计算机学报
計算機學報
계산궤학보
CHINESE JOURNAL OF COMPUTERS
2015年
3期
500-514
,共15页
源地址验证%评价模型%可部署性%拒绝服务攻击%网络安全%域间%互联网
源地阯驗證%評價模型%可部署性%拒絕服務攻擊%網絡安全%域間%互聯網
원지지험증%평개모형%가부서성%거절복무공격%망락안전%역간%호련망
source address validation%evaluation model%deployability%denial of service attack%network security%inter-domain%Internet
近年来,IP源地址伪造被频繁应用于网络攻击中,对互联网安全造成极大威胁.域间源地址验证方法通过对IP报文进行自治域级别的验证来防御这类网络攻击.学术界提出了这类方法的评价指标,并依照该指标设计出很多新的方法.然而,这些方法尽管指标值优秀,却无一能在实际中得到互联网服务提供商的广泛部署.究其原因,是现有评价指标主要关注互联网整体的安全性,而没有考虑到互联网服务提供商的个体利益.文中首次从互联网服务提供商的经济诉求出发,研究域间源地址验证方法的可部署性评价模型.作者提出将部署收益、部署开销和运维风险作为可部署性评价的3项基本指标,并给出其形式化定义;从理论上证明了该指标体系的合理性;建立了评价模型,为每个指标设计了完善的量化评价方法;以现有著名域间源地址方法的部署收益评价为例,展示了将理论模型应用于方法评价的具体流程,并对评价结果进行深入分析;最后,作者讨论了方法可部署性与互联网整体安全性的关系、方法设计的优化目标以及如何应用模型指导方法的设计.该评价模型的提出,对于设计更易于部署的方法具有指导意义,并有利于促进域间源地址验证方法在互联网的部署.
近年來,IP源地阯偽造被頻繁應用于網絡攻擊中,對互聯網安全造成極大威脅.域間源地阯驗證方法通過對IP報文進行自治域級彆的驗證來防禦這類網絡攻擊.學術界提齣瞭這類方法的評價指標,併依照該指標設計齣很多新的方法.然而,這些方法儘管指標值優秀,卻無一能在實際中得到互聯網服務提供商的廣汎部署.究其原因,是現有評價指標主要關註互聯網整體的安全性,而沒有攷慮到互聯網服務提供商的箇體利益.文中首次從互聯網服務提供商的經濟訴求齣髮,研究域間源地阯驗證方法的可部署性評價模型.作者提齣將部署收益、部署開銷和運維風險作為可部署性評價的3項基本指標,併給齣其形式化定義;從理論上證明瞭該指標體繫的閤理性;建立瞭評價模型,為每箇指標設計瞭完善的量化評價方法;以現有著名域間源地阯方法的部署收益評價為例,展示瞭將理論模型應用于方法評價的具體流程,併對評價結果進行深入分析;最後,作者討論瞭方法可部署性與互聯網整體安全性的關繫、方法設計的優化目標以及如何應用模型指導方法的設計.該評價模型的提齣,對于設計更易于部署的方法具有指導意義,併有利于促進域間源地阯驗證方法在互聯網的部署.
근년래,IP원지지위조피빈번응용우망락공격중,대호련망안전조성겁대위협.역간원지지험증방법통과대IP보문진행자치역급별적험증래방어저류망락공격.학술계제출료저류방법적평개지표,병의조해지표설계출흔다신적방법.연이,저사방법진관지표치우수,각무일능재실제중득도호련망복무제공상적엄범부서.구기원인,시현유평개지표주요관주호련망정체적안전성,이몰유고필도호련망복무제공상적개체이익.문중수차종호련망복무제공상적경제소구출발,연구역간원지지험증방법적가부서성평개모형.작자제출장부서수익、부서개소화운유풍험작위가부서성평개적3항기본지표,병급출기형식화정의;종이론상증명료해지표체계적합이성;건립료평개모형,위매개지표설계료완선적양화평개방법;이현유저명역간원지지방법적부서수익평개위례,전시료장이론모형응용우방법평개적구체류정,병대평개결과진행심입분석;최후,작자토론료방법가부서성여호련망정체안전성적관계、방법설계적우화목표이급여하응용모형지도방법적설계.해평개모형적제출,대우설계경역우부서적방법구유지도의의,병유리우촉진역간원지지험증방법재호련망적부서.
