浅谈网络2020源追踪技术的分类及展望论文

浅谈网络XX源跟踪技术的分类及展望IP源跟踪技术可以大致分为两种类型，即反应跟踪和主动跟踪。被动跟踪是一种跟踪技术，它检测攻击，然后开始跟踪攻击源过程。主动跟踪是指同时实时监控数据包转发。当法申攻击时，可以根据实时监控的结果重建攻击路径。只有当攻击流保持活动时，被动跟踪才能跟踪攻击流。如果攻击流结束，则无法确定IP源。因此，反应式跟踪通常适用于实时阻塞，但不能在事后发挥分析作用。主要有两种典型的方法：防洪和输入调试。输入调试是使用路由器，它也具有输入调试的功能。当攻击发生时，攻击特征包的路径和路由条目逐跳确定。通过重复使用，确定攻击包发送的真实IP。在IP源跟踪中，输入调试方法是最容易想到的。然而，使用这种方法，应用于跟踪路径的所有路由器都需要具有输入调试能力，并且需要手动干预。他们依赖于互联网服务提供商，即互联网服务提供商，如果他们与互联网服务提供商合作，跟踪速度将相对较慢。另一个典型的方法是防洪。当攻击发生时，首先使用现有的互联网拓扑图来选择离受害者最近的链路上的洪水攻击。观察来自攻击者的数据包的变化，观察后确定哪个链路是攻击数据包，并使用相同的方法来泛洪控制每隔一个链路。经过研究，这种典型的防洪方法非常有效。这是一种拒绝服务攻击，需要配合网络拓扑图和上游主机。主动跟踪不仅用于事后分析，还可以实时阻止攻击。包标记方法修改了IP协议。当数据包通过路由时，路由器以一定的概率将路由信息标记在数据包的IP包头的标识字段中。在收到足够的数据包后，受害者可以根据包头信息重建攻击路径。这种方法不会产生额外的流量，不会被安全策略阻止，不会被防火墙阻止，并且只会使用IP数据包本身的信息。此外，它需要与互联网服务提供商高度合作。这种方法不能应用于分段的IP包、IP通信加密等。相关研究表明，由于包标记方法，路由信息数据存储在多个包中，并利用近似生日组的概念，使得攻击组传播错误信息。目前，包标记方法有不同的分类。最基本和最常用的方法是PPM法。PPM方法的最大优点是易于实现。然而，这种方法具有较高的虚警率，并且需要大量的计算。它对DDOS电源没有影响。并且鲁棒性差。通过对PPM方法的改进标记、改进和认证，提高了准确性和鲁棒性，减少了计算量。通过代数方法将IP源跟踪技术问题转化为多项式重构问题，并利用代数编码理论恢复假IP包的真实源点。与PPM方法的最大区别在于HASH函数不被用作检验器，而Hor规则被用来迭代地算术编码边信息作为检验器。路由记录方法利用一个特殊的路由器，总结最近转发的IP包保存包。根据收到的攻击数据包摘要和存储在路由器中的摘要，受害者可以重建攻击路径。典型的路由记录方法是源路径隔离引擎，SPIE。这种方法的最大优点是它能准确地跟踪反向的单个数据包，并且误报率为零。互操作性也非常好。这种方法的最大缺点是需要与ISP服务提供商合作，ISP服务提供商对高速路由器的存储要求很高，并且会消耗路由器的CPU，严重影响路由器的流量转发性能。IP源跟踪技术可以找到IP源数据包的真实地址，但它可能找不到攻击者，而且它也是对攻击负责的攻击者。因为大多数攻击者会在实施攻击的过程中使用“跳板”，所以IP源跟踪技术只是此类攻击的第一步。如果你想找到真正的攻击源，你必须使用跟踪技术跨越跳板。根据跟踪的不同信息源，跨跳板的跟踪技术可分为基于网络的技术和基于主机的技术。如果跟踪方法不同，可以分为主动方法和被动方法。监控活动方法并比较所有流量。反应性方法是怀疑攻击后定制过程动态的控制，在哪里，什么时候，什么信息与流量相关，以及如何相关。一些早期的入侵检测系统，如CIS和DOS，都具有攻击源跟踪功能。基于主机的跟踪方法取决于连接链中的每台主机。如果每个主机都被控制，并且相关信息提供不正确，整个跟踪系统将被误导。因此，很难在互联网中配置基于主机的跟踪系统。基于网络的跟踪基于网络连接属性，受监控的主机不需要完全参与。指纹技术是最早的相关技术，它使用少量信息来总结联系。它依赖于时钟同步匹配相应时间间隔的连接指纹，不能改变重传情况，这将严重影响实时跟踪的有效性。基于时间的方案不是基于连接的内容，而是基于交互式通信中的时间特性，并且可以应用于加密连接。它类似于基于偏差的方法。两个TCP连接的序列号之间的最小平均差异用于确定这两个连接是否相关。该偏差考虑了TCP序列号和时间特征。基于时间的方案和偏差方法不需要时钟同步，都适用于检测交互式“跳板”。主动方法需要提前保存所有通信数据。基于网络的反应式方法可以定制数据包处理，动态控制连接和关联，因此比被动方法需要更少的资源。主要协议有隔离协议、入侵识别、休眠水印跟踪和应用层协议隔离协议。通过交换入侵检测信息，将边界控制器和攻击描述结合起来，共同组织入侵者，并定位和跟踪休眠水印。水印技术被用来跨越跳板。当检测到入侵时，不会造成额外的开销。入侵发生后，水印被注入每个链路，以唤醒入侵路径中间的路由合作。首先，建立评价指标体系，比较当前的优缺点，并对现有算法进行改进。第二，建立网络攻击源追踪的理论模型。第三，综合考虑数据加密、IPV6、移动性等问题，目前的网络源跟踪方法没有综合考虑这些问题，对这些问题进行改进，提出可靠简单的跟踪方法，并进一步研究。要解决网络攻击源的跟踪问题，需要结合管理的特点进行。在没有实用、高效、简单的跟踪算法的情况下，结合安全管理，通过实名认证绑定MAC和IP地址，消除匿名源地址是一个值得研究