本文選題：未授權(quán)流量　切入點(diǎn)：互聯(lián)網(wǎng)背景輻射　出處：《東南大學(xué)》2015年博士論文

【摘要】：互聯(lián)網(wǎng)背景輻射流量(Internet Background Radiation,簡(jiǎn)稱(chēng)IBR)是互聯(lián)網(wǎng)上未經(jīng)請(qǐng)求的單向流量,也是一種未授權(quán)流量(Unwanted Traffic)。對(duì)IBR流量的研究有助于掌控其成因和特性,可以為網(wǎng)絡(luò)安全相關(guān)工作提供支持和保障。本論文的所有研究工作均圍繞IBR流量展開(kāi)。因?yàn)樗蠭BR相關(guān)研究均基于實(shí)測(cè)流量,所以IBR流量的測(cè)量是工作的起點(diǎn)。本論文的研究工作也從這里開(kāi)始。傳統(tǒng)IBR流量的測(cè)量通過(guò)暗網(wǎng)進(jìn)行。一方面,隨著IPv4地址空間的不斷消耗,足夠規(guī)模的暗網(wǎng)空間很難獲得；另一方面,由于暗網(wǎng)的地址空間固定不變,隨著時(shí)間的推移,可逐漸被未授權(quán)流量的發(fā)起者所悉知,他們可以主動(dòng)避免將未授權(quán)流量發(fā)往暗網(wǎng),這會(huì)導(dǎo)致暗網(wǎng)不能獲取真實(shí)的IBR流量,從而失去其應(yīng)有的價(jià)值。如何從運(yùn)行網(wǎng)絡(luò)中獲取IBR流量,是這個(gè)研究領(lǐng)域面臨的新問(wèn)題。本論文的研究工作也首先從這里展開(kāi)。在這方面已有的方法主要是“灰地址空間法”和“單向流法”,前者會(huì)造成一定程度的漏判,而后者的問(wèn)題是誤判。本論文從2個(gè)角度研究了這個(gè)問(wèn)題,一是如何從已經(jīng)保存的、靜態(tài)的原始流量——IP Trace文件中獲取IBR流量,另一個(gè)是如何從運(yùn)行網(wǎng)絡(luò)中實(shí)時(shí)獲取IBR流量。前者追求的是更高的查全率和查準(zhǔn)率指標(biāo),而后者要求在保證查準(zhǔn)率和一定程度上犧牲查全率指標(biāo)的條件下,滿(mǎn)足實(shí)時(shí)測(cè)量的要求。對(duì)于前者,論文提出了一個(gè)FIBR (Filtering Internet Background Radiation)算法,該算法綜合了現(xiàn)有的“灰地址空間法”和“單向流法”的優(yōu)點(diǎn),通過(guò)基于源點(diǎn)的行為學(xué)習(xí)方法對(duì)運(yùn)行網(wǎng)絡(luò)中流向活躍地址空間的IBR流量進(jìn)行捕獲,從而使獲得的IBR流量更加準(zhǔn)確�；诶碚摵蛯�(shí)測(cè)基準(zhǔn)數(shù)據(jù)的分析顯示,本文的算法能更準(zhǔn)確地獲取整個(gè)運(yùn)行網(wǎng)絡(luò)地址空間的IBR流量；對(duì)于后者,本文提出的算法是RIBRM (Real-time Internet Background Radiation Measurement)。算法的核心思路是“灰地址空間法”,但創(chuàng)新之處在于使用流記錄來(lái)定位運(yùn)行網(wǎng)絡(luò)的灰地址空間,并用過(guò)濾規(guī)則進(jìn)行輔助。試驗(yàn)表明該算法可以在大規(guī)模接入網(wǎng)邊界實(shí)時(shí)工作。將RIBRM算法與FIBR算法獲取的IBR流量進(jìn)行對(duì)比可以看出,RIBRM算法能夠很好地保證查準(zhǔn)率,但在查全率方面略有損失。RIBRM算法的價(jià)值在于它可以連續(xù)工作,隨時(shí)發(fā)現(xiàn)IBR流量成分的變化。在此基礎(chǔ)上,論文對(duì)用兩種算法捕獲的IBR流量進(jìn)行了分析,這也是IBR相關(guān)領(lǐng)域研究工作的主要內(nèi)容。FIBR的分析數(shù)據(jù)來(lái)源于IPTAS系統(tǒng)保存的采集于CERNET(China Education and Research Network)江蘇省網(wǎng)邊界的5條IP Trace數(shù)據(jù),時(shí)間跨度為2008至2012年�；谕痪W(wǎng)絡(luò)邊界路由器提供的流記錄,RIBRM算法進(jìn)行了網(wǎng)絡(luò)內(nèi)部地址活躍性測(cè)量并實(shí)時(shí)采集了2015年2月該網(wǎng)絡(luò)收到的報(bào)文層IBR流量。分析角度包括流量特性、分類(lèi)和空間特性等方面。對(duì)用FIBR算法獲取的IBR流量特性分析表明IBR流量呈逐年上升趨勢(shì),雖然這些IBR流量對(duì)使用帶寬的占用率沒(méi)有超過(guò)1%,但在流數(shù)方面已超過(guò)70%；分類(lèi)分析表明掃描和反向散射(backscatter)是IBR流量的主要成分,這與國(guó)際上相關(guān)的研究結(jié)果是一致的；端口分析表明掃描端口在一段時(shí)間段內(nèi)相對(duì)集中,但會(huì)隨著時(shí)間的推移而逐漸變化；空間分析發(fā)現(xiàn)網(wǎng)內(nèi)所有地址段承受的掃描流量基本一致,但不同的地址段承受的反向散射流量則會(huì)有較大差異�；诜聪蛏⑸涫荌BR流量的主要成分,且其主要成因是偽造源地址的SYN泛洪攻擊這一事實(shí),論文選擇基于反向散射流量檢測(cè)SYN泛洪攻擊作為IBR流量測(cè)量的應(yīng)用。首先通過(guò)對(duì)攻擊中的角色與檢測(cè)位置間關(guān)系的分析,建立了完備的攻擊場(chǎng)景模型。在此基礎(chǔ)上,經(jīng)過(guò)組合分析,給出了所有可能的檢測(cè)類(lèi)型以及相應(yīng)的特征,并進(jìn)一步推導(dǎo)出檢測(cè)邏輯�；谶@些邏輯條件,論文提出了一個(gè)SYN泛洪攻擊檢測(cè)算法WSAND (Worldwide SYN flooding Attack detection based on live Network's flow Data)。該算法的主要特點(diǎn)之一是無(wú)論被攻擊服務(wù)器位于互聯(lián)網(wǎng)的何處,只要SYN泛洪攻擊或反向散射流量通過(guò)檢測(cè)點(diǎn),相應(yīng)的攻擊就可以被檢測(cè)出；另一個(gè)是其基于抽樣流記錄實(shí)現(xiàn),同時(shí)由于其只需檢測(cè)流量中的SYN泛洪攻擊或反向散射成分,它們只占全部流量中很少的一部分,因此可以部署在大規(guī)模接入網(wǎng)的邊界處。論文隨后完成了該算法基于流記錄數(shù)據(jù)源的一個(gè)實(shí)現(xiàn),并用IPTAS上2014年11月的一段70分鐘的IP Trace進(jìn)行了面向抽樣的測(cè)試,結(jié)果顯示該算法在較小抽樣比條件下,仍然可以獲得理想的檢測(cè)效果�；谶@一測(cè)試結(jié)果,論文利用NBOS (Network Behavior Observation System)平臺(tái)將該算法實(shí)際部署到CERNET全部38個(gè)主節(jié)點(diǎn)上,所覆蓋的IP地址數(shù)量近1700萬(wàn)個(gè)。在2014年11月至2015年1月為期三個(gè)月的運(yùn)行過(guò)程中,共檢測(cè)到全球范圍內(nèi)的164677起SYN泛洪攻擊事件。論文對(duì)檢測(cè)結(jié)果進(jìn)行了展示,并從發(fā)生時(shí)間、攻擊強(qiáng)度、攻擊持續(xù)時(shí)間、極值點(diǎn)等角度,對(duì)這些檢測(cè)到的攻擊事件進(jìn)行了詳細(xì)的分析和討論。
[Abstract]:Internet Background Radiation ( IBR ) is an unsolicited unidirectional traffic on the Internet and an unauthorized traffic . The study of IBR flow is helpful to control its genesis and characteristics , which can provide support and guarantee for network security related work . All research work of this paper is based on the flow of IBR . Since all IBR related studies are based on measured traffic , the measurement of IBR flow is the starting point of the work . The research work of this paper is also started here . The measurement of traditional IBR traffic is carried out by dark network . On the one hand , with the continuous consumption of IPv4 address space , it is difficult to obtain the dark network space of sufficient size ;
This paper presents a FIBR ( Filtering Internet Background Radiation ) algorithm .
瀵逛簬鍚庤，

本文編號(hào)：1723105