專利名稱:多協議標記交換網絡的雙向復合信源定位方法
技術領域:
本發明涉及通信網絡安全領域中一種多協議標記交換(簡稱
MPLS)網絡的雙向復合信源定位方法�,特別適用于對MPLS網絡中遭 受的洪泛類攻擊進行攻擊源的快速定位����。
背景技術:
概率包標記(簡稱PPM)及其現有改進算法的基本思想是中間路 由器每收到一個IP通信數據包都以概率對IP通信數據包進行標記。 為了重構攻擊路徑進行攻擊源定位,受害者需要收集大量的標記攻擊 數據包才可以定位到攻擊端的入口邊緣路由器����,重構攻擊路徑的過程 緩慢��,計算復雜;而且該算法對付多重的攻擊不具有魯棒性,很難抵 御多源DDoS攻擊�����。因此不適用于對多源洪泛類攻擊的快速定位�����。
傳統的包記錄法在攻擊源較多時雖然可以實現定位���,但對每個經 過的IP通信數據包都要進行記錄����,需要花費海量存儲空間和計算時 間�����。Snoeren提出的源路徑隔離引擎(簡稱SPIE)算法采用了基于 Bloom filter數據結構對IP通信數據包中的特征字段進行存儲的機 制有效節省了存儲上的耗費����,但是在高速網絡環境下的開銷仍然不 小���。因此該算法不適用于高速網絡環境中和存儲空間有限制的情況 下����。
發明內容
本發明所要解決的技術問題在于避免上述背景技術中的不足之 處而提供一種結合邊緣概率包標記和概率包記錄兩種算法對MPLS網 絡中的網絡攻擊進行雙向復合信源定位的方法。本發明還采用組合公 鑰簽名技術保證包標記信息的可信性;并將MPLS網絡的歷史標簽映 射關系記錄下來�����,便于利用該記錄信息節省反向追蹤査詢時的査詢開 銷�����。本發明具有定位速度快�、網絡額外負載小��、健壯性好��、有效性高、 系統開銷小等特點�����。本發明的目的是這樣實現的��,它包括下列步驟
①IP通信數據包進入MPLS網絡的邊緣路由器傳輸時,邊緣路由 器依設定標記概率對工P通信數據包進行標記��,標記內容包括邊緣路
由器的ID信息���,采用基于標識的組合公鑰簽名技術對ID標記信息進 行數字簽名�����,邊緣路由器將IP通信數據包加上MPLS頭變成MPLS通 信數據包發送到MPLS網絡中傳輸�;
② MPLS通信數據包在MPLS網絡中傳輸時�����,MPLS通信數據包經 過的每個路由器將依據設定記錄概率對MPLS通信數據包進行記錄����, 記錄信息為MPLS通信數據包內容中具有固定長度的特征信息�����,記錄 方法采用Bloom filter數據結構��,Bloom filter數據結構以預定周 期循環更新;在MPLS網絡的出口邊緣路由器將MPLS通信數據包包頭 中的標簽放進IP通信數據包包頭中的設定字段進行標記��;
③ 當MPLS網絡對標簽進行更新時�,記錄歷史標簽映射關系, 以設定的時間周期對歷史標簽映射關系進行更新�;
④ 接收端的入侵檢測系統(簡稱IDS)檢測到網絡攻擊時�,檢 測IP通信數據包的攻擊數據包中是否存在標記有邊緣路由器ID信息 的標記數據包�����,如果存在標記數據包,則進行基于組合公鑰簽名技術 的邊緣概率包標記算法的信源定位���;否則�����,提取與設定記錄概率相關 數量的樣本IP攻擊數據包,進行基于MPLS網絡標簽記錄的概率包記 錄算法的信源定位���;
⑤ 基于組合公鑰簽名技術的邊緣概率包標記算法進行信源定 位時,根據經過標記的攻擊數據包中標記的邊緣路由器ID信息得到 對應的邊緣路由器的公鑰�,利用邊緣路由器的公鑰對標記數據包中的 數字簽名進行驗證����,如果對標記數據包的簽名驗證通過��,則提取標記 數據包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器���,需 要還原正向標記交換攻擊路徑時��,則從攻擊端邊緣路由器開始,借助 MPLS網絡的標記轉發表信息或記錄的歷史標簽映射關系還原出標記 交換攻擊路徑�;
基于MPLS網絡標簽記錄的概率包記錄算法進行信源定位時����, 提取樣本IP攻擊數據包的特征字段�、時間信息及包頭中標記的標簽信息,構造信源定位請求包,通過與被攻擊端邊緣路由器的攻擊特征 匹配確定攻擊是否來自遠程局域網���,如果攻擊來自遠程局域網,則被 攻擊端邊緣路由器將信源定位請求發往其上游鄰居路由器,各上游鄰 居路由器將信源定位請求中的標簽信息與它們對應時間段標簽映射 條目中的出口標簽信息進行查詢匹配,標簽信息匹配成功后進行信源 定位請求中各樣本IP攻擊數據包的攻擊特征的查詢匹配��,標簽信息 和攻擊特征均查詢匹配成功后表示當前進行匹配的路由器為攻擊路 徑上的一個路由器節點��,提取匹配命中路由器中匹配命中標簽映射條
目的入口標簽替代信源定位請求包中的標簽信息����,再向匹配命中路由 器的各上游鄰居路由器發送信源定位請求包進行類似的標簽和攻擊 特征的査詢匹配過程���,直至當前匹配命中路由器的各上游鄰居路由器
中再沒有匹配命中的路由器�;
⑦將信源定位結果返回給接收端的IDS,完成對本次MPLS網絡 中網絡攻擊的雙向復合信源定位�。
本發明與背景技術相比具有如下優點
1. 本發明提出的MPLS網絡的雙向復合信源定位方法與傳統信源
定位方法相比,本發明將基于組合公鑰數字簽名技術的邊緣概率包標
記算法和基于結合MPLS網絡標簽記錄的概率包記錄算法相互結合, 在基于組合公鑰數字簽名技術的邊緣概率包標記算法無法定位到攻 擊源時��,采用基于結合MPLS網絡標簽記錄的概率包記錄算法來反向 重構攻擊路徑�,從而很大程度上提高了信源定位系統的有效性。而且 該方法既可以正向還原出攻擊路徑,又可以反向重構出攻擊路徑,保 證了在MPLS網絡環境下對攻擊源的快速有效定位�����。
2. 本發明提出的基于組合公鑰簽名技術的邊緣概率包標記算法 與傳統的PPM算法相比����,本發明僅在入口邊緣路由器端對數據包依設 定標記概率標記,不僅大大節省了進行信源定位所需要的IP標記數 據包數目��,而且可以有效的對付DDoS攻擊��。本發明還將組合公鑰的 簽名技術應用于標記數據包��,保障了標記數據包的可信性。組合公鑰 不基于第三方的非在線認證特點也使得該技術實現起來安全方便�。
3. 本發明提出的基于結合MPLS網絡標簽記錄的概率包記錄算法
6與傳統的SPIE算法相比���,本發明將通過MPLS網絡路由器的MPLS通 信數據包依據設定記錄概率進行特征信息的記錄�����,減小了系統的開 銷,可應用于高速網絡鏈路��;另外�,基于SPIE算法進行反向追蹤定 位時,路由器需要向其上游所有路由器發送查詢請求����,上游每個路由 器都要對特征信息進行匹配。其中的匹配過程包括查詢請求中每個樣 本攻擊數據包特征值的HASH運算�����,然后對應每個樣本攻擊數據包都 要進行Bloom filter摘要表的查詢匹配��,這要浪費大量的系統時間���, 實現起來也較復雜��。而本發明通過結合歷史MPLS標簽映射關系的記 錄可以優化反向査詢��,對上游路由器首先進行標簽匹配,只有標簽匹 配的上游路由器才進行進一步的特征信息匹配��,這樣就大大減少了系 統復雜性�����,降低了追蹤時的查詢開銷�����。而且由于采用標簽映射的查詢 可以使得上一跳無關鄰居節點數目大大減少, 一定程度上降低了節點 誤報率����。
4.本發明應用于MPLS網絡環境����,便于利用MPLS面向連接的特 點簡化正向路徑還原和反向路徑重構��。本發明具有定位速度快、網絡 額外負載小�����、健壯性好���、有效性高����、系統開銷小等優點。
圖1是本發明MPLS網絡中雙向復合信源定位實施例的原理方框圖��。
圖2是本發明中歷史MPLS標簽映射關系記錄形式的示意圖�����。 圖1中�,1為基于組合公鑰簽名技術的邊緣概率包標記模塊�,2 為概率包記錄模塊,3為提取MPLS報文頭中標簽標記到IP頭模塊�, 4為歷史MPLS標簽映射表模塊��,5為檢測標記包模塊,6為基于包標 記法定位模塊���,7為基于包記錄法定位模塊,8為重構攻擊路徑和定 位攻擊源模塊。
具體實施例方式
參照圖1、圖2�����。圖1是本發明MPLS網絡中雙向復合信源定位實 施例的原理方框圖���,它包括基于組合公鑰簽名技術的邊緣概率包標記 模塊1���,概率包記錄模塊2���,提取MPLS報文頭中標簽標記到IP頭模 塊3�����,歷史MPLS標簽映射表模塊4,檢測標記包模塊5,基于包標記法定位模塊6���,基于包記錄法定位模塊7,重構攻擊路徑和定位攻擊
源模塊8,實施例如圖l所示連接線路�。本發明包括步驟
①IP通信數據包進入MPLS網絡的邊緣路由器傳輸時�,邊緣路由
器依設定標記概率對IP通信數據包進行標記�����,標記內容包括邊緣路
由器的ID信息��,采用基于標識的組合公鑰簽名技術對ID標記信息進 行數字簽名��,邊緣路由器將IP通信數據包加上MPLS頭變成MPLS通 信數據包發送到MPLS網絡中傳輸,實施例步驟①由圖1中的基于組 合公鑰簽名技術的邊緣概率包標記模塊1完成?�;诮M合公鑰簽名技 術的邊緣概率包標記模塊1完成對進入MPLS網絡邊界的IP通信數據 包進行邊緣概率包標記及對標記信息進行基于組合公鑰的數字簽名�����。 為了防止標記包被劫獲而發動重放攻擊以及識別是否遭受到重放攻 擊��,最終進行數字簽名的信息內容包括標記信息邊緣路由器的ID、 時間信息T及隨機數r。邊緣路由器將攜帶標記信息邊緣路由器ID
信息及相應數字簽名的標記數據包轉發出去�����。
②MPLS通信數據包在MPLS網絡中傳輸時�����,MPLS通信數據包經 過的每個路由器將依據設定記錄概率對MPLS通信數據包進行記錄, 記錄信息為MPLS通信數據包內容中具有固定長度的特征信息,記錄 方法采用Bloom filter數據結構,Bloom filter數據結構以預定周 期循環更新��;在MPLS網絡的出口邊緣路由器將MPLS通信數據包包頭 中的標簽放進IP通信數據包包頭中的設定字段進行標記����,實施例步 驟②由圖1中的概率包記錄模塊2和提取MPLS報文頭中標簽標記到 IP頭模塊3完成。概率包記錄模塊2完成對進入MPLS網絡的MPLS 通信數據包進行概率采樣和對采樣進行包記錄的功能���。
設定包記錄概率A,數據包沿途經過的每個標記交換路由器都以 概率A隨機采樣�,如果被概率采樣到���,則提取MPLS通信數據包的特 征信息���,并向Bloom filter數據結構進行特征摘要映射����。由于MPLS 通信數據包包頭信息在MPLS網絡中轉發時是不斷變化的��,所以MPLS 通信數據包的特征信息字段中不應該包括MPLS通信數據包的包頭字 段內容��,而與SPIE中選取的特征信息字段相同。
隨著Bloom Filter數據結構中記錄數據包數目的增大�,路由器
8節點被假命中的概率也會增大���,針對這種Bloom Filter誤報率情況�, 采用周期性更新Bloom Filter數據結構的機制�。即每隔一定時間將 Bloom Filter數據結構中的信息寫入磁盤中存儲,同時標注該Bloom Filter的有效時間,然后把Bloom Filter數據結構的信息全部置零 重新進行映射記錄���。 一般情況下,僅需要對若干個周期的歷史記錄信 息存儲�。
提取MPLS報文頭中標簽標記到IP頭模塊3完成MPLS通信數據 包包頭中標簽信息的提取和將標簽信息標記入IP通信數據包包頭的 設定字段中��。
③ 當MPLS網絡對標簽進行更新時,記錄歷史標簽映射關系��, 以設定的時間周期對歷史標簽映射關系進行更新����,實施例步驟③由圖 1中的歷史MPLS標簽映射表模塊4完成����。歷史MPLS標簽映射表模塊 4完成對要進行更新的標簽及其映射關系進行記錄的功能。
對MPLS標簽的記錄過程如下每當標記轉發信息表進行更新時���, 都要將相應的標簽映射關系記錄在歷史MPLS標簽映射表中,并記錄 更新時間��,記錄格式如圖2所示���。
由于MPLS入口邊緣路由器無入口標簽����,出口邊緣路由器無出口 標簽,所以這里規定這兩個都為����。
同Bloom filter數據結構一樣�,歷史MPLS標簽映射表也是僅對
歷史映射記錄信息存儲一定時間�,這個機制避免了因無用信息累積造 成的空間浪費�。
④ 接收端的IDS檢測到網絡攻擊時�����,檢測IP通信數據包的攻 擊數據包中是否存在標記有邊緣路由器ID信息的標記數據包��,如果 存在標記數據包,則進行基于組合公鑰簽名技術的邊緣概率包標記算 法的信源定位�����;否則����,提取與設定記錄概率相關數量的樣本IP攻擊 數據包���,進行基于MPLS網絡標簽記錄的概率包記錄算法的信源定位�����, 實施例步驟④由圖1中的檢測標記包模塊5完成����。檢測標記包模塊5 完成對IP攻擊數據包中標記數據包的檢測功能�����。
首先���,標記檢測模塊檢測收到的IP攻擊數據包中是否有經標記 和簽名過的數據包�,如果有����,則直接進行基于組合公鑰簽名技術的邊
9緣概率包標記法的信源定位。如果在收到的IP攻擊數據包中沒有檢 測到標記數據包�,則抽取與設定記錄概率相關數量的樣本攻擊數據
包�,提取這些樣本攻擊數據包的特征字段組成基于結合MPLS標簽記
錄的概率包記錄法的定位請求包�����。概率包記錄法定位中�,根據IP攻 擊數據包包頭設定字段中所攜帶的標簽是否一致來區分進行追蹤所 需要的樣本攻擊包�,只有攜帶相同標簽的攻擊數據包才被加入同一個 攻擊樣本集中。
⑤基于組合公鑰簽名技術的邊緣概率包標記算法進行信源定
位時���,根據IP標記攻擊數據包中標記的邊緣路由器ID信息得到對應 的邊緣路由器的公鑰�����,利用邊緣路由器的公鑰對標記數據包中的數字 簽名進行驗證�����,如果對標記數據包的簽名驗證通過,則提取標記數據 包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器���,需要還 原正向標記交換攻擊路徑時,則從攻擊端邊緣路由器開始���,借助MPLS 網絡的標記轉發信息表信息或記錄的歷史標簽映射關系還原出標記 交換攻擊路徑,實施例步驟⑤由圖1中的基于包標記法定位模塊6 完成?�;诎鼧擞浄ǘㄎ荒K6完成基于組合公鑰簽名技術的邊緣概 率包標記法的信源定位���。
首先根據標記數據包中的所標記的邊緣路由器ID信息���,基于組 合公鑰矩陣得到對應的邊緣路由器的公鑰��。然后利用邊緣路由器的公 鑰對數字簽名進行解密�����,如果解密結果中ID信息與標記的路由器ID 信息一致����,時間信息在有效范圍內��,隨機數未曾重復出現����,則表示標 記信息可信�����;否則,表示標記是不可信的���。根據具有可信標記的攻擊 數據包中邊緣路由器的K)信息可以一步定位到攻擊端的入口邊緣路 由器。
需要還原正向標記交換攻擊路徑時�,可以從定位到的入口邊緣路 由器出發�����,如果標記轉發信息表的信息還沒有進行更新,直接根據 MPLS網絡的標記轉發信息表就可以還原出正向標記交換攻擊路徑; 而如果MPLS網絡的標記轉發信息表已經更新不存在了���,則到相應時 間段的歷史MPLS標簽映射表中進行入口/出口標簽映射關系的匹配 也可以還原出正向標記交換攻擊路徑,最終實現基于組合公鑰數字簽名技術的邊緣概率包標記法的信源定位����。
基于MPLS網絡標簽記錄的概率包記錄算法進行信源定位時���, 提取樣本IP攻擊數據包的特征字段����、時間信息及包頭中標記的標簽 信息�����,構造信源定位請求包���,通過與被攻擊端邊緣路由器的攻擊特征 匹配確定攻擊是否來自遠程局域網����,如果攻擊來自遠程局域網����,則被 攻擊端邊緣路由器將信源定位請求發往其上游鄰居路由器���,各上游鄰 居路由器將信源定位請求中的標簽信息與它們對應時間段標簽映射 條目中的出口標簽信息進行査詢匹配��,標簽信息匹配成功后進行信源 定位請求中各樣本攻擊數據包的攻擊特征的查詢匹配�,標簽信息和攻 擊特征均查詢匹配成功后表示當前進行匹配的路由器為攻擊路徑上 的一個路由器節點����,提取匹配命中路由器中匹配命中標簽映射條目的 入口標簽替代信源定位請求包中的標簽信息,再向匹配命中路由器的 各上游鄰居路由器發送信源定位請求包進行類似的標簽和攻擊特征 的査詢匹配過程����,直至當前匹配命中路由器的各上游鄰居路由器中再 沒有匹配命中的路由器���,實施例步驟⑥由圖1中的基于包記錄法定位
模塊7完成���?��;诎涗浄ǘㄎ荒��!镭?完成基于包記錄法的反向路徑
重構過程。
攻擊端的邊緣路由器(簡稱出口邊緣路由器)收到信源定位請求 后���,將信源定位請求包中的樣本攻擊數據包的特征信息在與信源定位
請求包中時間信息相符的對應時間段的Bloom filter數據結構中進 行攻擊特征信息的査詢匹配,如果查詢匹配成功�,則表示攻擊來自于 遠程網絡����;否則�,表示攻擊來自于本地局域網。 -
如果攻擊來.自于遠程網絡,則出口邊緣路由器信源定位請求包發 送給它的各鄰居路由器,鄰居路由器首先將信源定位請求包中的標簽 信息與標記轉發信息表中的標簽映射條目的出口標簽項進行匹配,如 果是非實時的情況�,則直接與歷史MPLS標簽映射表中對應時間段內 各標簽映射條目的出口標簽項進行標簽查詢匹配����。如果轉發信息表中 或歷史MPLS標簽映射表中沒有相匹配的條目�����,那么說明攻擊數據包 流不曾經由該路由器轉發���,不再需要進行樣本攻擊數據包特征信息的 匹配��。而如果匹配結果表明有對應的標簽匹配條目,則再查詢其對應時間段存儲的Bloom filter數據結構信息以確定是否記錄過樣本攻 擊包中的特征信息���,如果有記錄,那么表明攻擊包確實經過該路由器���, 接著提取匹配命中路由器中所命中的標簽映射條目的入口標簽替代 信源定位請求包中的標簽信息,構成新的信源定位請求包�����,發往命中 路由器的上游鄰居路由器����,上游鄰居路由器仍然進行如上所述的標簽 和攻擊特征的匹配過程,直到再沒有相匹配的路由器為止,那么當前 路由器可能就是攻擊端的入口邊緣路由器����。
在基于概率包記錄法的反向追蹤定位過程中��,判定命中一個路由 器節點需要匹配命中多少個樣本攻擊數據包的特征信息應該選擇一 個合適的命中閾值。命中閾值選擇的越大,精確性就越高�,但是相應 進行查詢匹配的系統開銷就越大;而命中閾值選擇的過小�,路有器節 點被假命中的概率就會較高���。實際應用時�����,需要對開銷和假命中概率 之間進行權衡,選擇一個合適的命中閾值。
⑦將信源定位結果返回給接收端的IDS����,完成對本次MPLS網絡 中網絡攻擊的雙向復合信源定位�,實施例步驟⑦由圖1中的重構攻擊 路徑和定位攻擊源模塊8完成����。重構攻擊路徑和定位攻擊源模塊8完 成對最后追蹤結果的整理并返回給受攻擊者或IDS。如果定位成功���, 則將攻擊路徑及最后定位的攻擊源返回;如果定位失敗����,則返回失敗 消息�。
完成多協議標記交換網絡的雙向復合信源定位���。
1權利要求
1. 一種多協議標記交換網絡的雙向復合信源定位方法��,其特征在于包括步驟①IP通信數據包進入多協議標記交換網絡的邊緣路由器傳輸時���,邊緣路由器依設定標記概率對IP通信數據包進行標記����,標記內容包括邊緣路由器的ID信息�����,采用基于標識的組合公鑰簽名技術對ID標記信息進行數字簽名,邊緣路由器將IP通信數據包加上MPLS頭變成MPLS通信數據包發送到多協議標記交換網絡中傳輸����;②MPLS通信數據包在多協議標記交換網絡中傳輸時���,MPLS通信數據包經過的每個路由器將依據設定記錄概率對MPLS通信數據包進行記錄����,記錄信息為MPLS通信數據包內容中具有固定長度的特征信息,記錄方法采用Bloom filter數據結構��,Bloom filter數據結構以預定周期循環更新���;在多協議標記交換網絡的出口邊緣路由器將MPLS通信數據包包頭中的標簽放進IP通信數據包包頭中的設定字段進行標記��;③當多協議標記交換網絡對標簽進行更新時���,記錄歷史標簽映射關系�����,以設定的時間周期對歷史標簽映射關系進行更新;④接收端的入侵檢測系統檢測到網絡攻擊時����,檢測IP通信數據包的攻擊數據包中是否存在標記有邊緣路由器ID信息的標記數據包����,如果存在標記數據包����,則進行基于組合公鑰簽名技術的邊緣概率包標記算法的信源定位����;否則,提取與設定記錄概率相關數量的樣本IP攻擊數據包���,進行基于多協議標記交換網絡標簽記錄的概率包記錄算法的信源定位;⑤基于組合公鑰簽名技術的邊緣概率包標記算法進行信源定位時�����,根據經過標記的攻擊數據包中標記的邊緣路由器ID信息得到對應的邊緣路由器的公鑰��,利用邊緣路由器的公鑰對標記數據包中的數字簽名進行驗證����,如果對標記數據包的簽名驗證通過����,則提取標記數據包中的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器,需要還原正向標記交換攻擊路徑時,則從攻擊端邊緣路由器開始�,借助多協議標記交換網絡的標記轉發表信息或記錄的歷史標簽映射關系還原出標記交換攻擊路徑����;⑥基于多協議標記交換網絡標簽記錄的概率包記錄算法進行信源定位時���,提取樣本IP攻擊數據包的特征字段���、時間信息及包頭中標記的標簽信息���,構造信源定位請求包����,通過與被攻擊端邊緣路由器的攻擊特征匹配確定攻擊是否來自遠程局域網���,如果攻擊來自遠程局域網���,則被攻擊端邊緣路由器將信源定位請求發往其上游鄰居路由器���,各上游鄰居路由器將信源定位請求中的標簽信息與它們對應時間段標簽映射條目中的出口標簽信息進行查詢匹配����,標簽信息匹配成功后進行信源定位請求中各樣本IP攻擊數據包的攻擊特征的查詢匹配��,標簽信息和攻擊特征均查詢匹配成功后表示當前進行匹配的路由器為攻擊路徑上的一個路由器節點,提取匹配命中路由器中匹配命中標簽映射條目的入口標簽替代信源定位請求包中的標簽信息,再向匹配命中路由器的各上游鄰居路由器發送信源定位請求包進行類似的標簽和攻擊特征的查詢匹配過程,直至當前匹配命中路由器的各上游鄰居路由器中再沒有匹配命中的路由器����;⑦將信源定位結果返回給接收端的入侵檢測系統�,完成對本次多協議標記交換網絡中網絡攻擊的雙向復合信源定位��。
全文摘要
本發明公開了一種多協議標記交換網絡的雙向復合信源定位方法�,它涉及通信網絡安全領域中通過信源定位技術對MPLS網絡中遭受的網絡攻擊進行主動反擊的技術����。它采用兩種算法相結合實現攻擊源定位一種是基于組合公鑰簽名技術的邊緣概率包標記算法,對進入網絡的數據包以設定概率進行標記����,并對標記進行基于組合公鑰的簽名��;另一種是基于MPLS網絡標簽記錄的概率包記錄算法,對網絡中傳輸的數據包以設定概率進行記錄�����,更新歷史MPLS標簽映射記錄�。信源定位系統依據標記信息或記錄信息可定位到攻擊源�����。本發明具有定位速度快�、網絡額外負載小�、健壯性好、有效性高��、系統開銷小等優點���,特別適用于對MPLS網絡中遭受的洪泛類攻擊進行定位�����。
文檔編號H04L12/56GK101447916SQ20081008021
公開日2009年6月3日 申請日期2008年12月25日 優先權日2008年12月25日
發明者劉存才, 巍 吳, 妥艷君, 張林杰, 艷 李, 李丹鏑, 楊國瑞, 趙麗霞, 煒 鄧, 駱連合 申請人:中國電子科技集團公司第五十四研究所