一种新的基于认证的可变概率包标记方法.pdfVIP

第 27卷第 2期 徐 州 工 程 学 院 学 报 (自然 科 学 版 ) 2012年 6月 Vo1．27No．2 JournalofXuzhou InstituteofTechnology (NaturalSciencesEdition) Jun．2012 一 种新的基于认证的可变概率包标记方法 刘风华 。，秦琳琳 (I徐州工程学院，江苏 徐州 221008，2中国矿业大学 信 电学院，江苏徐州 221116) 摘要：在基本概率包标记的基础上，提 出了一种新 的攻击源追踪方案．该方案采用 自适应概率 标记数据包，在标记过程中采用 了认证 的方式，避免了数据包重复标记的出现 ，并增加 了标注来存 放头节点 IP地址的Hash值 ，在路径重构 时根据距离和标注把重构数据包划分为不 同的子集．改 进方案重构攻击路径时不需要网络拓扑信息，理论和实验表明该方法在收敛性、误报数和安全性方 面都有很大的改进． 关键词 ：分布式拒绝服务攻击；IP追踪；概率包标记 ；自适应概率标记 中图分类号 ：TP393 文献标识码：A 文章编号 ：1674-358X(2012)02-0073—06 随着 网络的迅速发展，Internet已逐步成为人类社会 的基础设施。而针对 Internet的攻击也层出不穷， 特别是拒绝服务类攻击 (DoS，DDoS)使 Internet面临巨大的安全威胁．针对拒绝服务攻击 的追踪 ，研究者们 已提出多种 IP追踪方案 ，如包标记 、日志记录、连接测试 、ICMP追踪、覆盖网络等 ，这些方案都存在各 自的 优缺点口]．其中，包标记的跟踪方法是 目前进行 IP追踪最为有效的方法． 数据包标记具有不增加 网络流量负担 、允许事后分析 、无需与 ISP相互合作、可 以自动分析、不需要管理 员过多参与等优点．文献[2-1首先提出将路 由器地址信息标记到数据包中，在其基础上文献E3]提出了概率包 标记方案，也称为基本包标记方案．文献[4]进一步提出了高级包标记方案和带认证 的包标记方案．数据包标 记一直是研究的热点，对它的改进研究主要集中在重构攻击路径时的误报数、计算复杂度和重构时所需的标 记包数 目这 3个方面．本文针对 DDoS攻击 ，在基本概率包标记的基础上，提出了一种新的攻击源追踪方案． 该方案采用 自适应概率标记数据包 ，在标记过程中采用了认证的方式 ，避免了数据包重复标记 的出现，并增 加了标注来存放头节点 IP地址 的Hash值，在路径重构时根据距离和标注把重构数据包划分为不同的子 集．改进方案重构攻击路径时不需要网络拓扑信息，理论和实验表明该方法在收敛性 、误报数和安全性方面 都有很大的改进 ． 1 相关研究工作 概率包标记的基本思想是路 由器 以某概率将经过的数据包进行标记 ，记录该路由器的IP信息，受害者 收到足够的数据包后，根据包中的碎片信息重构出数据包经过的路径． 在文献I-3]中，路 由器的 IP地址及另外的32bit校验码共 64bit被分成 8块 ，每块 8bit．为 了便于进行 路径的重构 ，还需要一个距离域表示路由器到受害者之间的距离 ，由于路径极少有超过 25跳 (hop)的，因此 5bit的空间就够了．当路由器标记一个数据包时，其随机地从其 8个分块 中选取 1块 (8bit)，连 同对应 的偏 移 (3bit)，以及距离 (5bit)．路径重构时，受害者选取 8个距离值相同而偏移值不同的碎片进行组合 ，并使用 由边界 id计算出的Hash值与碎片所携带的Hash值 比较 ，相同则为有效边界，反之则丢弃此边界．当距离 值为 0时，计算出的边界 id就是 IP．所以通过与上游邻近边界相异或 ，逐步得出上游路 由器的 IP，从而重构 出完整的路径．这种包标记的思想出现得最早 ，而且许多研究者在此基础上进行研究，因此被称为基本包标 记 (BasicPPM，BPPM)．基本包标记在多攻击路径重构时误报率和计算复杂度较高 ]，这些缺点成为基本 包标记在实际应用中的障碍．文献E4]提出的高级包标记和带认证 的包标记方案与基本包标记类似 ，但在重 收稿 日期 ：2012-02—20 基金项 目：徐州工程学院科研项 目(XKY2009112) 作者简介：刘风华(1976～)，女，河南永城人，讲师，博士研究生，主要从事计算机安全与数据挖掘研究