大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


                  1.主动式追踪
                  （1）包标记
                  目前，包标记是汇总研究最为广泛的IP追踪技术，其基本思路是：数据包从路由
             器经过时，标记信息由路由器按一定概率插入数据包中，并在追踪攻击源路径时进行
             提取。在网络安全维护中，包标记的应用非常频繁，一般使用下列两种标记法：一是

             概率包标记（PPM），即路由器按概率P选择经过的数据包，再在其中插入带有相关
             路由信息的数据，且被标记的数据包从每一个路由器经过时，都按一定概率进行标
             记，直至在入侵目标系统时被抓，此时根据标记数据计算路径，便可确定攻击路径；

             二是确定包标记（DPM），即在ISP网络环境下，由入口位置的路由器选择进入网络
             的数据包，并在其中插入包含相关路由信息的数据。对于包标记，其增加了网络流
             量、数据包大小。
                  （2）路由日志

                  路由日志的基本思想是：在路由器上，借助其日志功能记录下上一级路由发送的
             数据包信息，并在追踪攻击源时从中提取数据包，以恢复相应的路由器，从而实现成
             功追踪攻击源。对于日志记录，其兼容既有网络协议，且支持事后分析，但要求路由

             器具备记录功能，并由数据库来实现日志信息的存储和更新，因此有待进一步完善日
             志记录。
                  （3）ICMP追踪
                  ICMP追踪（或称iTrace）是先用ICMP消息记录下路径信息及相应源IP地址，再
             设置路由器，使其按一定概率发送ICMP消息给受害者。其中，ICMP消息涉及与受害

             者毗邻的上、下游路由信息，因此通过信息提取，便可在受害者接收到足量的iTrace
             包后重构攻击路径，从而成功追踪攻击源。通常而言，每20000个数据包从一个路由
             器经过时，便会有一个ICMP包发出，因此发送ICMP包不会对攻击路径的回溯产生影

             响，从而起到减轻路由负担、减少网络流量的作用。
                  2.被动式追踪
                  （1）链路测试
                  链路测试（或称逐跳回溯）是从最接近受害者的路由器到其上一级路由器，通过

             测试彼此间的链路，以查明转发攻击包的用户，并沿攻击包的传输路径确定最接近攻
             击者的边界路由器。在实际应用中，链路测试法以输入调试法（ID）、受控淹没法
             （CF）最为常用。其中，ID法是网络管理人员通过在路由器上将疑似由攻击者发出
             的恶意数据包过滤，以确定其上一级路由器；CF法是根据路由器丢包的概率，分析受

             害者接收攻击报文的数量变化，从而判断测试链路是否在攻击路径上。通过比较，ID
             法的网络开销小，但分析与管理流程烦琐且效率低；CF法的工作原理简单、人工费用


             • 286 •