3906                                Journal of Software  软件学报 Vol.31, No.12, December 2020

             2)   基于覆盖网协同记录的单包溯源方法.其基本思想是:在物理路由网络上建立溯源覆盖网络,使覆盖
                 节点能够以协同方式来记录 IP 分组的路由转发指纹信息,从而弥补传统互联网无状态的缺陷,ISP 只
                 需搜集覆盖网络所记录单个样本分组就可还原出整条攻击路径和入口节点.经典方法包括基于 IP 分
                                                                           [4]
                                                     [9]
                            [8]
                 组的单包溯源 、基于路由器接口的单包溯源 和基于数据流的单包溯源 .与方法类别 1)相比,它的
                 优势在于既能保护拓扑隐私,又有较广应用范围.然而,其可部署性较差,表现为无法增量部署,部署意
                 愿低,维护成本高.本文重点关注该类问题.
             基于路径的单包溯源(包括 PSIT        [10] ,S3T [11] 和 SEE [12] )是作者早期的研究工作.PSIT 的基本思想是:利用路由
         路径不可伪造的特点,借鉴 MPLS 网络中标签分发原理,在路由网络上建立反向路由路径指纹;在路径回溯阶段,
         利用 MPLS 的标签路径建立原理来还原攻击路由.与其他方法比,PSIT 具备存储开销小、路径重构时间短等优
         势.然而,它因采用集中式标签发布和无差别标签回收等策略而存在溯源精度问题.为此,作者提出了一种改进
         方法,称为 S3T,通过灵活配置溯源路由器的存储资源、自适应调整链路指纹的存储时间等手段来提高溯源精度.
         S3T 在面对大规模网络时,因溯源系统结构扁平化、不支持溯源节点动态加入和颜色复用率低而产生可扩展性
         问题.为此,作者进一步提出一种域间过滤、域内追踪的层次化系统架构模型 SEE,同时,利用边着色理论和 LSA
         通告重载等手段来提高系统的可扩展性.虽然 SEE 已初步提出溯源联盟的概念,但是既没有提出联盟构建方法
         以及联盟模式下链路指纹建立和路径回溯策略,也没有考虑过滤器短缺和溯源分组识别等问题,因此,SEE 依然
         存在因搭便车、无法增量部署等原因而引发的可部署性问题.本文的 TIST 方法就是针对这些问题提出的:首先,
         它对溯源联盟进行形式化定义,详细地给出了它的构建策略,从而有效地剪除了搭便车自治域;然后设计了一种
         溯源联盟环境下可增量部署的链路指纹建立方法,对所涉及的过滤器短缺、非成员域恶意破坏等问题都提供了
         解决策略;最后,提出一种高效地溯源分组识别算法,使溯源路由器能够快速识别流向成员域的 IP 分组,完成链
         路指纹的选择性建立,降低了维护成本.
                                                                              [4]
             近几年,针对单包溯源方法的可部署性差问题,有学者提出了基于云的 IP 溯源方法 ,它允许 ISP 向网络客
         户提供溯源增值服务,在客户遭到攻击后,只有向相关 ISP 交付一定费用后,才可获得溯源服务,进而重构攻击路
         径.它与本文所提 TIST 有以下不同.
             1)   前者采用现收现付的商业模式,更多从用户角度出发来提高部署激励,需要 ISP 付出高额成本;而后者
                 采用订阅付费的商业模式,更多从 ISP 角度出发来提高部署激励,ISP 所付成本较低;
             2)   前者要求经过域必须参与溯源过程才能完成路径重构,溯源域之间是紧耦合关系,极大地增加系统部
                 署难度;而后者仅需攻击域参与即可完成溯源,部署难度大大降低.

         5    结论及未来研究工作

             为了提高可部署性,本文提出一种基于联盟模式的单包溯源方法,简称 TIST.该方法允许各个 Stub 自治域
         依据自身情况灵活构建溯源联盟,以便剪除搭便车自治域、强化部署意愿以及减少链路指纹建立数量,降低维
         护成本.在溯源联盟环境下,TIST 需要解决两个问题.
             1)   如何在松耦合环境下实现单包溯源;
             2)   如何在高速且资源受限环境下识别溯源分组.
             为此,本文提出了 Stub 到 Stub 的单包溯源策略和基于布鲁姆过滤器的溯源分组识别策略.通过理论分析和
         基于大规模真实拓扑的仿真实验结果表明,TIST 在可部署性方面有了显著提高.
             到目前为止,我们还没有能力在实际网络中对提出的 TIST 方法进行部署,以评估其在仿真环境之外性能.
         尤其是溯源系统需要对当前路由器的软、硬件进行改造和升级,由于宏大的部署规模、网络的不稳定等因素,
         仿真环境必然会与实际环境存在偏差,特别是在溯源功能开启后路由器转发性能的变化情况;然后,TIST 虽然
         通过构建溯源联盟提高了部署激励性,但是未将自治域异构性考虑在内,使得溯源成本并不相同的自治域会获
         得相同收益,从而出现支出/收益不平等现象,再次抑止部署激励性;最后,TIST 虽然增强了可部署性,但是未将鲁
         棒性考虑在内,一旦攻击者利用僵尸机不断向控制服务器发起溯源请求,就会造成溯源系统因负载过重而宕机.