论文部分内容阅读
随着互联网的飞速发展,越来越多传统的办公方式和生活方式被便捷、开放、高效的网络应用所代替,很多关键的核心业务也被互联网应用技术所代替。因此,互联网中的安全问题就越来越引起了人们的关注。其中,拒绝服务攻击是主要入侵方式之一,极大地威胁着互联网的安全。这种入侵方式的发生主要是由于TCP/IP协议中固有的设计缺陷和互联网开放的设计原则,使得数据包中包含的源地址有可能是伪造的。当受害者受到入侵时,其无法可信地找到入侵的发起者。为了抵御这种入侵,研究人员提出了多种安全措施。IP溯源是非常重要的组成部分,它通过特殊的方式记录数据包的状态信息。当受害者受到入侵时,可以重构出攻击路径,可信地找到入侵源,从而阻止正在发生的入侵行为。因此,IP溯源方法对于抵御拒绝服务攻击具有重要的作用,也是网络安全研究的热点之一。围绕拒绝服务攻击的IP溯源问题,基于当前IP溯源领域的研究现状和发展趋势的分析,本文首先对拒绝服务攻击中最主要的形式进行阐述,主要包括洪泛式拒绝服务攻击和单包式拒绝服务攻击,对它们不同的入侵目标和入侵特点等方面进行分析;然后对不同IP溯源方法的特点和适用范围进行研究,分析它们各自的优缺点,对已有方法中溯源精确性、溯源开销、路径重构时间等重要的性能进行深入的研究,并提出相关的解决方法;最后,针对性的提出IP溯源中的协作化方法,能够提高现有溯源系统的实用性。本文的主要工作和贡献可以归纳为以下几个方面:1.提出基于标记概率自适应调整的概率性数据包标记溯源方法。针对现有解决洪泛式拒绝服务攻击的数据包标记溯源方法实用性较差、重构路径时速度慢、进行溯源时未考虑路由器自身负载等缺点,本文提出两阶段的标记概率自适应调整的数据包标记方法。第一个阶段针对重构路径速度慢的缺点,设计了路由器根据其在数据包传输路径的不同位置动态调整标记概率的方法。为避免路由器在自身负载已经较大的情况下进行溯源任务而导致过载,设计了第二阶段标记概率调整方法,根据当前路由器负载情况动态调整标记概率。实验结果表明,与已有方法相比,本方法重构路径时间短,而且避免了路由器出现过载的情况。2.提出基于路径确认机制的低存储开销混合式溯源方法。针对已有的面向单包式拒绝服务攻击的溯源方法中可能构建错误攻击路径,存在的存储开销巨大等错误,本文首先提出一种数据包摘要路径确认机制,有效地避免了错误路径的产生;其次,借鉴了混合式溯源方法的思想,改进已有的编码策略,使所需的存储开销进一步减小。数学分析和实验结果证明,本文所提方法在存储开销,重构路径中错误节点数方面都有了较大改进。3.面向溯源系统的不同层面提出相应的协作化方法。针对现有的溯源系统中,实体间缺乏协作交互,可能会造成局部过载,以及不能应对愈发复杂的拒绝服务攻击等一些缺点,本文设计了三层溯源协作框架,从系统级、构件级和方法级三个不同的层面进行协作交互。当某个溯源路由器出现负载较大等异常情况时,协作框架选择合适的方法进行交互协作,在避免其过载的同时,可以顺利完成溯源任务。实验结果表明,本文提出的协作化方法可以保证路由器保持较高的数据包转发率,较低的丢包率,并且可以有效避免局部过载的情况。