3886                                Journal of Software  软件学报 Vol.31, No.12, December 2020

             与已有方法要求 Stub 和 Transit 域全部参与,并为每个 IP 分组建立链路指纹和提供回溯任务不同,TIST 仅
         要求 Stub 域参与,且只为溯源联盟其他成员域建立链路指纹和提供回溯服务.基于此,在基于溯源联盟的网络体
         系结构中,数据通信场景被扩展为 3 类.
             1)   溯源联盟内单一成员域数据通信,连接同一成员域的两台主机互为通信对端,IP 分组仅在该 Stub 域内
                 部网络中传播.在此类数据通信场景中,域内溯源路由器为每个 IP 分组一种可完成路径重构的链路指
                 纹,同时承担由对端主机发起的路径回溯任务;
             2)   溯源联盟内跨成员域数据通信,隶属于不同成员域的两台主机互为通信对端,IP 分组在两个成员域内
                 和域间网络中传播.在此类数据通信场景中,源成员域 AS x 和目的成员域 AS y 内不同位置溯源路由器
                 将建立不同功能的链路指纹,其中:域内溯源路由器建立面向路径重构的链路指纹;而边界溯源路由
                 器除了这种指纹,还需建立面向源域识别的链路指纹.当 AS y 检测出某 IP 分组 p 为攻击包之后,重构 p
                 在 AS y 内的转发路径,判定 p 是否源自域外:若是,直接利用 AS y 的边界路由器所记录链路指纹来识别
                 出源域 AS x ,并向它发起回溯请求;反之,结束任务.AS x 在接收请求后,重构 p 在其内部的转发路径,完成
                 溯源任务;
             3)   非溯源联盟数据通信,成员域的主机与其他非联盟成员域的主机互为通信对端,IP 分组在成员域、域
                 间和非成员域网络中传播.在此类数据通信场景中,源成员域内溯源路由器无需为 IP 分组建立任何链
                 路指纹,也不提供任何的路径回溯服务.
             到目前为止,只是介绍 TIST 的基本思想,尚留部分实现细节未讨论.
             1)   链路指纹建立.如何在溯源联盟环境下高效地建立链路指纹?
             2)   溯源分组识别.如何在溯源路由器上快速识别溯源分组,进而能够有选择性地建立链路指纹?
             定义 9.  溯源联盟定义为 TA={ G    trc  ∈IS trc |具备联盟内溯源关系的 Stub 部署域},也就是∀AS i ,AS j ∈TP,它们之
                                      stub
         间都存在联盟内溯源关系(AS i ,AS j ).给定 Stub 域 AS i 和 AS j ,如果 AS i 能为 AS j 提供溯源服务当且仅当 AS j 也能为
         AS i 提供溯源服务,那么(AS i ,AS j )就成为联盟内溯源关系.
             性质 4.  给定溯源联盟 TA i ,TA i 规模越大,它的部署激励值 IDP(TA i )也越大.
             证明:整个证明过程划分为两个阶段:1)  量化溯源联盟模式下产生的部署激励效果;2)  计算和比较不同联
         盟规模下的部署激励值.首先,本文将匿名流定义为一个三元组 F=(s,i,d),其中,s 表示发送匿名流的自治域,i set 表
         示转发匿名流的自治域集,d 表示接收匿名流的自治域.根据溯源功能,自治域可被划分为部署溯源机制的自治
         域和未部署溯源机制的自治域.本文将由前者组成的集合表示为 IS trc ,由后者组成的集合表示为 IS com .
             已知部署激励是部署收益和非部署收益之和,给定数据流 F j =(s j ,i set ,d j ),对于任一溯源域 t k ,回溯 F j 所带来的
         收益可描述如下.
             1)   如果 t k 是 F j 的转发域且 F j 的接收域也是溯源域,那么回溯 F j 不会得到任何激励;
             2)   如果 t k 是 F j 的转发域但 F j 的接收域不是溯源域,那么回溯 F j 就会减小一次激励;
             3)   如果 t k 是 F j 的发送域且 F j 的接收域也是溯源域,那么回溯 F j 就可增加一次激励;
             4)   如果 t k 是 F j 的发送域但 F j 的接收域不是溯源域,那么回溯 F j 就会减小一次激励.
             基于此,本文定义一种面向溯源激励的分段函数 Y(F j ,t k )如下:
                                          ⎧−  1, (t ∈  k  IS trc ) (t ∈  ∧  k  i set j  ) (d ∈ ∧  j  IS com )
                                          ⎪      IS  ) (t ∈  ∧  i  j  ) (d ∈ ∧  IS  )
                                  YF j  k  = ⎨ 0,  (t ∈ ⎪  k  trc  k  set  j  trc  .
                                   (, )t
                                          ⎪ 1,   (t ∈  k  IS trc ) (t =  ∧  k  s ∧  j  ) (d ∈  j  IS trc )
                                          ⎪ −  1, (t ∈  IS  ) (t = ∧  s ∧  ) (d ∈  IS  )
                                          ⎩    k   trc  k   j   j   com
             根据拓扑位置,自治域可被划分为 Stub 域和 Transit 域两种,本文将前者组成的集合记为 AS stb ,而后者组成
                                                                  s
         的集合记为 AS tst .任给数据流 F=(s,i set ,d),s∈AS stb ,d∈AS stb ,i set ⊂AS tst .假设 p ∈[0,1]表示 stub s 成为攻击源的概率,
                                                                  stb
                                              d
           1 i
                                                                                              1 i
          p ∈[0,1]表示 transit  i 1 成为转发域的概率, p ∈[0,1]表示 stub  d 成为受害域的概率.鉴于随机变量 p          s  , p 和
           tst                               stb                                          stb  tst