高校网络攻击溯源体系建设研究

目前的攻击溯源研究在应对APT等使用跳板及公共网络服务的网络攻击时，追踪溯源能力有限。为高效准确追踪针对高校的网络攻击源头、溯源攻击者的攻击过程，依据高校实际所处网络拓扑环境并结合当下常见的网络攻击方式，对公网用户、VPN用户、校内有线用户、校园无线用户四种网络访问情形下的网络追踪溯源体系建设进行了探讨和研究，提出了可行的溯源解决方案。网络管理者可依此方案追踪到攻击数据包的来源并定位攻击者，继而针对溯源结果采取网络安全应急措施，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，优化网络防护方案。实际测试结果表明，在符合溯源的前提条件下，均可准确溯源到攻击者。针对校内有线网络用户，由于缺乏认证功能，还存在一些技术和管理上的限制，后续还需进一步的调整和优化。

随着高校信息化建设的不断发展，校园业务系统建设的不断完善，高校信息安全已经成为不可忽视的问题， 网络攻击者可能会利用系统漏洞向目标主机发送特定的攻击数据包或执行恶意代码等攻击行为， 文献[1]分析了部分场景下校园网安全威胁[1]。由于网络攻击行为，不仅消耗网络带宽、占用系统资源， 而且影响用户正常访问互联网资源造成业务中断或者造成高校业务中断等不良影响，此外，也会增加互联链路的结算成本。当信息系统遭受网络攻击后，须立时做好安全防护并及时追溯攻击源头，若能追踪到攻击数据包的来源并定位攻击者，就可以执行如过滤攻击数据包、流量封堵等应急措施，同时也可以根据溯源结果，对攻击者进行溯源并采取相应法律手段[2]。因此，高校构建网络溯源体系势在必行。

网络攻击追踪溯源需要利用各种手段追踪网络攻击的发起者，并结合相关技术定位攻击源和攻击路径，实现网络取证能力，网络溯源在网络安全领域具有非常重要的价值。

2. 网络攻击溯源流程 网络追踪溯源本质是追踪查询网络攻击的源头， 通过分析不同节点的流量及状态， 追查定位攻击者， 利用技术手段重构并定位攻击者及攻击路径。基于追溯结果， 安全负责人可以在调整优化安全部署策略， 迅速减小网络攻击的危害程度，缓解攻击所带来的破坏面，同时也可作为证据提交相关机构对攻击者进行法律制裁[2]。在溯源过程中，若能获取到被攻击网络所处拓扑环境，对网络溯源追踪将起到决定性作用。由于网络所归属机构的规章制度，网络拓扑结构无法直接对外展示，因而追踪者在有些情况下无法直接获取被攻击环境的网络拓扑结构。同时，为防止追踪，部分攻击者会采用如匿名、跳板、代理、僵尸网络、匿名网络、虚拟IP [3]等技术伪造隐藏自己的IP，在这种情况下，网络拓扑将更难描绘，溯源问题也将变得复杂。

2.1. 网络攻击追踪溯源技术 文献[3] [4] [5] [6] [7]介绍了几种常见的网络攻击场景下的网络攻击分析工具及分析技术。通常，网络攻击溯源技术可以分为基于日志存储查询的追踪溯源技术、基于路由器输入调试的追踪溯源技术、基