追蹤溯源機(jī)制系統(tǒng)構(gòu)架的過(guò)程中，需要充分考慮構(gòu)建的整體分布，對(duì)于單一來(lái)源的溯源，要進(jìn)行有效的組建聚合，對(duì)于組件之間的通信機(jī)制要深入進(jìn)行研究，需要保證信息的可拓展性。規(guī)范化處理溯源的信息是多源告警追蹤溯源機(jī)制的基礎(chǔ)，能有效解決統(tǒng)一性的描述問(wèn)題。借助于多源信息的有效處理，能夠充分匯聚不同網(wǎng)絡(luò)來(lái)源的信息，并且實(shí)現(xiàn)對(duì)信息數(shù)據(jù)的挖掘和判定。在設(shè)計(jì)有效的系統(tǒng)架構(gòu)時(shí)，能夠?qū)崿F(xiàn)多源追蹤系統(tǒng)有效的定位，這也是多種溯源技術(shù)的核心所在。

多源告警追蹤溯源機(jī)制主要由網(wǎng)絡(luò)攻擊信息的采集組件、信息的處理組件、數(shù)據(jù)庫(kù)分析組件以及協(xié)同組件等相關(guān)部分組成。網(wǎng)絡(luò)攻擊信息數(shù)據(jù)采集系統(tǒng)的主要功能是能夠?qū)Ω鞣N追蹤溯源的信息進(jìn)行收集和整理，具有多種形態(tài)。網(wǎng)絡(luò)系統(tǒng)主機(jī)上的流量監(jiān)控軟件能夠及時(shí)收集防火墻和安全防護(hù)系統(tǒng)的日志信息，實(shí)現(xiàn)其有效整合，并能與管理體系對(duì)安全信息軟件模塊的信息進(jìn)行交換，收集路由器內(nèi)部功能模塊的數(shù)據(jù)，并整理網(wǎng)絡(luò)信息數(shù)據(jù)，這一部分專門(mén)使用的硬件設(shè)備組成了信息收集系統(tǒng)。

溯源系統(tǒng)的軟件部分主要負(fù)責(zé)匯聚各種溯源信息，轉(zhuǎn)換各種溯源信息的格式，規(guī)范化處理后將信息轉(zhuǎn)存到相應(yīng)的信息數(shù)據(jù)庫(kù)中。處理過(guò)網(wǎng)絡(luò)攻擊的數(shù)據(jù)庫(kù)之后，與單一追蹤溯源技術(shù)相互結(jié)合，從而實(shí)現(xiàn)有效的銜接。

根據(jù)溯源信息所建立的數(shù)據(jù)庫(kù)主要負(fù)責(zé)儲(chǔ)存收集來(lái)的溯源信息。信息庫(kù)不是一個(gè)獨(dú)立的實(shí)體，它可以根據(jù)網(wǎng)絡(luò)管理的要求保證所收集的溯源信息能夠可靠的存在，并滿足性能標(biāo)準(zhǔn)。

有效分析溯源信息是溯源任務(wù)的基本需求，可通過(guò)快速查詢系統(tǒng)管理數(shù)據(jù)信息數(shù)據(jù)庫(kù)，獲得有效的溯源追蹤任務(wù)成果，另外還能進(jìn)行跨越網(wǎng)絡(luò)的溯源轉(zhuǎn)化，有效處理協(xié)同組件。

對(duì)于溯源協(xié)同的組件可以形成跨越網(wǎng)絡(luò)的管理任務(wù)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)管理的多個(gè)層級(jí)的轉(zhuǎn)換，在大規(guī)模網(wǎng)絡(luò)多源溯源研究中具有廣泛的應(yīng)用。它能夠有效實(shí)現(xiàn)內(nèi)部的信息，互相聯(lián)通，并且兼顧區(qū)域內(nèi)部的任務(wù)完成度，有效實(shí)現(xiàn)在大規(guī)模網(wǎng)絡(luò)內(nèi)部對(duì)于信息的有效保護(hù)。同時(shí)這一溯源組件還對(duì)于跨越網(wǎng)絡(luò)的溯源方法進(jìn)行有效的整合，比如說(shuō)在基于DNS防御中的攻擊溯源等領(lǐng)域具有廣泛的應(yīng)用。

進(jìn)行多源告警溯源機(jī)制技術(shù)核心主要是將以往多種單一的溯源技術(shù)進(jìn)行有機(jī)的融合，這一融合方法需要對(duì)組件進(jìn)行分析，然后進(jìn)行協(xié)同，這樣才能夠處理不同類型的溯源信息，對(duì)于不同溯源技術(shù)所帶來(lái)的數(shù)據(jù)變化以及特征之轉(zhuǎn)換和關(guān)聯(lián)分析之間進(jìn)行有效的整合，以實(shí)現(xiàn)過(guò)程中的銜接任務(wù)[6]。

在進(jìn)行多源告警溯源信息來(lái)源分析中，許多數(shù)據(jù)信息類型不同，比如說(shuō)所使用的安全管理的信息，網(wǎng)絡(luò)數(shù)據(jù)的信息，保護(hù)機(jī)制的信息等等，其各種信息在真度上也存在差異。比方說(shuō)是基于網(wǎng)絡(luò)日志的追蹤溯源，包含完整的數(shù)據(jù)整合信息，有的只包含數(shù)據(jù)摘要的信息。因此在處理溯源信息時(shí)，情況較為復(fù)雜，涉及到溯源信息的整體規(guī)范化和特征化處理，對(duì)于溯源信息進(jìn)行關(guān)聯(lián)性分析。我們采用一個(gè)簡(jiǎn)化場(chǎng)景來(lái)探討追蹤溯源的主要原理。

在大規(guī)模數(shù)據(jù)網(wǎng)絡(luò)a中，網(wǎng)絡(luò)管理系統(tǒng)發(fā)現(xiàn)一個(gè)攻擊數(shù)據(jù)包，因此由管理系統(tǒng)將攻擊數(shù)據(jù)包的信息完整的轉(zhuǎn)接給數(shù)據(jù)溯源系統(tǒng)。在整體網(wǎng)絡(luò)a設(shè)置有溯源的設(shè)備，主要是信息日志的采集裝置，這種信息采集裝置能夠有效涵蓋并查詢信息數(shù)據(jù)包的完整信息。對(duì)于攻擊網(wǎng)絡(luò)黑的數(shù)據(jù)源進(jìn)行溯源分析，借用相應(yīng)的溯源分析的組件，可以對(duì)相應(yīng)的內(nèi)部數(shù)據(jù)庫(kù)進(jìn)行有效的查詢。網(wǎng)絡(luò)數(shù)據(jù)a的大規(guī)模數(shù)據(jù)可以集中進(jìn)行保存，也可以采用分布式存儲(chǔ)的方法。然后進(jìn)行溯源分析，經(jīng)過(guò)一定的分析和處理之后，能夠確定網(wǎng)絡(luò)攻擊的來(lái)源主要是起源于網(wǎng)絡(luò)的外部，并且能夠確認(rèn)是由邊界路由器A1所導(dǎo)致的。

在網(wǎng)絡(luò)溯源系統(tǒng)中，根據(jù)溯源系統(tǒng)任務(wù)分工的不同，將溯源任務(wù)重新交給子系統(tǒng)進(jìn)行進(jìn)一步的深化溯源。如果在網(wǎng)絡(luò)信息域間存在有子系統(tǒng)或者是其他協(xié)同軟件支持網(wǎng)絡(luò)協(xié)議等溯源，能夠進(jìn)一步確認(rèn)攻擊網(wǎng)絡(luò)a的下一步網(wǎng)絡(luò)c，那么需要對(duì)網(wǎng)絡(luò)c進(jìn)行進(jìn)一步溯源。如果相應(yīng)的溯源機(jī)制沒(méi)有其他網(wǎng)絡(luò)的制度化支持，則可以借助于相應(yīng)的路由器系統(tǒng)。將網(wǎng)絡(luò)工地的溯源任務(wù)部署在其他溯源設(shè)備中。首先是需要根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)部的信息摘要系統(tǒng)以及從內(nèi)部數(shù)據(jù)庫(kù)所對(duì)比的信息，以確認(rèn)能夠攻擊網(wǎng)絡(luò)的主機(jī)a以及相關(guān)的邊界路由器之間的連接路徑。如果攻擊網(wǎng)絡(luò)環(huán)境主機(jī)的a旁邊部署了相應(yīng)的安全審計(jì)信息收集設(shè)施，那么可以直接提取相應(yīng)的信息數(shù)據(jù)流的日志，如果不存在信息數(shù)據(jù)的日志，那么可以根據(jù)攻擊主機(jī)的網(wǎng)絡(luò)流的時(shí)間以及流量等其他特征，對(duì)于主機(jī)是否是攻擊者所使用的僵尸主機(jī)或者是進(jìn)行其他攻擊的跳板進(jìn)行有效的驗(yàn)證；如果經(jīng)過(guò)分析之后確認(rèn)攻擊來(lái)源的控制手機(jī)是進(jìn)行攻擊的主要方面，那么需要結(jié)束整個(gè)溯源的過(guò)程，并且將溯源的結(jié)果返回到整個(gè)溯源系統(tǒng)顯示中。如果沒(méi)有這樣的結(jié)論，那么需要進(jìn)一步提取溯源信息，并且需要對(duì)上一主機(jī)的進(jìn)行進(jìn)一步的追蹤，以實(shí)現(xiàn)精確的追蹤溯源的目的。

多源告警溯源具有耦合性，它能夠根據(jù)溯源信息作為主要的中心，然后融合不同的溯源技術(shù)方法，這樣能夠有效減輕在進(jìn)行數(shù)據(jù)多源告警溯源過(guò)程中所面臨的強(qiáng)耦合的問(wèn)題。多源溯源系統(tǒng)具有異構(gòu)的特性，能夠根據(jù)項(xiàng)目完成的實(shí)際情況，分階段的對(duì)溯源系統(tǒng)進(jìn)行部署，可以允許部分設(shè)備在部署完成時(shí)就可以對(duì)路徑進(jìn)行追蹤溯源，一旦缺少某些設(shè)備，也能夠完成整體的溯源工作；多源告警溯源機(jī)制具有可拓展性，借助于不同的溯源設(shè)施，能夠融合不同的溯源技術(shù)方法，同時(shí)也可以方便增加比較新的溯源技術(shù)機(jī)制；多源告警溯源機(jī)機(jī)制同時(shí)還具有分布性，借助于多源溯源信息存儲(chǔ)及處理系統(tǒng)，能有效降低網(wǎng)絡(luò)信息單點(diǎn)的處理能力，同時(shí)它能夠有效強(qiáng)化系統(tǒng)面對(duì)網(wǎng)絡(luò)攻擊時(shí)的反應(yīng)能力，因此具有非常廣泛的使用價(jià)值。

5 結(jié)論

在大規(guī)模網(wǎng)絡(luò)環(huán)境下，國(guó)家電網(wǎng)客服服務(wù)系統(tǒng)和其他管理系統(tǒng)很容易受到網(wǎng)絡(luò)病毒的攻擊，因此對(duì)于網(wǎng)絡(luò)攻擊進(jìn)行追蹤溯源具有非常重要的現(xiàn)實(shí)意義。在追蹤溯源的過(guò)程中，需要融合多種技術(shù)方法，將這些方法在統(tǒng)一的構(gòu)架上進(jìn)行融合，同時(shí)要具備較強(qiáng)的可拓展性，同時(shí)需要方便部署，將多種溯源方法進(jìn)行有效的整合，實(shí)現(xiàn)信息的聯(lián)通以及協(xié)同，這樣才能夠?qū)崿F(xiàn)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全。目前對(duì)于安全數(shù)據(jù)的自動(dòng)化獵捕和多源告警溯源技術(shù)研究還處于初步階段，需要進(jìn)行進(jìn)一步深化，才能不斷完善多源攻擊追蹤溯源技術(shù)，不斷保障網(wǎng)絡(luò)環(huán)境的安全。