IP協(xié)議的"無狀態(tài)"特征引發(fā)了許多網(wǎng)絡(luò)安全管理問題.為此,人們提出了單包溯源技術(shù).然而,已有方法因激勵(lì)性能低、無法增量部署、維護(hù)成本高等問題,一直未被大規(guī)模推廣.基于此,提出一種聯(lián)盟模式下高效單包溯源方法,簡(jiǎn)稱TIST.該方法首先在大規(guī)模網(wǎng)絡(luò)上構(gòu)建溯源聯(lián)盟體系結(jié)構(gòu),通過剪除搭便車自治域來提高部署激勵(lì)性;然后,通過融合IP流標(biāo)記和對(duì)等過濾技術(shù),設(shè)計(jì)一種面向溯源聯(lián)盟的鏈路指紋建立策略,它能弱化自治域之間的溯源耦合性,實(shí)現(xiàn)增量部署;最后,定義一種新的面向網(wǎng)絡(luò)前綴的計(jì)數(shù)布魯姆過濾器,并通過優(yōu)化其參數(shù),使溯源路由器能夠快速識(shí)別溯源分組,進(jìn)而實(shí)現(xiàn)鏈路指紋的選擇性建立,降低維護(hù)成本.通過理論分析和基于大規(guī)模真實(shí)和人工互聯(lián)網(wǎng)拓?fù)涞姆抡鎸?shí)驗(yàn),結(jié)果表明:相對(duì)于以往方案,TIST在可部署性方面確實(shí)有了很大的改善. 

【文章來源】：軟件學(xué)報(bào). 2020,31(12)北大核心EICSCD

【文章頁數(shù)】：29 頁

【部分圖文】：

已有單包溯源方法的基本思想

上述環(huán)節(jié)簡(jiǎn)稱“溯源驗(yàn)證規(guī)則部署”.整個(gè)溯源聯(lián)盟配屬一臺(tái)注冊(cè)服務(wù)器,用于動(dòng)態(tài)維護(hù)溯源聯(lián)盟的全局成員列表信息,管理和控制成員加盟和退出,向控制服務(wù)器實(shí)時(shí)發(fā)布聯(lián)盟成員信息.上述環(huán)節(jié)簡(jiǎn)稱“成員列表管理”.溯源路由器主要用于組建溯源網(wǎng)絡(luò)、建立指紋信息和路徑回溯查詢.上述環(huán)節(jié)簡(jiǎn)稱“溯源信息管理”.對(duì)于聯(lián)盟注冊(cè)服務(wù)器負(fù)載過重而引發(fā)的性能瓶頸問題和聯(lián)盟開放性而引發(fā)的通信安全問題,TIST可借鑒作者在文獻(xiàn)[13]提出的安全和可靠性策略.·在數(shù)據(jù)層面

2)當(dāng)IP分組p到達(dá)溯源網(wǎng)絡(luò)AS1的邊界路由器,該路由器將p的源地址、目的地址與邊界路由器所配置的對(duì)等過濾規(guī)則按順序一一匹配,依據(jù)匹配結(jié)果,判定之后的過濾操作.例如,已知邊界路由器R1所配置的面向聯(lián)盟成員的對(duì)等過濾規(guī)則為:1) permit 198.3.0.0/18 any;2) deny any 198.1.0.0/24;3) permit any any.p的規(guī)則匹配過程可描述為:1)如果p的源地址包含于網(wǎng)絡(luò)前綴198.3.0.0/18,那么直接轉(zhuǎn)發(fā),否則轉(zhuǎn)向下一條規(guī)則;2)如果p的目的地址包含于網(wǎng)絡(luò)前綴198.1.0.0/24,那么直接過濾,否則轉(zhuǎn)向下一條規(guī)則;3)直接將p進(jìn)行轉(zhuǎn)發(fā).上述過程可簡(jiǎn)述為:R1只過濾源地址不屬于AS1前綴、目的地址屬于成員域AS2前綴的IP分組,而將剩余分組(無論真實(shí)還是匿名)直接轉(zhuǎn)發(fā).若AS6檢測(cè)出p為攻擊包,首先判斷p內(nèi)源地址是否包含于成員域AS1:若是,向成員域AS1發(fā)起回溯請(qǐng)求;反之,溯源任務(wù)停止.2.2.1 基于IP流標(biāo)記的域內(nèi)鏈路指紋建立

【參考文獻(xiàn)】：
期刊論文
[1]層次化反匿名聯(lián)盟構(gòu)建方法[J]. 魯寧,李峰,王尚廣,史聞博,楊放春.  軟件學(xué)報(bào). 2019(09)
[2]一種高精度、低開銷的單包溯源方法[J]. 魯寧,王尚廣,李峰,史聞博,楊放春.  軟件學(xué)報(bào). 2017(10)
[3]Filtering Location Optimization for Defending Against Large-Scale BDoS Attacks[J]. LU Ning,WANG Yulong,SHI Wenbo,LI Guorui,DIAO Ding.  Chinese Journal of Electronics. 2017(02)
[4]SAFE: a Scalable Filter-Based Packet Filtering Scheme[J]. LU Ning,HU Wenhao.  中國(guó)通信. 2016(02)



本文編號(hào)：3626907