互聯(lián)網(wǎng)背景輻射流量的測(cè)量與研究.pdf

1、互聯(lián)網(wǎng)背景輻射流量(Internet Background Radiation，簡(jiǎn)稱IBR)是互聯(lián)網(wǎng)上未經(jīng)請(qǐng)求的單向流量，也是一種未授權(quán)流量(Unwanted Traffic)。對(duì)IBR流量的研究有助于掌控其成因和特性，可以為網(wǎng)絡(luò)安全相關(guān)工作提供支持和保障。本論文的所有研究工作均圍繞IBR流量展開(kāi)。
　　因?yàn)樗蠭BR相關(guān)研究均基于實(shí)測(cè)流量，所以IBR流量的測(cè)量是工作的起點(diǎn)。本論文的研究工作也從這里開(kāi)始。傳統(tǒng)IBR流量的測(cè)量通過(guò)暗

2、網(wǎng)進(jìn)行。一方面，隨著IPv4地址空間的不斷消耗，足夠規(guī)模的暗網(wǎng)空間很難獲得;另一方面，由于暗網(wǎng)的地址空間固定不變，隨著時(shí)間的推移，可逐漸被未授權(quán)流量的發(fā)起者所悉知，他們可以主動(dòng)避免將未授權(quán)流量發(fā)往暗網(wǎng)，這會(huì)導(dǎo)致暗網(wǎng)不能獲取真實(shí)的IBR流量，從而失去其應(yīng)有的價(jià)值。如何從運(yùn)行網(wǎng)絡(luò)中獲取IBR流量，是這個(gè)研究領(lǐng)域面臨的新問(wèn)題。本論文的研究工作也首先從這里展開(kāi)。在這方面已有的方法主要是“灰地址空間法”和“單向流法”，前者會(huì)造成一定程度的漏判，而

3、后者的問(wèn)題是誤判。本論文從2個(gè)角度研究了這個(gè)問(wèn)題，一是如何從已經(jīng)保存的、靜態(tài)的原始流量——IP Trace文件中獲取IBR流量，另一個(gè)是如何從運(yùn)行網(wǎng)絡(luò)中實(shí)時(shí)獲取IBR流量。前者追求的是更高的查全率和查準(zhǔn)率指標(biāo)，而后者要求在保證查準(zhǔn)率和一定程度上犧牲查全率指標(biāo)的條件下，滿足實(shí)時(shí)測(cè)量的要求。對(duì)于前者，論文提出了一個(gè)FIBR（Filtering Internet Background Radiation）算法，該算法綜合了現(xiàn)有的“灰地址空間法

4、”和“單向流法”的優(yōu)點(diǎn)，通過(guò)基于源點(diǎn)的行為學(xué)習(xí)方法對(duì)運(yùn)行網(wǎng)絡(luò)中流向活躍地址空間的IBR流量進(jìn)行捕獲，從而使獲得的IBR流量更加準(zhǔn)確?；诶碚摵蛯?shí)測(cè)基準(zhǔn)數(shù)據(jù)的分析顯示，本文的算法能更準(zhǔn)確地獲取整個(gè)運(yùn)行網(wǎng)絡(luò)地址空間的IBR流量;對(duì)于后者，本文提出的算法是RIBRM（Real-time Internet Background Radiation Measurement）。算法的核心思路是“灰地址空間法”，但創(chuàng)新之處在于使用流記錄來(lái)定位運(yùn)行網(wǎng)絡(luò)

5、的灰地址空間，并用過(guò)濾規(guī)則進(jìn)行輔助。試驗(yàn)表明該算法可以在大規(guī)模接入網(wǎng)邊界實(shí)時(shí)工作。將RIBRM算法與FIBR算法獲取的IBR流量進(jìn)行對(duì)比可以看出，RIBRM算法能夠很好地保證查準(zhǔn)率，但在查全率方面略有損失。RIBRM算法的價(jià)值在于它可以連續(xù)工作，隨時(shí)發(fā)現(xiàn)IBR流量成分的變化。
　　在此基礎(chǔ)上，論文對(duì)用兩種算法捕獲的IBR流量進(jìn)行了分析，這也是IBR相關(guān)領(lǐng)域研究工作的主要內(nèi)容。FIBR的分析數(shù)據(jù)來(lái)源于IPTAS系統(tǒng)保存的采集于CER

6、NET(China Education and Research Network)江蘇省網(wǎng)邊界的5條IP Trace數(shù)據(jù)，時(shí)間跨度為2008至2012年。基于同一網(wǎng)絡(luò)邊界路由器提供的流記錄，RIBRM算法進(jìn)行了網(wǎng)絡(luò)內(nèi)部地址活躍性測(cè)量并實(shí)時(shí)采集了2015年2月該網(wǎng)絡(luò)收到的報(bào)文層IBR流量。分析角度包括流量特性、分類和空間特性等方面。對(duì)用FIBR算法獲取的IBR流量特性分析表明IBR流量呈逐年上升趨勢(shì)，雖然這些IBR流量對(duì)使用帶寬的占用率沒(méi)

7、有超過(guò)1％，但在流數(shù)方面已超過(guò)70％;分類分析表明掃描和反向散射(backscatter)是IBR流量的主要成分，這與國(guó)際上相關(guān)的研究結(jié)果是一致的;端口分析表明掃描端口在一段時(shí)間段內(nèi)相對(duì)集中，但會(huì)隨著時(shí)間的推移而逐漸變化;空間分析發(fā)現(xiàn)網(wǎng)內(nèi)所有地址段承受的掃描流量基本一致，但不同的地址段承受的反向散射流量則會(huì)有較大差異。
　　基于反向散射是IBR流量的主要成分，且其主要成因是偽造源地址的SYN泛洪攻擊這一事實(shí)，論文選擇基于反向散射流

8、量檢測(cè)SYN泛洪攻擊作為IBR流量測(cè)量的應(yīng)用。首先通過(guò)對(duì)攻擊中的角色與檢測(cè)位置間關(guān)系的分析，建立了完備的攻擊場(chǎng)景模型。在此基礎(chǔ)上，經(jīng)過(guò)組合分析，給出了所有可能的檢測(cè)類型以及相應(yīng)的特征，并進(jìn)一步推導(dǎo)出檢測(cè)邏輯?；谶@些邏輯條件，論文提出了一個(gè)SYN泛洪攻擊檢測(cè)算法WSAND(Worldwide SYN flooding Attack detection basedon live Network's flow Data)。該算法的主要特點(diǎn)之

9、一是無(wú)論被攻擊服務(wù)器位于互聯(lián)網(wǎng)的何處，只要SYN泛洪攻擊或反向散射流量通過(guò)檢測(cè)點(diǎn)，相應(yīng)的攻擊就可以被檢測(cè)出;另一個(gè)是其基于抽樣流記錄實(shí)現(xiàn)，同時(shí)由于其只需檢測(cè)流量中的SYN泛洪攻擊或反向散射成分，它們只占全部流量中很少的一部分，因此可以部署在大規(guī)模接入網(wǎng)的邊界處。論文隨后完成了該算法基于流記錄數(shù)據(jù)源的一個(gè)實(shí)現(xiàn)，并用IPTAS上2014年11月的一段70分鐘的IP Trace進(jìn)行了面向抽樣的測(cè)試，結(jié)果顯示該算法在較小抽樣比條件下，仍然可以獲

10、得理想的檢測(cè)效果?；谶@一測(cè)試結(jié)果，論文利用NBOS(Network Behavior Observation System)平臺(tái)將該算法實(shí)際部署到CERNET全部38個(gè)主節(jié)點(diǎn)上，所覆蓋的IP地址數(shù)量近1700萬(wàn)個(gè)。在2014年11月至2015年1月為期三個(gè)月的運(yùn)行過(guò)程中，共檢測(cè)到全球范圍內(nèi)的164677起SYN泛洪攻擊事件。論文對(duì)檢測(cè)結(jié)果進(jìn)行了展示，并從發(fā)生時(shí)間、攻擊強(qiáng)度、攻擊持續(xù)時(shí)間、極值點(diǎn)等角度，對(duì)這些檢測(cè)到的攻擊事件進(jìn)行了詳細(xì)的