论文部分内容阅读
互联网背景辐射流量(Internet Background Radiation,简称IBR)是互联网上未经请求的单向流量,也是一种未授权流量(Unwanted Traffic)。对IBR流量的研究有助于掌控其成因和特性,可以为网络安全相关工作提供支持和保障。本论文的所有研究工作均围绕IBR流量展开。因为所有IBR相关研究均基于实测流量,所以IBR流量的测量是工作的起点。本论文的研究工作也从这里开始。传统IBR流量的测量通过暗网进行。一方面,随着IPv4地址空间的不断消耗,足够规模的暗网空间很难获得;另一方面,由于暗网的地址空间固定不变,随着时间的推移,可逐渐被未授权流量的发起者所悉知,他们可以主动避免将未授权流量发往暗网,这会导致暗网不能获取真实的IBR流量,从而失去其应有的价值。如何从运行网络中获取IBR流量,是这个研究领域面临的新问题。本论文的研究工作也首先从这里展开。在这方面已有的方法主要是“灰地址空间法”和“单向流法”,前者会造成一定程度的漏判,而后者的问题是误判。本论文从2个角度研究了这个问题,一是如何从已经保存的、静态的原始流量——IP Trace文件中获取IBR流量,另一个是如何从运行网络中实时获取IBR流量。前者追求的是更高的查全率和查准率指标,而后者要求在保证查准率和一定程度上牺牲查全率指标的条件下,满足实时测量的要求。对于前者,论文提出了一个FIBR (Filtering Internet Background Radiation)算法,该算法综合了现有的“灰地址空间法”和“单向流法”的优点,通过基于源点的行为学习方法对运行网络中流向活跃地址空间的IBR流量进行捕获,从而使获得的IBR流量更加准确。基于理论和实测基准数据的分析显示,本文的算法能更准确地获取整个运行网络地址空间的IBR流量;对于后者,本文提出的算法是RIBRM (Real-time Internet Background Radiation Measurement)。算法的核心思路是“灰地址空间法”,但创新之处在于使用流记录来定位运行网络的灰地址空间,并用过滤规则进行辅助。试验表明该算法可以在大规模接入网边界实时工作。将RIBRM算法与FIBR算法获取的IBR流量进行对比可以看出,RIBRM算法能够很好地保证查准率,但在查全率方面略有损失。RIBRM算法的价值在于它可以连续工作,随时发现IBR流量成分的变化。在此基础上,论文对用两种算法捕获的IBR流量进行了分析,这也是IBR相关领域研究工作的主要内容。FIBR的分析数据来源于IPTAS系统保存的采集于CERNET(China Education and Research Network)江苏省网边界的5条IP Trace数据,时间跨度为2008至2012年。基于同一网络边界路由器提供的流记录,RIBRM算法进行了网络内部地址活跃性测量并实时采集了2015年2月该网络收到的报文层IBR流量。分析角度包括流量特性、分类和空间特性等方面。对用FIBR算法获取的IBR流量特性分析表明IBR流量呈逐年上升趋势,虽然这些IBR流量对使用带宽的占用率没有超过1%,但在流数方面已超过70%;分类分析表明扫描和反向散射(backscatter)是IBR流量的主要成分,这与国际上相关的研究结果是一致的;端口分析表明扫描端口在一段时间段内相对集中,但会随着时间的推移而逐渐变化;空间分析发现网内所有地址段承受的扫描流量基本一致,但不同的地址段承受的反向散射流量则会有较大差异。基于反向散射是IBR流量的主要成分,且其主要成因是伪造源地址的SYN泛洪攻击这一事实,论文选择基于反向散射流量检测SYN泛洪攻击作为IBR流量测量的应用。首先通过对攻击中的角色与检测位置间关系的分析,建立了完备的攻击场景模型。在此基础上,经过组合分析,给出了所有可能的检测类型以及相应的特征,并进一步推导出检测逻辑。基于这些逻辑条件,论文提出了一个SYN泛洪攻击检测算法WSAND (Worldwide SYN flooding Attack detection based on live Network’s flow Data)。该算法的主要特点之一是无论被攻击服务器位于互联网的何处,只要SYN泛洪攻击或反向散射流量通过检测点,相应的攻击就可以被检测出;另一个是其基于抽样流记录实现,同时由于其只需检测流量中的SYN泛洪攻击或反向散射成分,它们只占全部流量中很少的一部分,因此可以部署在大规模接入网的边界处。论文随后完成了该算法基于流记录数据源的一个实现,并用IPTAS上2014年11月的一段70分钟的IP Trace进行了面向抽样的测试,结果显示该算法在较小抽样比条件下,仍然可以获得理想的检测效果。基于这一测试结果,论文利用NBOS (Network Behavior Observation System)平台将该算法实际部署到CERNET全部38个主节点上,所覆盖的IP地址数量近1700万个。在2014年11月至2015年1月为期三个月的运行过程中,共检测到全球范围内的164677起SYN泛洪攻击事件。论文对检测结果进行了展示,并从发生时间、攻击强度、攻击持续时间、极值点等角度,对这些检测到的攻击事件进行了详细的分析和讨论。