联盟模式下高效单包溯源方法研究
发布时间:2022-02-15 15:54
IP协议的"无状态"特征引发了许多网络安全管理问题.为此,人们提出了单包溯源技术.然而,已有方法因激励性能低、无法增量部署、维护成本高等问题,一直未被大规模推广.基于此,提出一种联盟模式下高效单包溯源方法,简称TIST.该方法首先在大规模网络上构建溯源联盟体系结构,通过剪除搭便车自治域来提高部署激励性;然后,通过融合IP流标记和对等过滤技术,设计一种面向溯源联盟的链路指纹建立策略,它能弱化自治域之间的溯源耦合性,实现增量部署;最后,定义一种新的面向网络前缀的计数布鲁姆过滤器,并通过优化其参数,使溯源路由器能够快速识别溯源分组,进而实现链路指纹的选择性建立,降低维护成本.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明:相对于以往方案,TIST在可部署性方面确实有了很大的改善.
【文章来源】:软件学报. 2020,31(12)北大核心EICSCD
【文章页数】:29 页
【部分图文】:
已有单包溯源方法的基本思想
上述环节简称“溯源验证规则部署”.整个溯源联盟配属一台注册服务器,用于动态维护溯源联盟的全局成员列表信息,管理和控制成员加盟和退出,向控制服务器实时发布联盟成员信息.上述环节简称“成员列表管理”.溯源路由器主要用于组建溯源网络、建立指纹信息和路径回溯查询.上述环节简称“溯源信息管理”.对于联盟注册服务器负载过重而引发的性能瓶颈问题和联盟开放性而引发的通信安全问题,TIST可借鉴作者在文献[13]提出的安全和可靠性策略.·在数据层面
2)当IP分组p到达溯源网络AS1的边界路由器,该路由器将p的源地址、目的地址与边界路由器所配置的对等过滤规则按顺序一一匹配,依据匹配结果,判定之后的过滤操作.例如,已知边界路由器R1所配置的面向联盟成员的对等过滤规则为:1) permit 198.3.0.0/18 any;2) deny any 198.1.0.0/24;3) permit any any.p的规则匹配过程可描述为:1)如果p的源地址包含于网络前缀198.3.0.0/18,那么直接转发,否则转向下一条规则;2)如果p的目的地址包含于网络前缀198.1.0.0/24,那么直接过滤,否则转向下一条规则;3)直接将p进行转发.上述过程可简述为:R1只过滤源地址不属于AS1前缀、目的地址属于成员域AS2前缀的IP分组,而将剩余分组(无论真实还是匿名)直接转发.若AS6检测出p为攻击包,首先判断p内源地址是否包含于成员域AS1:若是,向成员域AS1发起回溯请求;反之,溯源任务停止.2.2.1 基于IP流标记的域内链路指纹建立
【参考文献】:
期刊论文
[1]层次化反匿名联盟构建方法[J]. 鲁宁,李峰,王尚广,史闻博,杨放春. 软件学报. 2019(09)
[2]一种高精度、低开销的单包溯源方法[J]. 鲁宁,王尚广,李峰,史闻博,杨放春. 软件学报. 2017(10)
[3]Filtering Location Optimization for Defending Against Large-Scale BDoS Attacks[J]. LU Ning,WANG Yulong,SHI Wenbo,LI Guorui,DIAO Ding. Chinese Journal of Electronics. 2017(02)
[4]SAFE: a Scalable Filter-Based Packet Filtering Scheme[J]. LU Ning,HU Wenhao. 中国通信. 2016(02)
本文编号:3626907
【文章来源】:软件学报. 2020,31(12)北大核心EICSCD
【文章页数】:29 页
【部分图文】:
已有单包溯源方法的基本思想
上述环节简称“溯源验证规则部署”.整个溯源联盟配属一台注册服务器,用于动态维护溯源联盟的全局成员列表信息,管理和控制成员加盟和退出,向控制服务器实时发布联盟成员信息.上述环节简称“成员列表管理”.溯源路由器主要用于组建溯源网络、建立指纹信息和路径回溯查询.上述环节简称“溯源信息管理”.对于联盟注册服务器负载过重而引发的性能瓶颈问题和联盟开放性而引发的通信安全问题,TIST可借鉴作者在文献[13]提出的安全和可靠性策略.·在数据层面
2)当IP分组p到达溯源网络AS1的边界路由器,该路由器将p的源地址、目的地址与边界路由器所配置的对等过滤规则按顺序一一匹配,依据匹配结果,判定之后的过滤操作.例如,已知边界路由器R1所配置的面向联盟成员的对等过滤规则为:1) permit 198.3.0.0/18 any;2) deny any 198.1.0.0/24;3) permit any any.p的规则匹配过程可描述为:1)如果p的源地址包含于网络前缀198.3.0.0/18,那么直接转发,否则转向下一条规则;2)如果p的目的地址包含于网络前缀198.1.0.0/24,那么直接过滤,否则转向下一条规则;3)直接将p进行转发.上述过程可简述为:R1只过滤源地址不属于AS1前缀、目的地址属于成员域AS2前缀的IP分组,而将剩余分组(无论真实还是匿名)直接转发.若AS6检测出p为攻击包,首先判断p内源地址是否包含于成员域AS1:若是,向成员域AS1发起回溯请求;反之,溯源任务停止.2.2.1 基于IP流标记的域内链路指纹建立
【参考文献】:
期刊论文
[1]层次化反匿名联盟构建方法[J]. 鲁宁,李峰,王尚广,史闻博,杨放春. 软件学报. 2019(09)
[2]一种高精度、低开销的单包溯源方法[J]. 鲁宁,王尚广,李峰,史闻博,杨放春. 软件学报. 2017(10)
[3]Filtering Location Optimization for Defending Against Large-Scale BDoS Attacks[J]. LU Ning,WANG Yulong,SHI Wenbo,LI Guorui,DIAO Ding. Chinese Journal of Electronics. 2017(02)
[4]SAFE: a Scalable Filter-Based Packet Filtering Scheme[J]. LU Ning,HU Wenhao. 中国通信. 2016(02)
本文编号:3626907
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3626907.html
