抵御探测响应攻击的报警提交策略研究.pdf

: .
: .


摘 要
网络技术迅速发展的今天，人们使用Internet 感应器监控网络状况、收集网
络信息，并且通过日志分析中心检测分析恶意的Internet 流量。随着技术的发展，
也使得针对大规模网络的恶意攻击日益增多，Internet 感应器独立地监控网络状况
已不能满足人们的需求。为对付Internet 范围内的大规模安全威胁，人们建立数
据中心（Data center），收集来自不同网络感应器的报警日志，并定时公布以帮助
了解 Internet 范围的安全状态。
目前，DSHIELD 网络数据中心就是这样一个从事Internet 日志分析检测恶意
流量的网络安全分析机构。为了能够及时对恶意攻击进行预警，类似DSHIELD
这样数据中心需要在保持Internet 感应器匿名的基础上发布日志数据，使相应的
Internet 机构能够采取有效措施抵抗、消除恶意的Internet 流量。
近年来，针对大规模网络的恶意攻击肆意蔓延，大规模的蠕虫、DDOS 等攻
击已经给全球带来了巨大的损失。人们建立数据中心收集Internet 感应器报警日
志、分析报警流量、并且定期公布报警信息、及时对全社会预警，已经取得了一
定的成果。但是，近年来网络中出现了一类针对Internet 感应器的恶意攻击：探
测响应攻击（Probe Response Attacks）。它是在Internet 范围内，恶意攻击者针对
大规模网络精心设计的一类信息收集型攻击。攻击者利用Internet 感应器的检测
报警功能，特意设计一类针对不常见端口的恶意攻击代码，对Internet 感应器进
行定位，并在日后绕开感应器的检测直接对目标发起恶意攻击。倘若这些恶意攻
击提交到网络数据中心，将影响安全专家的网络分析结果，导致无法向全社会提
供正确的预警。面对探测响应攻击，如果感应器的具体位置在报警日志中公开，
恶意攻击者则完全可以避开感应器的检测对具体的网络发动攻击，这将给网络带
来极大的危害。因此，保持Internet 感应器的匿名性显得极为重要。
为了有效抵御探测响应攻击，我们分析了合作对抗共同的攻击、对探测响应
攻击进行了深入学习研究；分析研究了目前防范、抵御探测响应攻击方面相关的
策略方法；针对保证相应Internet 感应器的匿名性，提出了抵御探测响应攻击的
TOP-K 策略；并且基于DSHIELD 数据中心收集来自全球范围内的Internet 感应