淺談網(wǎng)絡攻擊源追蹤技術的分類及展望論文

淺談網(wǎng)絡攻擊源追蹤技術的分類及展望論文

　　1 IP 源追蹤技術

　　IP 源追蹤技術大致上可以分為兩類，即反應式追蹤、主動式追蹤。其中反應式追蹤則是對攻擊進行檢測，之后才開始對攻擊源過程進行追蹤的一種追蹤技術。主動式追蹤則是同時實時監(jiān)測數(shù)據(jù)包轉發(fā)，當法神攻擊時，可以根據(jù)實時監(jiān)測的結果，重新構建攻擊路徑。

　　只能在攻擊流保持活動時，反應式追蹤才能對攻擊流進行追蹤，如果攻擊流結束，就無法對IP 源進行確定，所以反應式追蹤這類追蹤技術，通常適用于實時阻斷時使用，對于事后卻無法起到分析作用，主要有控制洪流、輸入調試兩種典型的方法。其中輸入調試，則是利用路由器，該路由器并且具有帶輸入調試功能，當發(fā)生攻擊之后逐跳，對攻擊特征包的路徑、路由入口進行確定，通過反復使用，從而對攻擊包發(fā)送的真實IP 進行確定。在IP 源追蹤時，輸入調試方法是最容易想到的一種方法，但是采用該方法，要求應用于追蹤路徑上的路由器，全部必須具有輸入調試能力，并且需要手工來進行干預，與互聯(lián)網(wǎng)服務提供商，即ISP 具有依賴性，與ISP 服務商高度合作，追蹤速度就會顯得比較慢。另外一種典型的方法，即控制洪流，當發(fā)生攻擊時，首先采用已有的因特網(wǎng)拓撲圖，對距離受害者最近路由的鏈路進行選擇洪流攻擊。對自攻擊者的包的變化進行觀察，通過觀察之后確定攻擊數(shù)據(jù)包到底是來自哪條鏈路，采用同樣的方法對其他每一條鏈路進行洪流控制�？刂坪榱鬟@種典型的方法，經過研究是非常有效的。自身就是屬于一種DOS 攻擊，需要與因特網(wǎng)拓撲圖、上游主機進行高度合作。

　　主動式追蹤，是一種既可用于事后分析，又可以對攻擊的實時阻斷。其中包標記法修改IP 協(xié)議，當數(shù)據(jù)包通過路由時，以一定概率的路由器把路由信息標記在數(shù)據(jù)包的IP 包頭的identification 字段當中，當收到足夠多的包之后，受害者就可以根據(jù)包頭的信息，重新構建攻擊路徑。這種方法不會產生額外的流量，也不會被安全策略堵塞，被防火墻阻止，只使用IP 包本身的信息。而且需要與來自ISP 服務商進行高度合作，這種方法無法適用于分段的IP 包、IP 通訊加密等等。并且通過相關研究表明，由于包標記方法，在多個包中存儲路由信息數(shù)據(jù)，利用近似生日組的概念，使得攻擊組散播錯誤的信息。目前而言，包標記法有不同分類，最基本的也是最常用的即是指PPM 方法。PPM 方法的最大優(yōu)點在于，容易實現(xiàn)，但是該方法有著較高的虛警率，需要很大的計算量，對DDOS 的供給是沒有任何作用的。并且有較差的魯棒性。通過改進的標記方案，改進和認證PPM 方法，促進了精確度、魯棒性的提高，而且計算量也有所降低。將IP 源追蹤技術問題，通過代數(shù)方法轉化為多項式重構問題，對假冒的IP 數(shù)據(jù)包的真實源點，通過利用代數(shù)編碼理論得以恢復。與PPM 方法的最大的區(qū)別在于不是采用HASH 函數(shù)作為效驗器，而且利用Hornet 規(guī)則迭代地算數(shù)編碼邊信息作為效驗器。

　　路由記錄法，對一種特殊的路由器進行利用，摘要近期所轉發(fā)的IP 包保存包，根據(jù)所受到的攻擊數(shù)據(jù)包的摘要以及路由器中保存的摘要，受害者可以重新進行構建攻擊路徑，路由記錄方法的典型是源路徑隔離引擎，即SPIE。這種方法最大的優(yōu)點在于就是能夠準確的反向跟蹤單個數(shù)據(jù)包，漏警率為零。并且互操作性也非常的好。這種方法最大的缺點在于，需要與ISP 服務商進行合作，對高速路由器存儲具有非常高的要求，并且還會對路由器的CPU 產生消耗作用，對路由器的流量轉發(fā)性能有著嚴重的影響。

　　ICMP 消息方法，引入了一種新的iTrace 消息，這一消息當中，主要包含了消息發(fā)送的路由器IP 地址，還有誘發(fā)該消息的數(shù)據(jù)包的相關信息，路由器如果加載了跟蹤機制，對假冒的IP 源的數(shù)據(jù)包能夠幫助進行識別。但是這種方法會產生大量額外負載，對網(wǎng)絡性能有著很大的影響，并且容易被網(wǎng)絡安全策略堵塞，遠端路由器的ICMP 非常有限。目的驅動的iTrace 方法，需要引入一個“目的位”在數(shù)據(jù)包轉發(fā)表、路由表當中，對某個特殊的目標是否需要iTrace 跟蹤信息進行決定，這種方法能夠對iTrace 信息進行精簡，能夠促進系統(tǒng)性能的提升，幾乎不需要改變路由選擇結構，其最大的缺點在于，由于路由表被頻繁的更新，會使得路由選擇機制產生不穩(wěn)定性，甚者還會改變BGP 協(xié)議。

　　2 跨越挑板的追蹤技術

　　能夠找到IP 源數(shù)據(jù)包發(fā)送的真實地址的IP 源追蹤技術，但是卻不一定能夠找到攻擊者，而且還是對攻擊事件負責的攻擊者。因為在實施攻擊的過程當中，大多數(shù)的攻擊者，會利用“跳板”，所以IP 源追蹤技術對這類攻擊來說，只是開始的第一步而已。如果要想找到真正的攻擊源，就必須要采用跨越跳板的追蹤技術。按照追蹤的不同信息源，跨越跳板的追蹤技術可以分為基于網(wǎng)絡技術、基于主機的技術;如果是按照追蹤的方法不同而言，則可以分為主動式方法、反應式方法兩種。其中主動式方法經進行監(jiān)控，對所有通信量進行比較。則反應式方法則是對攻擊后，通過定制的進程動態(tài)的控制進行懷疑，通信量何地何時與哪些信息相關聯(lián)，以及如何關聯(lián)。

　　較為早期的一些入侵檢測系統(tǒng)， 比如CIS、DOS 等，都具有攻擊源追蹤功能�；�于主機的`追蹤方法，對連接鏈上的每一臺主機都有依賴性，如果每個主機都被控制了，并且關聯(lián)信息的提供發(fā)生了錯誤，則會誤導整個追蹤系統(tǒng)，因此，配置在因特網(wǎng)中的基于主機的追蹤系統(tǒng)是有一定難度的。

　　基于網(wǎng)絡的追蹤，則是根據(jù)網(wǎng)絡連接屬性，被監(jiān)控主機不要求全部參與。利用少量信息總結連接的指紋技術，是最早的關聯(lián)技術，對時鐘同步匹配對應時間間隔的連接指紋有依賴性，而且無法改變重傳的情況，這些都會對實時追蹤的有效性產生嚴重的影響�；�于時間的方案，不是基于連接的內容而是基于交互通信中的時間特點，能夠應用于加密的連接。與基于偏差的方法比較類似。采用兩個TCP 連接序列號的最小平均差，對兩個連接是否關聯(lián)進行確定，偏差考慮了TCP 序列號、時間特征。基于時間的方案、偏差的方法，對時鐘同步沒有要求，都適用于檢測交互式“跳板”。主動式方法需要對所有的通信數(shù)據(jù)進行預先保存，基于網(wǎng)絡的反應式方法，對包處理能夠定制，對連接以及如何關聯(lián)進行動態(tài)控制，因此所需要的資源比被動方更少。主要有隔離協(xié)議、入侵識別、休眠水印追蹤、隔離協(xié)議是一種應用層協(xié)議，通過交換入侵檢測信息，邊界控制器與攻擊描述相結合，共同組織入侵者，并進行定位，休眠水印追蹤，利用水印技術跨越跳板，當入侵被檢測時，不會引起額外的開銷，在入侵后的每個鏈接中，注入水印，喚醒入侵路徑中間路由合作。

　　3 展望

　　第一，評估指標體系的建立，比較當前優(yōu)勢和缺點，對現(xiàn)有算法進行完善。第二，網(wǎng)絡攻擊源追蹤的理論模型的建立，第三，綜合考慮數(shù)據(jù)加密、IPV6、移動性等問題，當前網(wǎng)絡源追蹤方法，對這類問題沒有進行綜合考慮，對這些問題進行改進，提出可靠、簡單的追蹤方法，并進一步對其研究。解決網(wǎng)絡攻擊源追蹤問題，需要結合管理上的特點來進行，當還沒有研究出切實可用、高效簡單的追蹤算法時，結合安全管理，通過實名認證，綁定MAC、IP 地址，消除匿名性的源地址，是一項值得研究的課題。

　　4 總結

　　綜上。本文分析了多種網(wǎng)絡攻擊源追蹤技術，并對其進行了系統(tǒng)了分類，比較了其中的優(yōu)點和缺點，對研究方向進行了探討，希望未來能夠進一步研究，促進網(wǎng)絡攻擊源追蹤技術的良好發(fā)展。

【淺談網(wǎng)絡攻擊源追蹤技術的分類及展望論文】相關文章：

網(wǎng)關攻擊技術對網(wǎng)絡安全的作用論文01-22

如何查找網(wǎng)絡攻擊源 -電腦資料01-01

治標也要治本─淺談網(wǎng)絡攻擊檢測技術 -電腦資料01-01

教你追蹤網(wǎng)絡攻擊讓 無處可逃 -電腦資料01-01

網(wǎng)絡 攻擊特征分析與反攻擊技術 -電腦資料01-01

淺談石油化工技術創(chuàng)新與展望論文10-12

淺談文本分類技術10-04

淺談網(wǎng)絡教育論文02-10

的攻擊分類 -電腦資料01-01