僵尸物联网的出现使得拒绝服务攻击(Denial of Service,DoS)的破坏力进一步升级,而源地址伪造是导致DoS攻击一直难以被有效防御的重要原因.为此,研究者提出了可追踪匿名攻击源的IP溯源技术.在已提出的众多IP溯源方法中,动态确定包标记溯源因轻量、高效且易部署等特点,一经提出就立刻受到人们广泛关注.然而,现有方法在面对大规模攻击时仍存在因溯源规模受限、负载过于集中而引发的可扩展性问题.基于此,本文提出一种可扩展的动态确定包标记溯源方法,SEEK.一方面通过设计层次化的溯源联盟体系结构和动态调整包标记概率来均衡溯源设备负载,避免因性能瓶颈而制约系统的可扩展性;另一方面通过动态扩展标签装载域、分层复用标签空间和自适应管理标签来提高标签的可使用量和利用率,避免因标签资源不足而引发溯源规模受限,进而制约系统的可扩展性.通过理论分析和基于大规模真实拓扑的仿真实验,结果表明:相比以往同类典型方案,在绝大多数攻击场景下SEEK在扩展性和高效性方面都能提高20%以上.
IP 匿名是当前互联网协议中最具威胁的安全漏洞,它会引发一系列安全、管理和计费问题.基于对等过滤的域间源地址验证方法通过构建反匿名联盟,能够利用当前已广泛实现、轻量的 Egress Filtering 有选择性地将流向联盟成员的匿名包清理掉,在保证高效的同时兼具部署激励性.然而,现有方法存在以下问题:过于扁平化、单一化的联盟体系结构,使得其过滤器需求量和成员更新传播范围随联盟规模的扩张而急剧增大;过于随机的非成员判定方式和低效的数据处理方式,使得其过滤规则优化算法的计算开销和精度都有待完善.对此,提出了一种层次化的基于对等过滤的反匿名联盟构建方法.通过理论分析和基于大规模真实互联网拓扑的仿真实验结果表明:相比以往同类典型方案,该方法在继承其优势的同时改善了过滤器开销、通信开销、计算开销和优化精度.
