IP溯源與定位技術(shù)綜述

奚源

摘 要：網(wǎng)絡(luò)IP地址的溯源和定位技術(shù)對打擊網(wǎng)絡(luò)犯罪具有重要意義。本文對網(wǎng)絡(luò)IP地址及IP溯源和定位技術(shù)進行了介紹，并針對現(xiàn)有網(wǎng)絡(luò)IP溯源和定位技術(shù)的新發(fā)展方法進行了綜述，分別對每一類典型算法包括協(xié)作式分組溯源系統(tǒng)方案，基于網(wǎng)絡(luò)時延測量的定位方案，基于路由特征的IP區(qū)域城市級定位等算法進行了分析。最后對IP溯源和定位技術(shù)在網(wǎng)絡(luò)犯罪追蹤中的作用提出了新的展望。

關(guān)鍵詞：IP 溯源 定位 網(wǎng)絡(luò)犯罪

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2018）11（a）-000-02

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)犯罪已經(jīng)成為了一種新型犯罪形式，并且犯罪案例正在不斷增加。計算機網(wǎng)絡(luò)犯罪案件屬于智能犯罪，其具有自身獨特的特點和內(nèi)在的規(guī)律。計算機網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫理論已經(jīng)應(yīng)用于實際的網(wǎng)絡(luò)犯罪偵查，發(fā)展了用于網(wǎng)絡(luò)犯罪偵查取證的互聯(lián)網(wǎng)協(xié)議地址的溯源和定位跟蹤技術(shù)。互聯(lián)網(wǎng)協(xié)議地址（Internet Protocol Address，即IP地址）是指互聯(lián)網(wǎng)協(xié)議提供的一種統(tǒng)一的地址格式，它為互聯(lián)網(wǎng)上的每一個網(wǎng)絡(luò)和每一臺主機分配了一個邏輯地址。IP地址已經(jīng)成為偵查網(wǎng)絡(luò)犯罪的突破口[1]，IP溯源和定位技術(shù)在網(wǎng)絡(luò)犯罪的偵破中顯示出了重要意義。

IP溯源是指標識出直接產(chǎn)生攻擊流量的主機以及攻擊流量經(jīng)過的網(wǎng)絡(luò)路徑，并且能有效鎖定攻擊源的真實位置[2]，推斷偽造地址發(fā)來的攻擊報文來自網(wǎng)絡(luò)中的真實路線，從而對攻擊者予以定位。IP定位技術(shù)是確定網(wǎng)絡(luò)中IP設(shè)備的地理位置[3]，通過網(wǎng)絡(luò)能夠鎖定罪犯所在區(qū)域，為抓捕嫌疑犯提供了有力幫助。現(xiàn)今，針對不同的網(wǎng)絡(luò)環(huán)境和設(shè)備部署，IP溯源和定位技術(shù)已經(jīng)發(fā)展了多種不同算法技術(shù)。

1 IP溯源技術(shù)

網(wǎng)絡(luò)追蹤溯源是指通過網(wǎng)絡(luò)確定犯罪者的身份或位置，以及犯罪過程的中間介質(zhì)，還原犯罪進行路徑的技術(shù)。IP溯源技術(shù)由于其目的在于尋找真正的攻擊源，從而隔離攻擊流量，因此受到許多研究者的關(guān)注。

IP溯源最直接的方法是對網(wǎng)絡(luò)進行全范圍的節(jié)點部署，可以獲取全局信息、全網(wǎng)絡(luò)節(jié)點部署報文檢測。但是涉及開發(fā)成本及資源問題，顯然這一方法并不可取，而現(xiàn)有的分布式部署方案也并不能得到良好的溯源準確率。電子科技大學(xué)的付鵬飛提出了一種協(xié)作式分組溯源系統(tǒng)方案[4]，該方法只使用了網(wǎng)絡(luò)中部署的部分節(jié)點。先通過在網(wǎng)絡(luò)中選取一定比例的節(jié)點為信息采集點后，僅在這些節(jié)點部署流量采集器。最后通過在服務(wù)器上開啟若干臺虛擬機組網(wǎng)的方式，通過實驗驗證了該系統(tǒng)可以準確定位攻擊源，優(yōu)于分布式部署方案。

已有的IP溯源技術(shù)大多依賴于網(wǎng)絡(luò)節(jié)點的標記和記錄，往往具有資源開銷大、對網(wǎng)絡(luò)設(shè)備配置要求高等缺點，因而在許多情況下難以實際應(yīng)用。為了克服現(xiàn)有IP溯源技術(shù)的缺陷，華僑大學(xué)的陳欣[5]提出了3種改進方案：（1）基于網(wǎng)絡(luò)流量特征的溯源盲檢測算法，利用特征窗口參數(shù)選取的混合流量中單數(shù)據(jù)包溯源盲檢測算法，其以數(shù)據(jù)包環(huán)境作為數(shù)據(jù)包的特征量，并在特征量上進行深度的分析；（2）基于簇匹配的數(shù)據(jù)包溯源盲檢測算法，其為了實現(xiàn)高準確率的特征提取，提出了聚類結(jié)果獨立性評估模型；（3）提出了簇間距離的判斷模型，目的是提高溯源結(jié)果正確率。

隨著手機網(wǎng)絡(luò)逐步普及大力發(fā)展，移動網(wǎng)絡(luò)犯罪也在逐步增加中。面對移動數(shù)據(jù)流量呈現(xiàn)爆炸性增長的情況下，運營商如何對該部分大數(shù)據(jù)進行挖掘和整理進而促進網(wǎng)絡(luò)建設(shè)和市場運營，監(jiān)管部門如何對該部分大數(shù)據(jù)進行查詢和追溯進而保證網(wǎng)絡(luò)安全和信息安全，有必要盡快和大力建設(shè)上網(wǎng)記錄查詢及IP溯源系統(tǒng)[6]。

2 IP定位技術(shù)

在IP定位系統(tǒng)和定位算法中，有4個比較關(guān)鍵的因素：測量節(jié)點、定位服務(wù)器、基礎(chǔ)設(shè)施和待定位節(jié)點。IP地址地理定位旨在準確地確定給定的IP地址的物理空間位置，通常采用基于測量的技術(shù)或者基于數(shù)據(jù)分析的技術(shù)。

程遠勝等人在思科網(wǎng)絡(luò)環(huán)境下利用思科設(shè)備CDP協(xié)議，并結(jié)合交換機ARP表和橋接表，基于多表映射的方法實現(xiàn)了用戶IP定位[7]。之后在其基礎(chǔ)上進一步提出了多種設(shè)備混合網(wǎng)絡(luò)中的定位方案。閆子驥等人基于SNMP協(xié)議，提出了一種高效的IP定位方法[8]。該方法基于SNMP協(xié)議，并結(jié)合哈希查找技術(shù)，通過對相關(guān)網(wǎng)絡(luò)設(shè)備ARP及MAC地址表的一系列計算，實現(xiàn)快速精確的IP定位。

北京交通大學(xué)的李威在充分分析和研究了基于IP地址的地理定位技術(shù)優(yōu)缺點的基礎(chǔ)上，結(jié)合互聯(lián)網(wǎng)企業(yè)的實際情況，設(shè)計出了一種基于網(wǎng)絡(luò)時延測量的定位方案[9]。該方法利用網(wǎng)絡(luò)相似性、瀏覽器Cookie信息以及投票機制，對測量結(jié)果進行推導(dǎo)，從己知地理位置的IP地址推導(dǎo)出更多的IP地址的地理位置。其為將來建立一個準確性較高的，能夠自動更新的IP數(shù)據(jù)庫打下了良好基礎(chǔ)。

針對現(xiàn)有基于網(wǎng)絡(luò)時延的IP區(qū)域城市級定位方法在分層架構(gòu)且連通性較弱的網(wǎng)絡(luò)環(huán)境下，難以獲得可靠的定位結(jié)果的不足，信息工程大學(xué)的趙帆提出了基于路由特征的IP區(qū)域城市級定位算法[10]。該算法以某區(qū)域內(nèi)已知位置的IP地址為參考地標，對其拓撲進行探測后，提取僅向單個候選區(qū)域或城市轉(zhuǎn)發(fā)數(shù)據(jù)的特定路由器的IP地址作為標識IP及相應(yīng)城市的標識特征，然后將目標的探測路徑與各城市的標識IP相匹配，把目標路徑中包含的標識IP對應(yīng)的區(qū)域或城市作為目標的估計位置。實驗在對河南省內(nèi)相鄰的7個城市中已知位置的IP進行測試，結(jié)果表明與現(xiàn)有典型算法相比，其算法的定位結(jié)果具有較高的穩(wěn)定性和可靠性。

現(xiàn)有的基于數(shù)據(jù)分析的IP地址地理定位技術(shù)，對IP地址之間的關(guān)系考慮較少。考慮到IP地址的聚集特性，郭立軒等人提出了一種基于鄰近序列的IP地址地理定位方法[11]。首先計算IP地址的鄰近序列，并將其轉(zhuǎn)化為對應(yīng)的經(jīng)緯度序列，然后建立模型并求解。以IP地址定位庫和含有GPS信息的移動流量數(shù)據(jù)為原始數(shù)據(jù)，對該方法進行了實驗驗證。實驗結(jié)果表明，通過鄰近IP序列確實可以確定IP地址的物理空間位置，平均定位誤差在20～30km，實現(xiàn)了區(qū)縣一級的定位。

以上IP定位算法為IP地址地理定位問題提供了新的解決方案，一般為了獲得更優(yōu)的結(jié)果，還可以與其他基于測量或者基于數(shù)據(jù)分析的方法同時使用。

3 結(jié)語

IP溯源和定位技術(shù)已經(jīng)在網(wǎng)絡(luò)犯罪偵查中發(fā)揮了越來越重要的作用。IP溯源和定位技術(shù)算法正飛速發(fā)展與更新，其追蹤和定位的精度和速度正在不斷增長。但是算法發(fā)展瓶頸在于無法獲取完整的IP網(wǎng)絡(luò)信息和設(shè)備，因此建立網(wǎng)絡(luò)犯罪信息和IP定位跟蹤技術(shù)、電信關(guān)聯(lián)的信息系統(tǒng)迫在眉睫。如果更多的計算機網(wǎng)絡(luò)專業(yè)技術(shù)人員和犯罪學(xué)研究人員加入到計算機網(wǎng)絡(luò)犯罪偵查取證的研究隊伍中來，將會對網(wǎng)絡(luò)犯罪偵查起到巨大的推動作用。

參考文獻

[1] 譚建偉，韓忠.IP地址在網(wǎng)絡(luò)犯罪偵查中的應(yīng)用[J].中國人民公安大學(xué)學(xué)報：自然科學(xué)版，2003，9（6）：33-37.

[2] 達青.淺析IP溯源技術(shù)的發(fā)展應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2014（19）：68.

[3] 王占豐，馮徑，邢長友，等.IP定位技術(shù)的研究[J].軟件學(xué)報，2014（7）：1527-1540.

[4] 付鵬飛.協(xié)作式分組溯源方法研究[D].成都：電子科技大學(xué)，2018.

[5] 陳欣.基于網(wǎng)絡(luò)流量特征的溯源算法研究[D].泉州：華僑大學(xué)，2016.

[6] 田海暉.移動用戶上網(wǎng)記錄查詢及IP溯源系統(tǒng)建設(shè)方案淺析[J].電子測試，2017（21）：67-69.

[7] 程遠勝，吳政南.基于多表映射實現(xiàn)用戶IP定位的研究[J].軟件導(dǎo)刊，2009（11）：134-136.

[8] 閆子驥，安計勇.一種高效的IP定位方法[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報，2014（3）：10-14.

[9] 李威.基于IP地址的網(wǎng)絡(luò)實體地理位置定位技術(shù)研究與實現(xiàn)[D].北京：北京交通大學(xué)，2012.

[10] 趙帆.基于路徑探測與時延測量的IP定位算法研究[D].鄭州：解放軍信息工程大學(xué)，2015.

[11] 郭立軒，卓子寒，何躍鷹，等.基于鄰近序列的IP地址地理定位方法[J].計算機科學(xué)，2018，45（1）：200-204.