IP技术 IP溯源技术及其分类方法研究
时间:2019-04-20 03:15:44 来源:柠檬阅读网 本文已影响 人 
摘要:缺乏统一分类方法是影响IP溯源技术研究与应用的重要因素,论文研究了各种IP溯源技术原理与特点,提出按行为模式、结构构成、实现层次、实现方式、适用范围五方面构建IP溯源技术分类方法体系,应用此方法对当前主要IP溯源技术进行了分类。
关键词:IP溯源技术;溯源技术特点;溯源技术分类
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)13-3044-03
IP Traceback and Analysis towards a Classification of Mechanisms
LIN Bai-lu,YANG Bai-long, MAO Jing,WU Peng-hui
(The Second Artillery Engineering College, Xi’an 710025,China)
Abstract: Classification of mechanisms is a key element to the research and application of IP traceback. This paper explores nature and characters of different IP traceback mechanisms, gives a classification towards IP traceback from five different aspects: behavior, structure, layer of actualization, mode of actualization, applicable area. Moreover, this paper classifies important IP traceback mechanisms by using this classification.
Key words: IP traceback; characters of IP traceback; classification of IP traceback
随着网络安全形势日益严峻,IP溯源技术(IP Traceback)作为一种主动网络安全技术的地位和作用日益突出,新的技术和手段不断涌现,但当前尚缺乏对这一新兴技术统一、完善的分类方法,在一定程度上影响和制约了其研究和应用,因此,对IP溯源技术分类方法的研究具有重要意义。
1 IP溯源技术
IP溯源技术(IP Traceback)又名追踪技术,指通过技术手段,将内容、网络行为以及应用行为等追溯到该行为发起者。IP溯源技术产生、发展及研究现状综述如下。
首个有影响力的溯源技术是概率包标记溯源法(Probabilistic Packet Marking),由Savage等人[1]在2000年提出,原理是路由器以某种概率标记通过此路由器的数据包,标记信息为数据包部分路径信息,受害者收到足够数量带有标记的数据包,就能够重构出攻击路径。对数据包进行标记、以便在受攻击后依据标记识别攻击路径这一思想对后来的研究影响深远,Belenky等人[2]于2003年提出了另一包标记类经典技术——确定包标记溯源法(Deterministic Packet Marking),仅由边界路由器标记IP包,受害者可获得相应入口地址和攻击源所在子网,相比于概率包标记溯源法,此方法显得简单而高效。其他研究者在包标记思想的基础上对标记信息和算法进行了优化,提出了许多改进的方法,如Haipeng Qu等人[3]把每个路由器的地址分成前后两个16bit块,分别使用Hash1和Hash2两个函数处理后再和原地址分块拼接后得到4个标记向量,标记算法和路径恢复算法都是以一定的方式处理矩阵向量,误报率和收敛性方面好于基本标记算法;李刚等人[4]提出了一种伸缩性的包标记策略,可以通过更少的数据包更快的定位出攻击源等。还有的研究者在标记范围上做了改变,如自治域粒度的包标记(AS Packet Marking),仅在包进入一个自治域时进行标记,降低了算法的复杂度。
另一影响较广的方法是日志记录溯源法(Logging),原理是在数据包的传输路途中,路由器将数据包的信息记录下来,攻击发生时,就可以凭借记录逐步查找到攻击源。Snoren等人[5]提出了基于摘要(Hash)的IP追踪方法,记录信息摘要,节省存储空间。基于日志记录也有许多改进算法,此处不一一枚举。
Bellovin在2003年提出通知溯源法(ICMP)[6],原理是当一个数据包通过一个路由器时,该路由器可以一定的概率同时向数据包的发送方和接收方发送带认证的ICMP追踪信息,受害主机根据与攻击数据报相关的ICMP信息重构攻击路径。
指纹溯源法(Thumbprint Traceback)[7],又称特征值溯源,原理是网络连接具有不同形式的特征,每个登录连接链的特征具有唯一性,将每个登录连接链的唯一特征量化,以得到的特征值区分不同的登录连接链,其中指纹有多种,现有的研究主要集中在传输时间指纹、内容指纹、流量指纹、TCP序列号指纹。
受控洪泛溯源法是一种针对DDos攻击的溯源法,原理是[8]网管人员在受攻击设备的上游设备上向下游每个链路发送大量的UDP报文,人为制造拥塞,路由器的缓冲区是共享的,来自负载较重的连接上的报文被丢失的概率相应较大,通过向某个连接发送“洪泛数据”后攻击报文减少,就可以确定该连接是否传输了攻击报文。
逐跳追踪溯源法(Hop-by-hop)原理是[9]攻击发生时,追踪程序首先查询离受害主机最近的路由器,比较进入分组的源地址和路由表信息,发现欺骗分组就查询上游路由器,如此反复直到最终的攻击源。
通信流层水印溯源法原理是[10]在特定通信流中嵌入水印信号,该信号随通信流传播到接收方后被提取出来,两端信号进行对比以确定双方通信关系。
监测中心溯源法原理是[7]在各自治域中部署监测中心,以此监控网络中数据分组的传输,一旦发现攻击,受害者所在自治域的监测中心与其他相邻的自治域的监测中心进行询问来确定攻击分组的来源,往复这个过程最终找到攻击源。
时至今日,仍旧没有一套溯源系统真正在网络中部署运用。国内IP溯源技术的研究仍以理论研究为主,而美国、日本在区域范围内进行积极的实验与应用推进。IP溯源技术研究除了在理论、算法上不断优化,还将向着更符合实际应用环境的方向发展。
2 IP溯源技术分类
2.1 IP溯源技术分类研究现状
科学分类有利于新技术学习、研究和应用,然而由于IP溯源技术尚处于研究探讨阶段,尽管有研究者把溯源技术按性能指标分类,性能好坏却难以给出一个判定标准,有的研究者仅按照理论上的功能进行分类,缺乏与实际应用的结合。总体来说,现有的分类方法都存在不够全面、覆盖面窄、缺乏对实践指导等问题,至今尚未形成较统一的分类方法体系。
2.2 IP溯源技术分类方法
通过对不同溯源技术原理和特点的研究,该文提出按溯源的行为模式、结构构成、实现层次、实现方式、适用范围五个方面构建IP溯源技术分类体系。
(1)按溯源行为模式分类
按溯源行为模式,可将IP溯源技术分为前摄溯源和反应溯源,仇小锋等人[9]的论文中就采用了这种分类方法。前摄溯源是在分组传输过程中记录溯源所需的信息,需要进行溯源时,参考先前记录的信息即可标识出攻击源。反应溯源是在检测到攻击之后才开始溯源行为,这类方法往往从攻击路径的终点开始,沿实际攻击路径的相反方向回溯到攻击源。前摄溯源的优点是主动记录,不易受到攻击者的实时影响,缺点是非攻击发生期间还要消耗网络资源,增加管理成本;反应溯源的优点是节省资源,但无法满足事后追踪需求,且易受攻击者伪装的误导。
(2)按溯源结构构成分类
按溯源结构构成,可将IP溯源技术分为分布式溯源和集中式溯源。集中式溯源原理较为简单,实现较为容易,但溯源模块一旦遭遇攻击瘫痪,溯源就无法实现,且稳定性和鲁棒性不强;分布式溯源较为稳定和安全,但它较为复杂,且有同步和响应协调的问题。
(3)按溯源实现层次分类
按实现层次,可将IP溯源技术分为通信流层溯源技术、协议层溯源技术和应用层溯源技术。通信流层溯源技术对通信流进行改动;协议层溯源技术需要改变现有协议和报文结构;应用层溯源技术不需要改变通信流和协议,主要靠程序实现,也可能需要改变路由器功能。就现有网络环境,应用层的溯源技术较易部署。
(4)按溯源实现方式分类
按溯源实现方式,可将IP溯源技术分为主动询问类、数据监测类、路径重构类、特征比对类。陈周国等人[11]率先使用了这种分类方法,但其分类中未包括特征比对类溯源。主动询问类溯源法通过主动询问数据流可能经过的所有路由器,确认其流向路径的机制;数据监测类溯源法通过对数据包及流量进行监测来发现攻击并查找攻击源;路径重构类溯源法是通过在网络中传输的数据包中编入路径信息或者单独发送含有路径信息的数据包,接收端通过收集这些包含路径信息的数据包,并根据一定的路径重构算法实现重构攻击数据包路径的目的;特征比对类溯源法通过对不同连接链特征的比对来确定攻击源。
(5)按溯源适用范围分类
按溯源技术的适用范围,可将IP溯源技术分为适于自治域级(AS级)、跨区域级、全网络级的溯源技术。每种IP溯源技术在其被提出时基本都被期望适用于整个网络,然而这并不现实,因为溯源方法本身的区别,使得不同的溯源技术适用范围有所不同。例如高准确度、高效的溯源技术往往伴随着巨大的网络开销,相对较适合区域网络,避免跨越网络提供商,避免造成全网拥塞。
本方法从不同溯源技术本质、特性出发,五个分类方法组成一个分类体系,每个分类角度中的不同类别都各具特点,便于从不同角度对溯源技术进一步研究,也便于实际应用和部署时对具体技术路线进行分析和选择。
2.3分类结果
运用此分类方法体系对当前主要IP溯源技术进行清晰、科学的分类。表1列出了分类结果。
3结束语
IP溯源技术及其分类均是当前网络安全技术研究热点,随着研究和应用的深入,新的溯源技术将不断涌现,其分类方法也将在研究和实践中不断得到完善。
参考文献:
[1] Savage S, Wethherall D, Karlin A, et al. Practical Network Support for IP Traceback [J].ACM SIGCOMM Computer Communication Review, 2000, 30(4): 295-306.
[2] Belenky Andrey, Ansari Nirwan. IP Traceback with Deterministic Packet Marking[J]. IEEE Communications Letters, 2003, 7(4):162-164.
[3] Haipeng Qu,Dequan Li.An IP Traceback Scheme with Packet Marking in Blocks[J].Journal of Computer Research and Development, 2005, 42(12):2084-2092.
[4]李刚,黄旭,张健沛.基于自适应包标记的IP源追踪方案[J].微计算机信息, 2010, 26(12-3): 3-5.
[5] Snoren A C, Partridge C, Sanchez L A. Hash-based IP Traceback[C] //Proc of Conference on Application, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM, 2001:3-14.
[6] Bellovin S, Leech M, Lor T T. ICMP Traceback Messages [EB/OL], 2003(8).
[7]陈剑勇,滕志猛,郑水金. IP溯源技术及其标准化[J].通信技术与标准, 2007, 16.
[8]陈光华.分布式拒绝服务攻击及IP溯源技术探析[J].数字技术与应用, 2010(8):158-159.
[9]仇小锋,陈鸣. IP溯源技术[J].电子测量与仪器学报,2004, 18(1):88-91.
[10] ZHANG Lu, LUO Jun-Zhou, YANG Ming, HE Gao-Feng. Interval Centroid Based Flow Watermarking Technique for Anonymous Com? munication Traceback[J]. Journal of Software, 2011, 22(10):2358-2371.
[11]陈周国,祝世雄.计算机网络追踪溯源技术现状及其评估初探[J].信息安全与通信保密, 2009(8):179-182.
表1主要溯源技术分类表
