淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文

　　1 IP 源追蹤技術(shù)

　　IP 源追蹤技術(shù)大致上可以分為兩類，即反應(yīng)式追蹤、主動式追蹤。其中反應(yīng)式追蹤則是對攻擊進(jìn)行檢測，之后才開始對攻擊源過程進(jìn)行追蹤的一種追蹤技術(shù)。主動式追蹤則是同時實時監(jiān)測數(shù)據(jù)包轉(zhuǎn)發(fā)，當(dāng)法神攻擊時，可以根據(jù)實時監(jiān)測的結(jié)果，重新構(gòu)建攻擊路徑。

　　只能在攻擊流保持活動時，反應(yīng)式追蹤才能對攻擊流進(jìn)行追蹤，如果攻擊流結(jié)束，就無法對IP 源進(jìn)行確定，所以反應(yīng)式追蹤這類追蹤技術(shù)，通常適用于實時阻斷時使用，對于事后卻無法起到分析作用，主要有控制洪流、輸入調(diào)試兩種典型的方法。其中輸入調(diào)試，則是利用路由器，該路由器并且具有帶輸入調(diào)試功能，當(dāng)發(fā)生攻擊之后逐跳，對攻擊特征包的路徑、路由入口進(jìn)行確定，通過反復(fù)使用，從而對攻擊包發(fā)送的真實IP 進(jìn)行確定。在IP 源追蹤時，輸入調(diào)試方法是最容易想到的一種方法，但是采用該方法，要求應(yīng)用于追蹤路徑上的路由器，全部必須具有輸入調(diào)試能力，并且需要手工來進(jìn)行干預(yù)，與互聯(lián)網(wǎng)服務(wù)提供商，即ISP 具有依賴性，與ISP 服務(wù)商高度合作，追蹤速度就會顯得比較慢。另外一種典型的方法，即控制洪流，當(dāng)發(fā)生攻擊時，首先采用已有的因特網(wǎng)拓?fù)鋱D，對距離受害者最近路由的鏈路進(jìn)行選擇洪流攻擊。對自攻擊者的包的變化進(jìn)行觀察，通過觀察之后確定攻擊數(shù)據(jù)包到底是來自哪條鏈路，采用同樣的方法對其他每一條鏈路進(jìn)行洪流控制�？刂坪榱鬟@種典型的方法，經(jīng)過研究是非常有效的。自身就是屬于一種DOS 攻擊，需要與因特網(wǎng)拓?fù)鋱D、上游主機進(jìn)行高度合作。

　　主動式追蹤，是一種既可用于事后分析，又可以對攻擊的實時阻斷。其中包標(biāo)記法修改IP 協(xié)議，當(dāng)數(shù)據(jù)包通過路由時，以一定概率的路由器把路由信息標(biāo)記在數(shù)據(jù)包的IP 包頭的identification 字段當(dāng)中，當(dāng)收到足夠多的包之后，受害者就可以根據(jù)包頭的信息，重新構(gòu)建攻擊路徑。這種方法不會產(chǎn)生額外的流量，也不會被安全策略堵塞，被防火墻阻止，只使用IP 包本身的信息。而且需要與來自ISP 服務(wù)商進(jìn)行高度合作，這種方法無法適用于分段的IP 包、IP 通訊加密等等。并且通過相關(guān)研究表明，由于包標(biāo)記方法，在多個包中存儲路由信息數(shù)據(jù)，利用近似生日組的概念，使得攻擊組散播錯誤的信息。目前而言，包標(biāo)記法有不同分類，最基本的也是最常用的即是指PPM 方法。PPM 方法的最大優(yōu)點在于，容易實現(xiàn)，但是該方法有著較高的虛警率，需要很大的計算量，對DDOS 的供給是沒有任何作用的。并且有較差的魯棒性。通過改進(jìn)的標(biāo)記方案，改進(jìn)和認(rèn)證PPM 方法，促進(jìn)了精確度、魯棒性的提高，而且計算量也有所降低。將IP 源追蹤技術(shù)問題，通過代數(shù)方法轉(zhuǎn)化為多項式重構(gòu)問題，對假冒的IP 數(shù)據(jù)包的真實源點，通過利用代數(shù)編碼理論得以恢復(fù)。與PPM 方法的最大的區(qū)別在于不是采用HASH 函數(shù)作為效驗器，而且利用Hornet 規(guī)則迭代地算數(shù)編碼邊信息作為效驗器。

　　路由記錄法，對一種特殊的路由器進(jìn)行利用，摘要近期所轉(zhuǎn)發(fā)的IP 包保存包，根據(jù)所受到的攻擊數(shù)據(jù)包的摘要以及路由器中保存的摘要，受害者可以重新進(jìn)行構(gòu)建攻擊路徑，路由記錄方法的典型是源路徑隔離引擎，即SPIE。這種方法最大的優(yōu)點在于就是能夠準(zhǔn)確的反向跟蹤單個數(shù)據(jù)包，漏警率為零。并且互操作性也非常的好。這種方法最大的缺點在于，需要與ISP 服務(wù)商進(jìn)行合作，對高速路由器存儲具有非常高的要求，并且還會對路由器的CPU 產(chǎn)生消耗作用，對路由器的流量轉(zhuǎn)發(fā)性能有著嚴(yán)重的影響。

　　ICMP 消息方法，引入了一種新的iTrace 消息，這一消息當(dāng)中，主要包含了消息發(fā)送的路由器IP 地址，還有誘發(fā)該消息的數(shù)據(jù)包的相關(guān)信息，路由器如果加載了跟蹤機制，對假冒的IP 源的數(shù)據(jù)包能夠幫助進(jìn)行識別。但是這種方法會產(chǎn)生大量額外負(fù)載，對網(wǎng)絡(luò)性能有著很大的影響，并且容易被網(wǎng)絡(luò)安全策略堵塞，遠(yuǎn)端路由器的ICMP 非常有限。目的驅(qū)動的iTrace 方法，需要引入一個“目的位”在數(shù)據(jù)包轉(zhuǎn)發(fā)表、路由表當(dāng)中，對某個特殊的目標(biāo)是否需要iTrace 跟蹤信息進(jìn)行決定，這種方法能夠?qū)�iTrace 信息進(jìn)行精簡，能夠促進(jìn)系統(tǒng)性能的提升，幾乎不需要改變路由選擇結(jié)構(gòu)，其最大的缺點在于，由于路由表被頻繁的更新，會使得路由選擇機制產(chǎn)生不穩(wěn)定性，甚者還會改變BGP 協(xié)議。

　　2 跨越挑板的追蹤技術(shù)

　　能夠找到IP 源數(shù)據(jù)包發(fā)送的真實地址的IP 源追蹤技術(shù)，但是卻不一定能夠找到攻擊者，而且還是對攻擊事件負(fù)責(zé)的攻擊者。因為在實施攻擊的過程當(dāng)中，大多數(shù)的攻擊者，會利用“跳板”，所以IP 源追蹤技術(shù)對這類攻擊來說，只是開始的第一步而已。如果要想找到真正的攻擊源，就必須要采用跨越跳板的追蹤技術(shù)。按照追蹤的不同信息源，跨越跳板的追蹤技術(shù)可以分為基于網(wǎng)絡(luò)技術(shù)、基于主機的技術(shù);如果是按照追蹤的方法不同而言，則可以分為主動式方法、反應(yīng)式方法兩種。其中主動式方法經(jīng)進(jìn)行監(jiān)控，對所有通信量進(jìn)行比較。則反應(yīng)式方法則是對攻擊后，通過定制的進(jìn)程動態(tài)的控制進(jìn)行懷疑，通信量何地何時與哪些信息相關(guān)聯(lián)，以及如何關(guān)聯(lián)。

　　較為早期的一些入侵檢測系統(tǒng)， 比如CIS、DOS 等，都具有攻擊源追蹤功能�；�于主機的`追蹤方法，對連接鏈上的每一臺主機都有依賴性，如果每個主機都被控制了，并且關(guān)聯(lián)信息的提供發(fā)生了錯誤，則會誤導(dǎo)整個追蹤系統(tǒng)，因此，配置在因特網(wǎng)中的基于主機的追蹤系統(tǒng)是有一定難度的。

　　基于網(wǎng)絡(luò)的追蹤，則是根據(jù)網(wǎng)絡(luò)連接屬性，被監(jiān)控主機不要求全部參與。利用少量信息總結(jié)連接的指紋技術(shù)，是最早的關(guān)聯(lián)技術(shù)，對時鐘同步匹配對應(yīng)時間間隔的連接指紋有依賴性，而且無法改變重傳的情況，這些都會對實時追蹤的有效性產(chǎn)生嚴(yán)重的影響�；�于時間的方案，不是基于連接的內(nèi)容而是基于交互通信中的時間特點，能夠應(yīng)用于加密的連接。與基于偏差的方法比較類似。采用兩個TCP 連接序列號的最小平均差，對兩個連接是否關(guān)聯(lián)進(jìn)行確定，偏差考慮了TCP 序列號、時間特征�；�于時間的方案、偏差的方法，對時鐘同步?jīng)]有要求，都適用于檢測交互式“跳板”。主動式方法需要對所有的通信數(shù)據(jù)進(jìn)行預(yù)先保存，基于網(wǎng)絡(luò)的反應(yīng)式方法，對包處理能夠定制，對連接以及如何關(guān)聯(lián)進(jìn)行動態(tài)控制，因此所需要的資源比被動方更少。主要有隔離協(xié)議、入侵識別、休眠水印追蹤、隔離協(xié)議是一種應(yīng)用層協(xié)議，通過交換入侵檢測信息，邊界控制器與攻擊描述相結(jié)合，共同組織入侵者，并進(jìn)行定位，休眠水印追蹤，利用水印技術(shù)跨越跳板，當(dāng)入侵被檢測時，不會引起額外的開銷，在入侵后的每個鏈接中，注入水印，喚醒入侵路徑中間路由合作。

　　3 展望

　　第一，評估指標(biāo)體系的建立，比較當(dāng)前優(yōu)勢和缺點，對現(xiàn)有算法進(jìn)行完善。第二，網(wǎng)絡(luò)攻擊源追蹤的理論模型的建立，第三，綜合考慮數(shù)據(jù)加密、IPV6、移動性等問題，當(dāng)前網(wǎng)絡(luò)源追蹤方法，對這類問題沒有進(jìn)行綜合考慮，對這些問題進(jìn)行改進(jìn)，提出可靠、簡單的追蹤方法，并進(jìn)一步對其研究。解決網(wǎng)絡(luò)攻擊源追蹤問題，需要結(jié)合管理上的特點來進(jìn)行，當(dāng)還沒有研究出切實可用、高效簡單的追蹤算法時，結(jié)合安全管理，通過實名認(rèn)證，綁定MAC、IP 地址，消除匿名性的源地址，是一項值得研究的課題。

　　4 總結(jié)

　　綜上。本文分析了多種網(wǎng)絡(luò)攻擊源追蹤技術(shù)，并對其進(jìn)行了系統(tǒng)了分類，比較了其中的優(yōu)點和缺點，對研究方向進(jìn)行了探討，希望未來能夠進(jìn)一步研究，促進(jìn)網(wǎng)絡(luò)攻擊源追蹤技術(shù)的良好發(fā)展。

【淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文】相關(guān)文章：

網(wǎng)關(guān)攻擊技術(shù)對網(wǎng)絡(luò)安全的作用論文01-22

如何查找網(wǎng)絡(luò)攻擊源 -電腦資料01-01

治標(biāo)也要治本─淺談網(wǎng)絡(luò)攻擊檢測技術(shù) -電腦資料01-01

教你追蹤網(wǎng)絡(luò)攻擊讓 無處可逃 -電腦資料01-01

網(wǎng)絡(luò) 攻擊特征分析與反攻擊技術(shù) -電腦資料01-01

淺談石油化工技術(shù)創(chuàng)新與展望論文10-12

淺談文本分類技術(shù)10-04

淺談網(wǎng)絡(luò)教育論文02-10

的攻擊分類 -電腦資料01-01