基本概率包标记研究与改进方案.docVIP

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基本概率包标记研究与改进方案

基本概率包标记研究与改进方案   摘要:IP追踪已成为防御拒绝服务攻击(DOS)的有效方案之一。其中,以savage等人提出的概率包标记(PPM)已受到广泛重视。然而,概率包标记(PPM)在进行路径重构时会出现高计算量和高误报率问题。本文提出基本概率包标记的研究与改进方案,有效地减少了重构路径时的计算开销和误报率,提高了路径重构的效率。   关键词:IP 追踪 计算量 拒绝服务攻击(DOS) 概率包标记   中图分类号:TP393.07 文献标识码:A 文章编号:1007-9416(2013)11-0036-02   1 引言   近年来,拒绝服务攻击(DOS)由于容易实施、难以防范、难以追踪等特点已成为当今最难解决的网络安全问题之一,给网络社会带来了极大的危害。对于如何发现攻击路径,防御DOS攻击,研究者已提出了许多解决方案,其中最具代表性的就是IP追踪策略,它可以跟踪攻击流,发现攻击路径,找出攻击源,在攻击源彻底阻止攻击。而且,在众多的IP追踪方案[1,2]中,包标记因其具有较低的管理负担,较好的时间特性,设置方面可持续性等优点而成为最有效的追踪方法之一,尤其是savage[3]等人提出的概率包标记(PPM)更是受到了广泛的关注。然而,虽然概率包标记技术可有效分析攻击源并阻止DOS攻击,但仍不可避免存在一些不足:如路径重构时的高计算量和高误报率问题,所以本文针对此问题,对PPM加以改进,提出了一种基本概率包标记的研究与改进方案,可有效地减少路径重构所需的标记数据包数并降低误报率。   2 基本包标记存在的问题   2.1 基本包标记方案   由于目前在IPv4中通常都有自动MTU协商的功能以防分段的发生,所以数据包在传输过程中很少出现分段处理的情况,一般不超过25%[4],以至大多数数据包中IP包头的标识域(Identification field)未使用,因此PPM采用IP头部的16位标识域存储路由器的标记信息。在PPM方案中,每个路由器的32位IP地址与相应的32位hash校验值按位穿插形成64位IP地址,再将这64位地址分成8块,并分别对其进行编号0,1,…,7,以此作为偏移量。而各路由器则以固定概率p决定是否对经过的数据包进行标记。PPM将标识域分为3个字段:frag,offset,distance.其中frag字段???录的是两个相邻路由器的一条“边”信息,占8bits;offset字段记录的是分块偏移量信息,占3bits;distance字段记录的是标记路由器到受害者的路径长度,即距离。因为一般情况下,数据包在传输途中经过的路径长度不超过30跳(25=3225)[5,6],所以distance字段用5bits标识就已足够。当受害者收到足够的数据包时会先按照distance值由小到大对数据包进行排列组合,恢复各标记路由器的32bits IP地址,并进一步恢复攻击路径。   2.2 计算复杂性   在基本概率包标记中,每个数据包只携带了8bits的地址信息,也就是整个完整信息的1/8,在进行路径重构时,需要8个数据包才能组合出攻击路径的一条边,若攻击者只有一个时,基本包标记的追踪是有效的,可当受害者遭遇DDOS时,与受害者具有相同距离的路由器也是非常多的,从而在终端进行排列组合时会有很大的计算量而且会出现很高的误报率。所谓误报就是组合出的一条符合条件的边,但它却不在攻击路径上。   3 基本概率包标记的研究与改进方案   由于IP数据包头中服务类型域TOS的后两位是保留位,没有规定用途而且在数据包传输中也不起作用,所以在改进方案中运用了这两位用于存放地址块的偏移量,而且由于IP包头中的生命周期TTL域的值,在数据包每经过一个路由器时都会自动的减1,所以我们可以用它来代替PPM中的distance域充当距离值域,实验证明网络中路径的跳数一般不会超过64,所以,在路由器进行标记时,将TTL域的初值记为64,这样就可以节省出足够的空间来存放路径信息,可以将64bits的地址信息分成4块,每块16bits,刚好占满一个Identification域,可有效地减少路径重构时的计算开销。   3.1 算法的编码   在改进方案中,还是采用16bits的Identification域存放路由器的地址信息,用TOS域后两位的保留位来存放地址块信息的偏移量,用TTL域代替PPM方案中distance字段表示路由器距离受害者的路径长度,即数据包被标记后的路径长度。IP包头中的具体编码如表1所示。   3.2 算法描述   (1)标记算法的具体描述。当数据包经过路由器时,路由器首先会以预先设定的概率p(一般是1/25)来决定要不要标记该数据包,如果决定标记,路由器就采用一个hash函数对其32bits的

文档评论(0)

erterye + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档