互联网背景辐射流量的测量与讨论互联网背景辐射流量(Internet Background Radiation,简称 IBR)是互联网上未经请求的单向流量,也是一种未授权流量(Unwanted Traffic)。对 IBR 流量的讨论有助于掌控其成因和特性,可以为网络安全相关工作提供支持和保障。本论文的所有讨论工作均围绕 IBR 流量展开。因为所有 IBR 相关讨论均基于实测流量,所以 IBR 流量的测量是工作的起点。本论文的讨论工作也从这里开始。传统 IBR 流量的测量通过暗网进行。一方面,随着 IPv4 地址空间的不断消耗,足够规模的暗网空间很难获得;另一方面,由于暗网的地址空间固定不变,随着时间的推移,可逐渐被未授权流量的发起者所悉知,他们可以主动避开将未授权流量发往暗网,这会导致暗网不能猎取真实的 IBR 流量,从而失去其应有的价值。如何从运行网络中猎取 IBR 流量,是这个讨论领域面临的新问题。本论文的讨论工作也首先从这里展开。在这方面已有的方法主要是“灰地址空间法”和“单向流法”,前者会造成一定程度的漏判,而后者的问题是误判。本论文从 2 个角度讨论了这个问题,一是如何从已经保存的、静态的原始流量——IP Trace 文件中猎取 IBR 流量,另一个是如何从运行网络中实时猎取 IBR流量。前者追求的是更高的查全率和查准率指标,而后者要求在保证查准率和一定程度上牺牲查全率指标的条件下,满足实时测量的要求。对于前者,论文提出了一个 FIBR (Filtering Internet Background Radiation)算法,该算法综合了现有的“灰地址空间法”和“单向流法”的优点,通过基于源点的行为学习方法对运行网络中流向活跃地址空间的 IBR 流量进行捕获,从而使获得的 IBR 流量更加准确。基于理论和实测基准数据的分析显示,本文的算法能更准确地猎取整个运行网络地址空间的 IBR 流量;对于后者,本文提出的算法是 RIBRM (Real-time Internet Background Radiation Measurement)。算法的核心思路是“灰地址空间法”,但创新之处在于使用流记录来定位运行网络的灰地址空间,并用过滤规则进行辅助。试验表明该算法可以在大规模接入网边界实时工作。将 RIBRM 算法与 FIBR 算法猎取的 IBR 流量进行对比可以看出,RIBRM 算法能够很好地保证查准率,但在查全率方面略有损失。RIBRM 算法的价值在于它可以连续工作,随时发现 IBR 流量成分的变化。在此基础上,论文对用两种算法捕获的 IBR 流量进行了分析,这也是 IBR 相关领域讨论工作的主要内容。FIBR 的...
