网络攻击路径重构中的报文标记方案研究
网络攻击溯源技术
网络攻击溯源技术随着互联网的迅猛发展,网络攻击已经成为我们日常生活中无法回避的问题。
网络黑客和攻击者时常利用各种技术手段入侵他人的计算机系统,窃取个人隐私信息,造成了巨大的损失。
为了解决这个问题,网络攻击溯源技术应运而生。
网络攻击溯源技术是一种通过追踪和分析网络攻击过程的方法,旨在确定攻击源的位置和身份,为进一步采取防御措施提供依据。
下面将详细介绍几种常见的网络攻击溯源技术。
一、IP地址追踪技术IP地址是互联网中用于标识计算机和设备的一串数字。
通过追踪攻击来源的IP地址,可以大致确定攻击者的物理位置和所用的网络服务提供商。
这种技术常常被用于查询攻击者的地理位置,并可以将信息提供给执法机构进行进一步调查。
二、域名溯源技术域名溯源技术是通过对攻击中的恶意域名进行追踪和分析,以确定攻击者的身份。
恶意域名通常会被用于发起网络钓鱼、恶意软件传播等活动中。
通过追踪域名的注册者和使用者的信息,可以帮助警方追踪并定位攻击者。
三、数据包分析技术数据包分析技术是通过对网络流量进行深入的数据包分析,以确定攻击发起者的IP地址、攻击方式和攻击工具等信息。
这种技术可以通过分析网络协议、端口和数据包的特征,对网络攻击进行溯源和定位,进而制定相应的防护措施。
四、黑客行为追踪技术黑客行为追踪技术是通过模拟黑客攻击行为,以便跟踪分析和了解攻击者的行动逻辑和攻击方式。
通过模拟攻击行为,可以发现攻击者的蛛丝马迹,并预测其下一步的攻击目标。
这种技术对于提前预防和减轻网络攻击的损失非常重要。
网络攻击溯源技术的发展给网络安全领域带来了重要的突破和进步。
通过追踪攻击源头,我们可以更好地了解攻击者的手法和动机,加强网络安全防护措施,提高网络安全性。
无论怎样,保护个人隐私和网络安全都是我们每个人的责任。
在使用互联网时,我们应该时刻保持警惕,加强个人防范意识,主动了解网络攻击溯源技术,并积极采取防御措施。
只有全社会共同努力,才能构筑起一个安全可靠的网络环境。
网络攻击行为识别及溯源技术研究
网络攻击行为识别及溯源技术研究随着网络在我们生活中越来越重要,网络攻击也是层出不穷。
网络攻击不仅影响个人数字资产的安全,而且可能导致崩溃的重要基础设施的影响,甚至造成国家的安全威胁。
因此网络攻击行为识别及溯源技术成为了信息安全界的重点研究领域之一。
一、网络攻击的特点网络攻击的特点是复杂多变的。
首先,攻击手段多种多样,包括DDoS攻击、SQL注入、恶意代码攻击、勒索软件攻击等等。
其次,攻击者能够迅速变换攻击手段,同时不断更新技术手段,绕过现有的防御措施。
最后,网络攻击可以进行匿名和伪装,很难追踪到攻击者,并为攻击者提供一定程度的保护。
二、网络攻击行为识别技术网络攻击行为识别技术是在网络攻击发生的早期,对攻击流量及其特征进行分析,以识别网络攻击行为。
网络攻击行为识别技术可以根据其分类的方式,分为基于签名和基于机器学习两类。
基于签名的网络攻击行为识别技术基于签名的网络攻击行为识别技术是通过对攻击流量及其特征进行分析,以识别网络攻击行为。
该技术基于先前收集到的网络攻击行为数据或特定攻击的特征,以此查找到攻击者使用的恶意代码或攻击流量。
但是该技术有一个缺点,即对于未知攻击流量或攻击者使用了变异代码或攻击流量时,该技术不会有效识别网络攻击行为。
基于机器学习的网络攻击行为识别技术基于机器学习的网络攻击行为识别技术是通过对网络流量特征进行训练,建立机器学习模型,以自主检测新的网络攻击行为。
该技术使用算法将不同特征的数据映射到特定的分类标签上,并根据这些标签进行数据分类和特征提取。
基于机器学习的技术可以有效地识别新的未知攻击,特别是误报率较低。
三、网络攻击溯源技术网络攻击溯源技术是通过对网络流量的追踪和拓扑分析,为受攻击的企业或国家通过可视化分析,找出攻击源头,以及攻击者使用的攻击技术和攻击工具。
网络攻击溯源技术能够提供在网络流量基础上的视觉化分析,以便于安全专业人员更好的了解攻击者行为和目标资产。
网络攻击溯源技术主要分为两个方面:反向追踪和前向溯源。
网络攻击溯源方法在网络安全防御中的应用技巧探索
网络攻击溯源方法在网络安全防御中的应用技巧探索随着互联网的普及和发展,网络攻击事件呈现出日益复杂和频繁的态势。
为了保护网络安全,对于攻击行为的溯源和定位变得尤为重要。
网络攻击溯源方法作为一种重要的网络安全防御手段,在网络安全领域发挥着不可忽视的作用。
本文将通过探索网络攻击溯源方法在网络安全防御中的应用技巧,旨在为网络安全人员提供一些指导和思路。
网络攻击溯源方法是指通过分析攻击行为遗留下的证据,追踪到攻击者的真实身份、攻击路径以及攻击手段等信息,从而有效地识别和定位网络攻击者。
在实际应用中,网络攻击溯源方法具体包含IP地址跟踪、日志分析和数字取证等技术手段。
首先,IP地址跟踪是一种常见的网络攻击溯源方法。
通过对攻击事件中所涉及的IP地址进行追踪和分析,可以确定攻击来源的地理位置和所使用的网络服务提供商。
此外,借助IP地址跟踪工具,还可以追溯攻击者的网络行为轨迹,识别可能存在的攻击路径和潜在的攻击手段。
然而,由于网络上存在着大量的匿名代理、虚拟专用网络(VPN)和Tor网络等技术,攻击者的真实身份可能会被更有效地隐藏起来,因此在使用IP地址跟踪方法时需要慎重考虑。
其次,日志分析是一种重要的网络攻击溯源方法。
通过分析网络设备、服务器等系统产生的日志信息,可以获取关于攻击事件的重要线索。
在日志分析过程中,应重点关注异常登录、访问和数据传输等行为,结合设备和系统的配置信息,挖掘出可疑的攻击行为。
此外,通过将多个不同设备的日志进行关联分析,可以获得更全面的攻击行为画像,从而帮助快速并准确地追溯到攻击者。
最后,数字取证是一种能够直接获取攻击者行为证据的网络攻击溯源方法。
通过对受到攻击的系统、应用或设备进行取证分析,可以重建攻击事件的发生过程,并获取攻击者留下的操作痕迹和关键信息。
数字取证技术包括硬盘镜像、文件恢复、恶意软件分析等多种手段,通过有效利用这些技术,可以帮助网络安全人员获取关键的攻击者信息,为后续的调查和追踪提供重要依据。
网络攻击溯源技术研究
网络攻击溯源技术研究如今,网络攻击是普遍的事实,不仅给我们的基础设施和个人信息带来了不可逆转的损失,也对国家安全构成了极大的威胁。
针对网络攻击的防御和应对显得愈加紧迫和必要,而网络攻击溯源技术成为解决此类问题的一个关键。
一、网络攻击溯源技术的定义及作用网络攻击溯源技术的定义成为了一个广泛的话题。
溯源技术可以跟踪和识别非法网络入侵的来源以及攻击历史。
主要应用于网络犯罪调查、网络攻击追踪、网络安全日志审计等方面。
通过网络攻击溯源技术,可以追踪到黑客入侵的IP地址、具体时间和进攻细节,并对其攻击行为做出相应响应。
二、网络攻击溯源技术的分类网络攻击溯源技术在实践中可以按照不同的分类方法进行划分。
最常见的分类法如下:1.基于网络层的溯源技术:研究说基于网络层的溯源技术就是指攻击者和被攻击者之间的数据传输层面的间接溯源,相对比较简单和实用。
2. 基于数据网络的溯源技术:该技术是通过信息目的地的相关流量数据自动跟踪网络攻击的路径,使用网络数据通过数据包的一个基本流程,最后确定准确的信息来源。
3. 基于特征分析的溯源技术:该技术是通过分析不同数据转发的特征来确定其定位和路径,可以实现以攻击者肺来确切杀死攻击的来源及路径信息。
三、网络攻击溯源技术的实现方法网络攻击溯源技术的实现方法主要包括以下几种:1. 路径溯源:通过网络拓扑分析器,可以进行路由路径跟踪并明确入侵者的来源和行踪迹。
2. 客户端追踪:通过识别恶意代码和病毒程序,可以直接追踪到攻击者的客户端。
3. IP溯源:通过IP地址的追踪,可以追踪到幕后的攻击者。
四、网络攻击溯源技术的前景对于整个网络安全生态而言,网络攻击溯源技术的前景还是十分广阔的,有以下几个方面:1. 在保障网络安全的前提下,可以更好的保护公民个人信息、企业机密以及国家安全的基础设施。
同时,通过技术手段对于恶意黑客或者其他犯罪个体的行为进行管控,进一步保障我们的社会稳定。
2.网络攻击溯源技术的发展能够进一步补充网络安全保护的产品体系和技术技能,为网络安全产业的增长注入新的动力。
基于攻击路径分析的网络安全目标制定与实现策略研究
基于攻击路径分析的网络安全目标制定与实现策略研究网络安全目标制定与实施策略的研究是一个重要的领域,可以帮助组织和个人提高网络安全防护能力,预防和应对网络攻击。
本文将探讨基于攻击路径分析的网络安全目标制定与实施策略,并提出一种可行的方法。
攻击路径分析是一种通过模拟攻击者的攻击路径来识别网络脆弱点和潜在攻击路径的方法。
它能够帮助组织了解可能的攻击链路,从而制定相应的安全目标和实施策略。
首先,制定网络安全目标是实施网络安全策略的第一步。
基于攻击路径分析的网络安全目标应基于以下几个方面:1.防止攻击者进入网络:通过分析攻击链路,确定可能入侵网络的攻击路径和漏洞,制定防止攻击者进入网络的目标,如加强访问控制、强化身份认证等。
2.减少攻击面:识别并减少网络脆弱点,降低潜在攻击路径的数量和复杂性,从而减少攻击面,提高网络的安全性。
3.提高攻击检测和响应能力:制定目标,提升攻击检测和响应的能力,及时发现并应对攻击行为,减少损失和恢复时间。
其次,通过攻击路径分析制定网络安全目标后,需要制定相应的实施策略。
以下是几点建议:1.强化访问控制:通过强化访问控制,限制网络的访问权限,只允许授权人员进入特定的网络资源,从而减少攻击者进入网络的可能性。
实施方式包括密码策略、双因素身份验证等。
2.加强网络监控:通过建立实时的网络监控系统,及时发现并响应网络攻击行为。
监控系统应具备实时警报功能,能够帮助组织及时采取措施应对攻击。
3.定期进行漏洞扫描和安全评估:定期进行漏洞扫描和安全评估,识别网络脆弱点和攻击路径,及时修复漏洞,减少攻击面。
4.做好安全培训和意识教育:加强员工的网络安全意识教育,培养他们的安全意识和安全行为,减少因人为因素造成的安全漏洞。
最后,实施网络安全目标和策略是一个持续的过程。
组织应建立网络安全团队,负责监测网络安全状况,更新安全策略,及时应对新的网络威胁。
同时,定期评估和改进网络安全措施,保持网络安全防护能力的有效性。
网络攻击溯源技术研究与应用
网络攻击溯源技术研究与应用随着互联网的快速发展和信息技术的普及,网络攻击已成为当今社会的一种普遍现象。
网络攻击不仅对个人隐私和财产造成威胁,也对国家的网络安全构成重大挑战。
为了有效地应对网络攻击,了解攻击者的身份及攻击路径是至关重要的。
网络攻击溯源技术作为追查和识别攻击来源的关键手段,正在逐渐成为网络安全领域的研究热点。
本文将探讨网络攻击溯源技术的研究现状与应用前景。
一、网络攻击溯源技术的概述网络攻击溯源技术是指通过分析网络流量、日志数据和攻击特征等信息,追溯和识别网络攻击事件的发起者。
准确的溯源技术可以帮助安全专家确定攻击来源的位置、时间和手段,并采取相应的防御措施。
目前常见的网络攻击溯源技术主要包括包头追踪、认证溯源、IP地址溯源和数据包追踪等方法。
1.1 包头追踪:包头追踪是通过检查网络通信中的数据包头部信息,确定网络攻击的来源。
通过分析数据包头部的源IP地址、目标IP地址、源端口和目标端口等信息,可以推断出攻击者的源地址、目的地和攻击方式。
包头追踪技术可以应用于防火墙日志、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备中,用于分析和监测网络攻击事件。
1.2 认证溯源:认证溯源是通过认证技术验证网络通信中的身份信息,判断网络攻击的发起者。
当前常见的认证溯源技术主要包括数字证书、SSL/TLS协议等。
数字证书是一种由可信认证机构颁发的密码学凭证,可以确认系统或用户的身份信息。
SSL/TLS协议则通过提供安全的加密通信信道来保护网络通信的安全性。
1.3 IP地址溯源:IP地址溯源是通过分析网络通信中的IP地址信息,查找并确定网络攻击的源IP地址。
通过IP地址溯源技术,可以追踪到攻击者的物理位置。
IP地址溯源技术主要包括反向DNS解析、BGP路由溯源和地理定位等方法。
其中,反向DNS解析可以将IP地址转换为域名,从而获取更多有关该IP地址的信息。
1.4 数据包追踪:数据包追踪是通过对网络通信中的数据包进行跟踪和分析,确定网络攻击的路径和手段。
网络攻击溯源技术研究报告
网络攻击溯源技术研究报告摘要:网络攻击是当前互联网环境中的一大威胁,给个人、组织和国家的信息安全造成了严重威胁。
溯源技术是一种重要的手段,能够帮助我们追踪和识别网络攻击行为的来源。
本研究报告旨在探讨网络攻击溯源技术的原理、方法和应用,以及当前存在的挑战和未来的发展方向。
1. 引言随着互联网的迅速发展,网络攻击已经成为信息安全的重要问题。
网络攻击者通过利用各种技术手段,如DDoS攻击、恶意软件、钓鱼等,对个人、组织和国家的信息系统进行入侵和破坏。
因此,网络攻击溯源技术的研究和应用变得尤为重要。
2. 网络攻击溯源技术原理网络攻击溯源技术的原理是基于网络流量的分析和追踪。
通过监测和记录网络流量,可以获取攻击者的IP地址、攻击路径、攻击手段等信息。
溯源技术主要包括网络流量监测、数据包分析、网络拓扑分析和日志分析等方法。
3. 网络攻击溯源技术方法网络攻击溯源技术的方法包括主动溯源和被动溯源两种。
主动溯源是指通过主动侦查和追踪攻击者的行为,寻找攻击的来源。
被动溯源是指通过分析攻击行为留下的网络痕迹,推断攻击的来源。
3.1 主动溯源方法主动溯源方法主要包括入侵检测系统(IDS)、入侵防御系统(IPS)、蜜罐等技术。
IDS和IPS可以监测和阻止入侵行为,并记录攻击者的IP地址和攻击路径。
蜜罐是一种特制的系统,模拟真实的网络环境,吸引攻击者进行攻击,从而获取攻击者的信息。
3.2 被动溯源方法被动溯源方法主要包括网络流量分析、数据包分析和日志分析等技术。
网络流量分析通过监测网络流量,识别异常流量和攻击行为,推断攻击的来源。
数据包分析则通过分析网络数据包的内容和头部信息,获取攻击者的IP地址和攻击类型。
日志分析则通过分析系统和网络设备的日志信息,追踪攻击行为的来源。
4. 网络攻击溯源技术应用网络攻击溯源技术在信息安全领域有着广泛的应用。
它可以用于网络入侵检测、网络安全事件响应、网络犯罪调查等方面。
通过溯源技术,可以及时发现和阻止网络攻击行为,保护信息系统的安全。
网络攻击溯源技术
网络攻击溯源技术随着互联网的快速发展,网络安全问题日益突出。
网络攻击已成为一种常见的威胁,给个人、企业甚至国家带来了巨大的损失。
在网络攻击事件发生后,快速准确地追溯攻击源头成为了解决问题、维护网络安全的重要手段。
网络攻击溯源技术应运而生,成为网络安全领域的关键技术之一。
一、网络攻击溯源技术的定义与意义网络攻击溯源技术是一种通过分析网络数据包、追踪攻击路径以及获取攻击来源信息的技术。
其主要目的是寻找网络攻击的源头,并采取相应措施以应对攻击,同时为进一步追究攻击者的责任提供证据。
网络攻击溯源技术的意义十分重大。
首先,能够帮助受攻击的个人或组织更好地了解攻击的方式、手段和目的,从而采取相应的防御措施。
其次,通过溯源技术,可以追踪到攻击的来源,为打击网络犯罪、保护网络安全提供重要依据。
最后,溯源技术的应用可以提高网络安全防护的水平,降低网络攻击的风险,保护用户的合法权益。
二、网络攻击溯源技术的方法与手段1. IP地址追踪技术IP地址追踪是网络攻击溯源技术中的一种常用方法。
每个连接到互联网上的设备都有一个唯一的IP地址,通过追踪攻击目标所记录的攻击源IP地址,可以寻找到攻击者使用的计算机或网络设备。
2. 数据包分析与数据流追踪数据包分析与数据流追踪是另一种重要的溯源技术手段。
网络攻击时常伴随着大量的数据传输,通过对攻击过程中传输的数据包进行深入分析,可以揭示攻击者的行为轨迹,进而追溯其源头。
3. 域名溯源技术域名溯源技术主要用于对通过恶意域名发起的网络攻击进行溯源。
通过分析域名注册信息、解析过程等,可以找到恶意域名背后的真正幕后黑手。
4. 日志分析与溯源网络设备、服务器以及防火墙等都会记录网络活动日志,通过对这些日志进行分析,可以发现异常行为和攻击痕迹,从而溯源到攻击者。
5. 合作与信息共享在应对网络攻击溯源方面,合作与信息共享起着至关重要的作用。
不同组织、行业之间的攻击溯源信息共享,可以提高攻击溯源效率,共同应对网络安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
— 61 —
南京师范大学学报 (工程技术版 ) 第 5 卷第 1 期 (2005 年 )
1. 2 标记算法
径是讨论的重点 .
每个路由器计算其地址的 hash 值 ,并与 IP 地 址连接成 R ′ , 再将 R ′ 分成互不覆盖的 8 个分片 . 当 一个路由器决定标注一个报文 , 它将随机选择第 i 个分片写入边分片域 , 并在位移域写入相应的位移 量 , 同时将距离域赋 0, 标志域置 1. 如果距离域已 经为 0, 则表明报文已被前面的路由器标注过 . 这 时 , 路由器将位于同一位移处的地址分片与前面路 由器的分片作异或后写入边分片域 , 表示这条边连 接自身与前面的路由器 . 如果路由器不标注报文 , 它将不断增加距离域 . 1. 3 重构算法 重构过程中 , 要在被攻击机 V 处将收到的被 标注报文中的边分片标记重组 , 并进行确认 , 确认 从最靠近 V 处的边开始 , 依次上行 , 直到距离 V 最 远的边为止 . 最终得到一棵以被攻击机 V 为树根 的树 , 这就是一个有效的攻击路径集 .
0 引言
发起 DDoS ( D istributed Denial of Service, 分布 式拒绝服务 ) 攻击的攻击者通常都采用了地址欺 骗 ,这为追查攻击者的真实位置设置了障碍 . 而对 网络攻击的追踪是对网络攻击做出正确响应的重 要前提 . 因此 ,需要研究如何重构攻击路径 ,或对攻 击源地址和攻击路径作出尽可能真实的定位 . 这是 当前非常具有研究意义和挑战性的课题 .
报文中的选项字段 ,以概率将流经路由器的地址标注报文 ,使得受害主机能够根据被标注报文内的地址信息重构出攻击路 径的代数方法 . 重点讨论了路由器在报文中记录流经的地址以及利用报文中记录的信息重构路径的代数方法 , 并对代数方 法的性能作了分析和比较 . 方案具有很低的网络和路由器开销 ,也容易扩充到 IPv 6 和未来的主干网 .
1. 4 算法分析
2 代数编码报文标记方案分析
2. 1 基本思想
利用代数方法编码 径开始端设 :
FullPath0, j = 0
[5]
一条完整的路径 . 在路
( 1)
每个路由器首先产生一个 [ 0. . 1 ]之间的随机 数 r, 若 r小于某个预定的概率值 p时 , 则认为该路 由器有权标注报文 . 若一个有权标注报文的路由器 收到一个还未处于“ 标注状态 ” 的报文时 , 就认为 该路由器是第一个路由器 , 并为该路径随机选取一 个 xj , 计算
褚为民 , 陈 波
1 1, 2
, 于 泠
1, 2
( 1. 解放军理工大学 通信工程学院 ,江苏 南京 210007; 2. 南京师范大学 数学与计算机科学学院 ,江苏 南京 210097)
[摘要 ] 对目前攻击源追踪中的基于概率的分段报文标记方案进行了分析 , 指出了这类方法的一些缺陷 . 给出了利用 IP
k- 1
+ A2, 1 x +
k
褚为民 ,等 : 网络攻击路径重构中的报文标记方案研究
Байду номын сангаас
… + A n, k x
nk - 1
( 3)
2. 2 路由器标注报文过程
可以通过解下面的 GF ( P ) 域上的线性方程组 得到 A j, 1 、 A j, 2 、 A j, 3 、 A j, 4 .
1 1
CHU W e i m in , CHEN Bo
1 1, 2
, YU L ing
1, 2
( 1. School of Communication Engineering, PLA University of Science and Technology, J iangsu Nanjing 210007, China; 2. School of Mathematics and Computer Science, Nanjing Normal University, J iangsu Nanjing 210097, China)
x1 x2 xn x1 x2 xn
1 分段报文标记方案分析
1. 1 基本思想
文献 [ 1, 2 ]提出了基于概率的分段报文标记
收稿日期 : 2004 2 06 2 29. 基金项目 : 江苏省政府基金资助项目 (BR2003015) 和江苏省高校自然科学重点资助项目 ( 03KJA52066) . 作者简介 : 褚为民 ( 1975 - ) ,硕士研究生 ,主要从事军事运筹学的研究 . E 2 mail: cwmo818@ sina. com 通讯联系人 : 陈 波 ( 1972 - ) ,博士研究生 ,讲师 ,主要从事网络信息安全 、 人工智能的教学与研究 . E 2 mail: bchen@ njnu. edu. cn
Vol . 5 No. 1 第 5 卷第 1 期 南京师范大学学报 (工程技术版 ) 2005 年 3 月 JOURNAL OF NANJ I N G NORMAL UN I V ERSITY ( ENGI N EER I N G AND TECHNOLOGY) M ar . 2005
网络攻击路径重构中的报文标记方案研究
策略 ( Fragm entM arking Scheme, FM S) . 即当报文到 达路由器时 ,把报文所经两个相邻路由器 IP 地址 形成的“ 边” 的信息和其他相关信息分成 8 个数据 段 ,选择其中的一段以概率标记报文 . 这样虽然每 个报文只包 含 路 径 的 部 分 信 息 , 但 是 当 DOS 或 DDOS攻击发生时往往会有大量的攻击报文 , 被攻 击主机可以得到足够的信息恢复出完整的攻击路 径. 为此 ,需要在 IP报文中设置 4 个域 : 起始地址 域、 结束地址域 、 距离域和标志域 ,其中前面两个用 以表示连接一条边的两端路由器地址 ,距离域表示 一个边样本离受攻击者的距离 ,标志域表示该报文 是否被标注 .
Fu llPa thi, j = ( Fu llPa thi - 1, j 3 xj + A j ) mod p
( 2)
其中 , A1 , A2 , …A n 为 路径 P 上各路由器的 32位 IP 地址 , A j, 1 , A j, 2 , …, A j, k 是 A j的分块 ; xj 为 第 j个报文 的一个随机数 ; p为 比 2 小的最大的素数 . 同 时 将 报 文 标 记 为“标 注 状 态 ” , 然后将
的下一个路由器 . 若一个有权标注报文的路由器收到处于“ 标 注状态 ” 的报文时 , 用 ( 2 ) 式计算 , 将自己的 IP 地 址加入 Fu llPa thi, j 中 . 路由器不必知道路径的总长 和在路径上的位置便可计算路径编码 . 为了减少标注位 , 将一个路由器 IP地址分成 k 个信息块 , 并附加 「 log2 k 个比特位来表明在一个 给定的报文中记录哪个信息块 . 每个路由器将其所 有的信息块加到同一个报文中 . 方法是为每个报文 中的 多项 式添 加 k 个系 数 , 即每 个路 由 器 更 新
Fu llPa thi, j 值和 xj 一起记录在报文中传送到路径上
32
这种分段方法具有很高的计算复杂性和很高 的误警率 . 仿真实验表明 ,当面对 25 个攻击者的分 布式攻击时 , FM S 约要一天才能构造出完整的攻 击树并且最终得到的是数千个可能的攻击节点 . 在被攻击机定位攻击者和 DOS攻击的强度之 间存在着折衷的关系 , 该关系可以用标记概率 、 路 [4] 径长度和流量特征为参数的函数来表示 . 攻击 者和被攻击主机之间的最优决策问题 (被攻击主 机可以选择标记概率 ,而攻击者则可以选择伪造标 记值 ,伪造源地址和增大攻击流量 ) 可以表示成受 约束的最小最大优化问题 . 增大标记概率可以提高 发现攻击者的概率 , 但是标记概率受到 IP 报文中 可以利用的空间的限制 . 在目前的 Internet 中 , 采 用该方案 ,单个攻击者可以被定位到 2 ~5 个可能 的攻击者范围 . 如果攻击者采用 DDOS 攻击方式 , 则攻击者的不确定性就被放大了 ,也就是降低了本 分段报文标记方案的实际效果 . 此外 ,如果报文标记不经过认证则很容易被攻 击者利用 . 如果攻击者控制了网络中的某台路由 器 ,则这台路由器就可以进行虚假的报文标记从而 导致被攻击主机不能正确的恢复出攻击路径 . 本文在文献 [ 1 ~4 ]的基础上 , 采用代数方法 , 利用 IP报文中的选项字段 , 以概率将流经路由器 的地址标注报文 ,使得受害主机能够利用被标注报 文内的地址信息重构出攻击路径 ,从而追踪到攻击 源点的技术 . 如何运用代数方法记录报文流经路由 器的地址 ,以及如何利用报文中记录的信息重构路 — 62 —
Fu llPa th 共 k次 , 依次替换它们 IP地址的每个信息
块 . 以将路由器 j的 IP地址 A j分成 k = 4块 (每块长
8 位 ) 为例 :
( 1 ) 取小于 2 的最大的 4 个素数 : m 1 = 233, m 2 = 239, m 3 = 241, m 4 = 251; ( 2 ) 计算 A j, 1 = A j mod m 1 , A j, 2 = A j mod m 2 , A j, 3 = A j mod m 3 , A j, 4 = A j mod m 4 ( 3) 若 路 由 器 j 有 权 标 注 报 文 , 则 计 算 ( ( ( ( ( Fu llPa th 3 xj ) + A j, 4 ) 3 xj
[关键词 ] 攻击源追踪 ,路由 , TCP / IP,网络安全 [中图分类号 ] TP393. 07, [文献标识码 ]B , [文章编号 ]1672 2 1292 2( 2005 ) 01 2 0061 2 04
Research on the Packets M ark in g Schem es of Recon structin g 2Pa th in Network A ttack