Page 234 - 《软件学报》2020年第12期

P. 234

3900 Journal of Software 软件学报 Vol.31, No.12, December 2020

指纹信息,直接进行记录,且存储开销也在可接受范围内(第 3.1.1 节已说明),因此既不会产生误报,也产生漏报.
8
只是在攻击域的边界路由器上,因恶意域伪造成员域标识符而产生误报.已知标识符的总数为 2 ,假设存在 z 个
8 z
恶意域,那么 TA SEE =(1−1/2 ) .就 TIST 来说,它采用与 SEE 相似的域内溯源策略,因此它们的溯源精度也相同.此
外,虽然 TIST 的域间溯源策略与 SEE 不同,但是它们都会因成员域标识符伪造而产生误报,且误报率相同,即
TA TIST =TA SEE .综上所述,当发生高速匿名攻击时,因为到达溯源节点的 IP 包数量会激增,TA HIT ≤TA SEE =TA TIST .特
别是随着联盟规模增大,非成员域越来越少,TA TIST 会接近 1.
3.2 实验评估
第 3.1 节已经从理论上给出了 TIST 方法关于部属激励、系统开销的评估模型,而本小节则重点评估它在
真实网络上运行时,随着模型参数调整,其性能指标的变化情况.已知 TIST 是一种融合域间过滤和域内追踪的
单包溯源方法,它的性能同时受域内和域间网路结构的影响.为此,本实验搭建的溯源网络仿真平台是以互联网
的域间和域内拓扑数据为基础,前者源于 UCLA 大学,后者源于 CAIDA 协会.与传统方法相比,TIST 方法的先进
性在于改善了部署激励和溯源开销,而它们又与网络结构相关.基于此,本节实验首先围绕网络结构特征展开,
其次分析过滤器、聚合优化、布鲁姆过滤器对部属激励性的影响,然后计算构建不同规模溯源联盟所耗费的存
储和通信开销,最后评估域内溯源路由器为建立指纹和重构路径所耗费的开销.需要说明的是:传统方法无需构
建溯源联盟,也不支持部署激励机制,因此相关实验无需体现它们的差别.不过,本文在系统开销方面与传统方
法做了比较实验.
3.2.1 拓扑特征
根据第 3.1 节,TIST 为了降耦合和提升部署激励,一方面只要求 Stub 域加入溯源联盟,另一方面只需建立面
向成员前缀的追踪指纹.因此,TIST 性能与 Stub 域数量及其成员前缀存在紧密联系,本节实验围绕上述网络结
构特征展开.
第 1 组实验分别统计真实网络中 Stub 域、Transit 域数量和客户-提供者关系数量,结果如图 10 所示.在真
实网络中,相比于 Transit 域的 5 千多,Stub 域数量高达 3 万多,而且它们之间的 C2P 关系数量也有接近 18 万.
第 2 组实验分别统计 Stub 域和 Transit 域所拥有的网络前缀数量,进而计算其补充累计分布函数,结果如图
11 所示.因为运营商对网络规划不足,所以绝大多数自治域的前缀数都较多.与 Transit 域相比,Stub 域所拥有的
3
网络前缀数量较少,80%以上都小于 2 个前缀.根据第 3.1 节推断,较少的前缀有利于减少布鲁姆过滤器误报和
过滤误报.
0 2 4 6 8 10
65536 65536
262144 C-P relationship 262144 16384 Stub 16384
131072 131072 Transit
65536 Stub 65536 4096 4096
The numbers 32768 32768 The number of ASes (y >= 2 x ) 256 256
1024
1024
16384
16384
8192
transit 8192 64 64
4096 4096 16 16
0 2 4 6 8 10
2048 2048 The number of prefixes (Unit = 2 ) x
Fig.10 Network topological structure Fig.11 Number of prefixes in Stub and Transit AS
图 10 网络拓扑结构特征图 11 Stub 域和 Transit 域的前缀数量

3.2.2 溯源联盟构建
TIST 在构建溯源联盟过程中必然会产生大量存储开销和通信开销,而且规模越大,开销也会增大.为此,本
实验主要关注 TIST 在真实网络上运行时相关开销的变化情况,说明它们是否成为系统大规模部署的性能瓶颈.
第 1 组实验统计不同规模联盟下联盟注册服务器需要记录成员前缀数量,结果如图 12 所示.随着联盟规模
增大,服务器记录成员前缀的数量也在增多,但是最多也不过几十 MB,对于当前处理能力较高的服务器来说,这

229 230 231 232 233 234 235 236 237 238 239