計算機網絡追蹤溯源技術

樊小龍

摘要：近年來，隨著計算機網絡的普及，人們也越來越注重自己的信息安全，然而一些不法分子利用網絡攻擊獲取用戶的重要信息。黑客通常使用隱匿網絡來躲避網絡追蹤溯源。本文分析了當前網絡追蹤溯源的問題，對當前網絡追蹤溯源技術進行了概括，詳細介紹該技術的主流方法，最后分析了計算機網絡追蹤溯源技術未來的發(fā)展方向。

關鍵詞：網絡攻擊；網絡追蹤；溯源技術；隱匿網絡

1 緒論

計算機網絡是計算機不可或缺的一部分，隨著網絡的發(fā)展，互聯(lián)網越來越受到攻擊，尤其是DDoS攻擊。攻擊者利用互聯(lián)網快速傳播的特點，大量使用偽造的IP地址進行攻擊。計算機網絡追蹤溯源技術是通過網絡攻擊計算機源地址的技術。網絡攻擊者通過技術手段，建立一些跳板或者能隱藏身份的主機進行網絡攻擊，因此通過網絡追蹤溯源技術找到最終攻擊者。

2 網絡追溯源技術

2.1 網絡溯源技術現(xiàn)狀

網絡追蹤溯源主要是追蹤拒絕服務攻擊（DoS）的源頭。因此在網絡追溯源中，必須了解網絡拓撲的基本原理，由于現(xiàn)在網絡技術發(fā)達，使用者無法直接獲取網絡拓撲，因此傳統(tǒng)的方法不能夠適用于現(xiàn)有的網絡追蹤溯源，甚至根本無法找到。另外一種是基于包標記的溯源方法，這類的方法需要大量的數據包來進行傳送路徑重構，這種方法僅僅適用于DoS攻擊，就目前而言在DoS攻擊中，網絡流量較少，因而采用包標記的方法在路徑的規(guī)劃上面會花費很長時間。另一方面，由于現(xiàn)有網絡為了達到更好的隱藏效果，一般采用多跳中繼代理服務器，這些中繼節(jié)點一般位于不同的國家地區(qū)，因此就會有新的問題，譬如說，由于地區(qū)限制不同，有些隱匿信息無法發(fā)現(xiàn)或者無法告知對方，因為這會涉及到不同國家和地區(qū)的法律，文化，政治問題；其次是在現(xiàn)有的網絡追溯源技術中，由于中繼較多就會路徑組合爆炸問題。在傳統(tǒng)網絡追蹤溯源技術中，由于是對數據包和日志進行標記。因此對于數據包標記和日志標記的方法來說，即便解決了跨區(qū)域問題，也會在匿名網絡中，多跳中繼代理服務器經過路由器路徑較長，由此會帶來路徑組合爆炸問題，路徑選擇方法耗時非常多。

2.2 網絡追蹤溯源技術的體系結構

根據目前已有的研究對網絡追蹤溯源技術的體系結構可包括以下幾個方面。第一，追蹤溯源的時間復雜度，這里包括完成整個追蹤溯源的計算時間，也包括追蹤溯源的實時性，對當前的追蹤溯源時間復雜度而言，這里包括算法的時間復雜度和網絡負載復雜度和網絡空間復雜度；對于實時性來說，要求追蹤溯源技術能夠及時發(fā)現(xiàn)確定攻擊源的時間消耗。第二，追蹤溯源技術自身的安全性。網絡追蹤溯源技術對于攻擊者來說也是公開的，因此在溯源過程中，要注意溯源的安全性，要保證溯源技術能夠安全的進行，這是其他結構最重要的指標之一。第三，對于網絡攻擊追蹤溯源技術來說，核心價值在于定位DDoS攻擊的能力。針對當前互聯(lián)網技術來說，網絡跳板較多，追蹤溯源所需的數據包較多較復雜，因此對于溯源技術來說獲取當前DDoS攻擊的定位能力是非常重要的指標。

3 主流網絡追蹤溯源技術

現(xiàn)有的溯源技術可以分為兩類，第一類是基于應用程序的溯源方法，第二類是基于隱匿網絡協(xié)議本身的溯源方法。

3.1 基于應用程序的攻擊追蹤溯源方法

基于應用程序的攻擊主要包括以下兩點，第一，用戶誤操作或者開發(fā)人員由于編程產生的漏洞，導致用戶隱私泄露；第二，用戶安裝并使用了惡意的軟件，這些軟件通過隱匿的網絡將用戶信息泄露。這些攻擊的特點主要由于用戶的使用不當引起的，因此用戶在使用互聯(lián)網時要增加自身安全意識，盡量不使用非官方的軟件。因此解決這類攻擊問題，主要在于對數據進行分組標記。基于分組標記的IP回溯通常被稱為概率分組標記（PPM）方法，其中分組在路由器轉發(fā)時用部分路徑信息概率地標記。這種方法在路由器上產生很少的開銷。但由于其概率性質，它只能確定由多個數據包組成的流量來源。

3.2 基于隱匿網絡協(xié)議的攻擊追蹤溯源方法

基于隱匿網絡協(xié)議的攻擊，其基本攻擊原理是利用網絡協(xié)議本身設計進行攻擊或者利用某些流量分析工具或者對通信網絡進行關聯(lián)分析。通常的攻擊方式有關聯(lián)攻擊，前驅攻擊，交集攻擊，重放攻擊，時序攻擊，網絡指紋攻擊，代碼注入攻擊，流量水印技術，鏈路阻塞攻擊等方法進行攻擊。因此基于隱匿網絡協(xié)議進行攻擊需要對數據進行標記和分組。基于數據包日志記錄的IP跟蹤通常被稱為基于散列的方法，其中路由器為每個轉發(fā)的數據包計算和存儲摘要。此方法可以將單個數據包跟蹤到其源。然而，在具有高速鏈路的路由器中，分組摘要的存儲空間要求和用于記錄與其到達速率相稱的分組的訪問時間要求是禁止的。因此一種基于數據包標記和數據包記錄的IP追蹤方法。與PPM方法相比，能夠跟蹤單個數據包。與基于散列的方法相比，該方法在路由器上產生的存儲開銷更少，訪問時間更少。具體地，存儲開銷減少到大約一半，并且訪問時間要求減少了相鄰路由器的數量的因數。因此網絡追蹤溯源技術最本質的是要找到網絡攻擊源，制定相關的安全策略進行防御。

目前基于隱匿網絡協(xié)議的攻擊追蹤溯源方法是主流的方法之一，在未來網絡攻擊追蹤溯源技術會朝著低存儲，高運算方向發(fā)展。此外，在人工智能技術的發(fā)展，將會有更加智能的方法來快速的找到網絡攻擊源；同時建立關聯(lián)圖譜和自然語言處理模塊，能夠使其找到同類的攻擊源。

4 結語

隨著國家信息安全戰(zhàn)略的提出，國內外各大高校研究所都已經積極的投入人力物力對網絡追蹤溯源進行研究，相信在不遠的將來網絡攻擊追蹤溯源這類技術會更加完善。

參考文獻：

[1]卓中流.匿名網絡追蹤溯源關鍵技術研究[D].電子科技大學，2018.

[2]陳周國，蒲石，祝世雄.一種通用的互聯(lián)網追蹤溯源技術框架[J].計算機系統(tǒng)應用，2012，21（09）：166170.

[3]陳周國，蒲石，郝堯，等.網絡攻擊追蹤溯源層次分析[J].計算機系統(tǒng)應用，2014，23（01）：17.