基于分级通用思想的溯源系统的设计.docVIP

  基于分级通用思想的溯源系统的设计 任骥，双锴** （北京邮电大学网络与交换技术国家重点实验室，北京 100876） 5 10 15 20 25 30 35 40 摘要：本文针对跨域溯源研究在实际应用部署中遇到的难题，设计和开发了基于分级通用思 想的跨域溯源系统。该系统可以适用于多种域内溯源算法，并将溯源过程分为跨域溯源，域 间溯源和域内溯源三层。这种系统设计有效解决了自治域间溯源系统无法通用，域间敏感信 息泄露，溯源速度慢实效性低等关键问题。 关键词：网络安全;IP 网络；网络溯源；跨域溯源 中图分类号：TP393.08 The Design Of Layered Universal Traceback Architecture REN Ji, SHUANG Kai (State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876) Abstract: This article designed a trace architecture based on the idea of layered trace and universal use. The architecture can be applied to a variety of inner-domain tracing algorithms. It divides trace process into cross-domain trace and inner-domain trace. This architecture is an effective solution to the key problem of cross-domain trace and greatly improves the applicability and efficiency of trace algorithm. Key words: Network security; IP network; Network trace back; Cross-domain traceback 1 引言 从互联网诞生的那一天起，网络安全问题就相伴而生，并随着互联网规模和重要性的增 长而日益凸现。网络安全问题现在已经不仅是学术领域的研究难题，同时也成为了严重的社 会问题，影响着国家和社会的安全和发展。目前主流的网络安全防护措施是使用防火墙等安 全设备进行被动防御，该方法在互联网发展初期取得了较好的结果。但随着网络的扩张规模、 网络所承载的信息价值同步增长;网络的安全威胁与攻击手段日新月异，各种恶意攻击与破 坏事件层出不穷，安全防护方法不仅在技术层面上落后难以满足需求，同时技术对抗所需消 耗的资源难以估算，成本太高，实际使用中无法接受。因此，保证网络空间的安全在客观形 势上需要转换思路、另辟蹊径，采取主动防御的思想，即采取网络溯源的方式找到攻击源头， 从攻击来源处切断或阻止攻击，从根本上解决网络安全问题[1]。 2 相关背景 2.1 网络溯源 网络溯源技术简单定义为：采取积极的防御策略，以定位网络攻击发起者或网络异常根 源为目的的技术[2]。网络溯源技术研究的内容和最终目标就是通过回溯的方法找到攻击流的 攻击路径，并最终追查到攻击发起者的位置。产生网络溯源技术的根本原因是由于 Internet 网络和 TCP/IP 协议本身就存在严重的安全隐患，即无状态性和无认证性[3]。所谓无状态性， 是指 IP 数据报文在传输时不会记录状态信息，不通过会话来进行状态控制，所有的状态转 作者简介：任骥（1987-），男，硕士生，研究方向：下一代网络 通信联系人：双锴(1977- ) ,男，副教授,研究方向：下一代网络、P2P 技术. E-mail: shuangk@ -1-   移和控制都是通过 request 和 reply 方式进行的。接收到每一个消息后，协议栈就直接对其 处理并发送对应的 reply 消息，不记录状态，只是对 request 进行响应，响应过后该会话就结 束，不保存任何内容。正是由于无状态性，攻击路径的节点上不会有任何残留信息可以用来 溯源，所以不能依靠 IP 协议栈进行溯源，必需研究专门的溯源方法[4]。无认证性即 IP 协议 45 50 55 60 65 70 75 不能保证自己传输的内容是经过认证的，不能保证其真实性和可靠性[5]。IP 协议报头中就设 计了源地址这个数据段，如果 IP 协议能认证该字段是真实的，未经修改的，也就能直接确 定数据包来源，无需再进行溯源。事实上，绝大