Page 221 - 《软件学报》2020年第12期
P. 221
鲁宁 等:联盟模式下高效单包溯源方法研究 3887
d
d
p 彼此独立,可知 F=(s,i set ,d)的出现概率为 ()pF = p × s stb p × tst 1 i ... p× tst i |set | × p .此外,根据源-目的,匿名流被划分为
stb
stb
以下 4 组:(溯源域-溯源域)、(溯源域-非溯源域)、(非溯源域-溯源域)、(非溯源域-非溯源域).结合定义 8,整体
部署激励期望的计算公式如下:
IDP = { [( ,p si , )] [ (( ,d × ∑ Y si , ), ) |d s + i | Y× (( ,si , ), )]}d i +
set set set set
si ∈ trc
,,d IS
d ×
d s +
×
∑ { [( , s i set , )] [ (( , s i set , ), ) | i set | Y s set , ), )]}+ d i
p
(( ,i
Y
, si IS trc ,d IS com
∈
∈
×
d ×
∑ { [( ,i set , )] | i set | [ (( , s i , ), )]}di +
Y
ps
set
∈
∈
iIS trc ,, s d IS com
d ×
×
∑ { [( ,i set , )] | i set | [ (( , s i set , ), )]}.
d i
Y
ps
∈
, id IS trc ∈ ,s IS com
该公式由 4 部分组成:第 1 部分 IDP[1]代表部署收益,第 2 部分 IDP[2]代表非部署收益,第 3 部分 IDP[3]代
表非部署收益,第 4 部分 IDP[4]代表零收益.将 Y 函数代入上述公式,进一步将 IDP 公式简化为
IDP[3]:中间非部署收益
[2]:源非部署收益+中间非部署收益
IDP
IDP
[1]:源部署收益
IDP = ∑ P [( ,si set , )]d − P [( ,si set , )] (|d × ∑ i set | 1)+ − ∑ P [( ,s i set , )] |d × i set | .
∈
∈
∈
∈
, s d IS trc i , set ⊂ IS trc , s d IS trc i , set ⊂ IS trc ,d IS com i set ⊂ IS trc , , s d IS com
鉴于 TIST 分别实现了松耦合溯源和联盟内溯源,前者使得整个溯源任务无需 Transit 域参与就能完成,因而
不会产生中间非部署收益,而后者使得源溯源域不会对非联盟成员提供溯源服务,因而不会产生源非部署收益.
由此可得:IDP TIST =IDP[1].
然后,任给 TA i ⊂TA j ,必然 G∃ trc ∈ TA j 且 G ∉TA i ,使得 TA j 成员域能接受 G 所提供的溯源服务,而 TA j 不可以,
trc
trc
AS
AS
AS
根据公式 IDP TIST ,TA j 的部署收益要大于 TA i .进一步考虑到溯源联盟不含 Transit 域,给定自治域网络 G AS ,只要在
TA={AS i |AS i ∈M R ,且 T ASi =Stub}情况下,任何匿名流都可被追溯,此时的部署激励值达到最大. □
2.2 融合IP流标记和对等过滤的链路指纹建立策略
在溯源联盟环境下,为了兼顾路由网络的性能需求,TIST 的链路指纹建立应满足以下条件.
1) 松耦合.溯源系统不应降低底层网络各自治域的自主性,尽量保证它们在溯源过程中的松耦合;
2) 动态扩展.溯源网络应能动态感知新增或失效的溯源路由器,防止因节点失效而引发系统瘫痪;
3) 低开销.无论构建溯源网络,还是建立链路指纹,都需溯源路由器参与完成.因此,一旦它们产生大量处
理开销(包括存储、计算、通信),势必影响底层路由网络转发性能;
4) 高精度.因溯源是为攻击过滤做准备,故溯源精度过低,势必造成过滤误报和漏报.
为此,本文提出一种融合 IP 流标记和对等过滤的链路指纹建立策略.
在第 2.1 节中,TIST 将路径回溯过程划分为域间和域内两阶段:前者负责攻击域识别,且该域必须是溯源联
盟成员;后者负责攻击域内入口路由器识别(借鉴作者之前的研究 [12] ).在域间回溯阶段,它要求跨过 Transit 域直
接完成攻击域识别工作,因此它只能抛弃传统的事前记录、事后取证模式.基于此,若能构建一种由成员域组成
的可信网络,那么仅凭 IP 包源地址就能完成攻击域识别工作.受此启发,本文利用源地址与发送域网络前缀的隶
属关系,引入轻量、已商业化的对等过滤(mutual egress filtering,简称 MEF)技术,结合单向哈希密钥链,通过构建
一种可信自治域网络来完成域间回溯工作.在域内回溯阶段,TIST 要求溯源路由器只为成员域建立链路指纹.
为了满足要求,一种直接的方法是,每个溯源路由器在建立指纹之前都执行溯源分组识别操作.然而,这必然带
来巨大的开销.可行的方法应该是仅由入口路由器执行溯源分组识别操作,而后续溯源路由器可根据包头属性
直接识别.不过,这要求它们建立面向 IP 流的链路指纹(即溯源路由器对同一溯源路径上传播的 IP 包都执行相
同的操作),而不是传统的面向 IP 分组的链路指纹.为此,本文利用路由路径无法伪造的特点,借鉴我们之前的研
究 [10] ,通过基于 IP 流标记的链路指纹建立来完成攻击域内路径重构.
本文以举例方式来阐述融合 IP 流标记和对等过滤的链路指纹建立过程.如图 3 所示:溯源联盟 TA={AS 1 ,
AS 6 },主机 V 4 是受害者,攻击者 Z 1 ,Z 2 和 Z 4 同时向 V 4 发起匿名攻击;Stub AS 1 和 Stub AS 6 分别绑定网络前缀 198.1.
1.0/23 和 198.3.0.0/18.如上所述,域内网络使用基于 IP 流标记的链路指纹建立,域间网络使用基于对等过滤的链
