互聯(lián)網(wǎng)背景輻射流量的測量與研究.pdf

1、互聯(lián)網(wǎng)背景輻射流量(Internet Background Radiation，簡稱IBR)是互聯(lián)網(wǎng)上未經(jīng)請求的單向流量，也是一種未授權流量(Unwanted Traffic)。對IBR流量的研究有助于掌控其成因和特性，可以為網(wǎng)絡安全相關工作提供支持和保障。本論文的所有研究工作均圍繞IBR流量展開。
　　因為所有IBR相關研究均基于實測流量，所以IBR流量的測量是工作的起點。本論文的研究工作也從這里開始。傳統(tǒng)IBR流量的測量通過暗

2、網(wǎng)進行。一方面，隨著IPv4地址空間的不斷消耗，足夠規(guī)模的暗網(wǎng)空間很難獲得;另一方面，由于暗網(wǎng)的地址空間固定不變，隨著時間的推移，可逐漸被未授權流量的發(fā)起者所悉知，他們可以主動避免將未授權流量發(fā)往暗網(wǎng)，這會導致暗網(wǎng)不能獲取真實的IBR流量，從而失去其應有的價值。如何從運行網(wǎng)絡中獲取IBR流量，是這個研究領域面臨的新問題。本論文的研究工作也首先從這里展開。在這方面已有的方法主要是“灰地址空間法”和“單向流法”，前者會造成一定程度的漏判，而

3、后者的問題是誤判。本論文從2個角度研究了這個問題，一是如何從已經(jīng)保存的、靜態(tài)的原始流量——IP Trace文件中獲取IBR流量，另一個是如何從運行網(wǎng)絡中實時獲取IBR流量。前者追求的是更高的查全率和查準率指標，而后者要求在保證查準率和一定程度上犧牲查全率指標的條件下，滿足實時測量的要求。對于前者，論文提出了一個FIBR（Filtering Internet Background Radiation）算法，該算法綜合了現(xiàn)有的“灰地址空間法

4、”和“單向流法”的優(yōu)點，通過基于源點的行為學習方法對運行網(wǎng)絡中流向活躍地址空間的IBR流量進行捕獲，從而使獲得的IBR流量更加準確?；诶碚摵蛯崪y基準數(shù)據(jù)的分析顯示，本文的算法能更準確地獲取整個運行網(wǎng)絡地址空間的IBR流量;對于后者，本文提出的算法是RIBRM（Real-time Internet Background Radiation Measurement）。算法的核心思路是“灰地址空間法”，但創(chuàng)新之處在于使用流記錄來定位運行網(wǎng)絡

5、的灰地址空間，并用過濾規(guī)則進行輔助。試驗表明該算法可以在大規(guī)模接入網(wǎng)邊界實時工作。將RIBRM算法與FIBR算法獲取的IBR流量進行對比可以看出，RIBRM算法能夠很好地保證查準率，但在查全率方面略有損失。RIBRM算法的價值在于它可以連續(xù)工作，隨時發(fā)現(xiàn)IBR流量成分的變化。
　　在此基礎上，論文對用兩種算法捕獲的IBR流量進行了分析，這也是IBR相關領域研究工作的主要內容。FIBR的分析數(shù)據(jù)來源于IPTAS系統(tǒng)保存的采集于CER

6、NET(China Education and Research Network)江蘇省網(wǎng)邊界的5條IP Trace數(shù)據(jù)，時間跨度為2008至2012年?；谕痪W(wǎng)絡邊界路由器提供的流記錄，RIBRM算法進行了網(wǎng)絡內部地址活躍性測量并實時采集了2015年2月該網(wǎng)絡收到的報文層IBR流量。分析角度包括流量特性、分類和空間特性等方面。對用FIBR算法獲取的IBR流量特性分析表明IBR流量呈逐年上升趨勢，雖然這些IBR流量對使用帶寬的占用率沒

7、有超過1％，但在流數(shù)方面已超過70％;分類分析表明掃描和反向散射(backscatter)是IBR流量的主要成分，這與國際上相關的研究結果是一致的;端口分析表明掃描端口在一段時間段內相對集中，但會隨著時間的推移而逐漸變化;空間分析發(fā)現(xiàn)網(wǎng)內所有地址段承受的掃描流量基本一致，但不同的地址段承受的反向散射流量則會有較大差異。
　　基于反向散射是IBR流量的主要成分，且其主要成因是偽造源地址的SYN泛洪攻擊這一事實，論文選擇基于反向散射流

8、量檢測SYN泛洪攻擊作為IBR流量測量的應用。首先通過對攻擊中的角色與檢測位置間關系的分析，建立了完備的攻擊場景模型。在此基礎上，經(jīng)過組合分析，給出了所有可能的檢測類型以及相應的特征，并進一步推導出檢測邏輯?；谶@些邏輯條件，論文提出了一個SYN泛洪攻擊檢測算法WSAND(Worldwide SYN flooding Attack detection basedon live Network's flow Data)。該算法的主要特點之

9、一是無論被攻擊服務器位于互聯(lián)網(wǎng)的何處，只要SYN泛洪攻擊或反向散射流量通過檢測點，相應的攻擊就可以被檢測出;另一個是其基于抽樣流記錄實現(xiàn)，同時由于其只需檢測流量中的SYN泛洪攻擊或反向散射成分，它們只占全部流量中很少的一部分，因此可以部署在大規(guī)模接入網(wǎng)的邊界處。論文隨后完成了該算法基于流記錄數(shù)據(jù)源的一個實現(xiàn)，并用IPTAS上2014年11月的一段70分鐘的IP Trace進行了面向抽樣的測試，結果顯示該算法在較小抽樣比條件下，仍然可以獲

10、得理想的檢測效果?；谶@一測試結果，論文利用NBOS(Network Behavior Observation System)平臺將該算法實際部署到CERNET全部38個主節(jié)點上，所覆蓋的IP地址數(shù)量近1700萬個。在2014年11月至2015年1月為期三個月的運行過程中，共檢測到全球范圍內的164677起SYN泛洪攻擊事件。論文對檢測結果進行了展示，并從發(fā)生時間、攻擊強度、攻擊持續(xù)時間、極值點等角度，對這些檢測到的攻擊事件進行了詳細的