一种基于区块链的通用性IP溯源系统及方法与流程

一种基于区块链的通用性ip溯源系统及方法
技术领域
1.本发明涉及网络安全领域，特别涉及一种基于区块链架构的通用性ip溯源系统及方法。


背景技术：

2.如今互联网已经成为人类生活的一部分，然而互联网在便利生活的同时也带了一些危机。网络中充斥各种ip匿名攻击，比如d(d)os攻击，勒索软件攻击。此类网络攻击产生的根本原因是互联网的无状态运行。同时，由于互联网的无状态性质以及攻击者可以任意地伪造ip报头中唯一表示其身份的源地址字段，使得追踪网络犯罪来源变得极为困难。因此，若要根本性地杜绝此类攻击，必须在网络中建立跟踪机制，收集数据包经过的路径信息从而改变网络的无状态性质以定位攻击源。
3.long cheng等人在文章《fact:a framework for authentication in cloud-based ip traceback》中提出了一种基于云服务器的ip溯源架构。该架构分为三层，由上到下分别为溯源协调层，自治域级溯源服务层以及基础网络层。启用溯源功能的路由器负责收集流量信息并上传至由溯源服务器管理的云存储设备中；用户访问溯源系统的入口，只负责查询而不存储任何溯源数据；通过引入云服务器，将原本由路由器负责的数据存储、路径回溯功能迁移至云设备中，在上述架构下，现有技术提出了一种基于数据流的ip溯源方法。在该溯源方法中，边界路由器在从一个自治域(autonomous system，简称as)到另一个自治域的流中标记其身份(例如，全局唯一的自治域号)。通过这种方式，方便地维护了溯源as之间的逻辑链接。因此，在追溯过程中，下游的as将能够知道在此次溯源中应该被回溯的下一个as。基于云的回溯中，回溯过程从一个用户向溯源协调器发送查询开始。假设用户启动了一个回溯请求，该请求由5元组流id(srcip、dstip、srcport、dstport、协议)和估计的攻击时间组成。溯源协调器将第一次接触与溯源服务器在同一个域的受害者,负责这个溯源请求的身份验证。在验证时,本次溯源服务回溯数据流的上游溯源自治域信息将会被返回。在下一步中，溯源协调器向上游的溯源服务器发送一个查询。上游溯源服务器返回数据流中的标记信息，该标记指向了本次溯源的下一跳溯源自治域。溯源协调器将终止递归查询过程，直到一个溯源服务器将自己标识为在攻击路径上的第一个溯源自治域。显然，这种逐跳查询的方法通过避免洪泛式回溯查询实现了高效的回溯处理。
4.但这种基于云服务器的ip溯源架构虽然解决了传统溯源方法中路由设备资源有限这一束缚，但是没有考虑自治域之间的竞争关系，依然无法有效地促进溯源系统的实际部署。此外，现有技术提出的溯源方法采用逐跳查询的机制避免了洪泛式回溯查询实现了高效的回溯处理，但是这种溯源机制仍然存在提高效率的空间。导致的原因主要在于：网络的组成结构决定了要想在全网范围内实现ip溯源，不可避免地会有多个自治域(as)参与其中，并且需要自治域之间的合作。然而，作为独立的经济或政治实体，自治域间由于存在利益竞争相互之间并不信任。在这种无信任环境下，若想促进域间合作、推进溯源系统的实际部署、扩大溯源系统部署规模，溯源系统必须成为一个公平公正、平等自愿、协商一致、诚实
守信的合作平台。然而，上述基于云服务器的ip溯源架构并没有充分考虑自治域间的商业关系，默认自治域间的友好合作关系，这种假设显然不现实，不利于溯源系统的实际部署。在溯源机制方面，现有技术采用了“串行”的访问机制，与“并发”的访问机制相比，仍然存在不足。


技术实现要素：

5.为了推进溯源系统的大规模部署，本发明借鉴现收现付的商业模式，提出一种基于区块链的通用性ip溯源系统及方法，基于云服务器的ip溯源系统中加入区块链模块，利用其去中心化、不可篡改等优势，在增强系统鲁棒性的同时将系统服务过程透明化，消除各自治域之间的不信任，以此将ip溯源系统打造成为可信的溯源合作平台，通过保障自治域的商业利益推动溯源系统的实际部署；此外，本发明的溯源系统中提出一种“并发”式回溯机制，进一步提高了溯源效率。
6.本发明所述溯源系统分为四层，由下到上分别是：数据采集层、溯源服务层、溯源监督层、溯源协调层。所述数据收集层由溯源自治域构成，负责持续性地数据流采集，并及时上传至域内控制中心长期存储；溯源服务层由自治域控制中心构成，负责数据流样本的存储以及响应溯源协调层的溯源请求；溯源监督层是一个以控制中心为区块链节点的区块链网络，负责监控溯源系统服务过程；溯源协调层是访问系统的中心点，不存储任何回溯数据，作为服务中心，对外响应用户请求，对内根据需求协调自治域响应服务。
7.进一步的，所述溯源监督层包括：数据模块、共识模块、验证模块。所述数据模块为“服务消息”的事务数据结构来表示溯源服务操作，保留历史溯源服务操作，以merkle散列树mht的形式存储在区块链中；所述共识模块为一个分布式的基于权益证明的共识机制来分散信任，在区块链节点之间建立了激励机制；所述验证模块在记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区快进行验证。
8.进一步的，所述数据模块定义一种称为服务消息的新的事务数据格式，用于表示自治域控制中心响应溯源服务中心请求的具体操作；服务消息中的所有字段如下：
9.签名算法id、签名值、服务请求者名：标识请求溯源服务的用户信息；
10.响应者名：响应溯源服务的自治域；
11.操作类型：服务类型，比如溯源；
12.时间戳：溯源服务发生的时间；
13.事务标识：当前整个事务的哈希；
14.溯源数据哈希：用于检测溯源数据的完整性；
15.某一时间段内的事务由“记账者”负责处理打包成区块，然后发布，经过验证后上链。区块是区块链结构中的基本数据单位，区块首尾相连组成区块链；区块的数据结构如下：
16.区块高度：标识区块序号，描述区块在区块链中的位置；
17.区块标识：通常指区块哈希，区块在区块链中的唯一标识；
18.前一区块标识：通常指前一区块的区块哈希，区块在区块链中的唯一标识；
19.默克尔树根：由本区块里相关的信息通过树状结构算法汇总生成的摘要值；
20.区块时间戳；表示本区块的生成时间刻度(正整数)，从1970年起的时间计数，精度
为毫秒数，正序增加；
21.事务列表：区块中的事务列表，每个事务通常表示一个业务操作；
22.进一步的，所述共识模块在dpos共识协议基础上，自治域对应“持币人”的角色，在选举超级节点时可以免去投票环节，由isp从自己的自治域中选取；isp选取的超级节点数量与isp管辖的溯源自治域数量成比例；所述超级节点的权利相等，按照既定时间表轮流产生区块。所有的超级节点成功发布区块将收到额外的报酬，若被发现存在不良行为，则会被剥夺代理资格。每个自治域控制中心将作为一个区块链节点，每个区块链节点有一对公钥、私钥做为登陆区块链网络的账户。自治域按照所属isp分组，每组选出若干节点作为超级节点，剩余节点为跟随节点。所述超级节点作为isp的代理节点代替跟随节点执行记账和验证功能。
23.进一步的，所述验证模块的中的记账节点外和验证节点都会收到大量的事务信息，记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区快进行验证；具体为：利用已有事务信息检验事务列表中的事务信息是否被篡改，若确定存在数据篡改行为，则对相关打包节点进行惩罚，包括剥夺代理资格；被剥夺代理资格as永远丧失记账资格，该as所属isp的超级节点名额永久减一；针对某次服务，根据用户签名扫描区块链获取完整的相关事务信息，还原服务过程。记账节点和验证节点在验证通过后，要将以上链的事务信息从事务池中剔除，为下次记账和验证做准备。
24.进一步的，本发明基于区块链的通用性ip溯源方法包括两个阶段：追踪痕迹建立阶段和攻击路径重构阶段，追踪痕迹建立阶段的参与者是数据收集层和溯源服务层；数据收集层通过采样设备采集域内的数据流，将数据样本实时上传至溯源服务层(自治域控制中心)存储；自治域边界出口路由器将asn自治域号作为标记写入数据流以建立追踪痕迹；所述溯源服务层在该阶段维护数据流样本数据库。攻击路径重构阶段的主要参与者有溯源服务层、溯源监督层和溯源协调层。受害者访问溯源协调层请求溯源服务；溯源协调层从受害者提供的攻击包中提取溯源所需信息：流id和标记，同时向溯源服务层的所有溯源自治域发送包含流id的溯源请求；溯源请求分别到达位于溯源服务层中的各自治域控制中心，自治域控制中心通过检索数据流样本数据库将所有与流id匹配的包含标记信息的数据流样本作为溯源响应消息发送至溯源协调层；若检索失败，则发送空溯源响应信息，表示数据流不曾出现在本自治域；在执行溯源服务时，溯源服务中心同时向所有的自治域控制中心发送溯源请求。这种“并发”的回溯机制所需时间仅相当于现有技术中完成一次查询的时间，极大地提高了溯源效率。同时自治域控制中心要在区块链网络中发送本次服务的“服务消息”；溯源协调层收到所有的响应信息后以标记为线索重构攻击路径。
25.进一步的，该系统还适用于基于数据包的溯源方法。实际上我们所提出的溯源系统不是流采样溯源的基础，基于数据包的溯源方法也可以在该系统下高效的执行溯源任务。
26.本发明的有益效果是：
27.1、本发明提供的一种基于区块链的通用性ip溯源系统及方法，该系统分为四层，由下到上分别是：数据采集层、溯源服务层、溯源监督层、溯源协调层，借鉴现收现付的商业模式，提出了一种可信的面向服务的通用性ip溯源系统架构，推进溯源系统的大规模部署。
28.2、本发明提供的一种基于区块链的通用性ip溯源系统及方法，所述数据收集层通
过把路径回溯功能从路由设备剥离，减少了路由设备资源消耗，降低了溯源系统对网络服务质量的影响。所述溯源服务层能够有效保护自治域网络隐私，有效地解决由于路由设备存储资源有限数据样本无法大量长期存储从而导致溯源精度低甚至失败的问题；且借助控制中心的计算优势，不仅减少了路由设备的资源消耗保证了网络传输性能的稳定性，而且能够及时的处理溯源请求保证了溯源服务的高效性。所述溯源监督层采用区块链网络以“记账”的方式监督系统可能发生的欺骗抵赖行为，利用区块链去中心化的特点提高溯源系统的鲁棒性，利用其不可篡改的特点将溯源系统服务过程透明化，消除自治域间的不信任的商业关系，促进其良性合作；约束个自治域行为，使得不法行为也无法抵赖，系统能够事后追责，保障了溯源自治域的合法利益，极大地提高系统架构的可信度。溯源协调层极大削弱了自治域之间的耦合关系，降低了系统的复杂性；保障了溯源架构下自治域间独立对等的关系，充分尊重自治域的部署意愿，允许自治域自由的加入/退出，极大的增强了系统的可扩展性和增量部署性。
29.3、本发明提供的一种基于区块链的通用性ip溯源系统，所述数据模块使用事务和区块作为主要的数据对象，其中，事务数据主要包括签名算法id、签名值、服务请求者名、响应者名、操作类型、时间戳、事务标识、溯源数据哈希等数据元；区块数据主要包括区块高度、区块标识、前一区块标识、默克尔树根、区块时间戳、事务列表等数据元。本发明通过定义新的事务数据实现了取款链技术“溯源化”，使其更好的适应ip溯源的应用背景；而且，本发明简化了区块数据使其更加适配新的共识协议。
30.4、本发明提供的一种基于区块链的通用性ip溯源系统，所述共识模块在dpos共识协议基础上，提高区块链工作效率和性能并且降低部署成本，解决了投票积极性不高，投票周期加长，节点合谋等不足；所述超级节点的权利相等，保证其公平性。
31.5、本发明提供的一种基于区块链的通用性ip溯源系统，所述验证模块防止恶意节点对事务信息进行篡改，保证数据完整性；
32.6、本发明提供的一种基于区块链的通用性ip溯源方法，该方法包括两个阶段：追踪痕迹建立阶段和攻击路径重构阶段，所述方法中溯源服务中心同时向所有的自治域控制中心发送溯源请求。这种“并发”的回溯机制所需时间仅相当于现有技术中完成一次查询的时间，极大的提高溯源效率。
33.7、本发明提供的一种基于区块链的通用性ip溯源系统，该系统具有通用性，还适用于基于数据包的溯源方法。兼容当前绝大多数ip溯源方法，并且能够有效地解决原溯源方案中存在的弊端，提高溯源效率。
附图说明
34.图1为本发明提供的一种基于区块链的通用性ip溯源系统及方法的溯源架构示意图；
35.图2为本发明提供的一种基于区块链的通用性ip溯源系统及方法的区块格式示意图；
36.图3为本发明提供的一种基于区块链的通用性ip溯源系统及方法的节点模型图；
37.图4为本发明提供的一种基于区块链的通用性ip溯源系统及方法的区块链系统工作流程图；
server(c/s)结构，是各自治域控制中心联系的纽带。有协调层存在，一方面，极大削弱了自治域之间的耦合关系，降低了系统的复杂性；另一方面，保障了溯源架构下自治域间独立对等的关系，充分尊重自治域的部署意愿，允许自治域自由的加入/退出，极大的增强了系统的可扩展性和增量部署性。
47.由于自治域之间的不信任是影响溯源系统广泛部署的重要因素，因此,如何在不依赖中心化信任机制的前提下实现分布自治的多域间的信任建立、多方协作,同时又能最大程度地保护自治域间的商业关系，成为解决溯源系统无法广泛部署的关键问题。区块链技术因其去中心化、防篡改、可追溯性的天然属性，提供了一种可供选择的技术支撑。
48.本发明通过在基本溯源系统中加入区块链，实现了溯源系统与区块链系统的结合。利用区块链技术的优势，建立一个可信的溯源架构，增强了系统的可部署性。服务监督层在整个溯源架构中对维护自治域切身利益有着至关重要的作用。一方面，它对整个溯源系统的溯源过程进行分布式记录、存储以及维护，形成可追溯防篡改的链上时序事务记录，避免各自治域的不当行为带来的安全隐患；另一方面，利用区块链技术的“挖矿”奖励机制来鼓励as积极参与溯源任务。
49.本发明溯源系统的溯源监督层包括：数据模块、共识模块、验证模块。
50.所述数据模块为“服务信息”的事务数据结构来表示溯源服务操作，保留历史溯源服务操作，它以merkle散列树(mht)的形式存储在区块链中，由于本发明溯源系统的区块链事务大小与加密货币系统中的事务大小差不多，所以现有的网络协议和传输机制与本发明的区块链系统兼容良好。
51.所述共识模块为一个分布式的基于权益证明的共识机制来分散信任，在区块链节点之间建立了激励机制。
52.所述验证模块在记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区快进行验证。
53.如图2所示，所述数据模块定义一种称为服务消息的新的事务数据格式，用于表示自治域控制中心响应溯源服务中心请求的具体操作；服务行为中的所有字段如下：
54.签名算法id、签名值、服务请求者名：标识请求溯源服务的用户信息；
55.响应者名：响应溯源服务的自治域；
56.操作类型：服务类型，比如溯源；
57.时间戳：溯源服务发生的时间；
58.事务标识：当前整个事务的哈希；
59.溯源数据哈希：用于检测溯源数据的完整性；
60.某一时间段内的事务由“记账者”负责处理打包成区块，然后发布，经过验证后上链。区块是区块链结构中的基本数据单位，区块首尾相连组成区块链；区块的数据结构如下：
61.区块高度：标识区块序号，描述区块在区块链中的位置；
62.区块标识：通常指区块哈希，区块在区块链中的唯一标识；
63.前一区块标识：通常指前一区块的区块哈希，区块在区块链中的唯一标识；
64.默克尔树根：由本区块里相关的信息通过树状结构算法汇总生成的摘要值；
65.区块时间戳；表示本区块的生成时间刻度(正整数)，从1970年起的时间计数，精度
为毫秒数，正序增加；
66.事务列表：区块中的事务列表，每个事务通常表示一个业务操作；
67.区块链技术需要选择不同的共识机制以适应不同的应用背景。目前，常见的共识机制有工作量证明机制(proof of work，pow)、权益证明机制(proof of stake，pos)和授权股权证明机制(delegated proof of stake，dpos)等。然而，需要消耗大量算力且达成共识周期较长的pow和容易发生“马太效应”的pos并不适合溯源服务环境。
68.为了提高区块链工作效率和性能并且降低部署成本，本发明基于委任权益证明(delegated proof of stake，dpos)建立一种共识协议。dpos又称为股份授权证明，其原理是让每一个持币人进行投票，由此产生一定数量的代表(超级节点或者矿池)，由这些超级节点代理持币人验证和记账；而这些超级节点的权利是相等的；dpos就像董事会投票，持币者投出一定数量的节点(董事)；代表按照既定时间表，轮流产生区块，如果代表没能很好的行使权力(比如产生区块)，他们会被除名，网络会选出新的超级节点来取代他们；所有的代表将收到平均水平区块所含交易费的10％作为报酬。
69.本发明系统的共识模块在dpos共识协议基础上，自治域对应“持币人”的角色，每一个持币人进行投票选出一定数量的代理节点作为超级节点或者矿池代理持币人验证和记账。然而，在现实网络中自治域实际上是由互联网服务提供商(internet service provider，简称isp)统一管理，自治域之间的竞争本质上是isp之间的竞争，本发明在选举超级节点时免去投票环节，由isp从自己的自治域中选取，解决了目前dpos共识机制存在的投票积极性不高，投票周期加长，节点合谋等不足；为了保证公平性，isp选取的超级节点数量与isp管辖的溯源自治域数量成比例，即，isp管辖的溯源自治域数量越多，isp所拥有的超级节点名额就越多；所述超级节点的权利相等，按照既定时间表轮流产生区块。所有的超级节点成功发布区块将收到额外的报酬，若被发现存在不良行为，则会被剥夺代理资格。
70.每个自治域控制中心将作为一个区块链节点，每个区块链节点有一对公钥、私钥做为登陆区块链网络的账户。自治域按照所属isp分组，每组选出若干节点作为超级节点，剩余节点为跟随节点。所述超级节点作为isp的代理节点代替跟随节点执行记账和验证功能，节点模型图如图3所示。
71.超级节点除了按照既定时间表轮流产生区块外，还要对其他代理产生的区块进行验证。验证的目的是防止恶意节点对事务信息进行篡改，保证数据完整性；此外，还要保证服务过程的合法性。验证的方法如下：广播事务信息的机制决定了记账节点外和验证节点都会收到大量的事务信息。而且，记账节点无法确定验证节点收到了哪些事务信息。本发明中验证模块的中的记账节点外和验证节点都会收到大量的事务信息，记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区快进行验证；具体为：利用已有事务信息检验事务列表中的事务信息是否被篡改，若确定存在数据篡改行为，则对相关打包节点进行惩罚，包括剥夺代理资格；被剥夺代理资格as永远丧失记账资格，该as所属isp的超级节点名额永久减一；针对某次服务，根据用户签名扫描区块链获取完整的相关事务信息，还原服务过程。记账节点和验证节点在验证通过后，要将以上链的事务信息从事务池中剔除，为下次记账和验证做准备。
72.如图4所示，区块链系统工作流程如下：每个区块链节点在响应溯源服务中心的溯源请求时，将每次服务行为信息在区块链网络中广播。超级节点按照既定时间表轮流产生
区块。当负责打包的超级节点收集到足够的事务信息或者到达规定的打包时间点，将事务池中的所有事务信息打包成区块发给其他超级节点验证。若验证未通过，将按照既定时间表选择新的记账节点，重新打包区块；若验证通过，超级节点将新的区块转发给各自的跟随节点以更新区块链。为了鼓励as积极参与溯源任务，节点发布、验证区块均可以获得相应的酬劳。比如，从服务总费用中取一部分用作区块链维护费用，剩余部分由参与服务的自治域平分。
73.本发明所述的基于区块链的通用性ip溯源方法包括两个阶段：追踪痕迹建立阶段和攻击路径重构阶段，追踪痕迹建立阶段的参与者是数据收集层和溯源服务层；据收集层采样设备采集域内的数据流，将数据样本实时上传至溯源服务层(自治域控制中心)存储；自治域边界出口路由器将asn自治域号作为标记写入数据流以建立追踪痕迹；所述溯源服务层在该阶段维护数据流样本数据库。攻击路径重构阶段的主要参与者有溯源服务层、溯源监督层和溯源协调层。受害者访问溯源协调层请求溯源服务；溯源协调层从受害者提供的攻击包中提取溯源所需信息：流id和标记，同时向所有溯源自治域发送包含流id的溯源请求；溯源请求分别到达位于溯源服务层中的各自治域控制中心，自治域控制中心通过检索数据流样本数据库将所有与流id匹配的包含标记信息的数据流样本作为溯源响应消息发送至溯源协调中心；若检索失败，则发送空溯源响应信息，表示数据流不曾出现在本自治域；在执行溯源服务时，溯源服务中心同时向所有的自治域控制中心发送溯源请求。这种“并发”的回溯机制所需时间仅相当于现有技术中完成一次查询的时间，极大地提高了溯源效率。同时自治域控制中心要在区块链网络中发送本次服务的“服务消息”；溯源协调层收到所有的响应信息后以标记为线索重构攻击路径。
74.所述攻击路径重构阶段过程如下：首先，通过从受害者提供的攻击包中提取出的标记(本质为自治域号)确定反向攻击路径的首个自治域；然后，从该自治域发送的溯源响应消息中提取标记确定下一个自治域；以此类推，直到所有非空溯源响应消息提供的标记都映射到攻击路径中，攻击路径重构完毕。比如，某次溯源服务中溯源协调层共收到5个非空溯源响应消息，分别为：《流id，as3，as5》、《流id，as2，as4》、《流id，—，as1》、《流id，as4，as3》、《流id，as1，as2》。非空溯源响应消息中包含有数据流样本流id以及样本中包含的标记信息。通常标记信息个数为2，分别表示上一跳溯源自治域号和本自治域号；标记信息个数为1的溯源响应消息则表示该溯源响应消息来自攻击路径起点。溯源协调层从受害者提供的攻击包中提取出溯源信息：《流id，as5》。通过标记as5确定反向攻击路径的首个自治域为as5；然后结合溯源响应消息《流id，as3，as5》确定反向攻击路径第二跳为自治域as3；以此类推，确定后续反向攻击路劲分别为as4、as2、as1；最终，本次溯源服务攻击路径重构结果为：as1、as2、as4、as3、as5。本发明中，基于区块链溯源系统的数据流ip溯源流程图如图5、图6所示。
75.本发明所述系统还适用于基于数据包的溯源方法。现有数据包溯源方法分为包标记、包记录、混合(标记与记录混合)，在本发明溯源系统下现有数据包溯源方法的工作机制如下：
76.在包标记方法中，现有的基于标记的溯源方法分为确定性包标记和概率性包标记两种方法，确定性包标记在溯源系统的边界写入唯一性标记以期快速确定攻击源；概率性包标记在溯源路由器概率性的选择重写标记域或者选择在标记域中追加标记，受害者使用
带有标记的数据包重构攻击路径。在本发明溯源系统中，确定性包标记溯源系统由溯源自治域为域内溯源路由器分配唯一性标记，将分配方案保存在自治域控制中心。溯源路由器负责标记，自治域控制中心负责响应协调中心的溯源请求。与确定性包标记的简单高效不同，概率性包标记溯源系统由于需要在受害者端重构攻击路径，所以存在两个弊端：计算存储开销较大和存在网络拓扑泄漏分险。在本发明溯源系统中，可以将重构路径所需数据保存在受害者所在的自治域控制中心，利用其强大的计算能力重构路径。出于对网络拓扑信息的保护，系统可以使用as级的标记代替路由级别的标记。
77.在包记录方法中，本发明的溯源系统只需要将指纹数据上传至自治域控制中心，基于包记录方法的溯源系统便可以摆脱溯源设备存储资源有限的束缚。路径重构阶段，溯源协调中心广播式地分别向所有控制中心发布溯源请求，控制中心根据指纹数据响应请求已完成路径重构。这种回溯方式避免了原有的洪泛式回溯引发的大量网络资源消耗，低耗且高效。
78.在混合方法中，混合的溯源方案是将两种溯源思想：标记和日志相结合。溯源设备要同时执行“标记”和“日志”两种操作。即，在保存带有标记信息的网路数据时，要在标记域写入新的带有身份信息标记再转发。此时，标记成为连接日志文件的线索，利用标记和日志文件的绑定关系，可以执行形如“标记
→
日志
→
标记”的循环回溯过程，直到确定攻击源为止。在本发明溯源系统中，溯源协调中心和控制中心的c/s工作模式完美契合上诉循环回溯过程。协调中心通过标记确定自治域控制中心并发送溯源请求；控制中心检索日志文件确定上一跳标记，以此消息响应溯源请求；协同中心根据新的标记开始新一轮的溯源，直到确定攻击源为止。相较于广播式溯源，基于标记的请求-响应式溯源下的一对一通信方式，有效地降低溯源过程的通信量，网络消耗资源更低。
79.显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改，等同替换和改进等，均应包含在本发明权利要求的保护范围之内。