計算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)

樊小龍

摘要：近年來，隨著計算機(jī)網(wǎng)絡(luò)的普及，人們也越來越注重自己的信息安全，然而一些不法分子利用網(wǎng)絡(luò)攻擊獲取用戶的重要信息。黑客通常使用隱匿網(wǎng)絡(luò)來躲避網(wǎng)絡(luò)追蹤溯源。本文分析了當(dāng)前網(wǎng)絡(luò)追蹤溯源的問題，對當(dāng)前網(wǎng)絡(luò)追蹤溯源技術(shù)進(jìn)行了概括，詳細(xì)介紹該技術(shù)的主流方法，最后分析了計算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)未來的發(fā)展方向。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)追蹤；溯源技術(shù)；隱匿網(wǎng)絡(luò)

1 緒論

計算機(jī)網(wǎng)絡(luò)是計算機(jī)不可或缺的一部分，隨著網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)越來越受到攻擊，尤其是DDoS攻擊。攻擊者利用互聯(lián)網(wǎng)快速傳播的特點，大量使用偽造的IP地址進(jìn)行攻擊。計算機(jī)網(wǎng)絡(luò)追蹤溯源技術(shù)是通過網(wǎng)絡(luò)攻擊計算機(jī)源地址的技術(shù)。網(wǎng)絡(luò)攻擊者通過技術(shù)手段，建立一些跳板或者能隱藏身份的主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，因此通過網(wǎng)絡(luò)追蹤溯源技術(shù)找到最終攻擊者。

2 網(wǎng)絡(luò)追溯源技術(shù)

2.1 網(wǎng)絡(luò)溯源技術(shù)現(xiàn)狀

網(wǎng)絡(luò)追蹤溯源主要是追蹤拒絕服務(wù)攻擊（DoS）的源頭。因此在網(wǎng)絡(luò)追溯源中，必須了解網(wǎng)絡(luò)拓?fù)涞幕驹?，由于現(xiàn)在網(wǎng)絡(luò)技術(shù)發(fā)達(dá)，使用者無法直接獲取網(wǎng)絡(luò)拓?fù)?，因此傳統(tǒng)的方法不能夠適用于現(xiàn)有的網(wǎng)絡(luò)追蹤溯源，甚至根本無法找到。另外一種是基于包標(biāo)記的溯源方法，這類的方法需要大量的數(shù)據(jù)包來進(jìn)行傳送路徑重構(gòu)，這種方法僅僅適用于DoS攻擊，就目前而言在DoS攻擊中，網(wǎng)絡(luò)流量較少，因而采用包標(biāo)記的方法在路徑的規(guī)劃上面會花費(fèi)很長時間。另一方面，由于現(xiàn)有網(wǎng)絡(luò)為了達(dá)到更好的隱藏效果，一般采用多跳中繼代理服務(wù)器，這些中繼節(jié)點一般位于不同的國家地區(qū)，因此就會有新的問題，譬如說，由于地區(qū)限制不同，有些隱匿信息無法發(fā)現(xiàn)或者無法告知對方，因為這會涉及到不同國家和地區(qū)的法律，文化，政治問題；其次是在現(xiàn)有的網(wǎng)絡(luò)追溯源技術(shù)中，由于中繼較多就會路徑組合爆炸問題。在傳統(tǒng)網(wǎng)絡(luò)追蹤溯源技術(shù)中，由于是對數(shù)據(jù)包和日志進(jìn)行標(biāo)記。因此對于數(shù)據(jù)包標(biāo)記和日志標(biāo)記的方法來說，即便解決了跨區(qū)域問題，也會在匿名網(wǎng)絡(luò)中，多跳中繼代理服務(wù)器經(jīng)過路由器路徑較長，由此會帶來路徑組合爆炸問題，路徑選擇方法耗時非常多。

2.2 網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)

根據(jù)目前已有的研究對網(wǎng)絡(luò)追蹤溯源技術(shù)的體系結(jié)構(gòu)可包括以下幾個方面。第一，追蹤溯源的時間復(fù)雜度，這里包括完成整個追蹤溯源的計算時間，也包括追蹤溯源的實時性，對當(dāng)前的追蹤溯源時間復(fù)雜度而言，這里包括算法的時間復(fù)雜度和網(wǎng)絡(luò)負(fù)載復(fù)雜度和網(wǎng)絡(luò)空間復(fù)雜度；對于實時性來說，要求追蹤溯源技術(shù)能夠及時發(fā)現(xiàn)確定攻擊源的時間消耗。第二，追蹤溯源技術(shù)自身的安全性。網(wǎng)絡(luò)追蹤溯源技術(shù)對于攻擊者來說也是公開的，因此在溯源過程中，要注意溯源的安全性，要保證溯源技術(shù)能夠安全的進(jìn)行，這是其他結(jié)構(gòu)最重要的指標(biāo)之一。第三，對于網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)來說，核心價值在于定位DDoS攻擊的能力。針對當(dāng)前互聯(lián)網(wǎng)技術(shù)來說，網(wǎng)絡(luò)跳板較多，追蹤溯源所需的數(shù)據(jù)包較多較復(fù)雜，因此對于溯源技術(shù)來說獲取當(dāng)前DDoS攻擊的定位能力是非常重要的指標(biāo)。

3 主流網(wǎng)絡(luò)追蹤溯源技術(shù)

現(xiàn)有的溯源技術(shù)可以分為兩類，第一類是基于應(yīng)用程序的溯源方法，第二類是基于隱匿網(wǎng)絡(luò)協(xié)議本身的溯源方法。

3.1 基于應(yīng)用程序的攻擊追蹤溯源方法

基于應(yīng)用程序的攻擊主要包括以下兩點，第一，用戶誤操作或者開發(fā)人員由于編程產(chǎn)生的漏洞，導(dǎo)致用戶隱私泄露；第二，用戶安裝并使用了惡意的軟件，這些軟件通過隱匿的網(wǎng)絡(luò)將用戶信息泄露。這些攻擊的特點主要由于用戶的使用不當(dāng)引起的，因此用戶在使用互聯(lián)網(wǎng)時要增加自身安全意識，盡量不使用非官方的軟件。因此解決這類攻擊問題，主要在于對數(shù)據(jù)進(jìn)行分組標(biāo)記?；诜纸M標(biāo)記的IP回溯通常被稱為概率分組標(biāo)記（PPM）方法，其中分組在路由器轉(zhuǎn)發(fā)時用部分路徑信息概率地標(biāo)記。這種方法在路由器上產(chǎn)生很少的開銷。但由于其概率性質(zhì)，它只能確定由多個數(shù)據(jù)包組成的流量來源。

3.2 基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法

基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊，其基本攻擊原理是利用網(wǎng)絡(luò)協(xié)議本身設(shè)計進(jìn)行攻擊或者利用某些流量分析工具或者對通信網(wǎng)絡(luò)進(jìn)行關(guān)聯(lián)分析。通常的攻擊方式有關(guān)聯(lián)攻擊，前驅(qū)攻擊，交集攻擊，重放攻擊，時序攻擊，網(wǎng)絡(luò)指紋攻擊，代碼注入攻擊，流量水印技術(shù)，鏈路阻塞攻擊等方法進(jìn)行攻擊。因此基于隱匿網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊需要對數(shù)據(jù)進(jìn)行標(biāo)記和分組?；跀?shù)據(jù)包日志記錄的IP跟蹤通常被稱為基于散列的方法，其中路由器為每個轉(zhuǎn)發(fā)的數(shù)據(jù)包計算和存儲摘要。此方法可以將單個數(shù)據(jù)包跟蹤到其源。然而，在具有高速鏈路的路由器中，分組摘要的存儲空間要求和用于記錄與其到達(dá)速率相稱的分組的訪問時間要求是禁止的。因此一種基于數(shù)據(jù)包標(biāo)記和數(shù)據(jù)包記錄的IP追蹤方法。與PPM方法相比，能夠跟蹤單個數(shù)據(jù)包。與基于散列的方法相比，該方法在路由器上產(chǎn)生的存儲開銷更少，訪問時間更少。具體地，存儲開銷減少到大約一半，并且訪問時間要求減少了相鄰路由器的數(shù)量的因數(shù)。因此網(wǎng)絡(luò)追蹤溯源技術(shù)最本質(zhì)的是要找到網(wǎng)絡(luò)攻擊源，制定相關(guān)的安全策略進(jìn)行防御。

目前基于隱匿網(wǎng)絡(luò)協(xié)議的攻擊追蹤溯源方法是主流的方法之一，在未來網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)會朝著低存儲，高運(yùn)算方向發(fā)展。此外，在人工智能技術(shù)的發(fā)展，將會有更加智能的方法來快速的找到網(wǎng)絡(luò)攻擊源；同時建立關(guān)聯(lián)圖譜和自然語言處理模塊，能夠使其找到同類的攻擊源。

4 結(jié)語

隨著國家信息安全戰(zhàn)略的提出，國內(nèi)外各大高校研究所都已經(jīng)積極的投入人力物力對網(wǎng)絡(luò)追蹤溯源進(jìn)行研究，相信在不遠(yuǎn)的將來網(wǎng)絡(luò)攻擊追蹤溯源這類技術(shù)會更加完善。

參考文獻(xiàn)：

[1]卓中流.匿名網(wǎng)絡(luò)追蹤溯源關(guān)鍵技術(shù)研究[D].電子科技大學(xué)，2018.

[2]陳周國，蒲石，祝世雄.一種通用的互聯(lián)網(wǎng)追蹤溯源技術(shù)框架[J].計算機(jī)系統(tǒng)應(yīng)用，2012，21（09）：166170.

[3]陳周國，蒲石，郝堯，等.網(wǎng)絡(luò)攻擊追蹤溯源層次分析[J].計算機(jī)系統(tǒng)應(yīng)用，2014，23（01）：17.