計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)

樊小龍

摘要：近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，人們也越來(lái)越注重自己的信息安全，然而一些不法分子利用網(wǎng)絡(luò)攻擊獲取用戶(hù)的重要信息。黑客通常使用隱匿網(wǎng)絡(luò)來(lái)躲避網(wǎng)絡(luò)追蹤溯源。本文分析了當(dāng)前網(wǎng)絡(luò)追蹤溯源的問(wèn)題，對(duì)當(dāng)前網(wǎng)絡(luò)追蹤溯源技術(shù)進(jìn)行了概括，詳細(xì)介紹該技術(shù)的主流方法，最后分析了計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)未來(lái)的發(fā)展方向。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)追蹤；溯源技術(shù)；隱匿網(wǎng)絡(luò)

1 緒論

計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)不可或缺的一部分，隨著網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)越來(lái)越受到攻擊，尤其是DDoS攻擊。攻擊者利用互聯(lián)網(wǎng)快速傳播的特點(diǎn)，大量使用偽造的IP地址進(jìn)行攻擊。計(jì)算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)是通過(guò)網(wǎng)絡(luò)攻擊計(jì)算機(jī)源地址的技術(shù)。網(wǎng)絡(luò)攻擊者通過(guò)技術(shù)手段，建立一些跳板或者能隱藏身份的主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，因此通過(guò)網(wǎng)絡(luò)追蹤溯源技術(shù)找到最終攻擊者。

2 網(wǎng)絡(luò)追溯源技術(shù)

2.1 網(wǎng)絡(luò)溯源技術(shù)現(xiàn)狀

網(wǎng)絡(luò)追蹤溯源主要是追蹤拒絕服務(wù)攻擊（DoS）的源頭。因此在網(wǎng)絡(luò)追溯源中，必須了解網(wǎng)絡(luò)拓?fù)涞幕驹恚捎诂F(xiàn)在網(wǎng)絡(luò)技術(shù)發(fā)達(dá)，使用者無(wú)法直接獲取網(wǎng)絡(luò)拓?fù)洌虼藗鹘y(tǒng)的方法不能夠適用于現(xiàn)有的網(wǎng)絡(luò)追蹤溯源，甚至根本無(wú)法找到。另外一種是基于包標(biāo)記的溯源方法，這類(lèi)的方法需要大量的數(shù)據(jù)包來(lái)進(jìn)行傳送路徑重構(gòu)，這種方法僅僅適用于DoS攻擊，就目前而言在DoS攻擊中，網(wǎng)絡(luò)流量較少，因而采用包標(biāo)記的方法在路徑的規(guī)劃上面會(huì)花費(fèi)很長(zhǎng)時(shí)間。另一方面，由于現(xiàn)有網(wǎng)絡(luò)為了達(dá)到更好的隱藏效果，一般采用多跳中繼代理服務(wù)器，這些中繼節(jié)點(diǎn)一般位于不同的國(guó)家地區(qū)，因此就會(huì)有新的問(wèn)題，譬如說(shuō)，由于地區(qū)限制不同，有些隱匿信息無(wú)法發(fā)現(xiàn)或者無(wú)法告知對(duì)方，因?yàn)檫@會(huì)涉及到不同國(guó)家和地區(qū)的法律，文化，政治問(wèn)題；其次是在現(xiàn)有的網(wǎng)絡(luò)追溯源技術(shù)中，由于中繼較多就會(huì)路徑組合爆炸問(wèn)題。在傳統(tǒng)網(wǎng)絡(luò)追蹤溯源技術(shù)中，由于是對(duì)數(shù)據(jù)包和日志進(jìn)行標(biāo)記。因此對(duì)于數(shù)據(jù)包標(biāo)記和日志標(biāo)記的方法來(lái)說(shuō)，即便解決了跨區(qū)域問(wèn)題，也會(huì)在匿名網(wǎng)絡(luò)中，多跳中繼代理服務(wù)器經(jīng)過(guò)路由器路徑較長(zhǎng)，由此會(huì)帶來(lái)路徑組合爆炸問(wèn)題，路徑選擇方法耗時(shí)非常多。

2.2 網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)

根據(jù)目前已有的研究對(duì)網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)可包括以下幾個(gè)方面。第一，追蹤溯源的時(shí)間復(fù)雜度，這里包括完成整個(gè)追蹤溯源的計(jì)算時(shí)間，也包括追蹤溯源的實(shí)時(shí)性，對(duì)當(dāng)前的追蹤溯源時(shí)間復(fù)雜度而言，這里包括算法的時(shí)間復(fù)雜度和網(wǎng)絡(luò)負(fù)載復(fù)雜度和網(wǎng)絡(luò)空間復(fù)雜度；對(duì)于實(shí)時(shí)性來(lái)說(shuō)，要求追蹤溯源技術(shù)能夠及時(shí)發(fā)現(xiàn)確定攻擊源的時(shí)間消耗。第二，追蹤溯源技術(shù)自身的安全性。網(wǎng)絡(luò)追蹤溯源技術(shù)對(duì)于攻擊者來(lái)說(shuō)也是公開(kāi)的，因此在溯源過(guò)程中，要注意溯源的安全性，要保證溯源技術(shù)能夠安全的進(jìn)行，這是其他結(jié)構(gòu)最重要的指標(biāo)之一。第三，對(duì)于網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)來(lái)說(shuō)，核心價(jià)值在于定位DDoS攻擊的能力。針對(duì)當(dāng)前互聯(lián)網(wǎng)技術(shù)來(lái)說(shuō)，網(wǎng)絡(luò)跳板較多，追蹤溯源所需的數(shù)據(jù)包較多較復(fù)雜，因此對(duì)于溯源技術(shù)來(lái)說(shuō)獲取當(dāng)前DDoS攻擊的定位能力是非常重要的指標(biāo)。

3 主流網(wǎng)絡(luò)追蹤溯源技術(shù)

現(xiàn)有的溯源技術(shù)可以分為兩類(lèi)，第一類(lèi)是基于應(yīng)用程序的溯源方法，第二類(lèi)是基于隱匿網(wǎng)絡(luò)協(xié)議本身的溯源方法。

3.1 基于應(yīng)用程序的攻擊追蹤溯源方法

基于應(yīng)用程序的攻擊主要包括以下兩點(diǎn)，第一，用戶(hù)誤操作或者開(kāi)發(fā)人員由于編程產(chǎn)生的漏洞，導(dǎo)致用戶(hù)隱私泄露；第二，用戶(hù)安裝并使用了惡意的軟件，這些軟件通過(guò)隱匿的網(wǎng)絡(luò)將用戶(hù)信息泄露。這些攻擊的特點(diǎn)主要由于用戶(hù)的使用不當(dāng)引起的，因此用戶(hù)在使用互聯(lián)網(wǎng)時(shí)要增加自身安全意識(shí)，盡量不使用非官方的軟件。因此解決這類(lèi)攻擊問(wèn)題，主要在于對(duì)數(shù)據(jù)進(jìn)行分組標(biāo)記。基于分組標(biāo)記的IP回溯通常被稱(chēng)為概率分組標(biāo)記（PPM）方法，其中分組在路由器轉(zhuǎn)發(fā)時(shí)用部分路徑信息概率地標(biāo)記。這種方法在路由器上產(chǎn)生很少的開(kāi)銷(xiāo)。但由于其概率性質(zhì)，它只能確定由多個(gè)數(shù)據(jù)包組成的流量來(lái)源。

3.2 基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法

基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊，其基本攻擊原理是利用網(wǎng)絡(luò)協(xié)議本身設(shè)計(jì)進(jìn)行攻擊或者利用某些流量分析工具或者對(duì)通信網(wǎng)絡(luò)進(jìn)行關(guān)聯(lián)分析。通常的攻擊方式有關(guān)聯(lián)攻擊，前驅(qū)攻擊，交集攻擊，重放攻擊，時(shí)序攻擊，網(wǎng)絡(luò)指紋攻擊，代碼注入攻擊，流量水印技術(shù)，鏈路阻塞攻擊等方法進(jìn)行攻擊。因此基于隱匿網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊需要對(duì)數(shù)據(jù)進(jìn)行標(biāo)記和分組。基于數(shù)據(jù)包日志記錄的IP跟蹤通常被稱(chēng)為基于散列的方法，其中路由器為每個(gè)轉(zhuǎn)發(fā)的數(shù)據(jù)包計(jì)算和存儲(chǔ)摘要。此方法可以將單個(gè)數(shù)據(jù)包跟蹤到其源。然而，在具有高速鏈路的路由器中，分組摘要的存儲(chǔ)空間要求和用于記錄與其到達(dá)速率相稱(chēng)的分組的訪(fǎng)問(wèn)時(shí)間要求是禁止的。因此一種基于數(shù)據(jù)包標(biāo)記和數(shù)據(jù)包記錄的IP追蹤方法。與PPM方法相比，能夠跟蹤單個(gè)數(shù)據(jù)包。與基于散列的方法相比，該方法在路由器上產(chǎn)生的存儲(chǔ)開(kāi)銷(xiāo)更少，訪(fǎng)問(wèn)時(shí)間更少。具體地，存儲(chǔ)開(kāi)銷(xiāo)減少到大約一半，并且訪(fǎng)問(wèn)時(shí)間要求減少了相鄰路由器的數(shù)量的因數(shù)。因此網(wǎng)絡(luò)追蹤溯源技術(shù)最本質(zhì)的是要找到網(wǎng)絡(luò)攻擊源，制定相關(guān)的安全策略進(jìn)行防御。

目前基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法是主流的方法之一，在未來(lái)網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)會(huì)朝著低存儲(chǔ)，高運(yùn)算方向發(fā)展。此外，在人工智能技術(shù)的發(fā)展，將會(huì)有更加智能的方法來(lái)快速的找到網(wǎng)絡(luò)攻擊源；同時(shí)建立關(guān)聯(lián)圖譜和自然語(yǔ)言處理模塊，能夠使其找到同類(lèi)的攻擊源。

4 結(jié)語(yǔ)

隨著國(guó)家信息安全戰(zhàn)略的提出，國(guó)內(nèi)外各大高校研究所都已經(jīng)積極的投入人力物力對(duì)網(wǎng)絡(luò)追蹤溯源進(jìn)行研究，相信在不遠(yuǎn)的將來(lái)網(wǎng)絡(luò)攻擊追蹤溯源這類(lèi)技術(shù)會(huì)更加完善。

參考文獻(xiàn)：

[1]卓中流.匿名網(wǎng)絡(luò)追蹤溯源關(guān)鍵技術(shù)研究[D].電子科技大學(xué)，2018.

[2]陳周?chē)?guó)，蒲石，祝世雄.一種通用的互聯(lián)網(wǎng)追蹤溯源技術(shù)框架[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2012，21（09）：166170.

[3]陳周?chē)?guó)，蒲石，郝堯，等.網(wǎng)絡(luò)攻擊追蹤溯源層次分析[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2014，23（01）：17.