可增量部署、基于采样流的IP溯源方法.pdfVIP

!墅 ： 清华大学学报 (自然科学版) 2014年 第 54卷 第 11期 2O／2O CN 11-2223／N JTsinghuaUniv(Sci＆Techno1)，2014，Vo1．54，No．11 1502—1510 可增量部署、基于采样流的IP溯源方法 田红成 ， 毕 军 ， 王 虹 (1．清华大学 信息网络工程研究 中心 ，北京 100084；2．解放军第 309医院 信 息科 ，北京 100091) 摘 要 ：IP溯源能用来查找攻击流量的源头和路径 ，但迄今 Keywords：computernetwork；IP traceback；attacking flow ；log ging；overlaynetwork 为止 ，还没有 因特 网规模 的溯源方法被实际部署。该文提 出 了一种基于采样流 的部署点 自治域(AS)级 日志记录类溯源 方法SampleTrace。该方法利用路 由器 已存在 的xFlow功能 因特网地址溯源的 目标为确定攻击流量的源和 (sFlow、NetFlow和 IPFIX)和边界网关协议 (BGP)信息来 攻击路径 ，但是大多数溯源方法难 以部署在 因特 网 实现溯源，并在因特网上建立覆盖网络 以支持增量部署。该 中，因为需要在路 由器上部署专门的软件或硬件 ，并 文从理论上分析 了攻击流被成功溯源的概率与独立采样概 且大多数方法难 以增量部署 。 率、攻击流所含攻击包数、被成功溯源的跳数 3个因素的定 为此 ，本文提出了可增量部署 、基于采样流的溯 量关系。根据 Bernoulli大数定律 ，当使用 SampleTrace对 因 特 网中大量 的攻击流进行溯源时，成功溯源的经验概率将接 源方法 SampleTrace。SampleTrace使用边界 网关 近于成功溯源 的概率。SampleTrace较好地解决了 日志记录 协议 (bordergatewayprotocol，BGP)路 由器 目前 类溯源方法的增量部署难题。 具 有 的 xFlow 功 能 (sFlow[】]、NetFlowl2 和 关键词：计算机网络；IP溯源；攻击流；日志；覆盖网络 IPFIX[4书)和 BGP信息来实现溯源 ，而不用在路 由 器上部署任何溯源软件和硬件 。SampleTrace在部 中图分类号 ：TP393 文献标志码 ：A 署点 自治域 (autonomoussystem，AS)间通过上游 文章编号 ：1000—0054(2014)11-1502—09 逻辑邻居发现机制建立 AS级 的覆盖 网络以支持增 量部署。另外 ，本文为收集器 (collector)设计 了两 IncrementallydeployableIP traceback