奚源

摘 要：網(wǎng)絡(luò)IP地址的溯源和定位技術(shù)對(duì)打擊網(wǎng)絡(luò)犯罪具有重要意義。本文對(duì)網(wǎng)絡(luò)IP地址及IP溯源和定位技術(shù)進(jìn)行了介紹，并針對(duì)現(xiàn)有網(wǎng)絡(luò)IP溯源和定位技術(shù)的新發(fā)展方法進(jìn)行了綜述，分別對(duì)每一類典型算法包括協(xié)作式分組溯源系統(tǒng)方案，基于網(wǎng)絡(luò)時(shí)延測(cè)量的定位方案，基于路由特征的IP區(qū)域城市級(jí)定位等算法進(jìn)行了分析。最后對(duì)IP溯源和定位技術(shù)在網(wǎng)絡(luò)犯罪追蹤中的作用提出了新的展望。

關(guān)鍵詞：IP 溯源 定位 網(wǎng)絡(luò)犯罪

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2018）11（a）-000-02

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)犯罪已經(jīng)成為了一種新型犯罪形式，并且犯罪案例正在不斷增加。計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件屬于智能犯罪，其具有自身獨(dú)特的特點(diǎn)和內(nèi)在的規(guī)律。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)理論已經(jīng)應(yīng)用于實(shí)際的網(wǎng)絡(luò)犯罪偵查，發(fā)展了用于網(wǎng)絡(luò)犯罪偵查取證的互聯(lián)網(wǎng)協(xié)議地址的溯源和定位跟蹤技術(shù)?；ヂ?lián)網(wǎng)協(xié)議地址（Internet Protocol Address，即IP地址）是指互聯(lián)網(wǎng)協(xié)議提供的一種統(tǒng)一的地址格式，它為互聯(lián)網(wǎng)上的每一個(gè)網(wǎng)絡(luò)和每一臺(tái)主機(jī)分配了一個(gè)邏輯地址。IP地址已經(jīng)成為偵查網(wǎng)絡(luò)犯罪的突破口[1]，IP溯源和定位技術(shù)在網(wǎng)絡(luò)犯罪的偵破中顯示出了重要意義。

IP溯源是指標(biāo)識(shí)出直接產(chǎn)生攻擊流量的主機(jī)以及攻擊流量經(jīng)過(guò)的網(wǎng)絡(luò)路徑，并且能有效鎖定攻擊源的真實(shí)位置[2]，推斷偽造地址發(fā)來(lái)的攻擊報(bào)文來(lái)自網(wǎng)絡(luò)中的真實(shí)路線，從而對(duì)攻擊者予以定位。IP定位技術(shù)是確定網(wǎng)絡(luò)中IP設(shè)備的地理位置[3]，通過(guò)網(wǎng)絡(luò)能夠鎖定罪犯所在區(qū)域，為抓捕嫌疑犯提供了有力幫助?，F(xiàn)今，針對(duì)不同的網(wǎng)絡(luò)環(huán)境和設(shè)備部署，IP溯源和定位技術(shù)已經(jīng)發(fā)展了多種不同算法技術(shù)。

1 IP溯源技術(shù)

網(wǎng)絡(luò)追蹤溯源是指通過(guò)網(wǎng)絡(luò)確定犯罪者的身份或位置，以及犯罪過(guò)程的中間介質(zhì)，還原犯罪進(jìn)行路徑的技術(shù)。IP溯源技術(shù)由于其目的在于尋找真正的攻擊源，從而隔離攻擊流量，因此受到許多研究者的關(guān)注。

IP溯源最直接的方法是對(duì)網(wǎng)絡(luò)進(jìn)行全范圍的節(jié)點(diǎn)部署，可以獲取全局信息、全網(wǎng)絡(luò)節(jié)點(diǎn)部署報(bào)文檢測(cè)。但是涉及開(kāi)發(fā)成本及資源問(wèn)題，顯然這一方法并不可取，而現(xiàn)有的分布式部署方案也并不能得到良好的溯源準(zhǔn)確率。電子科技大學(xué)的付鵬飛提出了一種協(xié)作式分組溯源系統(tǒng)方案[4]，該方法只使用了網(wǎng)絡(luò)中部署的部分節(jié)點(diǎn)。先通過(guò)在網(wǎng)絡(luò)中選取一定比例的節(jié)點(diǎn)為信息采集點(diǎn)后，僅在這些節(jié)點(diǎn)部署流量采集器。最后通過(guò)在服務(wù)器上開(kāi)啟若干臺(tái)虛擬機(jī)組網(wǎng)的方式，通過(guò)實(shí)驗(yàn)驗(yàn)證了該系統(tǒng)可以準(zhǔn)確定位攻擊源，優(yōu)于分布式部署方案。

已有的IP溯源技術(shù)大多依賴于網(wǎng)絡(luò)節(jié)點(diǎn)的標(biāo)記和記錄，往往具有資源開(kāi)銷大、對(duì)網(wǎng)絡(luò)設(shè)備配置要求高等缺點(diǎn)，因而在許多情況下難以實(shí)際應(yīng)用。為了克服現(xiàn)有IP溯源技術(shù)的缺陷，華僑大學(xué)的陳欣[5]提出了3種改進(jìn)方案：（1）基于網(wǎng)絡(luò)流量特征的溯源盲檢測(cè)算法，利用特征窗口參數(shù)選取的混合流量中單數(shù)據(jù)包溯源盲檢測(cè)算法，其以數(shù)據(jù)包環(huán)境作為數(shù)據(jù)包的特征量，并在特征量上進(jìn)行深度的分析；（2）基于簇匹配的數(shù)據(jù)包溯源盲檢測(cè)算法，其為了實(shí)現(xiàn)高準(zhǔn)確率的特征提取，提出了聚類結(jié)果獨(dú)立性評(píng)估模型；（3）提出了簇間距離的判斷模型，目的是提高溯源結(jié)果正確率。

隨著手機(jī)網(wǎng)絡(luò)逐步普及大力發(fā)展，移動(dòng)網(wǎng)絡(luò)犯罪也在逐步增加中。面對(duì)移動(dòng)數(shù)據(jù)流量呈現(xiàn)爆炸性增長(zhǎng)的情況下，運(yùn)營(yíng)商如何對(duì)該部分大數(shù)據(jù)進(jìn)行挖掘和整理進(jìn)而促進(jìn)網(wǎng)絡(luò)建設(shè)和市場(chǎng)運(yùn)營(yíng)，監(jiān)管部門如何對(duì)該部分大數(shù)據(jù)進(jìn)行查詢和追溯進(jìn)而保證網(wǎng)絡(luò)安全和信息安全，有必要盡快和大力建設(shè)上網(wǎng)記錄查詢及IP溯源系統(tǒng)[6]。

2 IP定位技術(shù)

在IP定位系統(tǒng)和定位算法中，有4個(gè)比較關(guān)鍵的因素：測(cè)量節(jié)點(diǎn)、定位服務(wù)器、基礎(chǔ)設(shè)施和待定位節(jié)點(diǎn)。IP地址地理定位旨在準(zhǔn)確地確定給定的IP地址的物理空間位置，通常采用基于測(cè)量的技術(shù)或者基于數(shù)據(jù)分析的技術(shù)。

程遠(yuǎn)勝等人在思科網(wǎng)絡(luò)環(huán)境下利用思科設(shè)備CDP協(xié)議，并結(jié)合交換機(jī)ARP表和橋接表，基于多表映射的方法實(shí)現(xiàn)了用戶IP定位[7]。之后在其基礎(chǔ)上進(jìn)一步提出了多種設(shè)備混合網(wǎng)絡(luò)中的定位方案。閆子驥等人基于SNMP協(xié)議，提出了一種高效的IP定位方法[8]。該方法基于SNMP協(xié)議，并結(jié)合哈希查找技術(shù)，通過(guò)對(duì)相關(guān)網(wǎng)絡(luò)設(shè)備ARP及MAC地址表的一系列計(jì)算，實(shí)現(xiàn)快速精確的IP定位。

北京交通大學(xué)的李威在充分分析和研究了基于IP地址的地理定位技術(shù)優(yōu)缺點(diǎn)的基礎(chǔ)上，結(jié)合互聯(lián)網(wǎng)企業(yè)的實(shí)際情況，設(shè)計(jì)出了一種基于網(wǎng)絡(luò)時(shí)延測(cè)量的定位方案[9]。該方法利用網(wǎng)絡(luò)相似性、瀏覽器Cookie信息以及投票機(jī)制，對(duì)測(cè)量結(jié)果進(jìn)行推導(dǎo)，從己知地理位置的IP地址推導(dǎo)出更多的IP地址的地理位置。其為將來(lái)建立一個(gè)準(zhǔn)確性較高的，能夠自動(dòng)更新的IP數(shù)據(jù)庫(kù)打下了良好基礎(chǔ)。

針對(duì)現(xiàn)有基于網(wǎng)絡(luò)時(shí)延的IP區(qū)域城市級(jí)定位方法在分層架構(gòu)且連通性較弱的網(wǎng)絡(luò)環(huán)境下，難以獲得可靠的定位結(jié)果的不足，信息工程大學(xué)的趙帆提出了基于路由特征的IP區(qū)域城市級(jí)定位算法[10]。該算法以某區(qū)域內(nèi)已知位置的IP地址為參考地標(biāo)，對(duì)其拓?fù)溥M(jìn)行探測(cè)后，提取僅向單個(gè)候選區(qū)域或城市轉(zhuǎn)發(fā)數(shù)據(jù)的特定路由器的IP地址作為標(biāo)識(shí)IP及相應(yīng)城市的標(biāo)識(shí)特征，然后將目標(biāo)的探測(cè)路徑與各城市的標(biāo)識(shí)IP相匹配，把目標(biāo)路徑中包含的標(biāo)識(shí)IP對(duì)應(yīng)的區(qū)域或城市作為目標(biāo)的估計(jì)位置。實(shí)驗(yàn)在對(duì)河南省內(nèi)相鄰的7個(gè)城市中已知位置的IP進(jìn)行測(cè)試，結(jié)果表明與現(xiàn)有典型算法相比，其算法的定位結(jié)果具有較高的穩(wěn)定性和可靠性。

現(xiàn)有的基于數(shù)據(jù)分析的IP地址地理定位技術(shù)，對(duì)IP地址之間的關(guān)系考慮較少。考慮到IP地址的聚集特性，郭立軒等人提出了一種基于鄰近序列的IP地址地理定位方法[11]。首先計(jì)算IP地址的鄰近序列，并將其轉(zhuǎn)化為對(duì)應(yīng)的經(jīng)緯度序列，然后建立模型并求解。以IP地址定位庫(kù)和含有GPS信息的移動(dòng)流量數(shù)據(jù)為原始數(shù)據(jù)，對(duì)該方法進(jìn)行了實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，通過(guò)鄰近IP序列確實(shí)可以確定IP地址的物理空間位置，平均定位誤差在20～30km，實(shí)現(xiàn)了區(qū)縣一級(jí)的定位。

以上IP定位算法為IP地址地理定位問(wèn)題提供了新的解決方案，一般為了獲得更優(yōu)的結(jié)果，還可以與其他基于測(cè)量或者基于數(shù)據(jù)分析的方法同時(shí)使用。

3 結(jié)語(yǔ)

IP溯源和定位技術(shù)已經(jīng)在網(wǎng)絡(luò)犯罪偵查中發(fā)揮了越來(lái)越重要的作用。IP溯源和定位技術(shù)算法正飛速發(fā)展與更新，其追蹤和定位的精度和速度正在不斷增長(zhǎng)。但是算法發(fā)展瓶頸在于無(wú)法獲取完整的IP網(wǎng)絡(luò)信息和設(shè)備，因此建立網(wǎng)絡(luò)犯罪信息和IP定位跟蹤技術(shù)、電信關(guān)聯(lián)的信息系統(tǒng)迫在眉睫。如果更多的計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)技術(shù)人員和犯罪學(xué)研究人員加入到計(jì)算機(jī)網(wǎng)絡(luò)犯罪偵查取證的研究隊(duì)伍中來(lái)，將會(huì)對(duì)網(wǎng)絡(luò)犯罪偵查起到巨大的推動(dòng)作用。

參考文獻(xiàn)

[1] 譚建偉，韓忠.IP地址在網(wǎng)絡(luò)犯罪偵查中的應(yīng)用[J].中國(guó)人民公安大學(xué)學(xué)報(bào)：自然科學(xué)版，2003，9（6）：33-37.

[2] 達(dá)青.淺析IP溯源技術(shù)的發(fā)展應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2014（19）：68.

[3] 王占豐，馮徑，邢長(zhǎng)友，等.IP定位技術(shù)的研究[J].軟件學(xué)報(bào)，2014（7）：1527-1540.

[4] 付鵬飛.協(xié)作式分組溯源方法研究[D].成都：電子科技大學(xué)，2018.

[5] 陳欣.基于網(wǎng)絡(luò)流量特征的溯源算法研究[D].泉州：華僑大學(xué)，2016.

[6] 田海暉.移動(dòng)用戶上網(wǎng)記錄查詢及IP溯源系統(tǒng)建設(shè)方案淺析[J].電子測(cè)試，2017（21）：67-69.

[7] 程遠(yuǎn)勝，吳政南.基于多表映射實(shí)現(xiàn)用戶IP定位的研究[J].軟件導(dǎo)刊，2009（11）：134-136.

[8] 閆子驥，安計(jì)勇.一種高效的IP定位方法[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014（3）：10-14.

[9] 李威.基于IP地址的網(wǎng)絡(luò)實(shí)體地理位置定位技術(shù)研究與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2012.

[10] 趙帆.基于路徑探測(cè)與時(shí)延測(cè)量的IP定位算法研究[D].鄭州：解放軍信息工程大學(xué)，2015.

[11] 郭立軒，卓子寒，何躍鷹，等.基于鄰近序列的IP地址地理定位方法[J].計(jì)算機(jī)科學(xué)，2018，45（1）：200-204.