淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文

　　1 IP 源追蹤技術(shù)

　　IP 源追蹤技術(shù)大致上可以分為兩類，即反應(yīng)式追蹤、主動(dòng)式追蹤。其中反應(yīng)式追蹤則是對(duì)攻擊進(jìn)行檢測(cè)，之后才開(kāi)始對(duì)攻擊源過(guò)程進(jìn)行追蹤的一種追蹤技術(shù)。主動(dòng)式追蹤則是同時(shí)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)包轉(zhuǎn)發(fā)，當(dāng)法神攻擊時(shí)，可以根據(jù)實(shí)時(shí)監(jiān)測(cè)的結(jié)果，重新構(gòu)建攻擊路徑。

　　只能在攻擊流保持活動(dòng)時(shí)，反應(yīng)式追蹤才能對(duì)攻擊流進(jìn)行追蹤，如果攻擊流結(jié)束，就無(wú)法對(duì)IP 源進(jìn)行確定，所以反應(yīng)式追蹤這類追蹤技術(shù)，通常適用于實(shí)時(shí)阻斷時(shí)使用，對(duì)于事后卻無(wú)法起到分析作用，主要有控制洪流、輸入調(diào)試兩種典型的方法。其中輸入調(diào)試，則是利用路由器，該路由器并且具有帶輸入調(diào)試功能，當(dāng)發(fā)生攻擊之后逐跳，對(duì)攻擊特征包的路徑、路由入口進(jìn)行確定，通過(guò)反復(fù)使用，從而對(duì)攻擊包發(fā)送的真實(shí)IP 進(jìn)行確定。在IP 源追蹤時(shí)，輸入調(diào)試方法是最容易想到的一種方法，但是采用該方法，要求應(yīng)用于追蹤路徑上的路由器，全部必須具有輸入調(diào)試能力，并且需要手工來(lái)進(jìn)行干預(yù)，與互聯(lián)網(wǎng)服務(wù)提供商，即ISP 具有依賴性，與ISP 服務(wù)商高度合作，追蹤速度就會(huì)顯得比較慢。另外一種典型的方法，即控制洪流，當(dāng)發(fā)生攻擊時(shí)，首先采用已有的因特網(wǎng)拓?fù)鋱D，對(duì)距離受害者最近路由的鏈路進(jìn)行選擇洪流攻擊。對(duì)自攻擊者的包的變化進(jìn)行觀察，通過(guò)觀察之后確定攻擊數(shù)據(jù)包到底是來(lái)自哪條鏈路，采用同樣的方法對(duì)其他每一條鏈路進(jìn)行洪流控制�？刂坪榱鬟@種典型的方法，經(jīng)過(guò)研究是非常有效的。自身就是屬于一種DOS 攻擊，需要與因特網(wǎng)拓?fù)鋱D、上游主機(jī)進(jìn)行高度合作。

　　主動(dòng)式追蹤，是一種既可用于事后分析，又可以對(duì)攻擊的實(shí)時(shí)阻斷。其中包標(biāo)記法修改IP 協(xié)議，當(dāng)數(shù)據(jù)包通過(guò)路由時(shí)，以一定概率的路由器把路由信息標(biāo)記在數(shù)據(jù)包的IP 包頭的identification 字段當(dāng)中，當(dāng)收到足夠多的包之后，受害者就可以根據(jù)包頭的信息，重新構(gòu)建攻擊路徑。這種方法不會(huì)產(chǎn)生額外的流量，也不會(huì)被安全策略堵塞，被防火墻阻止，只使用IP 包本身的信息。而且需要與來(lái)自ISP 服務(wù)商進(jìn)行高度合作，這種方法無(wú)法適用于分段的IP 包、IP 通訊加密等等。并且通過(guò)相關(guān)研究表明，由于包標(biāo)記方法，在多個(gè)包中存儲(chǔ)路由信息數(shù)據(jù)，利用近似生日組的概念，使得攻擊組散播錯(cuò)誤的信息。目前而言，包標(biāo)記法有不同分類，最基本的也是最常用的即是指PPM 方法。PPM 方法的最大優(yōu)點(diǎn)在于，容易實(shí)現(xiàn)，但是該方法有著較高的虛警率，需要很大的計(jì)算量，對(duì)DDOS 的供給是沒(méi)有任何作用的。并且有較差的魯棒性。通過(guò)改進(jìn)的標(biāo)記方案，改進(jìn)和認(rèn)證PPM 方法，促進(jìn)了精確度、魯棒性的提高，而且計(jì)算量也有所降低。將IP 源追蹤技術(shù)問(wèn)題，通過(guò)代數(shù)方法轉(zhuǎn)化為多項(xiàng)式重構(gòu)問(wèn)題，對(duì)假冒的IP 數(shù)據(jù)包的真實(shí)源點(diǎn)，通過(guò)利用代數(shù)編碼理論得以恢復(fù)。與PPM 方法的最大的區(qū)別在于不是采用HASH 函數(shù)作為效驗(yàn)器，而且利用Hornet 規(guī)則迭代地算數(shù)編碼邊信息作為效驗(yàn)器。

　　路由記錄法，對(duì)一種特殊的路由器進(jìn)行利用，摘要近期所轉(zhuǎn)發(fā)的IP 包保存包，根據(jù)所受到的攻擊數(shù)據(jù)包的摘要以及路由器中保存的摘要，受害者可以重新進(jìn)行構(gòu)建攻擊路徑，路由記錄方法的典型是源路徑隔離引擎，即SPIE。這種方法最大的優(yōu)點(diǎn)在于就是能夠準(zhǔn)確的反向跟蹤單個(gè)數(shù)據(jù)包，漏警率為零。并且互操作性也非常的好。這種方法最大的缺點(diǎn)在于，需要與ISP 服務(wù)商進(jìn)行合作，對(duì)高速路由器存儲(chǔ)具有非常高的要求，并且還會(huì)對(duì)路由器的CPU 產(chǎn)生消耗作用，對(duì)路由器的流量轉(zhuǎn)發(fā)性能有著嚴(yán)重的影響。

　　ICMP 消息方法，引入了一種新的iTrace 消息，這一消息當(dāng)中，主要包含了消息發(fā)送的路由器IP 地址，還有誘發(fā)該消息的數(shù)據(jù)包的相關(guān)信息，路由器如果加載了跟蹤機(jī)制，對(duì)假冒的IP 源的數(shù)據(jù)包能夠幫助進(jìn)行識(shí)別。但是這種方法會(huì)產(chǎn)生大量額外負(fù)載，對(duì)網(wǎng)絡(luò)性能有著很大的影響，并且容易被網(wǎng)絡(luò)安全策略堵塞，遠(yuǎn)端路由器的ICMP 非常有限。目的驅(qū)動(dòng)的iTrace 方法，需要引入一個(gè)“目的位”在數(shù)據(jù)包轉(zhuǎn)發(fā)表、路由表當(dāng)中，對(duì)某個(gè)特殊的目標(biāo)是否需要iTrace 跟蹤信息進(jìn)行決定，這種方法能夠?qū)�iTrace 信息進(jìn)行精簡(jiǎn)，能夠促進(jìn)系統(tǒng)性能的提升，幾乎不需要改變路由選擇結(jié)構(gòu)，其最大的缺點(diǎn)在于，由于路由表被頻繁的更新，會(huì)使得路由選擇機(jī)制產(chǎn)生不穩(wěn)定性，甚者還會(huì)改變BGP 協(xié)議。

　　2 跨越挑板的追蹤技術(shù)

　　能夠找到IP 源數(shù)據(jù)包發(fā)送的真實(shí)地址的IP 源追蹤技術(shù)，但是卻不一定能夠找到攻擊者，而且還是對(duì)攻擊事件負(fù)責(zé)的攻擊者。因?yàn)樵趯?shí)施攻擊的過(guò)程當(dāng)中，大多數(shù)的攻擊者，會(huì)利用“跳板”，所以IP 源追蹤技術(shù)對(duì)這類攻擊來(lái)說(shuō)，只是開(kāi)始的第一步而已。如果要想找到真正的攻擊源，就必須要采用跨越跳板的追蹤技術(shù)。按照追蹤的不同信息源，跨越跳板的追蹤技術(shù)可以分為基于網(wǎng)絡(luò)技術(shù)、基于主機(jī)的技術(shù);如果是按照追蹤的方法不同而言，則可以分為主動(dòng)式方法、反應(yīng)式方法兩種。其中主動(dòng)式方法經(jīng)進(jìn)行監(jiān)控，對(duì)所有通信量進(jìn)行比較。則反應(yīng)式方法則是對(duì)攻擊后，通過(guò)定制的進(jìn)程動(dòng)態(tài)的控制進(jìn)行懷疑，通信量何地何時(shí)與哪些信息相關(guān)聯(lián)，以及如何關(guān)聯(lián)。

　　較為早期的一些入侵檢測(cè)系統(tǒng)， 比如CIS、DOS 等，都具有攻擊源追蹤功能�；�于主機(jī)的`追蹤方法，對(duì)連接鏈上的每一臺(tái)主機(jī)都有依賴性，如果每個(gè)主機(jī)都被控制了，并且關(guān)聯(lián)信息的提供發(fā)生了錯(cuò)誤，則會(huì)誤導(dǎo)整個(gè)追蹤系統(tǒng)，因此，配置在因特網(wǎng)中的基于主機(jī)的追蹤系統(tǒng)是有一定難度的。

　　基于網(wǎng)絡(luò)的追蹤，則是根據(jù)網(wǎng)絡(luò)連接屬性，被監(jiān)控主機(jī)不要求全部參與。利用少量信息總結(jié)連接的指紋技術(shù)，是最早的關(guān)聯(lián)技術(shù)，對(duì)時(shí)鐘同步匹配對(duì)應(yīng)時(shí)間間隔的連接指紋有依賴性，而且無(wú)法改變重傳的情況，這些都會(huì)對(duì)實(shí)時(shí)追蹤的有效性產(chǎn)生嚴(yán)重的影響。基于時(shí)間的方案，不是基于連接的內(nèi)容而是基于交互通信中的時(shí)間特點(diǎn)，能夠應(yīng)用于加密的連接。與基于偏差的方法比較類似。采用兩個(gè)TCP 連接序列號(hào)的最小平均差，對(duì)兩個(gè)連接是否關(guān)聯(lián)進(jìn)行確定，偏差考慮了TCP 序列號(hào)、時(shí)間特征�；�于時(shí)間的方案、偏差的方法，對(duì)時(shí)鐘同步?jīng)]有要求，都適用于檢測(cè)交互式“跳板”。主動(dòng)式方法需要對(duì)所有的通信數(shù)據(jù)進(jìn)行預(yù)先保存，基于網(wǎng)絡(luò)的反應(yīng)式方法，對(duì)包處理能夠定制，對(duì)連接以及如何關(guān)聯(lián)進(jìn)行動(dòng)態(tài)控制，因此所需要的資源比被動(dòng)方更少。主要有隔離協(xié)議、入侵識(shí)別、休眠水印追蹤、隔離協(xié)議是一種應(yīng)用層協(xié)議，通過(guò)交換入侵檢測(cè)信息，邊界控制器與攻擊描述相結(jié)合，共同組織入侵者，并進(jìn)行定位，休眠水印追蹤，利用水印技術(shù)跨越跳板，當(dāng)入侵被檢測(cè)時(shí)，不會(huì)引起額外的開(kāi)銷，在入侵后的每個(gè)鏈接中，注入水印，喚醒入侵路徑中間路由合作。

　　3 展望

　　第一，評(píng)估指標(biāo)體系的建立，比較當(dāng)前優(yōu)勢(shì)和缺點(diǎn)，對(duì)現(xiàn)有算法進(jìn)行完善。第二，網(wǎng)絡(luò)攻擊源追蹤的理論模型的建立，第三，綜合考慮數(shù)據(jù)加密、IPV6、移動(dòng)性等問(wèn)題，當(dāng)前網(wǎng)絡(luò)源追蹤方法，對(duì)這類問(wèn)題沒(méi)有進(jìn)行綜合考慮，對(duì)這些問(wèn)題進(jìn)行改進(jìn)，提出可靠、簡(jiǎn)單的追蹤方法，并進(jìn)一步對(duì)其研究。解決網(wǎng)絡(luò)攻擊源追蹤問(wèn)題，需要結(jié)合管理上的特點(diǎn)來(lái)進(jìn)行，當(dāng)還沒(méi)有研究出切實(shí)可用、高效簡(jiǎn)單的追蹤算法時(shí)，結(jié)合安全管理，通過(guò)實(shí)名認(rèn)證，綁定MAC、IP 地址，消除匿名性的源地址，是一項(xiàng)值得研究的課題。

　　4 總結(jié)

　　綜上。本文分析了多種網(wǎng)絡(luò)攻擊源追蹤技術(shù)，并對(duì)其進(jìn)行了系統(tǒng)了分類，比較了其中的優(yōu)點(diǎn)和缺點(diǎn)，對(duì)研究方向進(jìn)行了探討，希望未來(lái)能夠進(jìn)一步研究，促進(jìn)網(wǎng)絡(luò)攻擊源追蹤技術(shù)的良好發(fā)展。

【淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文】相關(guān)文章：

網(wǎng)關(guān)攻擊技術(shù)對(duì)網(wǎng)絡(luò)安全的作用論文01-22

如何查找網(wǎng)絡(luò)攻擊源 -電腦資料01-01

治標(biāo)也要治本─淺談網(wǎng)絡(luò)攻擊檢測(cè)技術(shù) -電腦資料01-01

教你追蹤網(wǎng)絡(luò)攻擊讓 無(wú)處可逃 -電腦資料01-01

網(wǎng)絡(luò) 攻擊特征分析與反攻擊技術(shù) -電腦資料01-01

淺談石油化工技術(shù)創(chuàng)新與展望論文10-12

淺談文本分類技術(shù)10-04

淺談網(wǎng)絡(luò)教育論文02-10

的攻擊分類 -電腦資料01-01