Page 217 - 《软件学报》2020年第12期

P. 217

鲁宁等:联盟模式下高效单包溯源方法研究 3883

就是它的逆函数 v = f − 1 (S i v 1 + ) .也就是说,只要知道链路指纹 S i v 1 + ,就可计算出上游节点 v i ,进而推算出链路 v i v i+1 .
i
基于此,单包溯源问题就是在溯源网络上寻找一种单射函数,如定义 7 所述.
s
定义 7. ∀攻击路径 P =y 0 y 1 …y k ,单包溯源问题就是在溯源网络上寻找一种满足单射的链路指纹建立函数
A
s
f, s.t. ∀y i ∈ P ,都有 S i y 1 − = f ()y 且 y = f − 1 (S i y 1 − ) ,其中,y i 为溯源路由器标识符, S i y 1 − 为链路指纹.
A
i
i
如上所述,单包溯源问题的求解过程可分解为两步:构建溯源网络和寻求链路指纹函数.鉴于当前互联网的
发展状态,ISP 除了要求上述步骤必须有效和轻量,还需它们满足增量和激励部署.通过细化和量化这些要求,可
推出单包溯源的性能指标应包括:
1) 溯源网络构建应以激励为先,一方面严格遵守“谁部署,谁受益”的原则;另一方面允许 ISP 因商业利益
等原因拒绝升级,但要阻止它们搭便车;
2) 溯源网络需要采用与底层路由网络相对应的多极化管理模式,通过降低 AS 之间的耦合度,保证其自
主性,进而实现可增量部署;
3) 构建溯源网络的开销要尽可能小,以增强网络系统的可扩展性;
4) 在任何情况下,都要保证链路指纹建立函数的单射性,否则就会牺牲溯源精度;
5) 链路指纹建立函数和其逆函数的处理开销要尽可能小,减小溯源系统对底层路由网络的影响.
1.2 研究动机

传统单包溯源的解决思路如图 1 所示 [8−12] :针对每个转发分组,它的发送域(AS 1 )、经过域(AS 2 和 AS 5 )和接收
域(AS 6 )必须都建立链路指纹,以便 ISP 反向逐跳提取指纹,重构整条攻击路径.

链路指纹库溯源网络
溯源请求
指纹建立操作溯源请求
溯源请求
Transit AS 2 Transit AS 5
v 4
Stub AS 1 Stub AS 6
Z 1 Z 3 v 2 Z 4 v 3
v 1 Z 2 Z 5

底层路由网络
Transit AS 2 Transit AS 5
受害者
v 1

Stub AS 1 Stub AS 3 Stub AS 6 v 4
Stub AS 4
Z 1
僵尸机 Z 2 Z 3 v 2 Z 4 v 3 Z 5
Fig.1 Basic idea in the existing single-packet IP traceback approaches
图 1 已有单包溯源方法的基本思想

它们存在以下部署特征.
1) 若想追溯 AS 1 ,除了 AS 1 和 AS 6 ,AS 2 和 AS 5 也必须按照就近原则逐次升级为部署域,只要存在一个经过
域未升级,那么整个溯源任务就会失败;
2) 只要升级为部署域(无论 Stub AS 1 和 AS 6 ,还是 Transit AS 2 和 AS 5 ),那么它不仅需要为流入其他部署域
的转发分组建立链路指纹,而且需要为流入非部署域(Stub AS 3 和 AS 4 )的转发分组也建立链路指纹,从
而产生巨大的成本开销;

212 213 214 215 216 217 218 219 220 221 222