首页> 正文

IP源地址欺骗的域间防御技术研究

2020-11-28阅读(667)

IP源地址欺骗的域间防御技术研究

论文摘要

随着互联网的飞速发展,社会对网络依赖程度日益加重,网络可信任性对国家经济持续发展和国家安全稳定起到越来越重要的作用。然而,网络安全事件的频繁发生,严重威胁网络可信任性。IP源地址欺骗是网络攻击中普遍采用的手段。攻击者伪造报文源IP地址,不仅削弱了防御机制检测和过滤攻击报文的能力,还为攻击者逃避责任提供了方法。由于IP源地址欺骗破坏了网络可信任性的重要基础之一,即网络层报文源IP地址真实性,因此需要研究IP欺骗防御机制以增强网络的可信任性。域间IP欺骗报文过滤是IP欺骗防御研究的重点。目前域间IP欺骗防御通常采基于标识和基于路由的两种机制。但这两种机制都存在防御范围小、提前过滤能力弱等不足。本文将上述两种机制结合,通过有效控制源IP地址验证状态信息聚合粒度和防御实体协同范围,对域间IP欺骗问题展开研究,主要研究工作包括:针对防御机制的部分部署问题,提出基于IP地址验证状态集扩充的域间IP欺骗防御扩展机制MASK(Multi-purpose Anti Spoofing Key)。根据网络Transit-Stub模型和自治域间商业关系,MASK防御实体维护邻居中未部署防御机制的Stub域的源IP地址信息,扩充了防御实体的源IP地址验证状态集,并通过代理Stub域参与到IP欺骗防御中,扩展了防御服务的保护范围。理论分析和模拟结果表明,MASK能够以较低的额外开销,扩展防御机制的保护范围,并提高防御实体运行效率。针对IP欺骗报文消耗网络资源的问题,提出基于全程AS防御体联合的域间IP欺骗防御增强机制ESP(Enhancing Spoofing Prevention)。ESP将域间IP欺骗防御协同从源-目的自治域协同扩展为全程防御实体协同,通过源标识方法减小了中间防御实体维护状态信息带来的开销。通过引入前缀安全节点及其检测机制,ESP不但可有效控制标识传播范围,而且可进一步减小防御实体标记和过滤开销。针对自治域内IP地址欺骗问题,提出域内拓扑感知的IP欺骗防御机制RISP(Refining Inter-domain Spoofing Prevention)。RISP动态感知域内网络拓扑变化,根据路由器端口聚合网络源IP地址空间,即通过采用非对称、细粒度的源端路由器端口-目的端自治域标识,在域间IP欺骗报文过滤基础上增加了对域内路由器端口间IP欺骗报文的过滤。通过使用基于流异常检测的和动态触发的细粒度标识,RISP可有效抑制细粒度标识带来的计算和存储开销膨胀。最后,本文针对一体化IP欺骗防御中协同问题,提出了层次化协同模型HCM(Hierarchical Coordination Model)。基于HCM模型,可将自治域内部采用集中式防御机制与自治域间采用的分布协同的防御机制有效结合,形成一种层次式IP欺骗防御体系,增强了互联网对IP欺骗报文过滤的能力。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 课题研究背景
  • 1.2 IP欺骗防御方法
  • 1.2.1 IP欺骗问题描述
  • 1.2.2 IP欺骗防御方法
  • 1.2.3 IP欺骗防御面临的挑战
  • 1.3 本文的研究内容和创新点
  • 1.4 本文的组织结构
  • 第二章 相关研究
  • 2.1 基于标识的过滤机制
  • 2.1.1 SPM
  • 2.1.2 Pi
  • 2.1.3 HCF
  • 2.1.4 BASE
  • 2.2 基于路由的过滤机制
  • 2.2.1 Ingress过滤
  • 2.2.2 RPF
  • 2.2.3 SAVE
  • 2.3 防御机制性能评价
  • 2.3.1 过滤能力
  • 2.3.2 部署激励
  • 2.4 小结
  • 第三章 基于IP地址验证状态集扩充的域间IP欺骗防御机制
  • 3.1 防御范围扩展问题分析
  • 3.2 域间IP欺骗防御扩展机制MASK
  • 3.2.1 邻域状态维护
  • 3.2.2 状态共享和标识建立
  • 3.2.3 过滤能力
  • 3.2.4 源追踪能力
  • 3.3 MASK标识管理
  • 3.3.1 标识项
  • 3.3.2 标识生成
  • 3.3.3 标识发布
  • 3.4 MASK性能分析
  • 3.4.1 模拟环境介绍
  • 3.4.2 过滤能力分析
  • 3.4.3 部署激励分析
  • 3.4.4 MASK对多宿主和动态路由的支持
  • 3.5 小结
  • 第四章 基于全程AS防御体联合的域间IP欺骗防御机制
  • 4.1 提前过滤的提出
  • 4.1.1 网络带宽攻击
  • 4.1.2 端验证的不足
  • 4.2 域间IP欺骗防御增强机制ESP
  • 4.2.1 ESP的基本原理
  • 4.2.2 标识方式及其复杂度
  • 4.2.3 源标识冲突消解
  • 4.2.4 报文验证
  • 4.3 ESP关键技术
  • 4.3.1 混合型ESP标识
  • 4.3.2 ESP节点标记
  • 4.3.3 ESP节点过滤
  • 4.4 ESP性能分析
  • 4.4.1 过滤能力
  • 4.4.2 提前过滤能力
  • 4.4.3 部署激励
  • 4.4.4 进一步讨论
  • 4.5 小结
  • 第五章 基于域内拓扑感知的IP欺骗防御机制
  • 5.1 过滤粒度细化
  • 5.2 RISP工作原理
  • 5.2.1 域内拓扑感知
  • 5.2.2 细粒度非对称标识
  • 5.2.3 攻击检测
  • 5.2.4 RISP原理
  • 5.3 RISP关键技术
  • 5.3.1 消息传递
  • 5.3.2 流cache
  • 5.3.3 多源特征融合
  • 5.3.4 异常检测
  • 5.3.5 流速限制
  • 5.4 RISP性能分析
  • 5.4.1 细粒度标识
  • 5.4.2 参数设置
  • 5.4.3 检测能力分析
  • 5.4.4 过滤能力分析
  • 5.4.5 部署激励
  • 5.5 小结
  • 第六章 基于层次化协同的IP欺骗防御机制
  • 6.1 跨域协同问题
  • 6.1.1 协同机制的提出
  • 6.1.2 网络的层次化
  • 6.1.3 层次化协同
  • 6.2 层次化协同模型
  • 6.2.1 基本概念
  • 6.2.2 域内协同
  • 6.2.3 域间协同
  • 6.2.4 消息传递SANet
  • 6.3 基于HCM的IP欺骗防御机制
  • 6.3.1 源IP地址空间共享
  • 6.3.2 源IP欺骗报文过滤
  • 6.4 性能分析
  • 6.4.1 通信带宽比较
  • 6.4.2 状态汇聚时迟比较
  • 6.4.3 抗攻击能力分析
  • 6.4.4 过滤能力比较
  • 6.5 小结
  • 第七章 总结与未来工作
  • 7.1 防御机制总结和比较
  • 7.2 下一步的工作
  • 致谢
  • 参考文献
  • 作者在学期间发表的学术论文
  • 作者在学期间参加的主要科研工作

    • 相关论文文献

    标签:;  ;  ;  ;  ;  ;  

    IP源地址欺骗的域间防御技术研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5