浅谈网络攻击源追踪技术的分类及展望论文
1 IP 源追踪技术
IP 源追踪技术大致上可以分为两类,即反应式追踪、主动式追踪。其中反应式追踪则是对攻击进行检测,之后才开始对攻击源过程进行追踪的一种追踪技术。主动式追踪则是同时实时监测数据包转发,当法神攻击时,可以根据实时监测的结果,重新构建攻击路径。
只能在攻击流保持活动时,反应式追踪才能对攻击流进行追踪,如果攻击流结束,就无法对IP 源进行确定,所以反应式追踪这类追踪技术,通常适用于实时阻断时使用,对于事后却无法起到分析作用,主要有控制洪流、输入调试两种典型的方法。其中输入调试,则是利用路由器,该路由器并且具有带输入调试功能,当发生攻击之后逐跳,对攻击特征包的路径、路由入口进行确定,通过反复使用,从而对攻击包发送的真实IP 进行确定。在IP 源追踪时,输入调试方法是最容易想到的一种方法,但是采用该方法,要求应用于追踪路径上的路由器,全部必须具有输入调试能力,并且需要手工来进行干预,与互联网服务提供商,即ISP 具有依赖性,与ISP 服务商高度合作,追踪速度就会显得比较慢。另外一种典型的方法,即控制洪流,当发生攻击时,首先采用已有的因特网拓扑图,对距离受害者最近路由的链路进行选择洪流攻击。对自攻击者的包的变化进行观察,通过观察之后确定攻击数据包到底是来自哪条链路,采用同样的方法对其他每一条链路进行洪流控制。控制洪流这种典型的方法,经过研究是非常有效的。自身就是属于一种DOS 攻击,需要与因特网拓扑图、上游主机进行高度合作。
主动式追踪,是一种既可用于事后分析,又可以对攻击的实时阻断。其中包标记法修改IP 协议,当数据包通过路由时,以一定概率的路由器把路由信息标记在数据包的IP 包头的identification 字段当中,当收到足够多的包之后,受害者就可以根据包头的信息,重新构建攻击路径。这种方法不会产生额外的流量,也不会被安全策略堵塞,被防火墙阻止,只使用IP 包本身的信息。而且需要与来自ISP 服务商进行高度合作,这种方法无法适用于分段的IP 包、IP 通讯加密等等。并且通过相关研究表明,由于包标记方法,在多个包中存储路由信息数据,利用近似生日组的概念,使得攻击组散播错误的信息。目前而言,包标记法有不同分类,最基本的也是最常用的即是指PPM 方法。PPM 方法的最大优点在
于,容易实现,但是该方法有着较高的虚警率,需要很大的计算量,对DDOS 的供给是没有任何作用的。并且有较差的鲁棒性。通过改进的标记方案,改进和认证PPM 方法,促进了精确度、鲁棒性的提高,而且计算量也有所降低。将IP 源追踪技术问题,通过代数方法转化为多项式重构问题,对假冒的IP 数据包的真实源点,通过利用代数编码理论得以恢复。与PPM 方法的最大的区别在于不是采用HASH 函数作为效验器,而且利用Hornet 规则迭代地算数编码边信息作为效验器。路由记录法,对一种特殊的路由器进行利用,摘要近期所转发的IP 包保存包,根据所受到的攻击数据包的摘要以及路由器中保存的摘要,受害者可以重新进行构建攻击路径,路由记录方法的典型是源路径隔离引擎,即SPIE。这种方法最大的优点在于就是能够准确的反向跟踪单个数据包,漏警率为零。并且互操作性也非常的好。这种方法最大的缺点在于,需要与ISP 服务商进行合作,对高速路由器存储具有非常高的要求,并且还会对路由器的CPU 产生消耗作用,对路由器的流量转发性能有着严重的影响。
ICMP 消息方法,引入了一种新的iTrace 消息,这一消息当中,主要包含了消息发送的路由器IP 地址,还有诱发该消息的数据包的相关信息,路由器如果加载了跟踪机制,对假冒的IP 源的数据包能够帮助进行识别。但是这种方法会产生大量额外负载,对网络性能有着很大的影响,并且容易被网络安全策略堵塞,远端路由器的ICMP 非常有限。目的驱动的iTrace 方法,需要引入一个“目的位”在数据包转发表、路由表当中,对某个特殊的目标是否需要iTrace 跟踪信息进行决定,这种方法能够对iTrace 信息进行精简,能够促进系统性能的提升,几乎不需要改变路由选择结构,其最大的缺点在于,由于路由表被频繁的更新,会使得路由选择机制产生不稳定性,甚者还会改变BGP 协议。
2 跨越挑板的`追踪技术
能够找到IP 源数据包发送的真实地址的IP 源追踪技术,但是却不一定能够找到攻击者,而且还是对攻击事件负责的攻击者。因为在实施攻击的过程当中,大多数的攻击者,会利用“跳板”,所以IP 源追踪技术对这类攻击来说,只是开始的第一步而已。如果要想找到真正的攻击源,就必须要采用跨越跳板的追踪技术。按照追踪的不同信息源,跨越跳板的追踪技术可以分为基于网络技术、基于主机的技术;如果是按照追踪的方法不同而言,则可以分为主动式方法、反应式方法两种。其中主动式方法经进行监控,对所有通信量进行比较。则反应式方法则是对攻击后,通过定制的进程动态的控制进行怀疑,通信量何地何时与哪些信息相关联,以及如何关联。
较为早期的一些入侵检测系统, 比如CIS、DOS 等,都具有攻击源追踪功能。基于主机的追踪方法,对连接链上的每一台主机都有依赖性,如果每个主机都被控制了,并且关联信息的提供发生了错误,则会误导整个追踪系统,因此,配置在因特网中的基于主机的追踪系统是有一定难度的。
基于网络的追踪,则是根据网络连接属性,被监控主机不要求全部参与。利用少量信息总结连接的指纹技术,是最早的关联技术,对时钟同步匹配对应时间间隔的连接指纹有依赖性,而且无法改变重传的情况,这些都会对实时追踪的有效性产生严重的影响。基于时间的方案,不是基于连接的内容而是基于交互通信中的时间特点,能够应用于加密的连接。与基于偏差的方法比较类似。采用两个TCP 连接序列号的最小平均差,对两个连接是否关联进行确定,偏差考虑了TCP 序列号、时间特征。基于时间的方案、偏差的方法,对时钟同步没有要求,都适用于检测交互式“跳板”。主动式方法需要对所有的通信数据进行预先保存,基于网络的反应式方法,对包处理能够定制,对连接以及如何关联进行动态控制,因此所需要的资源比被动方更少。主要有隔离协议、入侵识别、休眠水印追踪、隔离协议是一种应用层协议,通过交换入侵检测信息,边界控制器与攻击描述相结合,共同组织入侵者,并进行定位,休眠水印追踪,利用水印技术跨越跳板,当入侵被检测时,不会引起额外的开销,在入侵后的每个链接中,注入水印,唤醒入侵路径中间路由合作。
3 展望
第一,评估指标体系的建立,比较当前优势和缺点,对现有算法进行完善。第二,网络攻击源追踪的理论模型的建立,第三,综合考虑数据加密、IPV6、移动性等问题,当前网络源追踪方法,对这类问题没有进行综合考虑,对这些问题进行改进,提出可靠、简单的追踪方法,并进一步对其研究。解决网络攻击源追踪问题,需要结合管理上的特点来进行,当还没有研究出切实可用、高效简单的追踪算法时,结合安全管理,通过实名认证,绑定MAC、IP 地址,消除匿名性的源地址,是一项值得研究的课题。
4 总结
综上。本文分析了多种网络攻击源追踪技术,并对其进行了系统了分类,比较了其中的优点和缺点,对研究方向进行了探讨,希望未来能够进一步研究,促进网络攻击源追踪技术的良好发展。