- 相關(guān)推薦
淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文
1 IP 源追蹤技術(shù)
IP 源追蹤技術(shù)大致上可以分為兩類,即反應(yīng)式追蹤、主動式追蹤。其中反應(yīng)式追蹤則是對攻擊進行檢測,之后才開始對攻擊源過程進行追蹤的一種追蹤技術(shù)。主動式追蹤則是同時實時監(jiān)測數(shù)據(jù)包轉(zhuǎn)發(fā),當(dāng)法神攻擊時,可以根據(jù)實時監(jiān)測的結(jié)果,重新構(gòu)建攻擊路徑。
只能在攻擊流保持活動時,反應(yīng)式追蹤才能對攻擊流進行追蹤,如果攻擊流結(jié)束,就無法對IP 源進行確定,所以反應(yīng)式追蹤這類追蹤技術(shù),通常適用于實時阻斷時使用,對于事后卻無法起到分析作用,主要有控制洪流、輸入調(diào)試兩種典型的方法。其中輸入調(diào)試,則是利用路由器,該路由器并且具有帶輸入調(diào)試功能,當(dāng)發(fā)生攻擊之后逐跳,對攻擊特征包的路徑、路由入口進行確定,通過反復(fù)使用,從而對攻擊包發(fā)送的真實IP 進行確定。在IP 源追蹤時,輸入調(diào)試方法是最容易想到的一種方法,但是采用該方法,要求應(yīng)用于追蹤路徑上的路由器,全部必須具有輸入調(diào)試能力,并且需要手工來進行干預(yù),與互聯(lián)網(wǎng)服務(wù)提供商,即ISP 具有依賴性,與ISP 服務(wù)商高度合作,追蹤速度就會顯得比較慢。另外一種典型的方法,即控制洪流,當(dāng)發(fā)生攻擊時,首先采用已有的因特網(wǎng)拓撲圖,對距離受害者最近路由的鏈路進行選擇洪流攻擊。對自攻擊者的包的變化進行觀察,通過觀察之后確定攻擊數(shù)據(jù)包到底是來自哪條鏈路,采用同樣的方法對其他每一條鏈路進行洪流控制。控制洪流這種典型的方法,經(jīng)過研究是非常有效的。自身就是屬于一種DOS 攻擊,需要與因特網(wǎng)拓撲圖、上游主機進行高度合作。
主動式追蹤,是一種既可用于事后分析,又可以對攻擊的實時阻斷。其中包標(biāo)記法修改IP 協(xié)議,當(dāng)數(shù)據(jù)包通過路由時,以一定概率的路由器把路由信息標(biāo)記在數(shù)據(jù)包的IP 包頭的identification 字段當(dāng)中,當(dāng)收到足夠多的包之后,受害者就可以根據(jù)包頭的信息,重新構(gòu)建攻擊路徑。這種方法不會產(chǎn)生額外的流量,也不會被安全策略堵塞,被防火墻阻止,只使用IP 包本身的信息。而且需要與來自ISP 服務(wù)商進行高度合作,這種方法無法適用于分段的IP 包、IP 通訊加密等等。并且通過相關(guān)研究表明,由于包標(biāo)記方法,在多個包中存儲路由信息數(shù)據(jù),利用近似生日組的概念,使得攻擊組散播錯誤的信息。目前而言,包標(biāo)記法有不同分類,最基本的也是最常用的即是指PPM 方法。PPM 方法的最大優(yōu)點在于,容易實現(xiàn),但是該方法有著較高的虛警率,需要很大的計算量,對DDOS 的供給是沒有任何作用的。并且有較差的魯棒性。通過改進的標(biāo)記方案,改進和認證PPM 方法,促進了精確度、魯棒性的提高,而且計算量也有所降低。將IP 源追蹤技術(shù)問題,通過代數(shù)方法轉(zhuǎn)化為多項式重構(gòu)問題,對假冒的IP 數(shù)據(jù)包的真實源點,通過利用代數(shù)編碼理論得以恢復(fù)。與PPM 方法的最大的區(qū)別在于不是采用HASH 函數(shù)作為效驗器,而且利用Hornet 規(guī)則迭代地算數(shù)編碼邊信息作為效驗器。
路由記錄法,對一種特殊的路由器進行利用,摘要近期所轉(zhuǎn)發(fā)的IP 包保存包,根據(jù)所受到的攻擊數(shù)據(jù)包的摘要以及路由器中保存的摘要,受害者可以重新進行構(gòu)建攻擊路徑,路由記錄方法的典型是源路徑隔離引擎,即SPIE。這種方法最大的優(yōu)點在于就是能夠準(zhǔn)確的反向跟蹤單個數(shù)據(jù)包,漏警率為零。并且互操作性也非常的好。這種方法最大的缺點在于,需要與ISP 服務(wù)商進行合作,對高速路由器存儲具有非常高的要求,并且還會對路由器的CPU 產(chǎn)生消耗作用,對路由器的流量轉(zhuǎn)發(fā)性能有著嚴重的影響。
ICMP 消息方法,引入了一種新的iTrace 消息,這一消息當(dāng)中,主要包含了消息發(fā)送的路由器IP 地址,還有誘發(fā)該消息的數(shù)據(jù)包的相關(guān)信息,路由器如果加載了跟蹤機制,對假冒的IP 源的數(shù)據(jù)包能夠幫助進行識別。但是這種方法會產(chǎn)生大量額外負載,對網(wǎng)絡(luò)性能有著很大的影響,并且容易被網(wǎng)絡(luò)安全策略堵塞,遠端路由器的ICMP 非常有限。目的驅(qū)動的iTrace 方法,需要引入一個“目的位”在數(shù)據(jù)包轉(zhuǎn)發(fā)表、路由表當(dāng)中,對某個特殊的目標(biāo)是否需要iTrace 跟蹤信息進行決定,這種方法能夠?qū)Trace 信息進行精簡,能夠促進系統(tǒng)性能的提升,幾乎不需要改變路由選擇結(jié)構(gòu),其最大的缺點在于,由于路由表被頻繁的更新,會使得路由選擇機制產(chǎn)生不穩(wěn)定性,甚者還會改變BGP 協(xié)議。
2 跨越挑板的追蹤技術(shù)
能夠找到IP 源數(shù)據(jù)包發(fā)送的真實地址的IP 源追蹤技術(shù),但是卻不一定能夠找到攻擊者,而且還是對攻擊事件負責(zé)的攻擊者。因為在實施攻擊的過程當(dāng)中,大多數(shù)的攻擊者,會利用“跳板”,所以IP 源追蹤技術(shù)對這類攻擊來說,只是開始的第一步而已。如果要想找到真正的攻擊源,就必須要采用跨越跳板的追蹤技術(shù)。按照追蹤的不同信息源,跨越跳板的追蹤技術(shù)可以分為基于網(wǎng)絡(luò)技術(shù)、基于主機的技術(shù);如果是按照追蹤的方法不同而言,則可以分為主動式方法、反應(yīng)式方法兩種。其中主動式方法經(jīng)進行監(jiān)控,對所有通信量進行比較。則反應(yīng)式方法則是對攻擊后,通過定制的進程動態(tài)的控制進行懷疑,通信量何地何時與哪些信息相關(guān)聯(lián),以及如何關(guān)聯(lián)。
較為早期的一些入侵檢測系統(tǒng), 比如CIS、DOS 等,都具有攻擊源追蹤功能。基于主機的追蹤方法,對連接鏈上的每一臺主機都有依賴性,如果每個主機都被控制了,并且關(guān)聯(lián)信息的提供發(fā)生了錯誤,則會誤導(dǎo)整個追蹤系統(tǒng),因此,配置在因特網(wǎng)中的基于主機的追蹤系統(tǒng)是有一定難度的。
基于網(wǎng)絡(luò)的追蹤,則是根據(jù)網(wǎng)絡(luò)連接屬性,被監(jiān)控主機不要求全部參與。利用少量信息總結(jié)連接的指紋技術(shù),是最早的關(guān)聯(lián)技術(shù),對時鐘同步匹配對應(yīng)時間間隔的連接指紋有依賴性,而且無法改變重傳的情況,這些都會對實時追蹤的有效性產(chǎn)生嚴重的影響。基于時間的方案,不是基于連接的內(nèi)容而是基于交互通信中的時間特點,能夠應(yīng)用于加密的連接。與基于偏差的方法比較類似。采用兩個TCP 連接序列號的最小平均差,對兩個連接是否關(guān)聯(lián)進行確定,偏差考慮了TCP 序列號、時間特征。基于時間的方案、偏差的方法,對時鐘同步?jīng)]有要求,都適用于檢測交互式“跳板”。主動式方法需要對所有的通信數(shù)據(jù)進行預(yù)先保存,基于網(wǎng)絡(luò)的反應(yīng)式方法,對包處理能夠定制,對連接以及如何關(guān)聯(lián)進行動態(tài)控制,因此所需要的資源比被動方更少。主要有隔離協(xié)議、入侵識別、休眠水印追蹤、隔離協(xié)議是一種應(yīng)用層協(xié)議,通過交換入侵檢測信息,邊界控制器與攻擊描述相結(jié)合,共同組織入侵者,并進行定位,休眠水印追蹤,利用水印技術(shù)跨越跳板,當(dāng)入侵被檢測時,不會引起額外的開銷,在入侵后的每個鏈接中,注入水印,喚醒入侵路徑中間路由合作。
3 展望
第一,評估指標(biāo)體系的建立,比較當(dāng)前優(yōu)勢和缺點,對現(xiàn)有算法進行完善。第二,網(wǎng)絡(luò)攻擊源追蹤的理論模型的建立,第三,綜合考慮數(shù)據(jù)加密、IPV6、移動性等問題,當(dāng)前網(wǎng)絡(luò)源追蹤方法,對這類問題沒有進行綜合考慮,對這些問題進行改進,提出可靠、簡單的追蹤方法,并進一步對其研究。解決網(wǎng)絡(luò)攻擊源追蹤問題,需要結(jié)合管理上的特點來進行,當(dāng)還沒有研究出切實可用、高效簡單的追蹤算法時,結(jié)合安全管理,通過實名認證,綁定MAC、IP 地址,消除匿名性的源地址,是一項值得研究的課題。
4 總結(jié)
綜上。本文分析了多種網(wǎng)絡(luò)攻擊源追蹤技術(shù),并對其進行了系統(tǒng)了分類,比較了其中的優(yōu)點和缺點,對研究方向進行了探討,希望未來能夠進一步研究,促進網(wǎng)絡(luò)攻擊源追蹤技術(shù)的良好發(fā)展。
【淺談網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類及展望論文】相關(guān)文章:
網(wǎng)關(guān)攻擊技術(shù)對網(wǎng)絡(luò)安全的作用論文05-02
淺談文本分類技術(shù)04-29
淺談網(wǎng)絡(luò)教育論文10-30
溫度與攻擊的研究回顧與展望04-26
淺談工程測量信息化測繪技術(shù)實現(xiàn)與展望工學(xué)論文04-30
淺談通信網(wǎng)絡(luò)的論文05-05
淺談農(nóng)田面源污染的生態(tài)控制技術(shù)04-29
淺談借用網(wǎng)絡(luò)技術(shù),創(chuàng)新德育教育方式論文05-04