一种高精度、低开销的单包溯源方法

混合拒绝服务攻击是当前互联网面临的主要威胁之一,针对它的单包溯源技术已成为网络安全领域研究的重点和热点.鉴于已有的单包溯源研究存在处理开销大、溯源精度低等问题,提出一种高精度、低开销的基于标签交换的单包溯源方法,简称S3T.该方法的基本思想是借鉴MPLS网络的交换路径生成原理,在溯源路由器上建立面向反向路由的追踪痕迹,降低溯源存储开销.然后,通过并行化建立追踪痕迹、灵活配置溯源路由器存储容量和自适应调整追踪痕迹存储时间等手段加快溯源路由器处理IP包速率,同时提高溯源精度.通过理论分析和基于大规模真实互联网拓扑的仿真实验,其结果表明,相比以往方案,S3T在溯源开销和溯源精度方面确实有了很大的改善.

可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.

联盟模式下高效单包溯源方法研究

IP协议的“无状态”特征引发了许多网络安全管理问题.为此,人们提出了单包溯源技术.然而,已有方法因激励性能低、无法增量部署、维护成本高等问题,一直未被大规模推广.基于此,提出一种联盟模式下高效单包溯源方法,简称TIST.该方法首先在大规模网络上构建溯源联盟体系结构,通过剪除搭便车自治域来提高部署激励性;然后,通过融合IP流标记和对等过滤技术,设计一种面向溯源联盟的链路指纹建立策略,它能弱化自治域之间的溯源耦合性,实现增量部署;最后,定义一种新的面向网络前缀的计数布鲁姆过滤器,并通过优化其参数,使溯源路由器能够快速识别溯源分组,进而实现链路指纹的选择性建立,降低维护成本.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明:相对于以往方案,TIST在可部署性方面确实有了很大的改善.