NDN中一种基于节点的攻击检测与防备机制

1、NDN中一种基于节点的攻击检测与防备机制NDN中一种基于节点的攻击检测与防范机制 引言 隨着互联网用户和数据的爆炸式增长以及互联网主要职能的转变1，以内容为中心的网络应用渐渐增多2，相对于信息的存储位置而言，用户更加关心信息的内容本身3。与此同时，命名数据网络Named Data Networking，NDN架构的成熟，使得基于NDN的各项讨论也不断地引起大家的广泛关注。在安全方面，其屏蔽了传统网络下的拒绝服务攻击Denial of Service， DoS的同时，却引入了新型的安全问题兴趣洪泛攻击5，其是针对NDN中包转发机制存在的安全漏洞进行攻击。目前，关于兴趣洪泛攻击Interest F

2、looding Attack，IFA的检测与防范问题已经引起学术界的广泛关注，陆续出现了相关的解决方案，但是在精确识别，快速防范等方面仍有待改良。首先，当前讨论中大多数对IFA的检测主要是基于路由器节点的PIT异样状态进行统计分析推断，该类检测方案具有滞后性。其次，目前的方案可能简单对正常流量波动过度反应，比方当有突发的正常流量时，也会对PIT表的统计特征造成影响。再者，目前几乎全部的方案都是针对网络中全部的节点进行检测，不具有针对性，检测粒度有待优化。基于上述缘由，IFA的应对机制仍具有进一步讨论的意义。此外，目前的方案中很少讨论如何精确识别恶意兴趣请求，这在后续的防范效果中有着至关重要的作

3、用，精确的识别可在肯定程度上削减对正常突发流量的误判以及更好的进行攻击防范，这一部分也迫切需要进行进一步的讨论。针对目前IFA攻击面临的问题挑战6以及一些解决方案所存在的如检测滞后性、检测粒度不具有针对性、资源浪费等问题，本文选择分布式低速率攻击，在网络中心节点设计并部署了一种基于节点的检测与防范机制，削减了周期性检测带来的资源浪费问题，幸免了滞后性问题，并且能够精确识别恶意兴趣请求，从源头阻断IFA攻击，以快速恢复被攻击节点的服务功能。具体讨论工作主要包括设计了以下机制：异样检测触发机制、基于信息熵和K均值聚类的攻击检测机制、基于概率替换的恶意兴趣请求识别机制、“缓解-阻断防范机制，并对所提

4、机制进行仿真实现以及性能评价。 2合法兴趣请求满足率如图8所示Node1的合法兴趣请求满足率改变趋势。蓝色曲线表示当网络中没有发生IFA时，Node1的合法兴趣请求满足率几乎接近100%，未发生丢包现象。红色曲线表示在100-200s发起IFA，当发生攻击时合法兴趣请求的满足率急速下降，几乎接近0%。这是因为大量恶意兴趣包请求的是不存在的内容，无法从路由器节点的网内缓存或内容提供者得到满足，长时间占据了大量PIT缓存，造成合法请求丢包，满足率下降。绿色曲线表示部署了本文基于节点的策略后合法兴趣请求满足率在下降到55%左右，便发生反弹快速上升，这是因为本文的策略只有在肯定条件下才会触发。3丢包率

5、分析如图9所示Node1的合法兴趣请求丢包率改变趋势。通过对比图中三条曲线，可以得出在没有任何防范措施的状况，当攻击发生时，合法兴趣请求的丢包率快速上升，甚至靠近100%。但是，由于PIT條目过期会自动删除，因此发生攻击时丢包率会基本呈现出周期性的波动趋势，如图中红色曲线改变趋势所示;当安装了本文的IFA防范方案后，合法用户的兴趣请求丢包率明显下降，并渐渐趋近于0%，其受益于本文方案中快速识别并删除恶意兴趣请求的策略，此外，通过接口速率的限制也在肯定程度上操纵了后续的攻击流量，这一系列防范操作使得路由器节点有足够的PIT缓存资源接收和处理兴趣请求，降低丢包的概率。4.3 方案对比分析本小节主要

6、是完本钱文策略与基于PIT过期的IFA检测机制的比较，基于PIT过期的IFA检测机制的基本原理是：依据每个用户兴趣请求条目的过期率指标，通过提前设定的阈值推断用户的合法性。二者比较的参数包括检测的精确性和攻击检测所需的时间。下文将具体介绍各个参数的比较结果，两图中“1表示有IFA，“0表示没有IFA。1检测的精确性以图6拓扑为例，接受前缀劫持攻击并在Node1发起。当发生前缀劫持攻击时，攻击者发出大量无效路由，这可能导致请求的内容无法被满足，最终导致大量PIT条目超时被删除。在前缀劫持攻击下，本文的方案和基于PIT过期率的方案的攻击检测结果如图10所示。当攻击开始时，基于PIT条目过期的检测机

7、制将前缀劫持攻击误判为IFA，但本文基于节点的机制未发生误判。产生上述结果的缘由是基于PIT过期的机制主要取决于PIT条目的超时。当发生前缀劫持攻击时，攻击者可能会发出大量无效路由，这可能导致请求的内容无法准时返回，导致大量PIT条目超时。在这种状况下，IFA被误认为已经发生。而本文的策略是基于IFA发生时的特定流量特征，大多数状况下可以在大量PIT条目超时之前执行检测，不依靠于PIT条目超时指标，检测精确度更高。2攻击检测时间比较攻击者在节点Node1发起IFA，结果如图11所示。基于节点的攻击检测机制能更早的探测出IFA，这是因为只要恶意兴趣请求进入路由器，无需等到大量PIT条目过时，本文

8、的策略便可执行，缓解了攻击检测的滞后性。然而基于PIT过期的机制需等到PIT条目过期才可检测。5 结束语本文在讨论学习现有相关工作的基础上，引入节点分类的思想，针对分布式低速率攻击，在最先遭受大规模攻击的网络中心节点部署针对性的方案，即本文提出的基于节点的IFA检测和防范机制，与此同时设计了该机制下的包处理算法。该方案包括异样触发机制、基于信息熵和K-means聚类的攻击检测机制以及恶意兴趣请求识别机制、“缓解-阻断防范机制四个模块。方案中对节点的PIT表进行了扩展，加入了对PIT占用率的监控功能;利用基于信息熵和K-means的方法进行攻击检测，同时通过对比试验分析验证了用于攻击检测的分类器模型的可靠性和应用广泛性;提出概率替换和“缓解-阻断相结合的方法精确识别并删除恶意请求条目;最终基于ndnSIM仿真平台对本文的方案进行仿真实现，通过三个指标验证了本文方案