互联网背景辐射流量的测量与讨论互联网背景辐射流量(Internet Background Radiation,简称 IBR)是互联网上未经请求的单向流量,也是一种未授权流量(Unwanted Traffic)
对 IBR 流量的讨论有助于掌控其成因和特性,可以为网络安全相关工作提供支持和保障
本论文的所有讨论工作均围绕 IBR 流量展开
因为所有 IBR 相关讨论均基于实测流量,所以 IBR 流量的测量是工作的起点
本论文的讨论工作也从这里开始
传统 IBR 流量的测量通过暗网进行
一方面,随着 IPv4 地址空间的不断消耗,足够规模的暗网空间很难获得;另一方面,由于暗网的地址空间固定不变,随着时间的推移,可逐渐被未授权流量的发起者所悉知,他们可以主动避开将未授权流量发往暗网,这会导致暗网不能猎取真实的 IBR 流量,从而失去其应有的价值
如何从运行网络中猎取 IBR 流量,是这个讨论领域面临的新问题
本论文的讨论工作也首先从这里展开
在这方面已有的方法主要是“灰地址空间法”和“单向流法”,前者会造成一定程度的漏判,而后者的问题是误判
本论文从 2 个角度讨论了这个问题,一是如何从已经保存的、静态的原始流量——IP Trace 文件中猎取 IBR 流量,另一个是如何从运行网络中实时猎取 IBR流量
前者追求的是更高的查全率和查准率指标,而后者要求在保证查准率和一定程度上牺牲查全率指标的条件下,满足实时测量的要求
对于前者,论文提出了一个 FIBR (Filtering Internet Background Radiation)算法,该算法综合了现有的“灰地址空间法”和“单向流法”的优点,通过基于源点的行为学习方法对运行网络中流向活跃地址空间的 IBR 流量进行捕获,从而使获得的 IBR 流量更加准确
基于理论和实测基准数据的分析显示,本文的算法能更准确地猎取整个运行网络地
