鲁宁  等:联盟模式下高效单包溯源方法研究                                                            3881


         maintenance costs. This study proposes an efficient single-packet traceback approach based on alliance theory termed as TIST. It firstly
         establishes the traceability alliance on the large scale networks, so as to remove free-rider ASes and improve the deployment incentives.
         Secondly, it designs link fingerprint  establishment strategy towards traceability  alliance  through  combining IP stream labeling and
         peer-to-peer  filtering  technics, which can weaken  the  traceability coupling  between autonomous  domains and achieve  incremental
         deployment. Finally, it defines a novel counting Bloom Filter towards network prefixes. By optimizes its parameters, the traceable routers
         can quickly identify the traceable packets, and achieve the selective establishment of link fingerprints. Extensive mathematical analysis
         and simulations are performed to evaluate the proposed approach. The results show that the proposed approach significantly out performs
         the prior approaches in terms of the deploy ability.
         Key words:    Internet; network security; IP anonymity; single-packet traceback; deployability

             伴随着我国下一代互联网实施进程的推进以及新型多媒体业务的不断涌现,业务网络 IP 化已成既定事实,
         无论文本或是语音、视频数据都将封装在传输分组内,通过 IP 网络进行转发.既然 IP 网已演变为电信运营商的
         基础网络平台,那么它的正常运行直接关乎国民经济和社会发展.然而,IP 协议的“无状态”特征给网络安全管理
         带来了如下问题:因无法真实探测 IP 网络中传输分组的路由转发情况,故难以高效地完成路径验证和网络故障
         诊断;因无法准确回溯路由路径和识别发送源,故在恶意匿名行为发生后,难以有效完成网络取证和安全审计.
             针对上述问题,人们提出了 IP 溯源技术           [1−4] .它借助路由器转发 IP 分组的契机构建链路指纹,即建立传输状
         态,在匿名攻击或网络故障发生后,运营商仅通过收集指纹分组就能重构出它们的转发路径.按照路径重构所需
         的指纹分组数量不同,IP 溯源方法可分为多包溯源                [5−7] 和单包溯源 [8−12] :前者将绝大部分链路指纹信息都嵌入到
         转发分组的头部字段中,运营商通过采集大量指纹分组才能完成路径重构;后者将链路指纹全部记录在路由器
         上,运营商仅需指定一个分组样本,通过查验路由器所记录的指纹信息就能识别出它的传输路径.很明显,从应
         用角度分析,前者更适合于追溯高速恶意匿名行为,例如拒绝服务攻击(denial-of-service,简称 DoS),而无法用于
         网络故障诊断和低速匿名行为的取证、审计.基于此,本文重点关注应用范围更广的单包溯源.
             鉴于单包溯源必然会给路由器带来极大的处理开销,进而影响底层路由网络的传输性能,已有相关方法大
         都致力于解决如何在保证溯源质量的前提下,尽可能地减少溯源路由器的开销、降低溯源系统对底层路由网络
         性能的影响.迄今为止,虽然已取得一些较好的成果                 [8−12] ,但是从未得到大规模部署,其中一个重要原因就是它们
         的可部署性差,具体表现为:
             1)   部署意愿低.没有遵循“谁部署,谁受益”的原则,要求部署域在无法获得任何收益的情况下为所有域
                 (包括非部署域)提供溯源服务,产生严重搭便车问题;
             2)   无法增量部署.未将各个自治域看作独立的经济或政治实体,违背平等自愿原则,要求自治域之间必
                 须无缝协作、全网部署;
             3)   维护成本高.要求部署域内所有溯源路由器都采用无差别的路径指纹建立方式,从而产生巨大的成本
                 开销.
             针对上述问题,本文提出一种基于联盟模式的单包溯源方法(an efficient single-packet  traceback  based on
         alliance pattern,简称 TIST):首先,本方法借鉴俱乐部经济学模型,通过在大规模网络上构建溯源联盟体系结构,
         使得任一 Stub 域都可依据自身情况自愿地加入该联盟,并且将“溯源”功能作为一种俱乐部物品,使它能够仅在
         俱乐部成员之间相互提供,而俱乐部以外的成员则不再享有,从而有效地剪除了搭便车自治域,进而提高溯源方
         法的部署激励性;然后,通过分析溯源联盟网络下 IP 分组路由行为表现特征,遵循 TCP/IP 协议的“边缘复杂、核
         心简单”的原则,以弱化自治域之间溯源耦合性为目标,融合 IP 流标记和对等过滤技术,设计了一种面向溯源联
         盟、可增量部署的链路指纹建立策略;最后,为了维护溯源联盟成员之间这种互助关系,定义了一种空间利用率
         高、计算开销低的数据结构,称为面向网络前缀的计数布鲁姆过滤器,并通过优化它的参数,使溯源路由器在联
         盟规模动态变化的情形下也能快速、准确地从转发分组中挑选出流向其他联盟成员的溯源分组,完成有选择性
         的链路指纹建立.
             为了验证本文提出的方法,首先对可部署性进行了理论分析,然后在基于真实拓扑的攻击场景中对其进行
         了实验验证,并与其他经典方法进行了对比.结果表明:TIST 除了能够增量部署,还通过改善部署激励、指纹建