邓志东，唐振营，李慧芹，谢瑞楠，刘 爽

（国家电网有限公司客户服务中心信息运维中心 天津 300309）

1 引言

在网络环境中，对网络攻击进行追踪溯源的技术具有非常重要的现实意义。其依据各种先进技术手段，精准定位网络攻击者，同时能够分析网络攻击的传播路径，以此来进行有目的性的反制措施，抑制网络攻击的频率，此外还能增强网络攻击的法律取证效果，在网络安全领域有了极强的应用。最近几年来，有关于网络环境安全数据的自动化猎捕和多源告警的溯源研究有了突破性的进展，形成了多种技术融合的方案，这些技术方案面对复杂化和多样化的网络攻击仍具有进一步的提升空间，需要进一步实现技术的整合和完善。国家电网安全管理系统非常庞大，每天的告警日志都能达到十万数量级，因此对这些告警日志进行人工处理并不现实，所以需要对安全数据进行自动化分析，实现自动溯源警告。国家电网的客户服务系统需要有一整套多源告警的溯源机制，统一归集告警数据，在计算机处理下，对告警数据进行仔细的分析和整合，发现信息中所蕴含的规律，并精准定位危险源，实现多源告警的溯源[1]。这样能将原有的十万数量级的告警日志进一步简化为数十条的告警日志，能大大减轻网络安全管理人员的任务。分析多源告警的溯源技术时，能详细表达相应的关联结果，最终处理所得到的告警日志可由人工直接进行处理，之后再进行验证处置，解放网络安全管理人员的工作时间，同时也能详细分析所面临的真正的网络安全威胁，认真地研判分析告警数据，实现整个国家电网客户服务系统网络终端系统的自动化维护。如果发生网络攻击事件能够及时进行安全事故响应，避免发生网络攻击事故，减少可能出现的损失。

2 对于网络攻击追踪溯源的技术性概述

对网络攻击追踪溯源的技术性方案按照深度和精确度的要求，可以划分为4个主要的层次。在此探讨第一和第二层次的追踪溯源，找到攻击者所控制的网络，从而实现对网络攻击目标的定位。

2.1 第一层次研究

第一个层次的追踪溯源也被称为IP追踪，追踪技术多种多样，可以划分为路由调试技术、数据摘要技术以及数据标记技术[2]等。

路由调试技术主要是利用路由器的接口沿着攻击数据的传播路径，对其来源进行反向的调查。这种追踪调查的效率比较低，仅仅依靠人工进行操作，很难自动跟踪和查找网络攻击的源头。

借助信息能够触发相应的ICMP数据包，计算机能够收集ICMP路径的信息数据，重新追踪和溯源攻击者的攻击路径。但这种方法在追踪溯源的过程中会产生大量的流量，并且对网络的性能影响较大，在追踪过程中容易被网络自身的防火墙堵塞，使用是有较多的限制。

日志技术主要是利用在网络地址包进行传输过程中，由路由器对转发的数据进行相应的复制和计算，并且记录每一个数据包中的摘要，利用系统中的回溯机制，对于转发的数据信息进行追踪，包括网络地址完整的传输路径。这种技术的优点是能够反向跟踪所有的数据包，几乎不存在漏检的可能性，且操作性较强。日志技术的缺点是它要与RSP之间密切合作来完成[3]，对于路由器的存储功能要求比较高，对于路由器的IPu消耗量比较大，并且很可能对路由器的流量带来相应的影响，降低其使用的性能。

日志分析技术而是对于主机系统的日记信息进行分析和跟踪，重点关注被攻击者已经修改或者是删除的相关联的日志数据，对于破坏信息的过程进行全过程的跟踪，已实现追踪溯源的目的。

网络快照技术主要是能够实时捕捉主机系统所有的状态信息，然后将所捕获的信息进行有效地整合与分析。网络快照技术与日志分析技术相比，在实施性和精确性上更加有优势，但是所花费的网络资源更大。

网络数据分析技术主要对在受到攻击时，对于发生攻击数据流上一级节点进行跟踪识别。这种技术能够根据攻击数据流的时间和内容叛变攻击的数据相关性，能够准确梳理出主机面临的复杂关系，然后对上部主机进行追踪的溯源。但这种技术如果对匿名加密的攻击流进行追踪溯源，将面临较大的难度。

网络水印主要目的是确认接收和发送者之间的关系。这种技术与被动的流量分析相比，漏报率降低，进行实时观测的数据能够大幅度减少，但是如果面对多流的攻击形式，网络水印技术也难以发挥其有效的应用。

事件响应技术可以通过追踪溯源技术人员对于网络进行特有的干预，主要目的是观测事件在网络环境中的变化，有变化信息可以确认网络行为，确定整个事件的因果之间的联系，实现信息的实时追踪。由于事件响应技术存在延后性，因此其正确率较低，并且信息分解的整个过程较为复杂，所以在实际中应用比较少。

2.2 第二层次的溯源目标

针对于第二层次的溯源目标，主要是确定攻击者的主机。网络攻击中一般存在较强的因果联系，这种因果联系在网络攻击事件中具有某种顺序，从而形成多种控制性关系。经过研究可以发现在网络攻击中可以形成多对多和多对一，甚至是多一对多的控制关系。网络攻击者要想窃取某台主机的数据，可以根据相应的控制程序决定控制方法，也可以复制主机的控制模式，按照由弱到强的形式，将整个控制划分为反射性控制、跳板型控制、僵尸控制以及物理性控制等多种控制技术。对于安全数据猎捕和多源告警溯源技术人员来说，在未知情况下需要确定攻击者的攻击手段和控制手段是非常不容易的，需要沿着网络攻击的事件因果链，逐渐逆向开展网络追踪溯源技术，才能确定攻击源。第二层次追踪溯源的目标其实是一个推理的过程，借助攻击者所使用的网络设备逆向对数据流传播途径进行有效的反向查找[3]。这一过程中必须注意网络设备可以被攻击者所控制，攻击者和被攻击者之间所形成了一场网络博弈。目前，还没有技术能够直接确定网络攻击者的主机，因此需要对主机内部实施有效的监测，可以在主机信息日志系统信息进行分析，捕获主机相应的信息数据，分析主机信息流，并对信息流展开相应的识别，以便确定网络攻击的因果关系及后续的追踪和溯源。

3 对于大规模网络攻击的多源告警溯源技术探究

多源告警溯源机制经过多年的发展，已经有了成熟的系统，但是随着网络系统逐渐迈向复杂化和深层次化方向，对于多源告警溯源系统需要进一步进行整合，以实现实用性的解决方案。在大规模网络攻击条件下，多源告警溯源技术主要面临以下几方面的问题。

第一是关于网络规模的问题。如果网络环境在特别复杂的大规模条件下，对于攻击的多源告警溯源研究必须要考虑，由于网络规模扩大所带来的影响，整个溯源系统面对网络攻击时会产生大量的数据，这种数据必须依靠强大的数据挖掘才能够有效实现追踪其路径以及介质的目的。对于网络节点所流经的数据流量比较大，对追踪溯源方案提出了更高的性能要求。并且面对海量的数据，需要进行实时的处理和存储，以避免发生信息的堵塞。溯源数据在大规模的网络攻击中，若想得到数据的有效整理，必须要采用分布式的保存形式，采用数据挖掘方法，对于溯源数据进行处理[4]。溯源数据要在整个系统内部实现协同，需要考虑大规模网络自身对数据的影响，避免由于追踪溯源而使得整个网络数据受到干扰。对于追踪溯源的设备，在使用过程中需要考虑成本的因素，以满足经济上的可行性和现实中的可操作性。

第二个问题是关于网络管理者的多样化。大规模网络流量中，每一个网络区域后面的网络管理机构不同，因此需要充分考虑不同的网络管理机构如何实现区域的溯源，比如说不同的网络机构如何交换溯源的数据，在溯源过程中如何符合网络管理的规范性等等。

第三个问题是关于网络架构的问题。在大规模网络中，网络体制不同，演进的路径不同。例如，移动通信正在由4G向5G迈进，Rpv4逐渐向rpv6迈进[5]，同时企业之间也由于合并或者是业务之间的融合性影响，移动互联网的发展、三网合一的影响等等。对网络进行数据的追踪溯源，需要考虑到大规模网络环境下所面临的复杂环境，对最终溯源的设备配合性、接口的接入问题以及设备的部署问题需要进行深入的探讨，这样才能够有效保证溯源所得到的结果具备真实性和准确性，保证溯源的有效性，同时能够实现可靠的降级。

第四个问题是关于溯源设备的部署。由于大规模网络攻击所面临的非常规性以及复杂性，在进行网络设备的部署时，需要考虑长远，在部署溯源设备后，就能够立即发挥效益，并且随着溯源设备生态系统的形成，追踪溯源的成功以及精确度能够得到快速的提升。对于一些依靠路由器技术而进行追踪溯源的方法，由于需要面临路由器的升级以及改造的问题，如果重新建设网络，进行溯源设备的大规模部署，难以在现实中完成。

第五个问题是攻击命令以及控制的机制。对于网络环境进行攻击，一般使用多级跳板机制，这种性质是中间进行加密，并且对数据流进行有效的改变。有的攻击者会利用僵尸网络攻击网络环境，或采用复杂的命令控制模型，这种模型能够有效排除安全人员的追踪服务器，防止安全人员找到追踪者所使用的主机。

第六个问题是关于网络环境攻击者所采用的隐蔽通信的技术。为了保证自己的网络攻击不被发现，网络攻击者一般采用多种隐蔽手段，如使用P2P的网络和通信网络采用匿名制等，隐藏恶意的木马软件和蠕虫病毒，转移僵尸客户端和网络攻击者之间的通信。如果在进行大规模网络数据工具后，所窃取的网络数据一般也采用免费邮箱进行传播，或者是采用数控主机上其他隐藏区域进行隐蔽式传播。网络攻击者可以采用加密或者是ssl加密等技术性手段，避免在网络攻击中受到一些监听的手段，因此针对于目前的技术来说，对于识别攻击者所使用的通信环境以及数据具备相当大的难度。

要实现真正的安全数据的自动化内部以及多源告警的溯源技术，必须要解决以上的6个问题，制定出相应的解决方案，这种追踪溯源告警技术才能够具有实用价值。只借助于单一的追踪网络技术，优缺点比较明显，同时也具有自身的适用性，在大规模网络攻击环境下，并不具备追踪溯源的技术性标准，因此必须对各种追踪技术进行有效的整合，采用多种追踪溯源的技术性手段。

从目前技术性手段上来说，对于网络攻击的追踪溯源技术采用融合手段进行研究目前掌握的文献比较少，在特定的网络环境下，比如说IPv4与IPv6混合的环境或者是单独的IPv6的环境，能够给出一定的网络追踪溯源的解决方法；或者是使用数据标记法与路由的记录法之间能够进行有效的融合，网络中的路由器能够根据自身转发的数据标记，对于空余情况进行记录，并且及时进行调整。当路由器所标记的位置发生空余时，能够及时将相应的地址信息填入标记的位置，否则路由器将会存储数据包中的摘要信息，并且对标记信息有效进行清除。这种方法能够有效融合数据标记法和路由器记录法的优点，通过使用数据标记，能够有效减轻路由器在信息流分发时所面临的存储的重压，能够有效减少录入数据所面临的管理性开销。这些融合性的方法以网络攻击的多源告警溯源技术作为研究，但是在实际应用中灵活性比较差，并不具备较强的通用性，一般只能处理一些特定的网络攻击的追踪溯源的案例，如果无法引入新的溯源技术和手段，将很难改变单技术，进行网络攻击溯源的矛盾性的困境。

面对这种情况，可以采用这种手段进行有效的融合，以实现对网络攻击进行有效的追踪溯源的方法。可以借助于协作以及非协作之间的追踪溯源机制，利用通用的网络追踪溯源的技术性框架来实现溯源算法以及系统架构的有机融合，以实现对于多源告警准确定位的目的。

4 多源告警追踪溯源机制的系统性网络构架

采用多种的追踪溯源技术需要进行有效地融合，对于系统架构进行充分完整的设计，对于所追踪的溯源信息要实现规范化，对于追踪到的信息，要进行有效的处理。在设计多源告警追踪溯源机制系统构架的过程中，需要充分考虑构建的整体分布，对于单一来源的溯源，要进行有效的组建聚合，对于组件之间的通信机制要深入进行研究，需要保证信息的可拓展性。规范化处理溯源的信息是多源告警追踪溯源机制的基础，能有效解决统一性的描述问题。借助于多源信息的有效处理，能够充分汇聚不同网络来源的信息，并且实现对信息数据的挖掘和判定。在设计有效的系统架构时，能够实现多源追踪系统有效的定位，这也是多种溯源技术的核心所在。

多源告警追踪溯源机制主要由网络攻击信息的采集组件、信息的处理组件、数据库分析组件以及协同组件等相关部分组成。网络攻击信息数据采集系统的主要功能是能够对各种追踪溯源的信息进行收集和整理，具有多种形态。网络系统主机上的流量监控软件能够及时收集防火墙和安全防护系统的日志信息，实现其有效整合，并能与管理体系对安全信息软件模块的信息进行交换，收集路由器内部功能模块的数据，并整理网络信息数据，这一部分专门使用的硬件设备组成了信息收集系统。

溯源系统的软件部分主要负责汇聚各种溯源信息，转换各种溯源信息的格式，规范化处理后将信息转存到相应的信息数据库中。处理过网络攻击的数据库之后，与单一追踪溯源技术相互结合，从而实现有效的衔接。

根据溯源信息所建立的数据库主要负责储存收集来的溯源信息。信息库不是一个独立的实体，它可以根据网络管理的要求保证所收集的溯源信息能够可靠的存在，并满足性能标准。

有效分析溯源信息是溯源任务的基本需求，可通过快速查询系统管理数据信息数据库，获得有效的溯源追踪任务成果，另外还能进行跨越网络的溯源转化，有效处理协同组件。

对于溯源协同的组件可以形成跨越网络的管理任务，能够实现网络管理的多个层级的转换，在大规模网络多源溯源研究中具有广泛的应用。它能够有效实现内部的信息，互相联通，并且兼顾区域内部的任务完成度，有效实现在大规模网络内部对于信息的有效保护。同时这一溯源组件还对于跨越网络的溯源方法进行有效的整合，比如说在基于DNS防御中的攻击溯源等领域具有广泛的应用。

进行多源告警溯源机制技术核心主要是将以往多种单一的溯源技术进行有机的融合，这一融合方法需要对组件进行分析，然后进行协同，这样才能够处理不同类型的溯源信息，对于不同溯源技术所带来的数据变化以及特征之转换和关联分析之间进行有效的整合，以实现过程中的衔接任务[6]。

在进行多源告警溯源信息来源分析中，许多数据信息类型不同，比如说所使用的安全管理的信息，网络数据的信息，保护机制的信息等等，其各种信息在真度上也存在差异。比方说是基于网络日志的追踪溯源，包含完整的数据整合信息，有的只包含数据摘要的信息。因此在处理溯源信息时，情况较为复杂，涉及到溯源信息的整体规范化和特征化处理，对于溯源信息进行关联性分析。我们采用一个简化场景来探讨追踪溯源的主要原理。

在大规模数据网络a中，网络管理系统发现一个攻击数据包，因此由管理系统将攻击数据包的信息完整的转接给数据溯源系统。在整体网络a设置有溯源的设备，主要是信息日志的采集装置，这种信息采集装置能够有效涵盖并查询信息数据包的完整信息。对于攻击网络黑的数据源进行溯源分析，借用相应的溯源分析的组件，可以对相应的内部数据库进行有效的查询。网络数据a的大规模数据可以集中进行保存，也可以采用分布式存储的方法。然后进行溯源分析，经过一定的分析和处理之后，能够确定网络攻击的来源主要是起源于网络的外部，并且能够确认是由边界路由器A1所导致的。

在网络溯源系统中，根据溯源系统任务分工的不同，将溯源任务重新交给子系统进行进一步的深化溯源。如果在网络信息域间存在有子系统或者是其他协同软件支持网络协议等溯源，能够进一步确认攻击网络a的下一步网络c，那么需要对网络c进行进一步溯源。如果相应的溯源机制没有其他网络的制度化支持，则可以借助于相应的路由器系统。将网络工地的溯源任务部署在其他溯源设备中。首先是需要根据网络数据包内部的信息摘要系统以及从内部数据库所对比的信息，以确认能够攻击网络的主机a以及相关的边界路由器之间的连接路径。如果攻击网络环境主机的a旁边部署了相应的安全审计信息收集设施，那么可以直接提取相应的信息数据流的日志，如果不存在信息数据的日志，那么可以根据攻击主机的网络流的时间以及流量等其他特征，对于主机是否是攻击者所使用的僵尸主机或者是进行其他攻击的跳板进行有效的验证；如果经过分析之后确认攻击来源的控制手机是进行攻击的主要方面，那么需要结束整个溯源的过程，并且将溯源的结果返回到整个溯源系统显示中。如果没有这样的结论，那么需要进一步提取溯源信息，并且需要对上一主机的进行进一步的追踪，以实现精确的追踪溯源的目的。

多源告警溯源具有耦合性，它能够根据溯源信息作为主要的中心，然后融合不同的溯源技术方法，这样能够有效减轻在进行数据多源告警溯源过程中所面临的强耦合的问题。多源溯源系统具有异构的特性，能够根据项目完成的实际情况，分阶段的对溯源系统进行部署，可以允许部分设备在部署完成时就可以对路径进行追踪溯源，一旦缺少某些设备，也能够完成整体的溯源工作；多源告警溯源机制具有可拓展性，借助于不同的溯源设施，能够融合不同的溯源技术方法，同时也可以方便增加比较新的溯源技术机制；多源告警溯源机机制同时还具有分布性，借助于多源溯源信息存储及处理系统，能有效降低网络信息单点的处理能力，同时它能够有效强化系统面对网络攻击时的反应能力，因此具有非常广泛的使用价值。

5 结论

在大规模网络环境下，国家电网客服服务系统和其他管理系统很容易受到网络病毒的攻击，因此对于网络攻击进行追踪溯源具有非常重要的现实意义。在追踪溯源的过程中，需要融合多种技术方法，将这些方法在统一的构架上进行融合，同时要具备较强的可拓展性，同时需要方便部署，将多种溯源方法进行有效的整合，实现信息的联通以及协同，这样才能够实现整个网络信息系统的安全。目前对于安全数据的自动化猎捕和多源告警溯源技术研究还处于初步阶段，需要进行进一步深化，才能不断完善多源攻击追踪溯源技术，不断保障网络环境的安全。