劉雪花,丁麗萍,鄭 濤,吳敬征,李彥峰

1(中國科學(xué)院 軟件研究所 并行軟件與計算科學(xué)實驗室,北京 100190)

2(中國科學(xué)院大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,北京 100049)

3(廣州中國科學(xué)院軟件應(yīng)用技術(shù)研究所 電子數(shù)據(jù)取證實驗室,廣東 廣州 511458)

4(廣東中科實數(shù)科技有限公司,廣東 廣州 511458)

5(聯(lián)通華盛通信有限公司,北京 100005)

6(中國科學(xué)院 軟件研究所 智能軟件研究中心,北京 100190)

攻擊者在實施網(wǎng)絡(luò)攻擊時,常采用各種技術(shù)手段隱藏自己以對抗追蹤,如采用虛假IP 地址、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)、匿名網(wǎng)絡(luò)等技術(shù).網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)[1]能夠有效應(yīng)對攻擊者的隱藏手段,定位真實的攻擊源頭,以便及時阻斷網(wǎng)絡(luò)攻擊.網(wǎng)絡(luò)取證是一種對網(wǎng)絡(luò)攻擊的事后追責(zé)手段,通過對網(wǎng)絡(luò)流量等進行取證分析,將生成的電子數(shù)據(jù)證據(jù)用于訴訟活動,從而實現(xiàn)對各類網(wǎng)絡(luò)違法犯罪活動的事后追責(zé)[2,3].網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)與網(wǎng)絡(luò)取證技術(shù)沿著不同路線獨立發(fā)展.定位網(wǎng)絡(luò)攻擊事件源頭并進行有效電子數(shù)據(jù)證據(jù)的收集,是網(wǎng)絡(luò)取證的任務(wù)之一[2],定位網(wǎng)絡(luò)攻擊事件源頭需要使用網(wǎng)絡(luò)攻擊追蹤溯源技術(shù),因此,網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)與網(wǎng)絡(luò)取證技術(shù)有著密切的關(guān)聯(lián)性.然而,現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)研究工作主要從防御的角度開展,較少考慮網(wǎng)絡(luò)取證的要求,導(dǎo)致其產(chǎn)生的大量有價值的數(shù)據(jù)無法成為有效電子數(shù)據(jù)證據(jù)在訴訟中被采用,無法充分發(fā)揮其在網(wǎng)絡(luò)取證方面的作用.

已有文獻[1,4-6]分別從不同的角度對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行總結(jié)歸納:文獻[1,4]從4 個層面對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行分析,分別是攻擊主機的追蹤溯源、攻擊控制主機的追蹤溯源、攻擊者的追蹤溯源、攻擊組織機構(gòu)的追蹤溯源;文獻[5]則根據(jù)攻擊者采取的不同隱藏技術(shù)對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行分析,分別是虛假IP 的追蹤溯源、僵尸網(wǎng)絡(luò)的追蹤溯源、匿名網(wǎng)絡(luò)的追蹤溯源、跳板的追蹤溯源和局域網(wǎng)的追蹤溯源;文獻[6]則基于分布式拒絕服務(wù)攻擊(distributed denial of service,簡稱DDoS)場景對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行分析.然而,這些文獻較缺乏從網(wǎng)絡(luò)取證的角度對現(xiàn)有的網(wǎng)絡(luò)追蹤溯源技術(shù)進行深入的思考與分析,且這些文獻沒有覆蓋較新的基于軟件定義網(wǎng)絡(luò)(software defined network,簡稱SDN)的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù).

為此,本文將總結(jié)分析現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù),并從網(wǎng)絡(luò)取證的角度對現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)重新加以思考.本文的主要貢獻如下:

(1)提出了一套取證能力評估指標(biāo),用于評估網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的取證能力;

(2)總結(jié)分析了現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù),包括較新的基于SDN 的網(wǎng)絡(luò)攻擊日志追蹤溯源技術(shù);

(3)基于取證能力評估指標(biāo)分析了現(xiàn)有網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的取證能力,并針對不足之處給出了改進建議;

(4)提出了針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型,通過結(jié)合網(wǎng)絡(luò)取證過程與網(wǎng)絡(luò)攻擊追蹤溯源技術(shù),進一步提高整體取證能力.

本文第1 節(jié)給出網(wǎng)絡(luò)攻擊追蹤溯源和網(wǎng)絡(luò)取證相關(guān)的定義.第2 節(jié)提出一套取證能力評估指標(biāo),用于后文分析網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的取證能力.第3 節(jié)從網(wǎng)絡(luò)取證角度對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行分析,首先給出技術(shù)分類并劃定本文的分析范圍,然后依次對基于日志存儲查詢的追蹤溯源技術(shù)、基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)、基于SDN 的日志追蹤溯源技術(shù)和混合追蹤溯源技術(shù)進行分析,分析其發(fā)展現(xiàn)狀、優(yōu)缺點和取證能力,并給出取證能力的改進建議.第4 節(jié)分析現(xiàn)有網(wǎng)絡(luò)取證過程模型在網(wǎng)絡(luò)攻擊追蹤溯源場景下的不足,并提出針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型.第5 節(jié)對本文的研究工作進行總結(jié),并對未來值得關(guān)注的研究方向進行初步探討.

1 網(wǎng)絡(luò)攻擊追蹤溯源與網(wǎng)絡(luò)取證相關(guān)定義

1.1 網(wǎng)絡(luò)攻擊追蹤溯源相關(guān)定義

定義1(網(wǎng)絡(luò)攻擊追蹤溯源)[1].通過網(wǎng)絡(luò)攻擊的中間介質(zhì)還原攻擊路徑,以確定網(wǎng)絡(luò)攻擊者的身份或位置,即網(wǎng)絡(luò)攻擊源頭.確定了網(wǎng)絡(luò)攻擊源頭,使得防御方能及時地制定和實施有針對性的防御措施,提高網(wǎng)絡(luò)防御的主動性和有效性.

定義2(網(wǎng)絡(luò)攻擊追蹤溯源問題模型)[7].讓Ri1,Ri2,…,Rin代表攻擊者Ai和受害者V之間的有序路由器列表,這個有序路由器列表就是Ai的攻擊路徑.將參與攻擊數(shù)據(jù)包轉(zhuǎn)發(fā)并最終傳遞給受害者的路由器定義為攻擊路由器,對于攻擊路徑上的任何路由器Rij,將所有在路由器Rij和受害者之間的路由器稱為Rij的前置列表,而將在路由器Rij和攻擊者之間的路由器稱為Rij的后繼列表.攻擊追蹤溯源問題的目的是,確定直接連接到Ai的攻擊路由器(即圖1 所示的路由器Ri1,其后繼列表為空).

Fig.1 Sequence of routers between the attacker and the victim[7]圖1 攻擊者到受害者之間的路由器序列[7]

1.2 網(wǎng)絡(luò)取證相關(guān)定義

定義3(電子數(shù)據(jù)取證)[8].電子數(shù)據(jù)取證是指科學(xué)地運用提取和證明方法,對于從電子數(shù)據(jù)源提取的電子數(shù)據(jù)證據(jù)進行保護、收集、驗證、鑒定、分析、解釋、存檔和出示,以有助于進一步的犯罪事件重構(gòu)或者幫助識別某些與計劃操作無關(guān)的非授權(quán)性活動.

定義4(網(wǎng)絡(luò)取證)[8].網(wǎng)絡(luò)取證是電子數(shù)據(jù)取證的一個分支學(xué)科,特指通過檢測、收集和分析計算機網(wǎng)絡(luò)流量等電子數(shù)據(jù)來實現(xiàn)合法證據(jù)的收集和入侵檢測.

2 取證能力評估指標(biāo)

要發(fā)揮網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)在網(wǎng)絡(luò)取證方面的價值,需重點考慮其產(chǎn)生的電子數(shù)據(jù)證據(jù)能否被用于網(wǎng)絡(luò)取證,以便對攻擊源頭進行事后追責(zé).為此,本文從電子數(shù)據(jù)證據(jù)的角度提出一套取證能力評估指標(biāo),用于評估網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的網(wǎng)絡(luò)取證能力.

一方面,在衡量電子數(shù)據(jù)證據(jù)能否在訴訟程序或其他證明活動中被使用時,常使用電子數(shù)據(jù)證據(jù)可采性標(biāo)準(zhǔn)和證明力標(biāo)準(zhǔn).電子數(shù)據(jù)證據(jù)具備了可采性,且有較強的證明力,法官才會在審判中予以采用[9].電子數(shù)據(jù)證據(jù)可采性標(biāo)準(zhǔn)和證明力標(biāo)準(zhǔn)是兩個定性標(biāo)準(zhǔn),其基本概念如下[9].

1)電子數(shù)據(jù)證據(jù)的可采性標(biāo)準(zhǔn)包括關(guān)聯(lián)性、合法性與真實性.

(1)關(guān)聯(lián)性是指證據(jù)與要證明的案件事實或其他爭議事實具有直接聯(lián)系;

(2)合法性是指證據(jù)的主體、形式及收集程序或提取方法必須符合法律的有關(guān)規(guī)定;

(3)真實性是指證據(jù)必須至少在形式或表面上是真實的;

2)電子數(shù)據(jù)證據(jù)的證明力標(biāo)準(zhǔn)包括可靠性和完整性.

(1)可靠性是衡量電子數(shù)據(jù)證據(jù)真實程度的指標(biāo),一般可以通過細化審查的各個環(huán)節(jié)予以評估,如收集環(huán)節(jié)的可靠性、傳輸環(huán)節(jié)的可靠性、存儲環(huán)節(jié)的可靠性等等;

(2)完整性一般是指在電子數(shù)據(jù)從提取到最終出示的過程中,其內(nèi)容始終保持完整和未予改動.

另一方面,基于傳統(tǒng)的證據(jù)理論,往往通過事后的調(diào)查取證來還原案件真相.因而,事后取證能力是一項衡量取證技術(shù)的基本標(biāo)準(zhǔn).

事后取證是指在系統(tǒng)被攻擊或者犯罪行為發(fā)生后,取證調(diào)查人員對可疑計算機開展諸如恢復(fù)數(shù)據(jù)、獲取數(shù)據(jù)、分析鑒定等調(diào)查工作,收集所有可能獲取的數(shù)據(jù)來進行事件重構(gòu),以確認(rèn)犯罪行為實施的時間、地點和方式[10].由事后取證的定義可知:只有電子數(shù)據(jù)證據(jù)存儲在非易失性存儲器上,并在安全事件發(fā)生后依然存在,才能支持事后取證,而有些電子數(shù)據(jù)證據(jù),如網(wǎng)絡(luò)數(shù)據(jù)報文,隨著安全事件的結(jié)束就會滅失,無法支持事后取證.因此,電子數(shù)據(jù)證據(jù)的非易失性對事后取證至關(guān)重要.

為此,本文基于以上兩項標(biāo)準(zhǔn)的5 個方面和非易失性能力,提出一套六維的取證能力評估指標(biāo),其取值范圍和衡量標(biāo)準(zhǔn)見表1.

Table 1 Forensic capacity metrics表1 取證能力評估指標(biāo)

3 基于網(wǎng)絡(luò)取證角度分析網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)

3.1 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)分類

本文在文獻[1]的基礎(chǔ)上,將網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)分為8 類.

(1)基于日志存儲查詢的追蹤溯源技術(shù):通過使用路由器、主機等設(shè)備,對網(wǎng)絡(luò)中傳播的數(shù)據(jù)流進行存儲記錄,存儲記錄不必記錄完整的數(shù)據(jù)包信息,可以只記錄一些關(guān)鍵信息,并通過事后對這些日志信息進行查詢與分析,恢復(fù)出攻擊路徑;

(2)基于路由器輸入調(diào)試的追蹤溯源技術(shù):利用路由器的調(diào)試功能進行特征匹配,如果匹配成功,則該路由器在攻擊路徑上.一般通過從被攻擊端開始回溯攻擊路徑;

(3)基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù):將路徑信息進行編碼后填充在網(wǎng)絡(luò)數(shù)據(jù)包的特定字段,跟隨網(wǎng)絡(luò)數(shù)據(jù)包在網(wǎng)絡(luò)中傳播,最后在被攻擊端收集這些信息,通過特定的算法恢復(fù)出攻擊路徑;

(4)基于單獨發(fā)送溯源信息的追蹤溯源技術(shù):路由器主動向轉(zhuǎn)發(fā)的數(shù)據(jù)包目的地址發(fā)送ICMP(Internet control message protocol)報文,用于告知該路由器在該數(shù)據(jù)包的傳播路徑之上;

(5)基于SDN 的日志追蹤溯源技術(shù):將SDN 網(wǎng)絡(luò)中的流相關(guān)信息以日志或者中間文件的形式記錄在控制層或者單獨的溯源取證服務(wù)器,并根據(jù)日志或者中間文件重構(gòu)攻擊路徑;

(6)基于SDN 的路由器輸入調(diào)試追蹤溯源技術(shù):通過靈活控制SDN 路由器調(diào)試功能進行特征匹配,恢復(fù)攻擊路徑;

(7)基于威脅情報的追蹤溯源技術(shù):通過威脅情報信息中的僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)跳板、匿名網(wǎng)絡(luò)和隱蔽信道等信息進行關(guān)聯(lián),實現(xiàn)控制主機追蹤溯源,并可通過威脅情報中黑客及其組織的特征信息進行關(guān)聯(lián),實現(xiàn)攻擊者識別;

(8)混合追蹤溯源技術(shù):多種技術(shù)結(jié)合的追蹤溯源技術(shù),常與采用存儲查詢的追蹤溯源技術(shù)和基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)這兩種技術(shù)相結(jié)合,達到取長補短的目的.

獲取有效的電子數(shù)據(jù)證據(jù)是網(wǎng)絡(luò)取證的主要目標(biāo)之一,而日志類型的電子數(shù)據(jù)是在取證實務(wù)中最常使用的一類電子數(shù)據(jù)證據(jù),具有較好的可解釋性和實用性.本文分析涉及日志記錄的追蹤溯源技術(shù),包括基于日志存儲查詢的追蹤溯源技術(shù)、基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)、基于SDN 的日志追蹤溯源技術(shù)以及混合追蹤溯源技術(shù)這4 類.

3.2 基于日志存儲查詢的追蹤溯源技術(shù)分析

3.2.1 發(fā)展現(xiàn)狀

基于日志存儲查詢的追蹤溯源技術(shù)可分為日志記錄和攻擊路徑重構(gòu)兩個過程,日志記錄在網(wǎng)絡(luò)中的路由器上進行,通過路由器存儲網(wǎng)絡(luò)日志信息,如流經(jīng)該路由器的數(shù)據(jù)包摘要、簽名甚至是整個完整的數(shù)據(jù)包.攻擊路徑重構(gòu)從被攻擊端開始回溯上游轉(zhuǎn)發(fā)設(shè)備,從其日志中查找是否有特定的攻擊數(shù)據(jù)包的日志記錄,如果有,則認(rèn)為該轉(zhuǎn)發(fā)設(shè)備在攻擊路徑之上.如此,直至攻擊端,從而得到攻擊路徑.

基于日志存儲查詢的追蹤溯源技術(shù)經(jīng)歷了一段較長時間的發(fā)展.最早由Matsuda 等人[11]提出基于日志的IP 追蹤方法,他們在轉(zhuǎn)發(fā)設(shè)備中記錄每個數(shù)據(jù)包的部分信息,并使用data-link 識別機制來進行數(shù)據(jù)包查詢,以回溯攻擊路徑,每個數(shù)據(jù)包大約需要使用60bytes 的存儲空間,導(dǎo)致轉(zhuǎn)發(fā)設(shè)備的存儲開銷過大.一直到基于數(shù)據(jù)包hash 值日志記錄方法的提出,才為基于日志的追蹤溯源方法帶來了應(yīng)用的可能.首先,hash 值遠小于原始數(shù)據(jù)大小,可極大地減少存儲開銷;其次,由于hash 計算是不可逆的,不會泄露數(shù)據(jù)本身;再次,hash 值可用于確定數(shù)據(jù)的唯一性,本身更容易得到法律的認(rèn)可,其在取證領(lǐng)域有著相當(dāng)廣泛的應(yīng)用.

基于數(shù)據(jù)包hash 值日志記錄方法最經(jīng)典的方法是由文獻[12,13]首次提出的源路徑隔離引擎(source path isolation engine,簡稱SPIE),該方法將數(shù)據(jù)包信息用IP 報文的摘要,也就是hash 值來表示,并采用一種高效的數(shù)據(jù)存儲結(jié)構(gòu)布魯姆過濾器(Bloom filter,簡稱BF)[14]來存儲數(shù)據(jù)包摘要,極大地降低了路由器的存儲開銷.BF 可將數(shù)據(jù)包摘要映射到位圖上,并以hash 值為索引快速查找位圖上對應(yīng)的元素,如果為1,則表示該數(shù)據(jù)包經(jīng)過該路由器.在重構(gòu)攻擊路徑階段,通過逐跳查詢路由器的BF,能夠快速定位攻擊路徑.其中,IP 數(shù)據(jù)包的hash 值計算僅取數(shù)據(jù)包的前28 個字節(jié),如圖2 中灰色部分所示,其覆蓋了IP 數(shù)據(jù)包包頭有效字段和載荷前8 個字節(jié).文獻[12,13]的作者們認(rèn)為,該28 個字節(jié)足以區(qū)分不同的數(shù)據(jù)包.該方法降低了路由器的存儲開銷,提高了可記錄的數(shù)據(jù)量,存儲開銷占用每單位時間約0.5%的鏈路容量,且支持基于單數(shù)據(jù)包的追蹤溯源.

Fig.2 IP packet header field used to compute the IP packet digest圖2 用于計算IP 數(shù)據(jù)包摘要的IP 包頭字段

但是,SPIE 方法依然存在如下諸多不足[12,13]:(1)因為BF 中不可避免的hash 沖突,導(dǎo)致SPIE 存在一定的錯誤率;(2)SPIE 方法的存儲開銷依然過大,無法適用于大規(guī)模、高速網(wǎng)絡(luò)環(huán)境;(3)SPIE 方法不支持IPv6 協(xié)議;(4)SPIE 方法不適用于跨自治域的網(wǎng)絡(luò)環(huán)境,且對跳板機、僵尸網(wǎng)絡(luò)等攻擊無法追蹤到攻擊源頭.學(xué)者們針對這些不足提出多種改進方法.

(1)針對SPIE 錯誤率較高的問題,文獻[15]在SPIE 的基礎(chǔ)上提出一種網(wǎng)絡(luò)拓撲感知的單包IP 溯源系統(tǒng),通過利用路由器的本地拓撲信息,可以減少不必要的查詢,從而極大地降低了錯誤率.并且,為了克服使用BF 很難事先確定最優(yōu)控制參數(shù)的難題,設(shè)計了一個k-adaptive 機制,可以自動地調(diào)整最優(yōu)控制參數(shù),從而進一步降低錯誤率.文獻[16,17]在SPIE 提出的基于數(shù)據(jù)包28 個字節(jié)的數(shù)據(jù)包信息的基礎(chǔ)上增加了TTL(time to live)字段.根據(jù)TTL 信息,可以有效地減少查詢需求,從而提高攻擊路徑圖的構(gòu)建效率,降低錯誤率.而文獻[18]則提出了基于IP 數(shù)據(jù)包包頭的細粒度hash 值和基于網(wǎng)絡(luò)數(shù)據(jù)流的粗粒度hash 值這兩種數(shù)據(jù)包摘要計算方法,在查詢時,通過雙重驗證來降低錯誤率.文獻[19]則采用雙hash技術(shù),使用兩種不同的hash 函數(shù)來計算IP 數(shù)據(jù)包摘要,在查詢時,通過雙重驗證來降低錯誤率.文獻[20,21]則提出通過路由器記錄路徑信息而非數(shù)據(jù)包信息來降低日志存儲開銷,并采用兩級hash 值,將路由器的存儲開銷變成固定不變的,從而消除了錯誤率;

(2)針對SPIE 存儲開銷過高的問題,文獻[18]提出了基于網(wǎng)絡(luò)流的追蹤溯源系統(tǒng),一條網(wǎng)絡(luò)流一般通過源地址、目的地址、協(xié)議、源端口和目的端口來表示.與SPIE 不同,該方法計算流的hash 值作為摘要,同一個網(wǎng)絡(luò)流中的數(shù)據(jù)包對應(yīng)同一個hash 值,從而減少了需要記錄的信息,存儲開銷相比SPIE 方法降低了1～2 個數(shù)量級.但卻只能進行網(wǎng)絡(luò)流級別的溯源,犧牲了依據(jù)單個攻擊包的溯源能力.文獻[16,17]為了有效利用存儲空間,提出一種動態(tài)分頁方法將BF 分頁存儲到輔助內(nèi)存.該方法將接收允許的最大容量因子作為參數(shù),只有當(dāng)達到這個限制時才會發(fā)生分頁.因此,BF 在主存中的停留時間是可變的,在網(wǎng)絡(luò)流量較低時可能較長,在處理更多流量時可能較短,這種動態(tài)分頁方法有效降低了BF的存儲開銷.文獻[6,20-23]則通過記錄數(shù)據(jù)包的路徑信息來降低存儲開銷,同時也降低了計算開銷,提高了正確率.文獻[24]提出了IP 追蹤協(xié)議,通過定制一個Sinkhole 路由器,在該路由器上將流經(jīng)的數(shù)據(jù)包通過hash 算法進行壓縮并存入hash 表中用于溯源分析,并進一步對hash 表進行定期壓縮,將壓縮的hash 表轉(zhuǎn)存至專門的數(shù)據(jù)服務(wù)器中,從而解決路由器存儲能力有限的問題;

(3)針對SPIE 不支持IPv6 協(xié)議的問題,文獻[19,25]通過對比IPv6 和IPv4 的報文結(jié)構(gòu),針對IPv6 協(xié)議提出改進的SPIE-IPv6 追蹤溯源方法,在計算IPv6 數(shù)據(jù)包摘要時,包含數(shù)據(jù)包頭、所有的擴展字段以及載荷的前20 個字節(jié),以此來區(qū)分各個數(shù)據(jù)包;

(4)針對SPIE 適用性較差的問題,學(xué)者們根據(jù)不同的場景提出了改進方法.在跨自治域追蹤溯源場景下,需要上級互聯(lián)網(wǎng)服務(wù)提供商(Internet service provider,簡稱ISP)的配合.文獻[26]針對自治域的IP 追蹤溯源問題,提出了改進的SPIE 方法,除了記錄數(shù)據(jù)包信息以外,還需要記錄數(shù)據(jù)包來自的自治域信息,以利于后續(xù)的跨域追蹤溯源.但是ISP 出于網(wǎng)絡(luò)數(shù)據(jù)隱私和網(wǎng)絡(luò)拓撲結(jié)構(gòu)等機密信息等因素的考量,往往并不愿意予以配合,于是,文獻[27]提出一種跨自治域的追蹤溯源方法——LDPM(logging and deterministic packet marking).該方法結(jié)合使用確定包標(biāo)記與包記錄方法,使用轉(zhuǎn)發(fā)設(shè)備編號和自治域編號來表示路徑信息,不會泄露轉(zhuǎn)發(fā)設(shè)備的IP 地址,從而有效地保護了網(wǎng)絡(luò)拓撲結(jié)構(gòu)等敏感信息不外泄.實際網(wǎng)絡(luò)攻擊中,攻擊者常常使用跳板來隱藏自己的行蹤,因而需要跨過跳板機進行追蹤溯源.在此場景下,前述追蹤溯源技術(shù)只能追蹤到末端跳板機,無法揭露真正的攻擊者.文獻[28]針對這一情況,提出一種基于SPIE 的擴展架構(gòu),通過在SPIE 的基礎(chǔ)上融合跳板機檢測技術(shù),跳板機檢測通過關(guān)聯(lián)分析找到經(jīng)過跳板機的成對的網(wǎng)絡(luò)流,從而將追蹤溯源以跳板機為線分段溯源并連接起來,最終實現(xiàn)多跳板機的網(wǎng)絡(luò)攻擊追蹤溯源.針對僵尸網(wǎng)絡(luò)追蹤溯源的情況,文獻[29]提出一種基于DNS(domain name system)日志的僵尸網(wǎng)絡(luò)追蹤溯源方法,因為很多利用僵尸網(wǎng)絡(luò)的攻擊在攻擊開始時會通過全稱域名服務(wù)器查詢受害主機的IP 地址,會在域名服務(wù)器上留下相應(yīng)的查詢?nèi)罩?通過分析DNS 日志,從目標(biāo)到源進行檢查,便能追蹤到被感染的僵尸機IP 地址.

3.2.2 優(yōu)點分析

(1)與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議和架構(gòu)兼容,能夠廣泛應(yīng)用于多種網(wǎng)絡(luò)環(huán)境中;并且,現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)很容易支持日志查詢,從而實現(xiàn)網(wǎng)絡(luò)攻擊的追蹤溯源;

(2)支持事后追蹤溯源,因為日志信息被儲存下來,即使攻擊在實施追蹤溯源之前已經(jīng)結(jié)束,也可以通過日志信息開展追蹤溯源;

(3)支持基于單個數(shù)據(jù)包的追蹤溯源,只要捕獲到一個攻擊數(shù)據(jù)包就能實現(xiàn)追蹤溯源,極大地降低了追蹤溯源的難度,因只需對單個數(shù)據(jù)包進行查詢操作,帶來的網(wǎng)絡(luò)通信開銷很小.

3.2.3 缺點分析

(1)大部分方法的存儲開銷和計算開銷依然較大,尤其是在高速網(wǎng)絡(luò)環(huán)境中部署該應(yīng)用,會造成成本的急劇增加;

(2)網(wǎng)絡(luò)攻擊很多都是跨自治域的,需要ISP 協(xié)助溯源取證.但是,由于大部分方法并未考慮信息保護問題,導(dǎo)致ISP 會因隱私泄露、網(wǎng)絡(luò)拓撲泄露等風(fēng)險擔(dān)憂而不愿意配合;

(3)由于路由器存儲能力有限,不能無限地存儲流經(jīng)的數(shù)據(jù)包信息,當(dāng)達到存儲上限時會刷新日志記錄,沖掉之前的日志記錄,因此,追蹤溯源具有時限性;

(4)日志記錄存在安全隱患,如果系統(tǒng)或者設(shè)備被攻擊者控制,攻擊者可以任意刪除或者篡改日志而導(dǎo)致這些電子數(shù)據(jù)失去真實性,而這是攻擊者隱藏自己入侵蹤跡時使用的常規(guī)手段.

3.2.4 取證能力分析

基于日志存儲查詢的追蹤溯源技術(shù)產(chǎn)生的特有電子數(shù)據(jù)證據(jù)是其記錄在路由器上的攻擊路徑相關(guān)的日志信息,這類方法的取證能力見表2.

(1)支持關(guān)聯(lián)性.日志信息記錄了攻擊包的路徑相關(guān)信息,與要證明的網(wǎng)絡(luò)攻擊源有直接聯(lián)系;

(2)無需考慮合法性.網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)是網(wǎng)絡(luò)取證過程中取證分析活動中用到的具體技術(shù),單獨依靠某項具體的技術(shù)是無法達到合法性要求的,過程的合法性才是證據(jù)的可采性審查的關(guān)鍵,這就要求結(jié)合網(wǎng)絡(luò)取證過程的設(shè)計來彌補具體技術(shù)在合法性上的缺失.合法性問題將在第4 節(jié)進一步分析;

(3)可靠性支持較弱.可靠性是指取證各個環(huán)節(jié)的可靠性,此類追蹤溯源技術(shù)只生產(chǎn)數(shù)據(jù),僅需考慮數(shù)據(jù)本身的可靠性,而電子數(shù)據(jù)證據(jù)收集、傳輸和存儲環(huán)節(jié)的可靠性一般由取證人員負責(zé).數(shù)據(jù)本身的可靠性與真實性、完整性相關(guān),因真實性、完整性較弱,故而其可靠性也較弱;

(4)真實性支持較弱.因hash 值和Bloom filter 技術(shù)的使用,會因hash 沖突為日志信息帶來一定的錯誤率;

(5)完整性支持較弱.因為路由器存儲能力有限且日志沒有安全機制加以保障,導(dǎo)致日志信息可能被覆蓋而遺失,還可能遭受攻擊被刪除或者篡改;

(6)支持非易失性.因日志信息存儲在路由器端,可在事后提取分析.

Table 2 Forensics capabilities and improvements of cyber attack traceback techniques based on log storage and query表2 基于日志存儲查詢的追蹤溯源技術(shù)取證能力和改進

3.2.5 取證能力改進建議

常見的基于日志存儲查詢的追蹤溯源技術(shù)的取證能力在真實性、完整性和可靠性這3 方面的改進建議見表2.

(1)改進真實性,需要降低甚至消除該類方法中的日志記錄的錯誤率.在第3.2.1 節(jié)中有較為詳細的描述,其中,文獻[20,21]通過采用兩級hash 表消除了日志記錄的錯誤,值得借鑒;

(2)改進完整性,可以從架構(gòu)優(yōu)化的角度增加安全日志轉(zhuǎn)儲機制.如文獻[30]提出了一個安全存儲模型,該安全模型在獨立于取證對象的網(wǎng)絡(luò)中,包括一個hash 加密引擎、日志報告模塊和證據(jù)數(shù)據(jù)庫,從證據(jù)被收集的那一刻起直至證據(jù)分析和展示,該模型可一直保護證據(jù)的完整性.文獻[31,32]提出了一個分布式網(wǎng)絡(luò)取證架構(gòu),該架構(gòu)能夠進行分布式的網(wǎng)絡(luò)流量提取和存儲、數(shù)據(jù)壓縮,能夠監(jiān)控大規(guī)模網(wǎng)絡(luò).另外,隨著區(qū)塊鏈技術(shù)的發(fā)展,為保障電子數(shù)據(jù)證據(jù)的完整性產(chǎn)生了新的解決方案,區(qū)塊鏈技術(shù)所具有的去中心化、防篡改、可追溯的特性,能夠有效保證電子數(shù)據(jù)證據(jù)的完整性[33-35];

(3)一旦真實性和完整性得到保證,可認(rèn)為該類技術(shù)取證能力的可靠性也得到了保證.

3.3 基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)分析

3.3.1 發(fā)展現(xiàn)狀

基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)包括包標(biāo)記與傳輸和攻擊路徑重構(gòu)兩個過程:包標(biāo)記與傳輸是指通過目標(biāo)網(wǎng)絡(luò)上的路由器對每個或者部分流經(jīng)該路由器的數(shù)據(jù)包進行一定的變換,將能夠反映數(shù)據(jù)包路徑的信息以一種特殊的形式附加在數(shù)據(jù)包中,因為數(shù)據(jù)包頭可用空間有限,常常需要將路徑信息分片經(jīng)多個數(shù)據(jù)包傳輸;攻擊路徑重構(gòu)是指從被攻擊端收集足夠多的捎帶有路徑信息的數(shù)據(jù)包,并通過算法計算攻擊路徑.此類技術(shù)從某種程度上來說也是一種日志標(biāo)記的方法,只是將日志信息標(biāo)記在傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包包頭中.

基于包標(biāo)記的追蹤溯源技術(shù)相關(guān)研究成果較多,本文根據(jù)標(biāo)記的內(nèi)容和標(biāo)記方法的不同將基于包標(biāo)記的追蹤溯源技術(shù)歸納為3 類,即概率包標(biāo)記方法、確定包標(biāo)記方法和代數(shù)編碼包標(biāo)記方法.

1)概率包標(biāo)記(probabilistic packet marking,簡稱PPM)方法

文獻[36]提出了3 種包標(biāo)記方法,其中,

? 節(jié)點追加直接將數(shù)據(jù)包流經(jīng)的每個路由器的IP 地址追加到數(shù)據(jù)包尾部,理論上,一個數(shù)據(jù)包中包含了完整的路徑信息,但其缺陷是數(shù)據(jù)包的大小隨路徑長度的增加而增加,會占用較多的網(wǎng)絡(luò)帶寬,影響正常的網(wǎng)絡(luò)通信;

? 節(jié)點采樣則是以一定的概率將路由器IP 地址標(biāo)記到數(shù)據(jù)包頭中,而不是對每個數(shù)據(jù)包都標(biāo)記.由于數(shù)據(jù)包頭空間有限,只能標(biāo)記一個IP 地址,所以存在標(biāo)記信息覆蓋問題,離受害主機越遠,收到該路由器標(biāo)記過的數(shù)據(jù)包就越少.為了維持較高的準(zhǔn)確率,隨著攻擊路徑長度的增加,所需數(shù)據(jù)包的數(shù)量呈指數(shù)級增長;

? 邊采樣算法為了減少存儲開銷,不再直接標(biāo)記路由器IP 地址,而是用三元組(start,end,distance)來表示路徑上的邊信息,其中,start 和end 表示相鄰兩個路由器構(gòu)成的邊信息;distance 則是指這條邊與攻擊者之間的距離,或者說路由器跳數(shù).每個路由器以固定概率選擇是否標(biāo)記當(dāng)前邊信息,以此進一步減少總的存儲開銷.該三元組共需72 個字節(jié)來存儲,通過對兩個路由器IP 地址進行異或運算并分段,存入8個數(shù)據(jù)包頭的保留字段identification field 中,如圖3 所示.而在路徑重構(gòu)時,為了還原三元組信息,需要根據(jù)distance 和offset 進行寬度優(yōu)先搜索,以對所有的分段按序重組;然后以受害者為根節(jié)點構(gòu)建樹,刪除未標(biāo)記的邊來構(gòu)建攻擊路徑,由根節(jié)點開始到葉子節(jié)點的單個子數(shù)為攻擊路徑.通過邊信息重構(gòu)攻擊路徑比節(jié)點采樣效率更高.

PPM 方法具有實施較為簡單、沒有額外的網(wǎng)絡(luò)帶寬消耗和路由器存儲消耗、跨自治域的追蹤溯源不需要ISP 的配合等優(yōu)點.但是文獻[37-41]分析了PPM 依然存在諸多缺陷:(1)PPM 方法路徑重建過程需要較高的計算量,且數(shù)據(jù)包頭容量有限極大地限制了可攜帶的標(biāo)記信息數(shù)量;(2)PPM 方法適用于1 個攻擊源的場景,在多個攻擊源的場景下計算量將變得非常之大,且誤報和漏報率激增;(3)PPM 方法的包標(biāo)記概率是不變的,這導(dǎo)致距離被攻擊端越遠的節(jié)點,路徑信息被后續(xù)節(jié)點路徑信息覆蓋的概率就越高;(4)PPM 方法的安全性難以保障,攻擊者可以主動構(gòu)造虛假的包標(biāo)記信息,誤導(dǎo)PPM 得到錯誤的攻擊路徑;(5)PPM 方法的標(biāo)記信息傳輸魯棒性較弱,當(dāng)被跟蹤的流量傳輸率較低時,可能要很長時間才能完成,甚至因為缺少標(biāo)記數(shù)據(jù)包而失敗,在追蹤軟件利用攻擊[42],如獲取系統(tǒng)權(quán)限攻擊和網(wǎng)絡(luò)嗅探等攻擊時尤為明顯;(6)PPM 方法僅支持IPv4 協(xié)議,無法支持IPv6協(xié)議.

Fig.3 Edge information fragment stored in IP packet header[36]圖3 存儲在IP 包頭中的邊信息分片[36]

學(xué)者們針對PPM 方法的不足提出多種改進方法.

(1)針對PPM 方法存儲空間有限和計算開銷大的問題,很多學(xué)者為了有效利用數(shù)據(jù)包包頭有限的空間,提出采用hash 函數(shù)等作進一步壓縮.如文獻[39]提出的AMS(advanced marking scheme)方法,將IP 地址的hash 值而不是IP 地址本身標(biāo)記到數(shù)據(jù)包中,可以縮短數(shù)據(jù)的長度,還可以擴展到DDoS 的溯源.但是因為hash 函數(shù)具有單向性,在分析時需要了解整個網(wǎng)絡(luò)拓撲,亦即要知道hash 值對應(yīng)的IP 地址,且路徑重構(gòu)也因為hash 運算產(chǎn)生較大的運算量,很難避免hash 沖突的產(chǎn)生.文獻[43,44]提出了一種基于中國余數(shù)定理(Chinese remainder theorem,簡稱CRT)的數(shù)據(jù)包標(biāo)記方案CRT-PPM(probabilistic packet marking based on Chinese remainder theorem).CRT 指出一個正整數(shù)可由幾個互質(zhì)正整數(shù)的余數(shù)來唯一確定.該方案直接使用CRT 的模余運算取得IP 分片的特征值,可有效避免hash 碰撞的發(fā)生,且只需5 個有效的數(shù)據(jù)包就能承載一個節(jié)點信息,有效地降低了重構(gòu)路徑的計算開銷;

(2)針對PPM 方法不適用于多攻擊源,尤其是DDoS 攻擊的追蹤溯源的問題,文獻[45]提出根據(jù)受害端收到的標(biāo)記數(shù)據(jù)包,以受害端為根構(gòu)造一棵攻擊樹,在每個節(jié)點上標(biāo)記本地通信率,并基于流量強度來推測所有可能的DDoS 攻擊源和路徑.為了使構(gòu)造的攻擊樹趨于穩(wěn)定,同時提高計算效率,使用數(shù)學(xué)方法來計算收集數(shù)據(jù)包的最小穩(wěn)定時間.而由文獻[46]提出的確定包標(biāo)記算法,專門針對DDoS 攻擊源進行追蹤溯源,具有效率高、消耗小的特點,后文對此將給出進一步闡述;

(3)針對PPM 方法概率固定導(dǎo)致的問題,文獻[47]提出使用動態(tài)概率,距離被攻擊端越遠的節(jié)點,標(biāo)記概率越大.為了預(yù)估當(dāng)前節(jié)點在攻擊路徑中的位置,文獻[47]提出3 種距離計算方法:第1 種是從攻擊源到當(dāng)前節(jié)點的距離,第2 種是從最后一個標(biāo)記包的節(jié)點到當(dāng)前節(jié)點的距離,第3 種是從當(dāng)前節(jié)點到目的地的距離.并且,基于這3 種距離分別提出標(biāo)記概率計算方法,以此實現(xiàn)動態(tài)調(diào)整每個節(jié)點的包標(biāo)記概率,從而降低概率不公平性,大大減少了重構(gòu)攻擊路徑所需的數(shù)據(jù)包.文獻[48-50]也提出了類似的動態(tài)概率調(diào)整方法;

(4)針對PPM 方法的安全性問題,可以通過認(rèn)證和隱私保護的標(biāo)記方法以預(yù)防惡意路由器偽造包標(biāo)記信息來干擾追蹤,同時也能減輕ISP 關(guān)于網(wǎng)絡(luò)拓撲泄露的擔(dān)憂.文獻[39]提出了驗證包標(biāo)記算法,這是一種time-release keys 認(rèn)證機制,這種認(rèn)證機制可有效識別攻擊者偽造包標(biāo)記的行為.文獻[51]提出時間戳密鑰分發(fā)方案TSKDS(time stamp secret key distribution scheme),并采用HMAC-SHA1[52]加密算法對標(biāo)記信息進行加密;

(5)針對PPM 方法的標(biāo)記信息傳輸魯棒性較弱的問題,文獻[40]提出了一種新的概率包標(biāo)記方法OPM(opportunistic piggyback marking).OPM 將PPM 中的標(biāo)記信息內(nèi)容編碼和傳遞功能進行解耦,并將網(wǎng)絡(luò)流量分為內(nèi)部流量(需要追蹤的網(wǎng)絡(luò)流)和外部流量.在傳遞包標(biāo)記信息時,通過充分利用外部流量來攜帶內(nèi)部流量的包標(biāo)記信息以降低延遲,提高成功率.并且,使用MX/M/1/Cfinite queue[53]處理批量到達,可有效追蹤多個攻擊源.該方法能夠有效地實現(xiàn)快速、健壯的標(biāo)記消息傳遞;

(6)針對PPM 方法不支持IPv6 協(xié)議的問題,文獻[41]將邊采樣的三元組(start,end,distance)轉(zhuǎn)換成IPv6 版本,并將標(biāo)記內(nèi)容存儲在IPv6 數(shù)據(jù)包包頭的Hop-by-Hop Header 字段中進行傳遞.因該字段足夠大,無需對標(biāo)記內(nèi)容進一步分片,從而能夠避免基于IPv4 協(xié)議的版本帶來的狀態(tài)爆炸問題.文獻[54]基于IPv6 協(xié)議及IPv6 包結(jié)構(gòu)特征[55],對ASM 方法中的標(biāo)記機制加以改進,因為AMS 將IP 地址的hash值而不是IP 地址本身標(biāo)記到數(shù)據(jù)包中,hash 值不會隨著IPv6 數(shù)據(jù)包的增大而增大.同時,使用IPv6 數(shù)據(jù)包包頭中的流標(biāo)簽字段(flow label field,簡稱FLF)的20 bit 來標(biāo)記信息,可以安全、有效地重載ASM方案.文獻[56]對CRT-PPM 方法中的標(biāo)記機制加以改進,通過CRT 算法對IPv6 地址編碼后,分片存儲在多個IPv6 包頭的FLF 中.相比IPv4 版本CRT-PPM 算法需要5 個片段來存儲標(biāo)記,IPv6 版本需要16 個片段來存儲標(biāo)記,計算量相應(yīng)增加.

2)確定包標(biāo)記(deterministic packet marking,簡稱DPM)方法

文獻[57]認(rèn)為,PPM 方法適用于解決有大規(guī)模流量的攻擊場景,如flooding 攻擊的追蹤溯源,不適用于只包含少量數(shù)據(jù)包的攻擊的追蹤溯源.針對這一問題,文獻[57]提出了確定包標(biāo)記方法,僅標(biāo)記該源節(jié)點IP 地址以降低存儲開銷.為此,將IP 地址分成2 個片段,通過2 個數(shù)據(jù)包進行傳輸即可.受害端接收到包標(biāo)記,可還原數(shù)據(jù)包來源IP 地址.相比PPM 方法,DPM 方法效率高、消耗小,但卻無法還原完整的攻擊路徑.文獻[46]認(rèn)為,DPM 方法缺乏擴展性,因而又提出了FDPM(flexible deterministic packet marking)方法.該方法使用變長的包標(biāo)記格式來適應(yīng)不同的網(wǎng)絡(luò)環(huán)境,單個分片的長度有16、19 或者24bits 這3 種選擇.并且,考慮到DPM 可能帶來的工作負載,提出參考PPM 的思想,根據(jù)路由器能夠承受的工作負載,以一定的概率來標(biāo)記數(shù)據(jù)包.而文獻[58]針對DPM 全標(biāo)記導(dǎo)致的效率較低的缺點,提出一種新的按需標(biāo)記(marking on demand,簡稱MOD)追蹤溯源方案.為了區(qū)分哪些節(jié)點參與攻擊會話,需要參與路由器安裝流量監(jiān)控器,當(dāng)監(jiān)視到網(wǎng)絡(luò)流激增等可疑行為時,從全局共享的MOD 服務(wù)器請求一個唯一的標(biāo)記來標(biāo)識可疑流,并對可疑流進行確定包標(biāo)記以用于后續(xù)的追蹤溯源.

3)代數(shù)編碼包標(biāo)記方法

文獻[59]認(rèn)為,PPM 方法在基于邊信息重構(gòu)攻擊路徑時存在組合爆炸問題,于是提出將攻擊路徑的構(gòu)造作為一個多項式重構(gòu)問題加以求解,并使用代數(shù)編碼理論[60]來提高標(biāo)記信息傳輸和路徑重構(gòu)的魯棒性.假設(shè)A1,A2,…,An為路徑P上的路由器IP 地址,數(shù)據(jù)包x的路徑信息可以表示為

不同的數(shù)據(jù)包用xj表示,其路徑信息用fp(xj)表示,攻擊路徑可以通過求解如下Vandermode 行列式取得:

標(biāo)識多個IP 地址求解問題、數(shù)據(jù)包的路徑重構(gòu)問題可以通過求解該矩陣來完成.文獻[61,62]認(rèn)為,該方法所需的數(shù)據(jù)包較多,于是基于該方法進行了優(yōu)化,進一步減少了重構(gòu)攻擊路徑所需的數(shù)據(jù)包,并支持多攻擊路徑追蹤溯源.

此外,文獻[63]認(rèn)為,基于路由器IP 地址的追蹤溯源方法只能追蹤到距離攻擊者最近的路由器地址,當(dāng)該路由器連接多個網(wǎng)絡(luò)或者主機時,無法進一步確定攻擊者主機.于是提出基于路由器接口編號信息進行編碼以間接標(biāo)記一個數(shù)據(jù)包的路徑信息,而不是基于路由器IP 地址的節(jié)點采樣或者邊采樣的方法,可以進一步追蹤到攻擊者主機或者上一級網(wǎng)絡(luò).文獻[63]提出的Huffman 編碼包標(biāo)記方法、文獻[64]提出的MRT(modulo and reverse modulo technique)方法、文獻[20]提出的RIHT(traceback scheme with router interface coding)方法和文獻[21]提出的HAHIT(a 16-bit hybrid single packet traceback scheme)方法都是通過數(shù)學(xué)方法對路由器接口編號信息進行編碼的追蹤溯源,因而能夠有效地應(yīng)對DDoS 等攻擊追蹤溯源問題,存儲消耗也得到進一步降低.

3.3.2 優(yōu)點分析

(1)與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議和架構(gòu)兼容,能夠廣泛應(yīng)用于多種網(wǎng)絡(luò)環(huán)境中;

(2)沒有額外的網(wǎng)絡(luò)帶寬消耗和路由器存儲消耗;

(3)跨自治域的追蹤溯源不需要ISP 的配合,實施較為簡單.

3.3.3 缺點分析

(1)無法支持單包追蹤溯源,需要較多的標(biāo)記數(shù)據(jù)包才能恢復(fù)出攻擊路徑,所需數(shù)量取決于標(biāo)記概率參數(shù);且標(biāo)記數(shù)據(jù)包是易失性數(shù)據(jù),其重構(gòu)攻擊路徑的成功率受攻擊方式和攻擊時長的影響較大;

(2)因為需要較多的標(biāo)記數(shù)據(jù)包才能恢復(fù)出攻擊路徑,因此計算開銷大;

(3)大部分算法對DDoS 攻擊追蹤溯源支持不佳,計算量大且錯誤率較高;

(4)包標(biāo)記信息存在安全隱患,如果系統(tǒng)或者轉(zhuǎn)發(fā)設(shè)備被攻擊者控制,攻擊者可以刪除或者篡改包標(biāo)記信息以誤導(dǎo)攻擊路徑重構(gòu).

3.3.4 取證能力分析

基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)產(chǎn)生的特有電子數(shù)據(jù)證據(jù)是其記錄在數(shù)據(jù)包中的攻擊路徑相關(guān)的標(biāo)記信息,這類方法的取證能力見表3.

(1)支持關(guān)聯(lián)性.包標(biāo)記信息記錄了攻擊包的路徑相關(guān)信息,與要證明的網(wǎng)絡(luò)攻擊源有直接聯(lián)系;

(2)無需考慮合法性.網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)是網(wǎng)絡(luò)取證過程中取證分析這一項活動中用到的具體技術(shù),單獨依靠某項具體的技術(shù)是無法達到合法性要求的,過程的合法性才是證據(jù)可采性審查的關(guān)鍵,這就要求結(jié)合網(wǎng)絡(luò)取證過程設(shè)計來彌補具體技術(shù)在合法性上的缺失.合法性問題將在第4 節(jié)進一步分析;

(3)不支持可靠性.可靠性是指取證各個環(huán)節(jié)的可靠性,此類追蹤溯源技術(shù)產(chǎn)生的是實時網(wǎng)絡(luò)流量數(shù)據(jù),除了考慮數(shù)據(jù)本身的可靠性,還需考慮傳輸過程的可靠性,而電子數(shù)據(jù)證據(jù)的收集和存儲環(huán)節(jié)的可靠性一般由取證人員負責(zé).數(shù)據(jù)本身的可靠性和真實性、完整性相關(guān),因其不支持完整性,故而也不支持可靠性.而標(biāo)記數(shù)據(jù)包在傳輸過程中因無加密機制,可被攻擊者截獲并篡改,因而無法支持可靠性;

(4)支持真實性.包標(biāo)記信息記錄了客觀真實的路徑信息;

(5)不支持完整性.因網(wǎng)絡(luò)數(shù)據(jù)包是易失性數(shù)據(jù),且此類追蹤溯源技術(shù)不存在實時存儲機制,其有效的標(biāo)記數(shù)據(jù)包隨攻擊的結(jié)束而消失,且標(biāo)記數(shù)據(jù)包在傳輸過程中因無加密機制,可被攻擊者截獲并篡改;

(6)不支持非易失性.因為數(shù)據(jù)包是易失性數(shù)據(jù),且沒有長期存儲機制.

Table 3 Forensics capabilities and improvements of cyber attack traceback techniques based on packet marking表3 基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)取證能力和改進

3.3.5 取證能力改進建議

常見的基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)取證能力在完整性、可靠性和非易失性這3 方面的改進建議見上述表3.

(1)改進可靠性,可以增加加密認(rèn)證機制以有效防止惡意篡改標(biāo)記信息.如文獻[65]提出,通過AES-256 ECB 加密算法進行加密.文獻[51]提出了時間戳密鑰分發(fā)方案,采用HMAC-SHA1[52]加密算法對標(biāo)記信息進行加密,從數(shù)據(jù)傳輸?shù)慕嵌缺ＷC電子數(shù)據(jù)證據(jù)的可靠性;

(2)改進完整性,可從架構(gòu)優(yōu)化的角度增加安全日志轉(zhuǎn)儲機制.如文獻[30]提出了一個安全存儲模型,該安全模型在獨立于取證對象的網(wǎng)絡(luò)中,包括一個hash 加密引擎、日志報告模塊和證據(jù)數(shù)據(jù)庫,從證據(jù)被收集的那一刻起至證據(jù)分析和展示,該模型可一直保護證據(jù)的完整性.文獻[31,32]提出一個分布式網(wǎng)絡(luò)取證架構(gòu),該架構(gòu)能夠進行分布式的網(wǎng)絡(luò)流量提取和存儲、數(shù)據(jù)壓縮,能夠監(jiān)控大規(guī)模網(wǎng)絡(luò).另外,隨著區(qū)塊鏈技術(shù)的發(fā)展,為保障電子數(shù)據(jù)證據(jù)的完整性產(chǎn)生了新的解決方案,區(qū)塊鏈技術(shù)所具有的去中心化、防篡改、可追溯的特性,能夠有效保證電子數(shù)據(jù)證據(jù)的完整性[33-35];

(3)改進非易失性,與改進完整性相同,可從架構(gòu)的角度增加標(biāo)記信息安全存儲機制.

3.4 基于SDN的日志追蹤溯源技術(shù)分析

3.4.1 發(fā)展現(xiàn)狀

前述網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)都是基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計的,其操作性普遍受到網(wǎng)絡(luò)基礎(chǔ)設(shè)備的限制,如要求轉(zhuǎn)發(fā)設(shè)備具備較高的存儲空間、計算能力和進行數(shù)據(jù)包標(biāo)記的能力等,這些能力并不是目前轉(zhuǎn)發(fā)設(shè)備的標(biāo)配,在不支持的設(shè)備上無法開展追蹤溯源,而更換硬件轉(zhuǎn)發(fā)設(shè)備成本太高很難執(zhí)行,因而限制了大部分追蹤溯源技術(shù)的使用.另外,在實際取證調(diào)查過程中,基于日志的追蹤溯源方法要求取證人員對整個網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)設(shè)備具有訪問權(quán)限、能提取包記錄信息等,這對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全性也是一個挑戰(zhàn).而SDN 作為一種新型的網(wǎng)絡(luò)架構(gòu),提出將控制平面和數(shù)據(jù)平面分離的理念[66,67],控制平面將網(wǎng)絡(luò)設(shè)備控制能力集中并提供統(tǒng)一的接口,通過靈活的編程,能夠適應(yīng)復(fù)雜的業(yè)務(wù)層需求,為網(wǎng)絡(luò)攻擊追蹤溯源的發(fā)展帶來了新的機遇.學(xué)者們基于SDN 網(wǎng)絡(luò)提出了多種網(wǎng)絡(luò)攻擊追蹤溯源技術(shù).

文獻[68]提出了一種路由跟蹤工具SDN traceroute,該工具利用SDN 的轉(zhuǎn)發(fā)機制來追蹤數(shù)據(jù)包在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑,通過發(fā)送帶有特定tag 的探針報文,并逐跳路由比較探針報文,達到追蹤溯源的目的.該工具利用SDN的多流表機制,在SDN 交換機上多配置一個流表,用于單獨處理探針包,不用改變原來的網(wǎng)絡(luò)行為.文獻[69]提出了netshark 工具,這是一個類似于wireshark 的工具,它允許用戶在整個數(shù)據(jù)包的歷史記錄上設(shè)置過濾器,記錄它們的路徑和每一跳的數(shù)據(jù)包頭信息.用戶可以在某一跳查看數(shù)據(jù)包屬性,如包頭信息、交換機ID、輸入端口、輸出端口和匹配的流表版本等,以及數(shù)據(jù)包歷史記錄屬性,如路徑、路徑長度等,從而實現(xiàn)攻擊數(shù)據(jù)包的追蹤溯源.文獻[70]利用SDN 控制器語言完成數(shù)據(jù)包的回溯,依據(jù)當(dāng)前的包處理策略預(yù)測數(shù)據(jù)包動作表達式,進一步計算出任意數(shù)據(jù)包的所有前置轉(zhuǎn)發(fā)策略,從而實現(xiàn)數(shù)據(jù)包的回溯.文獻[71]提出一種基于SDN 的匿名IP 溯源方法,該方法用有向圖對SDN 網(wǎng)絡(luò)拓撲進行建模,并在該圖中保存流表信息,通過深度優(yōu)先搜索算法搜索該圖,可定位異常流在該SDN 網(wǎng)絡(luò)中的入口點,也就是第1 步路由,且不用監(jiān)控IP 地址就能找到與攻擊相關(guān)的所有的流.文獻[72]提出了基于SDN 的全局流表算法,通過控制器接口定期遍歷所有交換機獲取流表,將SDN 中的每一條流維護起來,通過分析全局流表實現(xiàn)異常流量的追蹤溯源.文獻[73]在SDN 架構(gòu)中實現(xiàn)了優(yōu)化的PPM 方法,通過及時地將標(biāo)記信息轉(zhuǎn)存到特定的機器上,可以有效地緩解PPM 算法因數(shù)據(jù)包空間有限帶來的限制,并借助SDN架構(gòu)的優(yōu)勢構(gòu)建全局網(wǎng)絡(luò)拓撲,簡化PPM 方法的路徑重構(gòu)過程,降低計算開銷.文獻[74]提出一種基于SDN 和多協(xié)議標(biāo)簽交換(multi-protocol label switching,簡稱MPLS)的追蹤溯源方法,該方法利用MPLS 技術(shù)設(shè)計一種短路徑標(biāo)志,用于表示攻擊路徑信息,只需要數(shù)十個比特,并維護一個MAC 表和ARP 表來記錄攻擊路徑信息.該方法支持單包溯源,存儲開銷較小,錯誤率較低.文獻[75]則提出了基于SDN 的、適用于IPv6 協(xié)議的追蹤溯源方法,該方法通過交換機,在接入網(wǎng)的第1 個跳窺探數(shù)據(jù)包中的地址信息,并將這些包轉(zhuǎn)發(fā)給控制器;接著,由控制器為每個經(jīng)過身份驗證的終端設(shè)備生成一個可信的IPv6 地址;然后在通信過程中,交換機隱式地在設(shè)備的原始源地址和所有傳輸數(shù)據(jù)包的可信地址之間進行IP 地址轉(zhuǎn)換.網(wǎng)絡(luò)管理員可以通過解析惡意數(shù)據(jù)包獲得可信地址,以有效地識別攻擊者.

3.4.2 優(yōu)點分析

(1)控制器作為SDN 的核心,能夠從抽象的軟件層面對網(wǎng)絡(luò)行為和狀態(tài)進行監(jiān)控和管理,可對轉(zhuǎn)發(fā)設(shè)備進行統(tǒng)一控制,且具有全局網(wǎng)絡(luò)視圖,有助于簡化追蹤溯源方法的設(shè)計.基于SDN 的追蹤溯源可將計算與存儲開銷從轉(zhuǎn)發(fā)設(shè)備上解耦出來,使得追蹤溯源方法對轉(zhuǎn)發(fā)設(shè)備的要求大為降低,增強了網(wǎng)絡(luò)攻擊追蹤溯源的效率和可操作性;

(2)SDN 基于OVERLAY 覆蓋網(wǎng)的網(wǎng)絡(luò)接入業(yè)務(wù)方式,可實現(xiàn)分布式網(wǎng)絡(luò)的大二層互聯(lián)互通,拓寬了網(wǎng)絡(luò)攻擊追蹤溯源的范圍.

3.4.3 缺點分析

(1)此類方法僅適用于SDN 網(wǎng)絡(luò)環(huán)境和SDN 交換設(shè)備,與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)兼容性較差;

(2)SDN 因控制能力較為集中,更容易成為網(wǎng)絡(luò)攻擊的目標(biāo).而一旦控制層被攻擊破壞掉,對整個網(wǎng)絡(luò)的穩(wěn)定性影響很大,因而對安全性要求更高.

3.4.4 取證能力分析

這類追蹤溯源技術(shù)產(chǎn)生的特有電子數(shù)據(jù)證據(jù)是記錄在控制層的各種攻擊路徑相關(guān)的日志信息,其取證能力見表4.

(1)支持關(guān)聯(lián)性.日志信息記錄了攻擊包的路徑相關(guān)信息,與要證明的網(wǎng)絡(luò)攻擊源有直接聯(lián)系;

(2)無需考慮合法性.網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)是網(wǎng)絡(luò)取證過程中取證分析這項活動中用到的具體技術(shù),單靠某項具體的技術(shù)是無法達到合法性要求的,過程的合法性才是證據(jù)的可采性審查的關(guān)鍵,這就要求結(jié)合網(wǎng)絡(luò)取證過程設(shè)計來彌補具體技術(shù)在合法性上的缺失.合法性問題將在第4 節(jié)進一步分析;

(3)可靠性支持較弱.此類追蹤溯源技術(shù)只生產(chǎn)數(shù)據(jù),僅需考慮數(shù)據(jù)本身的可靠性,而電子數(shù)據(jù)證據(jù)收集、傳輸和存儲環(huán)節(jié)的可靠性一般由取證人員負責(zé).數(shù)據(jù)本身的可靠性和真實性、完整性相關(guān),因完整性較弱,故其可靠性也較弱;

(4)支持真實性.日志信息記錄了客觀、真實的路徑相關(guān)信息;

(5)完整性支持較弱.因為缺乏安全機制加以保障,導(dǎo)致日志信息可能遭受攻擊而被刪除或者篡改;

(6)支持非易失性.因日志等信息存儲在SDN 控制層,故可在事后進行取證分析.

Table 4 Forensics capabilities and improvements of cyber attack logging traceback techniques based on SDN表4 基于SDN 的日志追蹤溯源技術(shù)取證能力和改進

3.4.5 取證能力改進建議

常見的基于SDN 的日志追蹤溯源技術(shù)的取證能力在完整性、可靠性這兩方面的改進建議見上面的表4.

(1)改進完整性,可從架構(gòu)優(yōu)化的角度增加安全日志儲存機制.如文獻[76]提出,在SDN 網(wǎng)絡(luò)增加一個取證管理層,具有較強的存儲能力、計算能力和較高的安全性,能夠?qū)DN 網(wǎng)絡(luò)中的各種攻擊進行實時分析和取證,從而降低SDN 控制器的分析負載,為網(wǎng)絡(luò)攻擊追蹤溯源提供了一種可借鑒的架構(gòu);

(2)一旦當(dāng)完整性得到保證,則可認(rèn)為該類技術(shù)取證能力的可靠性也得到了保證.

3.5 混合追蹤溯源技術(shù)分析

3.5.1 發(fā)展現(xiàn)狀

通過第3.2 節(jié)和第3.3 節(jié)的分析可以發(fā)現(xiàn):基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)不會給路由器帶來存儲開銷,但卻需要較多的數(shù)據(jù)包才能實現(xiàn)追蹤溯源,且錯誤率較高.而基于日志記錄與查詢的追蹤溯源算法雖然能夠?qū)崿F(xiàn)單包溯源,但是會對路由器帶來較重的存儲負擔(dān).因而,學(xué)者們提出了兩種算法相混合的方法,優(yōu)勢互補,在減少追蹤溯源所需標(biāo)記包數(shù)量的同時,降低路由器的存儲開銷.

文獻[23,77]提出了一種基于日志記錄和數(shù)據(jù)包標(biāo)記的混合IP 追溯方法,將路徑信息部分記錄在轉(zhuǎn)發(fā)設(shè)備上,部分記錄在數(shù)據(jù)包中,并通過數(shù)據(jù)包標(biāo)記字段中可用空間是否充足來決定攻擊路徑信息記錄的方式.如果標(biāo)記字段中有可用空間,則路由器將其設(shè)備標(biāo)識信息寫入數(shù)據(jù)包;否則,路由器計算并記錄數(shù)據(jù)包摘要,然后清除標(biāo)記字段.文獻[7]提出了兩種結(jié)合包標(biāo)記和包記錄的混合追蹤溯源機制,分別是 DLLT(distributed link-list traceback)和PPPM(probabilistic pipelined packet marking).DLLT 方法在進行包標(biāo)記之前都會把數(shù)據(jù)包中已有的標(biāo)記信息存儲到路由器中,然后再用新的標(biāo)記信息覆蓋舊的標(biāo)記信息,并在受害端通過Linklist 結(jié)構(gòu)來收集存儲在路由器上的標(biāo)記信息,用于重構(gòu)攻擊路徑.由于DLLT 方法需要在路由器上長期存儲標(biāo)記信息,在DLLT 的基礎(chǔ)上提出了改進的PPPM 方法.PPPM 方法借鑒了流水線機制,將標(biāo)記信息從一個標(biāo)記路由器向另一個標(biāo)記路由器傳播,使得標(biāo)記信息能夠傳播到同一個目的地.

文獻[63]提出的Huffman 編碼包標(biāo)記方法、文獻[64]提出的MRT(modulo and reverse modulo technique)方法也是結(jié)合了包標(biāo)記和日志查詢技術(shù),但是這兩種方法都是通過使用路由器接口編號來標(biāo)記一個數(shù)據(jù)包的路徑信息,而不是采用節(jié)點采樣或者邊采樣的方法,可實現(xiàn)基于單包的IP 追蹤溯源.同時,為了解決包標(biāo)記類方法普遍面臨的IP 包頭存儲空間有限的問題,它們采用包標(biāo)記與包記錄相結(jié)合的方法,當(dāng)IP 包頭沒有多余空間記錄路徑信息時,則將標(biāo)記信息以日志的形式臨時存儲在路由器上,以避免數(shù)據(jù)被覆蓋.因路由器存儲開銷隨著數(shù)據(jù)包的增加而增加,而路由器存儲能力有限,當(dāng)達到存儲極限時需要清空hash 表,這會導(dǎo)致一定程度的錯誤率.文獻[20]提出的RIHT(traceback scheme with router interface coding)方法、文獻[21]提出的HAHIT(a 16-bit hybrid single packet traceback scheme)方法在這類方法的基礎(chǔ)上,為了徹底解決路由器存儲開銷問題,提出了一種雙重hash 表記錄方法.該方法的存儲開銷只與網(wǎng)絡(luò)流量路徑數(shù)量有關(guān),而與數(shù)據(jù)包的數(shù)量無關(guān),因而給路由器帶來的存儲開銷是固定的.基于CAIDA(center for applied Internet data analysis)網(wǎng)絡(luò)拓撲數(shù)據(jù)集驗證,存儲開銷為320KB,且不會隨著數(shù)據(jù)包的增加而增加,因而不存在刷新覆蓋路由器上的日志記錄的情況,從而消除了錯誤率.然而,該方法假定網(wǎng)絡(luò)拓撲是固定不變的,一旦網(wǎng)絡(luò)拓撲發(fā)生變化,日志記錄中的路徑信息就不再有效,無法重構(gòu)出正確的攻擊路徑.針對這一問題,文獻[78]在此基礎(chǔ)上提出了改進方法,路徑的標(biāo)記編碼不再依賴于路由器的接口數(shù),當(dāng)網(wǎng)絡(luò)拓撲發(fā)生改變,也就是路由器新增接口時,并不會影響溯源的正確性,可在一定程度上適應(yīng)網(wǎng)絡(luò)拓撲的變化.

3.5.2 優(yōu)點分析

(1)與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議和架構(gòu)兼容,能夠廣泛應(yīng)用于多種網(wǎng)絡(luò)環(huán)境中;

(2)結(jié)合了基于日志和基于包標(biāo)記這兩類追蹤溯源方法的優(yōu)點,能夠以較低的網(wǎng)絡(luò)帶寬消耗、較低的路由器存儲消耗和較少的標(biāo)記數(shù)據(jù)包實現(xiàn)追蹤溯源;

(3)相比PPM 方法,當(dāng)IP 數(shù)據(jù)包包頭沒有多余空間記錄路徑信息時,則將標(biāo)記信息以日志的形式臨時存儲在路由器上,以避免標(biāo)記信息被覆蓋,所需標(biāo)記數(shù)據(jù)包減少,從而計算量也相應(yīng)減少,且追蹤溯源的正確率相應(yīng)提高.

3.5.3 缺點分析

混合追蹤溯源技術(shù)只是對基于日志記錄和基于包標(biāo)記追蹤溯源技術(shù)面臨的問題的一個緩解,無法完全避免這些問題,如存儲開銷和計算開銷問題、日志時效性等問題;并且,跨自治域追蹤溯源的隱私泄露、網(wǎng)絡(luò)拓撲泄露等風(fēng)險,以及日志記錄面臨的安全隱患依然存在.

3.5.4 取證能力分析

基于混合追蹤溯源技術(shù)產(chǎn)生的特有電子數(shù)據(jù)證據(jù)是其記錄在路由器上的攻擊路徑相關(guān)的日志信息和數(shù)據(jù)包標(biāo)記信息,這類方法的取證能力見表5.

(1)支持關(guān)聯(lián)性.日志信息和數(shù)據(jù)包標(biāo)記信息中記錄了攻擊包的路徑相關(guān)信息,與要證明的網(wǎng)絡(luò)攻擊源有直接聯(lián)系;

(2)無需考慮合法性.網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)是網(wǎng)絡(luò)取證過程中取證分析這一項活動中用到的具體技術(shù),單靠某項具體的技術(shù)是無法達到合法性要求的,過程的合法性才是證據(jù)的可采性審查的關(guān)鍵,這就要求結(jié)合網(wǎng)絡(luò)取證過程設(shè)計來彌補具體技術(shù)在合法性上的缺失.合法性問題將在第4 節(jié)進一步分析;

(3)可靠性支持較弱.可靠性是指取證各個環(huán)節(jié)的可靠性,此類追蹤溯源技術(shù)產(chǎn)生的電子數(shù)據(jù)證據(jù)除了日志信息還有部分實時網(wǎng)絡(luò)流量數(shù)據(jù),除了考慮數(shù)據(jù)本身的可靠性,還需要考慮傳輸過程的可靠性,而電子數(shù)據(jù)證據(jù)的收集和存儲環(huán)節(jié)的可靠性一般由取證人員負責(zé).數(shù)據(jù)本身的可靠性和真實性、完整性相關(guān),因其真實性和完整性支持較弱,故而可靠性較弱.而標(biāo)記數(shù)據(jù)包在傳輸過程中因無任何安全機制,可被攻擊者截獲并篡改,也導(dǎo)致可靠性較弱;

(4)真實性支持較弱.因為hash 值和BF 技術(shù)的使用,會因hash 沖突為日志信息帶來一定的錯誤率;

(5)完整性支持較弱.因為路由器存儲能力有限且日志沒有安全機制加以保障,導(dǎo)致日志信息因被覆蓋而遺失,還可能遭受攻擊篡改;

(6)非易失性支持較弱.因為僅有部分路徑信息被以日志信息的形式儲存在路由器端.

Table 5 Forensics capabilities and improvements of hybrid cyber attack traceback techniques表5 混合追蹤溯源技術(shù)取證能力和改進

3.5.5 取證能力改進建議

混合追蹤溯源技術(shù)取證能力在真實性、完整性、可靠性和非易失性這4 方面的改進建議與第3.2.5 節(jié)和第3.3.5 節(jié)所述相同,這里不再贅述.

3.6 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)綜合對比分析

網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)綜合對比分析見表6

Table 6 Comprehensive comparative analysis of cyber attack traceback techniques表6 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)綜合對比分析

基于日志存儲查詢的追蹤溯源技術(shù)和基于SDN 的日志追蹤溯源技術(shù)是存儲開銷型技術(shù),基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)是計算開銷型技術(shù),混合追蹤溯源技術(shù)則在存儲開銷和計算開銷中取得折中.基于SDN 的日志追蹤溯源技術(shù)與傳統(tǒng)網(wǎng)絡(luò)兼容性較差,其他3 種追蹤溯源技術(shù)則都是基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進行設(shè)計的.當(dāng)追蹤溯源跨越自治域時,只有基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)不需要獲得ISP 的支持,這使得在有些嚴(yán)苛的網(wǎng)絡(luò)環(huán)境下取證僅有這類技術(shù)可行.可見,每一種網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)都有其自身的弱點和適用性,這為網(wǎng)絡(luò)取證架構(gòu)選取何種網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)提供了參考.

而這4 類網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)均無法完全滿足取證能力要求,普遍在可靠性、完整性方面有所欠缺,且基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)和混合追蹤溯源技術(shù)對非易失性支持欠佳.這為網(wǎng)絡(luò)取證架構(gòu)從何種角度進行優(yōu)化提供了思路.

4 針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型

網(wǎng)絡(luò)取證過程是為了完成網(wǎng)絡(luò)取證任務(wù),將相互聯(lián)系的各個活動進行排列組合所組成的體系.前文提到的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)是網(wǎng)絡(luò)取證過程中取證分析這一項活動中用到的具體技術(shù),單靠具體技術(shù)是無法達到合法性要求的,過程的合法性才是證據(jù)的可采性審查的關(guān)鍵,因而需要結(jié)合網(wǎng)絡(luò)取證過程設(shè)計來彌補具體技術(shù)在合法性上的不足.

取證過程可能因取證條件、取證對象來源、取證措施適用等要求的不同而有所不同,目前還沒有一個針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程.為此,本節(jié)將通過分析現(xiàn)有的網(wǎng)絡(luò)取證過程模型的發(fā)展,指出其在網(wǎng)絡(luò)攻擊追蹤溯源場景下的不足之處,并初步提出針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型,為彌補網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)在合法性上的不足提供參考.

4.1 發(fā)展現(xiàn)狀

自2001 年開始,就有專家學(xué)者陸續(xù)提出各種通用電子數(shù)據(jù)取證過程模型,這些通用過程模型同樣也適用于網(wǎng)絡(luò)環(huán)境.文獻[8]首次提出了一個線性過程模型概念,奠定了電子數(shù)據(jù)取證過程模型的基礎(chǔ),文獻[79]對其內(nèi)涵進行了完善和補充.該電子數(shù)據(jù)取證過程模型包括如下階段.

(1)識別.從指示器識別事件并確定其類型;

(2)保存.隔離、保護和保存物理證據(jù)和數(shù)字證據(jù)的狀態(tài);

(3)收集.使用標(biāo)準(zhǔn)和認(rèn)可的程序記錄物理場景和復(fù)制的數(shù)字證據(jù);

(4)檢查.對涉嫌犯罪的證據(jù)進行深入、系統(tǒng)的搜查,重點是識別和定位潛在的證據(jù),并為分析構(gòu)建詳細的文檔;

(5)分析.確定重要性,重建數(shù)據(jù)片段,根據(jù)發(fā)現(xiàn)的證據(jù)得出結(jié)論;

(6)展示.總結(jié)和解釋結(jié)論;

(7)決策.根據(jù)分析報告進行決策.

同時,文獻[79]也指出了該模型的缺點:過程模型過于寬泛而不適用于實際使用;沒有簡單或明顯的方法來測試該模型的有效性;模型中沒有一個明顯的監(jiān)督鏈,而監(jiān)督鏈對保持電子數(shù)據(jù)證據(jù)的完整性具有重要意義.改進的模型被陸續(xù)提出[80-88].

但是,直到2005 年,文獻[89]才首次提出網(wǎng)絡(luò)取證的通用過程模型,該模型提出以下6 個階段.

(1)捕獲.從數(shù)據(jù)源獲取數(shù)據(jù).數(shù)據(jù)源包括中間節(jié)點和受害端節(jié)點數(shù)據(jù).捕獲數(shù)據(jù)不能破壞隱私,而且被監(jiān)視的網(wǎng)絡(luò)不應(yīng)知道捕獲;

(2)復(fù)制.將原始數(shù)據(jù)逐位復(fù)制到只讀媒體、傳輸網(wǎng)絡(luò)或分析機器上;

(3)傳輸.將復(fù)制的數(shù)據(jù)傳輸?shù)饺∽C分析機,傳輸安全必須得到保證;

(4)分析.包括數(shù)據(jù)篩選、元分析和綜合分析,如IP 包統(tǒng)計分析、協(xié)議分析、會話分析等;

(5)調(diào)查.利用各種追蹤溯源工具和技術(shù)定位攻擊源和攻擊者;

(6)陳述.陳述結(jié)論和得出結(jié)論的步驟.

美國國家技術(shù)標(biāo)準(zhǔn)局(National Institute of Standards and Technology)指出:取證的目的除了為法律程序和內(nèi)部紀(jì)律行動收集證據(jù),還包括應(yīng)急響應(yīng)[90].文獻[91]認(rèn)為,應(yīng)急響應(yīng)和計算機取證流程雖然不同,但其目標(biāo)相似,其將應(yīng)急響應(yīng)和計算機取證過程相結(jié)合,提供了一個通用的模型.而文獻[92]將應(yīng)急響應(yīng)也加入到網(wǎng)絡(luò)取證過程模型中來,使得網(wǎng)絡(luò)取證過程模型更加完善.該網(wǎng)絡(luò)取證過程模型包括準(zhǔn)備、檢測、應(yīng)急響應(yīng)、收集、保存、檢查、分析、調(diào)查和展示9 個過程.文獻[93]在此基礎(chǔ)上作了進一步的改進,提出在第1 步增加認(rèn)證階段,認(rèn)證階段需要獲得相關(guān)部門的法律許可,以啟動調(diào)查過程,以此來保證取證過程的合法性;并且,提出在收集階段之前需要增加策略規(guī)劃過程,規(guī)劃人員投入、時間投入、所涉及的成本使用何種工具等.

然而,現(xiàn)有的網(wǎng)絡(luò)取證模型無法很好地支持網(wǎng)絡(luò)攻擊追蹤溯源的場景,其面臨著以下3 個方面的難題.

(1)現(xiàn)有的網(wǎng)絡(luò)取證過程模型設(shè)計都是基于網(wǎng)絡(luò)流量的提取和分析,數(shù)據(jù)流體量過大導(dǎo)致取證效率低下.通過第3 節(jié)的分析可知:在網(wǎng)絡(luò)攻擊追蹤溯源過程中,數(shù)據(jù)源還可以是路由器上的日志信息或者網(wǎng)絡(luò)數(shù)據(jù)包中的標(biāo)記信息,具有不同的時效性.不同的數(shù)據(jù)源提取策略和提取的時機有所不同,不能一概而論;

(2)攻擊路徑的重構(gòu)屬于調(diào)查階段,而在基于概率包標(biāo)記的追蹤溯源算法中,攻擊路徑的重構(gòu)與數(shù)據(jù)收集階段相互制約,其制約關(guān)系未體現(xiàn)在已有的過程模型中;

(3)追蹤溯源和應(yīng)急響應(yīng)之間存在博弈,尤其是基于概率包標(biāo)記方法的追蹤溯源需要收集大量的數(shù)據(jù)包才能恢復(fù)出完整的攻擊路徑,導(dǎo)致追蹤溯源時間跨度較大;而應(yīng)急響應(yīng)則一般在檢測到攻擊的第一時間就阻斷攻擊,導(dǎo)致沒有足夠的攜帶標(biāo)記的數(shù)據(jù)包來進行攻擊路徑重構(gòu).

4.2 針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型

為此,本文提出針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型,該模型能夠更好地適用于網(wǎng)絡(luò)攻擊追蹤溯源的場景,同時滿足取證能力評估指標(biāo)中的合法性和可靠性.該網(wǎng)絡(luò)取證過程模型包括如下12 個階段.

(1)認(rèn)證.獲得相關(guān)部門的法律許可,以保證取證過程的合法性.尤其是在跨ISP 的網(wǎng)絡(luò)環(huán)境中,認(rèn)證許可更加重要;

(2)準(zhǔn)備.在網(wǎng)絡(luò)關(guān)鍵節(jié)點部署入侵檢測系統(tǒng)、數(shù)據(jù)包分析儀、防火墻、流量監(jiān)測等網(wǎng)絡(luò)探針和摸排路由器對追蹤溯源技術(shù)的支持情況;

(3)預(yù)收集.追蹤溯源電子數(shù)據(jù)證據(jù)收集.在追蹤獲取系統(tǒng)權(quán)限攻擊和網(wǎng)絡(luò)嗅探等攻擊時,因攻擊數(shù)據(jù)流很小,往往檢測到異常時攻擊可能已經(jīng)結(jié)束,此時需要預(yù)先收集攻擊數(shù)據(jù)包以免缺失;

(4)檢測.入侵檢測系統(tǒng)檢測到入侵或者異常并告警,同時可觸發(fā)網(wǎng)絡(luò)攻擊追蹤溯源過程;

(5)決策.根據(jù)檢測結(jié)果和采用的追蹤溯源手段,對接下來的流程進行決策;

(6)應(yīng)急響應(yīng).根據(jù)檢測結(jié)果或者調(diào)查結(jié)果進行應(yīng)急響應(yīng);

(7)容忍.在一個安全的環(huán)境下繼續(xù)收集數(shù)據(jù)而不影響原網(wǎng)絡(luò)行為[94],一般通過引流或者流量鏡像的方法來實現(xiàn);

(8)收集.收集追蹤溯源電子數(shù)據(jù)證據(jù)、網(wǎng)絡(luò)拓撲等信息;

(9)保存.將收集的電子數(shù)據(jù)證據(jù)保全后進行儲存;

(10)分析.對電子數(shù)據(jù)證據(jù)進行分析,包括對指標(biāo)進行分類和關(guān)聯(lián),以使用現(xiàn)有的攻擊模式推斷重要的觀察結(jié)果.相比檢測階段,能夠更加準(zhǔn)確地判斷攻擊類型、攻擊目的等;

(11)調(diào)查.根據(jù)收集的電子數(shù)據(jù)證據(jù)重構(gòu)攻擊路徑,并根據(jù)結(jié)果反饋決策階段;

(12)展示.將以上結(jié)果以可理解的語言向法律人員展示,同時解釋得出結(jié)論所使用的各種程序.

針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程邏輯如圖4 所示,其中,決策過程是該過程模型的核心,其工作流程大致如下.

(1)如果采用的是基于包標(biāo)記的方法,為了保證收集足夠多的數(shù)據(jù)包,需要對攻擊進行容忍;

(2)如果是基于包記錄方法,則可直接進入收集階段;

(3)決策過程需要調(diào)查過程進行交互,以根據(jù)攻擊路徑重構(gòu)效果來決定何時可以完成溯源進入應(yīng)急響應(yīng)階段.如果追蹤溯源結(jié)束,則停止數(shù)據(jù)收集進入應(yīng)急響應(yīng)階段;

(4)如果不滿足繼續(xù)追蹤溯源的條件,則回到準(zhǔn)備階段.

該過程模型通過提出預(yù)收集階段來實現(xiàn)主動數(shù)據(jù)收集的目的,將追蹤溯源時機盡可能地提前,以解決對少量數(shù)據(jù)包攻擊類型的追蹤溯源,并通過容忍階段來延長數(shù)據(jù)收集過程,收集足夠重構(gòu)攻擊路徑的數(shù)據(jù)包,從而解決上述的難題(1).該模型提出決策階段以協(xié)調(diào)數(shù)據(jù)收集和調(diào)查,當(dāng)調(diào)查階段重構(gòu)出完整的攻擊路徑時即可停止數(shù)據(jù)收集,以解決上述的難題(2).同時,該模型通過決策階段來決定是否采取容忍機制或進入應(yīng)急響應(yīng)階段以保障調(diào)查階段攻擊路徑重構(gòu)的成功,同時保證系統(tǒng)的安全性,以解決上述的難題(3),從而實現(xiàn)一個網(wǎng)絡(luò)攻擊追蹤溯源支持良好的網(wǎng)絡(luò)取證過程模型.

Fig.4 Schematic diagram of the network forensics process model for cyber attack traceback圖4 針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型示意圖

4.3 模型評估

文獻[95]提出,取證過程規(guī)范與否,是檢驗取證結(jié)果“合法性”程度的重要標(biāo)準(zhǔn),規(guī)范的取證過程模型設(shè)計應(yīng)滿足適用性、科學(xué)性、合理性等要求.文獻[96]基于大量現(xiàn)有取證過程模型總結(jié)出取證過程模型在步驟設(shè)計和過程安排上的共有特性,并在此基礎(chǔ)上提出了取證過程規(guī)范化評估方法.即,一個滿足規(guī)范化要求的取證過程模型應(yīng)完全覆蓋準(zhǔn)備、收集與保存、檢驗與分析、報告與提交以及結(jié)束與后處理這5 類活動指標(biāo).對這5 類活動指標(biāo)的釋義見表7,這5 類活動的具體內(nèi)容會因取證場景的不同而有所不同.

Table 7 Index definition of standardization evaluation method for forensics process model表7 取證過程模型規(guī)范化評估方法指標(biāo)釋義

本文基于該評估方法對針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型進行評估.由第4.2 節(jié)對各階段活動的解釋可知:本模型中的認(rèn)證、準(zhǔn)備、檢測、應(yīng)急響應(yīng)這4 個階段均是取證準(zhǔn)備活動,預(yù)收集、決策、容忍、收集和保存這5 個階段共同完成了收集和保存活動,分析和調(diào)查階段完成了檢驗與分析活動,展示階段完成了報告提交活動,決策階段同時負責(zé)結(jié)束與后處理活動,見表8.該取證過程模型能夠完整地覆蓋規(guī)范化設(shè)計的5項指標(biāo),因而滿足取證過程規(guī)范化要求.

Table 8 Standardization assessment of network forensics process targeting at cyber attack traceback表8 針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型規(guī)范化評估

Table 8 Standardization assessment of network forensics process targeting at cyber attack traceback (Continued)表8 針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型規(guī)范化評估(續(xù))

5 總結(jié)與展望

本文從網(wǎng)絡(luò)取證的角度對網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)進行了研究綜述,主要貢獻包括:基于電子數(shù)據(jù)證據(jù)可采性標(biāo)準(zhǔn)和證明力標(biāo)準(zhǔn)的5 個方面和非易失性能力提出了一套六維的取證能力評估指標(biāo);分析了基于日志存儲查詢的追蹤溯源技術(shù)、基于數(shù)據(jù)包標(biāo)記的追蹤溯源技術(shù)、基于SDN 的日志追蹤溯源技術(shù)和混合追蹤溯源技術(shù);基于取證能力評估指標(biāo)分析了網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的取證能力,對其不足給出改進建議;分析了現(xiàn)有網(wǎng)絡(luò)取證過程模型在追蹤溯源場景下的不足,并提出了針對網(wǎng)絡(luò)攻擊追蹤溯源場景的網(wǎng)絡(luò)取證過程模型,通過結(jié)合網(wǎng)絡(luò)取證過程與網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)以進一步提高整體取證能力.本文的工作為面向網(wǎng)絡(luò)取證的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的研究提供了參考.

通過本文的分析可以發(fā)現(xiàn):

? 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)在實際應(yīng)用中面臨的挑戰(zhàn)包括存儲開銷、計算開銷和網(wǎng)絡(luò)帶寬開銷過大等等.而為了發(fā)揮網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)在網(wǎng)絡(luò)取證方面的作用,需要完善其取證能力,這勢必會增加相應(yīng)的開銷.如文獻[65]提出的數(shù)據(jù)包標(biāo)記方法在PPM 方法的基礎(chǔ)上增加了時間戳等標(biāo)記信息和加密運算可以增強其取證能力,但卻導(dǎo)致標(biāo)記信息大小從PPM 方法的72bits 增加到了256bits,由此帶來的網(wǎng)絡(luò)帶寬消耗增加了3 倍多.類似的矛盾進一步影響到其實用性,因而,如何在兩者之間取得平衡,使得面向網(wǎng)絡(luò)取證的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)能夠具有實用性,是未來研究的重點之一;

? 因為傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的設(shè)計缺乏對網(wǎng)絡(luò)攻擊追蹤溯源和網(wǎng)絡(luò)取證的支持,導(dǎo)致網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)的設(shè)計存在較多的局限,如通過數(shù)據(jù)包標(biāo)記路徑信息可能會對數(shù)據(jù)包分片功能造成影響[36]等;現(xiàn)有技術(shù)過于依賴網(wǎng)絡(luò)基礎(chǔ)設(shè)備的支持,導(dǎo)致很多網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)無法落地應(yīng)用.即便在SDN 這類新型的網(wǎng)絡(luò)架構(gòu)中,也只是對設(shè)備的依賴性有所緩解,因網(wǎng)絡(luò)體系結(jié)構(gòu)等設(shè)計帶來的挑戰(zhàn)依然存在.這就給下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計帶來一些啟發(fā):是否需要在下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計中實現(xiàn)對追蹤溯源和網(wǎng)絡(luò)取證的支持,是一個值得慎重考慮的問題;

? 隨著物聯(lián)網(wǎng)的迅猛發(fā)展,其安全問題日益突出,針對物聯(lián)網(wǎng)攻擊的追蹤溯源研究迫在眉睫.物聯(lián)網(wǎng)特有的傳感網(wǎng)絡(luò)[97]是物聯(lián)網(wǎng)安全的薄弱環(huán)節(jié),傳感網(wǎng)絡(luò)中廣泛存在的傳感節(jié)點極易成為攻擊者的攻擊目標(biāo).而傳感網(wǎng)絡(luò)結(jié)構(gòu)不同于傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu),現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)和取證技術(shù)不再適用于傳感網(wǎng)絡(luò),因而,基于物聯(lián)網(wǎng)攻擊的追蹤溯源和取證是一個新的課題、新的挑戰(zhàn),值得深入研究.