IP溯源技术及其分类的方法的研究.docVIP

IP溯源技术及其分类的方法的研究 　　摘要：缺乏统一分类方法是影响IP溯源技术研究与应用的重要因素，论文研究了各种IP溯源技术原理与特点，提出按行为模式、结构构成、实现层次、实现方式、适用范围五方面构建IP溯源技术分类方法体系，应用此方法对当前主要IP溯源技术进行了分类。 　　关键词：IP溯源技术；溯源技术特点；溯源技术分类 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3044-03 　　IP Traceback and Analysis towards a Classification of Mechanisms 　　LIN Bai-lu,YANG Bai-long, MAO Jing,WU Peng-hui 　　(The Second Artillery Engineering College, Xi’an 710025,China) 　　Abstract: Classification of mechanisms is a key element to the research and application of IP traceback. This paper explores nature and characters of different IP traceback mechanisms, gives a classification towards IP traceback from five different aspects: behavior, structure, layer of actualization, mode of actualization, applicable area. Moreover, this paper classifies important IP traceback mechanisms by using this classification. 　　Key words: IP traceback; characters of IP traceback; classification of IP traceback 　　随着网络安全形势日益严峻，IP溯源技术（IP Traceback）作为一种主动网络安全技术的地位和作用日益突出，新的技术和手段不断涌现，但当前尚缺乏对这一新兴技术统一、完善的分类方法，在一定程度上影响和制约了其研究和应用，因此，对IP溯源技术分类方法的研究具有重要意义。 　　1 IP溯源技术 　　IP溯源技术（IP Traceback）又名追踪技术，指通过技术手段，将内容、网络行为以及应用行为等追溯到该行为发起者。IP溯源技术产生、发展及研究现状综述如下。 　　首个有影响力的溯源技术是概率包标记溯源法（Probabilistic Packet Marking），由Savage等人[1]在2000年提出，原理是路由器以某种概率标记通过此路由器的数据包，标记信息为数据包部分路径信息，受害者收到足够数量带有标记的数据包，就能够重构出攻击路径。对数据包进行标记、以便在受攻击后依据标记识别攻击路径这一思想对后来的研究影响深远，Belenky等人[2]于2003年提出了另一包标记类经典技术——确定包标记溯源法（Deterministic Packet Marking），仅由边界路由器标记IP包，受害者可获得相应入口地址和攻击源所在子网，相比于概率包标记溯源法，此方法显得简单而高效。其他研究者在包标记思想的基础上对标记信息和算法进行了优化，提出了许多改进的方法，如Haipeng Qu等人[3]把每个路由器的地址分成前后两个16bit块，分别使用Hash1和Hash2两个函数处理后再和原地址分块拼接后得到4个标记向量，标记算法和路径恢复算法都是以一定的方式处理矩阵向量，误报率和收敛性方面好于基本标记算法；李刚等人[4]提出了一种伸缩性的包标记策略，可以通过更少的数据包更快的定位出攻击源等。还有的研究者在标记范围上做了改变，如自治域粒度的包标记（AS Packet Marking），仅在包进入一个自治域时进行标记，降低了算法的复杂度。 　　另一影响较广的方法是日志记录溯源法（Logging），原理是在数据包的传输路途中，路由器将数据包的信息记录下来，攻击发生时，就可以凭借记录逐步查找到攻击源。Snoren等人[5]提出了基于摘要（Hash）的IP追踪方法，记录信息摘要，节省存储空间。基于日志记录也有许多改进算法，此处不一一枚举。 　　Bellovin在2003年提出通知溯源法（ICMP）[6]，原理是当一个数据包通过一个路由器时，该路由器可以一定的概率同时向数据包的发送方和接收方发送带认证的ICMP追