实践性“暗网”测量——–Practical Darknet Measurement


今天的internet被各种攻击困扰,这些攻击通常面向用户或者是网络设施。一种很流行的检测攻击以及被感染主机的方法是检测那些没有被使用的网络地址。由于很多网络威胁都是随机传播的,那些企图能够通过监测未使用的地址空间来捕获。这些用来监测未使用地址空间的部件被称为“暗网”(darknets)、网络望远镜(network telescopes)或者“黑洞”(blackholes)。他们捕获关于多种范围威胁的重要信息,诸如:蠕虫、DOS攻击、僵尸网络等。描述分析了与部署“暗网”,评估布置,服务配置以及分析“暗网”收集的数据相关的重要测量问题。作为支持,我们使用了长达4年的Internet Motion Sensor (IMS)的运行数据,这个网络的分布式“暗网”监测来自3个大陆19个组织60个不同IP地址块的流量。

我们首先描述怎样安装、配置“暗网”以便将流向未使用地址的流量导向到监测系统。然后我们分析来自不同尺寸的“暗网”的数据,来评估“暗网”测量需要的存储以及网络资源。然后我们讨论了在地址空间和网络拓扑中布置“暗网”是如何影响监测系统的能见度的。我们还描述了报文响应是怎样影响能见度的。特别地我们展示了无响应、SYN-ACK响应、仿真系统、应用级响应、真实的honeypot主机响应是如何描述交互性的,这种交互性能够提供关于网络事件及威胁附加的智能。最后通过理解如何布置和配置“暗网”监测器,我们描述了用于从“暗网”监测器收集的数据中识别重要事件的不同方法。

“暗网”可提供大量高维测量数据,这些流量大体分为四类:

1、通过蠕虫、僵尸网络、使用工具企图感染;

2、错误配置的应用请求和响应;

3、反向的伪造DOS攻击;

4、网络扫描和探测。