本發明公開了一種基于監控探針聯動的網絡安全事件溯源系統與方法，它能夠對網絡安全事件進行精確溯源。其技術方案為：該方法包括：a.根據待溯源的網絡安全事件的有關信息，選擇合適的監控探針并確定適用的溯源規則；b.將該些溯源規則發布至該些監控探針，收集該些監控探針依據該些溯源規則采集的監控數據，從該些監控數據中提取該網絡安全事件的包含發起源IP地址的信息；c.若滿足溯源結束條件，則轉至步驟d，否則更新該網絡安全事件的信息后轉至步驟a；d.將當前的該發起源IP地址作為該網絡安全事件的最終發起源IP地址提交，流程結束。本發明應用于網絡安全領域。

1.一種基于監控探針聯動的網絡安全事件溯源系統，結合入侵檢測、網絡監
控和安全審計軟件模塊對網絡安全事件進行精確溯源，該系統包括一個溯源控制中
心和多個與該溯源控制中心通過網絡通信的監控探針，其中，
該些監控探針進一步包括：
溯源規則接收模塊，實時接收從該溯源控制中心發布的溯源規則；
溯源規則轉換模塊，將接收到的該些溯源規則轉換成該入侵檢測、網絡
監控和安全審計軟件模塊可接收的格式并以此格式提交；
監控數據轉換模塊，將該入侵檢測、網絡監控和安全審計軟件模塊生成
的數據轉換成與該溯源控制中心約定的監控數據格式；
監控數據上報模塊，將監控數據實時上報到該溯源控制中心；
總控模塊，啟停各個模塊，檢測故障及恢復；
該溯源控制中心進一步包括：
監控探針信息庫，存儲該些監控探針的信息；
溯源規則庫，存儲該些監控探針對應的溯源規則；
監控數據庫，存儲該些監控探針傳送來的監控數據；
溯源規則發布模塊，連接該溯源規則庫，將存儲于該溯源規則庫且已經
形成的溯源規則向相應的監控探針發送；
監控數據接收模塊，連接該監控數據庫，實時收集各個監控探針上報的
監控數據，并存放于該監控數據庫中；
監控探針信息維護模塊，連接該監控探針信息庫，錄入、更新、刪除該
些監控探針的信息；
溯源規則生成模塊，連接該監控探針信息庫和該溯源規則庫，根據網絡
安全事件的信息制定所需的溯源規則；
監控探針選擇模塊，連接該監控探針信息庫，根據監控探針的信息以及
網絡安全事件的相關信息選擇適合進行溯源的監控探針；
發起源IP地址提取模塊，連接該監控探針信息庫，根據監控探針的信息
以及監控數據提取路由上最接近網絡安全事件的發起源的源IP地址；
監控數據篩選模塊，連接該監控數據庫，根據發布的溯源規則和截獲時間，
篩選出與待溯源的網絡安全事件相關的監控數據；
溯源總控模塊，連接該溯源規則生成模塊、監控探針選擇模塊、發起源IP
地址提取模塊和監控數據篩選模塊，調用該些模塊以實現溯源過程；
用戶接口模塊，連接該監控探針信息維護模塊和溯源總控模塊，接收用戶
輸入，定義網絡安全事件的特征，向用戶返回溯源結果。
2.根據權利要求1所述的基于監控探針聯動的網絡安全事件溯源系統，其特
征在于，該溯源總控模塊中還設有一迭代單元，迭代溯源過程。
3.根據權利要求1所述的基于監控探針聯動的網絡安全事件溯源系統，其特
征在于，該些監控探針部署于網絡的主要通道并采取旁路式監聽，包括企業網的網
絡出口、NAT后端網絡通道、互聯網數據中心網絡出口、省/市網絡出口以及國際出
口。
4.根據權利要求1所述的基于監控探針聯動的網絡安全事件溯源系統，其特
征在于，該些監控探針的描述信息至少包括：監控探針標識、對外IP地址范圍、
內部IP地址范圍和溯源規則，其中對外IP地址范圍是可能被其他部署于監控網絡
外部的監控探針所截獲的源IP地址的集合，內部IP地址范圍是通過該監控探針所
監控的網絡通道訪問互聯網的所有IP地址的集合。
5.根據權利要求1所述的基于監控探針聯動的網絡安全事件溯源系統，其特
征在于，該溯源規則至少包括溯源規則標識、網絡安全事件的源IP地址、網絡安
全事件的目標IP地址、網絡安全事件相關的傳輸層協議、源端口、目的端口和事
件匹配特征描述。
6.根據權利要求1所述的基于監控探針聯動的網絡安全事件溯源系統，其特
征在于，該監控數據至少包括監控探針標識、截獲時間、溯源規則標識、網絡安全
事件的源IP地址、網絡安全事件的目的IP地址、網絡安全事件相關的傳輸層協議、
源端口、目的端口和事件匹配特征描述。
7.一種基于監控探針聯動的網絡安全事件溯源方法，對網絡安全事件進行精
確溯源，該方法包括：
a.根據待溯源的網絡安全事件的有關信息，選擇合適的監控探針并確定適用
的溯源規則；
b.將該些溯源規則發布至該些監控探針，收集該些監控探針依據該些溯源規
則采集的監控數據，從該些監控數據中提取該網絡安全事件的包含發起源IP地址
的信息；
c.若滿足溯源結束條件，則轉至步驟d，否則更新該網絡安全事件的信息后
轉至步驟a；
d.將當前的該發起源IP地址作為該網絡安全事件的最終發起源IP地址提交，
流程結束。
8.根據權利要求7所述的基于監控探針聯動的網絡安全事件溯源方法，其特
征在于，步驟a確定合適的監控探針的過程進一步包括：
(1.1)查找所有對外IP地址范圍包含該網絡安全事件的源IP地址的監控探
針，如果存在，則以上述的監控探針形成第一監控探針列表，其余的監控探針形成
第二監控探針列表，轉至步驟(1.2)；否則再查找所有內部IP地址范圍包含該網
絡安全事件的源IP地址的監控探針，如果存在則以上述的監控探針形成第一監控
探針列表，其余的探針形成第二監控探針列表，再轉至步驟(1.2)；否則再轉至
步驟(1.4)；其中對外IP地址范圍指有可能被其他部署于監控網絡外部的監控探
針所截獲的源IP地址的集合，內部IP地址范圍是通過該監控探針所監控的網絡通
道訪問互聯網的所有IP地址的集合；
(1.2)在該第一監控探針列表中，比對各個監控探針的對外IP地址范圍，如
果某個監控探針的對外IP地址范圍完全包含在另一個監控探針的對外IP地址范圍
中，則淘汰后者，重復以上淘汰操作直到沒有可淘汰的監控探針；然后再比對各個
監控探針的內部IP地址范圍，如果某個監控探針的內部IP地址范圍完全包含在另
一個監控探針的內部IP地址范圍中，則淘汰后者，形成第三監控探針列表；
(1.3)在該第二監控探針列表中，尋找對外IP地址范圍完全包含于形成該
第三監控探針列表中的監控探針的對外IP地址范圍的監控探針，加入到該第三監
控探針列表；然后再次在該第一監控探針列表中尋找內部IP地址范圍完全包含于
形成該第三監控探針列表中的監控探針的內部IP地址范圍的監控探針，加入到該
第三監控探針列表中，形成第四監控探針列表，轉到步驟(1.5)；
(1.4)在所有監控探針中，比對各個監控探針的對外IP地址范圍，如果某
個監控探針的對外IP地址范圍完全包含在另一個監控探針的對外IP地址范圍中，
則淘汰前者，重復以上淘汰操作直到沒有可淘汰的監控探針，形成第四監控探針列
表；
(1.5)該第四監控探針列表中的監控探針即為合適的監控探針；
步驟a確定適用的溯源規則的過程進一步包括：
(2.1)針對對外IP地址范圍與內部IP地址范圍不同的監控探針，如果該網
絡安全事件的源IP地址屬于該監控探針的內部IP地址范圍，則將該溯源規則的目
的IP地址置為該網絡安全事件的源IP地址，否則將該溯源規則的目的IP地址置
為該網絡安全事件的目的IP地址；
(2.2)針對對外IP地址范圍與內部IP地址范圍相同的監控探針，將該溯源
規則的目的IP地址置為該網絡安全事件的源IP地址；
(2.3)根據該網絡安全事件本身在網上傳輸數據包的特征，設定該網絡安全
事件的事件匹配特征描述，直接復制該網絡安全事件的最初的事件匹配特征描述；
(2.4)根據需要增加對上述所設定的目標IP地址的遠程操控協議服務端口
規則；
(2.5)所得到的溯源規則即為適用的溯源規則。
9.根據權利要求7所述的基于監控探針聯動的網絡安全事件溯源方法，其特
征在于，步驟b確定該網絡安全事件的包含發起源IP地址的信息的過程進一步包
括：
(1)選擇溯源規則和截獲時間均匹配的監控數據作后續處理；
(2)針對該監控數據進行以下操作以確定該發起源IP地址：
(I)一條監控數據記錄的源IP地址等于另一條監控數據記錄的目的
IP地址，淘汰前者的源IP地址；
(II)當一個監控探針上報的監控數據中，源IP地址屬于另一條監控
數據記錄所屬的監控探針的對外IP地址范圍，則淘汰前者提供
的監控數據中的源IP地址；
(III)當一個監控探針上報的監控數據中，源IP地址不屬于其內部IP
地址范圍，而存在另一個監控探針上報的監控數據中，源IP地
址屬于其內部IP地址范圍，則淘汰前者提供的源IP地址；
(IV)如果兩個監控探針上報的監控數據中，源IP地址均屬于其內部
IP地址范圍，而其中的一個監控探針的內部IP地址范圍包含于
另一個監控探針的內部IP地址范圍，則淘汰后者提供的源IP地
址；
(V)如果存在兩條監控數據記錄，其中一條監控數據記錄的源IP地
址為境外地址，目的地址為境內地址，另一條監控數據記錄的源
IP地址為境內地址，目的地址為境外地址，則淘汰前者包含的
源IP地址；
(VI)經過以上淘汰過程，剩下的IP地址為所述發起源IP地址。
10.根據權利要求7所述的基于監控探針聯動的網絡安全事件溯源方法，其
特征在于，步驟c中的結束條件是預先設定的溯源次數和溯源時間已經到達、沒有
收集到該網絡安全事件的相關監控數據、沒有更新該網絡安全事件的相關信息或其
任意組合；且步驟d中的最終發起源IP地址為單個IP地址或由多個IP地址構成
的一個地址列表。