IP溯源技术及其分类方法探究摘要：缺乏统一分类方法是影响IP溯源技术研究与应用的重要因素，论文研究了各种IP溯源技术原理与特点，提出按行为模式、结构构成、实现层次、实现方式、适用范围五方面构建IP溯源技术分类方法体系，应用此方法对当前主要IP溯源技术进行了分类。关键词：IP溯源技术；溯源技术特点；溯源技术分类：TP393文献标识码：A：1009-3044(2012)13-3044-03IPTracebackandAnalysistowardsaClassificationofMechanismsLINBai-lu,YANGBai-long,MAO激ng,WUPeng-hui(TheSecondArtilleryEngineeringCollege,Xi，an710025,China)Abstract：ClassificationofmechanismsisakeyelementtotheresearchandapplicationofIPtraceback.ThispaperexploresnatureandcharactersofdifferentIPtracebackmechanisms,givesaclassificationtowardsIPtracebackfromfivedifferentaspects：behavior,strueture,layerofactualization,modeofactualization,applicablearea.Moreover,thispaperclassifiesimportantIPtracebackmechanismsbyusingthisclassificatiori.---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---Keywords：IPtraceback；charactersofIPtraceback；classificationofIPtraceback随着网络安全形势日益严峻，IP溯源技术(IPTraceback)作为一种主动网络安全技术的地位和作用日益突出，新的技术和手段不断涌现，但当前尚缺乏对这一新兴技术统一、完善的分类方法，在一定程度上影响和制约了其研究和应用，因此，对IP溯源技术分类方法的研究具有重要意义。1IP溯源技术IP溯源技术(IPTraceback)又名追踪技术，指通过技术手段，将内容、网络行为以及应用行为等追溯到该行为发起者。IP溯源技术产生、发展及研究现状综述如下。首个有影响力的溯源技术是概率包标记溯源法(ProbabilisticPacketMarking),由Savage等人［1］在2000年提出，原理是路由器以某种概率标记通过此路由器的数据包，标记信息为数据包部分路径信息，受害者收到足够数量带有标记的数据包，就能够重构出攻击路径。对数据包进行标记、以便在受攻击后依据标记识别攻击路径这一思想对后来的研究影响深远，Belenky等人［2］于2003年提出了另一包标记类经典技术一一确定包标记溯源法(DeterministicPacketMarking),仅由边界路由器标记IP包，受害者可获得相应入口地址和攻击源所在子网，相比于概率包标记溯源法，此方法显得简单而高效。其他研究者在包标记思想的基---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---础上对标记信息和算法进行了优化，提出了许多改进的方法，如HaipengQu等人［3］把每个路由器的地址分成前后两个16bit块，分别使用Hashl和Hash2两个函数处理后再和原地址分块拼接后得到4个标记向量，标记算法和路径恢复算法都是以一定的方式处理矩阵向量，误报率和收敛性方面好于基本标记算法；李刚等人［4］提出了一种伸缩性的包标记策略，可以通过更少的数据包更快的定位出攻击源等。还有的研究者在标记范围上做了改变如自治域粒度的包标记(ASPacketMarking),仅在包进入一个自治域时进行标记，降低了算法的复杂度。另一影响较广的方法是日志记录溯源法(Logging),原理是在数据包的传输路途中，路由器将数据包的信息记录下来，攻击发生时，就可以凭借记录逐步查找到攻击源oSnoren等人［5］提出了基于摘要(Hash)的IP追踪方法，记录信息摘要，节省存储空间。基于日志记录也有许多改进算法，此处不一一枚举。Bellovin在2003年提出通知溯源法(ICMP)［6］,原理是当一个数据包通过一个路由器时，该路由器可以一定的概率同时向数据包的发送方和接收方发送带认证的ICMP追踪信息，受害主机根据与攻击数据报相关的ICMP信息重构攻击路径。指纹溯源法(ThumbprintTraceback)［7］,又称特征值溯源，原理是网络连接具有不同形式的特征，每个登录连接链的特征具有唯一性，将每个登录连接链的唯一特征量化，以得到的特征值区分不同的登录连接链，其中指纹有多种，现有的研究主要集中---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---在传输时间指纹、...