互联网自治域间IP源地址验证技术综述

当前互联网是基于目的地址转发,对源地址不做验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.本文对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,本文分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义.其次,本文从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因.最后,本文提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供参考.     

Hidasav:一种层次化的域间真实源地址验证方法

可信任是下一代互联网的重要特征,真实地址访问是可信任的基础和前提.自治域级真实地址访问是整个可信任互联网体系结构中最为复杂的一个层次.基于标签的源地址验证不受拓扑结构影响,无需中间节点特殊处理,是实现域间真实地址访问的有效方法.然而,现有方法中信任联盟过于扁平化和单一化的问题导致验证开销随联盟规模增大而急剧增大,影响和制约了机制的可扩展性和过滤能力,难以进行增量部署.对此,文中提出了一种层次化的基于标签替换的域间真实源地址验证方法(Hidasav),该方法通过合理规划联盟层次和聚类整合,构建出一种多级并存的信任联盟体系结构,通过引入实现轻量级标签替换的联盟边界,将每一层级联盟和外界网络隔离,使得下层联盟和更高层联盟内部的网络环境彼此互不可见、互无影响.与现有同类典型方法在CNGI真实环境中的实验结果比较表明,该方法能够在确保域间高速通信的同时有效降低边界路由设备的状态机存储、更新和报文验证开销.     

国内互联网真实源地址验证研究进展

为了分析我国源地址验证研究领域的研究现状、发展趋势和研究热点,梳理源地址验证研究的发展趋势,以推进国家网络数据可信化传输研究的进一步深入.以中国知网数据库收录的基于源地址验证研究的论文文献为研究的数据来源,应用文献计量学和科学知识图谱两种方法,采用可视化工具CiteSpace对研究样本进行信息统计、共引统计和聚类分析,...     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

互联网域间路由可扩展性

互联网域间路由可扩展性问题是下一代互联网体系结构设计必须首先解决的关键问题之一.通过引入路由信息熵的概念,深入阐述Internet路由可扩展性问题的内在本质,并基于这一理论模型,分别从3个方面归纳解决路由可扩展性问题的3种可行思路.重点讨论了这3种思路应用于互联网路由系统的出发点和局限性.并就典型的具体提案从体系结构的角度进行了分析评价.最后总结路由可扩展性问题的挑战性,并展望了未来可扩展路由的研究发展方向.     

网络安全的随机模型方法与评价技术

随着网络系统逐渐复杂和庞大,特别是网络攻击和破坏行为的日益普遍和多样,网络安全性面临严峻的挑战．网络安全性研究已经成为国际上重大的科学问题之一,也是影响社会经济发展和国家发展战略的重要因素．文章综述了网络安全性的随机模型与评价技术等方面的研究工作,介绍了该领域的研究现状与进展,总结了网络安全性随机模型的若干研究方法和评价技术,分析了网络的可生存性．基于这些讨论,展望了未来网络安全性研究的新方向．     

Web对象可缓存性评价模型研究

为研究Web对象的可缓存性并提高缓存效率,提出了基于请求方式、HTTP状态码及HTTP参数的Web对象可缓存性评价模型,分析讨论了Web对象可缓存性评价指标。利用了Web对象可缓存度及可缓存率概念,研究了Web对象的可缓存性,采用缓存加速比指标,度量了Web缓存效率。实验与分析结果表明,可缓存率越高,缓存的污染越小,缓存加速比越大,缓存效率提升得越明显。     

实时的移动互联网攻击盲检测与分析算法

大规模移动互联网攻击检测算法需要攻击行为的先验信息或者需要对攻击行为进行监督学习,降低了攻击检测算法的实时性与实用性,为此提出了一种实时的移动互联网攻击盲检测与分析算法。首先,提取每个时段网络流量的最大特征值,结合最大特征值与模型阶数选择技术检测每个时段是否存在攻击行为;然后,通过特征值分析技术来识别攻击的类型,识别出特征值的变化细节;最终,设计了相似性分析方案来分析攻击的端口与时间等细节信息。基于真实实验与公开网络流量数据集的仿真结果表明,该算法获得较高的攻击检测准确率。     

验证平台的可重用性分析

传统的验证方法学已经不能满足SoC验证的需求,现在通常使用验证平台来提高验证的质量.SoC的设计实际上是IP的集成设计,因此需要建立两个验证平台IP单独验证平台和SoC系统验证平台.为了减少验证时间,提高验证质量,最有效的办法是使这两个验证平台统一,即IP单独验证平台的部分元件甚至全部元件可以直接被SoC系统验证平台重用.本文对验证平台的元件,如激励、驱动、监视器、脚本等的可重用性进行了分析,并提出了达到最大可重用的验证平台的设计方法,按该方法设计的验证平台的可重用率至少可达到60%.     

面向未来互联网的基于Capabilities的DDoS防御体系研究

介绍了面向未来互联网的防御DDoS攻击的Capabilities机制的原理及其关键技术,阐述了当前基于Capabilities机制的几个典型方案。研究了基于Capabilities机制的DDoS防御体系的全局框架,并探讨了该框架所包含的流分类、执行、Capabilities管理这3部分在未来互联网中可行的实现方案。建立了Capabilities机制框架下的流量模型,从理论上分析并论证了Capabilities机制框架下的安全性与效率等问题。通过仿真实验,比较了在不同场景下各种Capabilities方案的性能及效率。     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.     

随机伪造源地址分布式拒绝服务攻击过滤

由于能够有效隐藏攻击者,随机伪造源地址分布式拒绝服务攻击被广泛采用.抵御这种攻击的难点在于无法有效区分合法流量和攻击流量.基于此类攻击发生时攻击包源地址的统计特征,提出了能够有效区分合法流量和攻击流量,并保护合法流量的方法.首先设计了一种用于统计源地址数据包数的高效数据结构Extended Counting Bloom Filter(ECBF),基于此,提出了随机伪造源地址分布式拒绝服务攻击发生时合法地址识别算法.通过优先转发来自合法地址的数据包,实现对合法流量的有效保护.采用真实互联网流量进行模拟,实验结果表明,所提方法能精确识别合法地址,有效地保护合法流量,尤其能够较好地保护有价值的交易会话.所提方法的时间复杂性为O(1),并且只需数兆字节的内存开销,可嵌入边界路由器或网络安全设备,如防火墙中,实现随机伪造源地址分布式拒绝服务攻击的在线过滤.     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

面向下一代互联网的轻量级多级Capabilities机制

本文提出了面向下一代互联网的轻量级的多级Capabilities机制(LMCM)来防御拒绝服务攻击。LMCM通过对用户的行为进行评估进而来区分合法用户与攻击者,采用轻量级的校验机制避免了核心网络进行复杂运算。LMCM采用多级Capabilities机制在不降低总体安全性的前提下提高了数据传输的效率,并能适应不同安全性需求。LMCM采用分级的队列管理机制来防御拒绝Capabilities攻击(DoC),保障网络资源的公平分享。此外,LMCM改进了TVA的流量控制机制,改进后的方案能够防御TVA所不能防御的某些复杂网络攻击,弥补了TVA在这方面的缺点和不足。为了得到可信的仿真实验结果,LMCM从CAIDA数据集中挑选实验所需要的有代表性的拓扑结构。不同场景下的仿真实验结果表明,与TVA相比,LMCM有利于提高数据传输的效率和增强防御体系的可扩展性。     

Building a next generation Internet with source address validation architecture

The IP packet forwarding of current Internet is mainly destination based. In the forwarding process, the source IP address is not checked in most cases.This causes serious security, management and accounting problems. Based on the drastically increased IPv6 address space, a ＂source address validation architecture＂ （SAVA） is proposed in this paper, which can guarantee that every packet received and forwarded holds an authenticated source IP address. The design goals of the architecture are lightweight, loose coupling, ＂multi-fence support＂ and incremental deployment. This paper discusses the design and implementation for the architecture, including inter-AS, intra-AS and local subnet. The performance and scalability of SAVA are described. This architecture is deployed into the CNGI-CERNET2 infrastructure a large-scale native IPv6 backbone network of the China Next Generation Internet project. We believe that the SAVA will help the transition to a new, more secure and dependable Internet.