NDN中一種基于節(jié)點(diǎn)的攻擊檢測與防御機(jī)制

趙雪峰 王興偉 易波 黃敏

摘?? 要：為了解決命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）中由興趣洪泛攻擊（Interest Flooding Attack，IFA）導(dǎo)致的資源浪費(fèi)和服務(wù)安全等問題，文章根據(jù)IFA發(fā)生時(shí)NDN網(wǎng)絡(luò)流量的特征提出了針對分布式低速率攻擊的基于節(jié)點(diǎn)的檢測與防御機(jī)制，將其部署在可能受攻擊影響最大的網(wǎng)絡(luò)中心節(jié)點(diǎn)。首先設(shè)計(jì)了異常檢測觸發(fā)機(jī)制以減少傳統(tǒng)周期性檢測帶來的資源浪費(fèi);其次攻擊檢測部分通過選取重要特征屬性、計(jì)算信息熵以及利用K均值聚類算法訓(xùn)練好的模型檢測異常點(diǎn)，避免了攻擊檢測的滯后性;最后通過概率替換的方法和“緩解-阻斷”的方式對IFA進(jìn)行防御，準(zhǔn)確識別并刪除惡意興趣請求，快速恢復(fù)被攻擊節(jié)點(diǎn)的服務(wù)功能，并從源頭阻斷后續(xù)IFA攻擊。

關(guān)鍵詞：命名數(shù)據(jù)網(wǎng)絡(luò);興趣洪泛攻擊;信息熵;K均值聚類

中圖分類號：TP393.0????????? 文獻(xiàn)標(biāo)識碼：A

A Node-based attack detection and defense mechanism in NDN

Zhao Xuefeng? Wang Xingwei? ?Yi Bo1? ?Huang Min

（1.College of Computer Science and Engineering， Northeastern University， LiaoningShenyang 110169;

2.College of Information Science and Engineering， Northeastern University LiaoningShenyang 110819）

Abstract： In order to solve the problems of resource waste and service security caused by Interest Flooding Attack （IFA） in Named Data Networking （NDN）， this paper proposes a node-based detection and defense mechanism of distributed low-rate attacks based on the characteristics of NDN network traffic when IFA occurs， and deploys it in the network center node which may be most affected by attack. Firstly， the anomaly detection trigger mechanism is designed to reduce the waste of resources caused by traditional periodic detection. Secondly， the attack detection part includes selecting the important feature attributes， calculating the information entropy and using the K-means clustering algorithm to detect the abnormal points， which avoids the lag of the attack detection. Finally， the method of probability substitution and the "mitigation-blocking" are used to defend the IFA， it identifies and deletes the malicious interest requests accurately， restores the service function of the attacked node quickly， and blocks the follow-up IFA attacks from the source.

Key words： named data network; interest flooding attack; information entropy; K-means clustering

1 引言

隨著互聯(lián)網(wǎng)用戶和數(shù)據(jù)的爆炸式增長以及互聯(lián)網(wǎng)主要職能的轉(zhuǎn)變[1]，以內(nèi)容為中心的網(wǎng)絡(luò)應(yīng)用逐漸增多[2]，相對于信息的存儲位置而言，用戶更加關(guān)心信息的內(nèi)容本身[3]。與此同時(shí)，命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）架構(gòu)的成熟，使得基于NDN的各項(xiàng)研究也不斷地引起大家的廣泛關(guān)注。在安全方面，其屏蔽了傳統(tǒng)網(wǎng)絡(luò)下的拒絕服務(wù)攻擊（Denial of Service， DoS）的同時(shí)，卻引入了新型的安全問題興趣洪泛攻擊[5]，其是針對NDN中包轉(zhuǎn)發(fā)機(jī)制存在的安全漏洞進(jìn)行攻擊。

目前，關(guān)于興趣洪泛攻擊（Interest Flooding Attack，IFA）的檢測與防御問題已經(jīng)引起學(xué)術(shù)界的廣泛關(guān)注，陸續(xù)出現(xiàn)了相關(guān)的解決方案，但是在準(zhǔn)確識別，快速防御等方面仍有待改進(jìn)。首先，當(dāng)前研究中大多數(shù)對IFA的檢測主要是基于路由器節(jié)點(diǎn)的PIT異常狀態(tài)進(jìn)行統(tǒng)計(jì)分析判斷，該類檢測方案具有滯后性。其次，目前的方案可能容易對正常流量波動過度反應(yīng)，比如當(dāng)有突發(fā)的正常流量時(shí)，也會對PIT表的統(tǒng)計(jì)特征造成影響。再者，目前幾乎所有的方案都是針對網(wǎng)絡(luò)中所有的節(jié)點(diǎn)進(jìn)行檢測，不具有針對性，檢測粒度有待優(yōu)化?；谏鲜鲈?，IFA的應(yīng)對機(jī)制仍具有進(jìn)一步研究的意義。

此外，目前的方案中很少研究如何準(zhǔn)確識別惡意興趣請求，這在后續(xù)的防御效果中有著至關(guān)重要的作用，精確的識別可在一定程度上減少對正常突發(fā)流量的誤判以及更好的進(jìn)行攻擊防御，這一部分也迫切需要進(jìn)行進(jìn)一步的研究。

針對目前IFA攻擊面臨的問題挑戰(zhàn)[6]以及一些解決方案所存在的如檢測滯后性、檢測粒度不具有針對性、資源浪費(fèi)等問題，本文選擇分布式低速率攻擊，在網(wǎng)絡(luò)中心節(jié)點(diǎn)設(shè)計(jì)并部署了一種基于節(jié)點(diǎn)的檢測與防御機(jī)制，減少了周期性檢測帶來的資源浪費(fèi)問題，避免了滯后性問題，并且能夠準(zhǔn)確識別惡意興趣請求，從源頭阻斷IFA攻擊，以快速恢復(fù)被攻擊節(jié)點(diǎn)的服務(wù)功能。具體研究工作主要包括設(shè)計(jì)了以下機(jī)制：異常檢測觸發(fā)機(jī)制、基于信息熵和K均值聚類的攻擊檢測機(jī)制、基于概率替換的惡意興趣請求識別機(jī)制、“緩解-阻斷”防御機(jī)制，并對所提機(jī)制進(jìn)行仿真實(shí)現(xiàn)以及性能評價(jià)。

2 興趣洪泛攻擊原理

NDN中的興趣包基于內(nèi)容名稱前綴進(jìn)行路由，并通過內(nèi)容名稱獲取數(shù)據(jù)，因此攻擊者無法輕易地直接針對特定中間節(jié)點(diǎn)或者終端發(fā)起攻擊。但是，攻擊者可以針對特定的命名空間發(fā)起攻擊，在興趣包尋路過程中造成網(wǎng)絡(luò)中間節(jié)點(diǎn)拒絕服務(wù)[7]。IFA正是一種針對特定命名空間發(fā)起攻擊的方式。

IFA基本工作原理如圖1所示。如果內(nèi)容提供者是“/Root/good”命名空間的獨(dú)占所有者，則路由器B和內(nèi)容提供者都將收到“/Root/good/ ...”的所有興趣，且無法被網(wǎng)內(nèi)緩存滿足。大量此類惡意興趣通過造成網(wǎng)絡(luò)擁塞或耗盡路由器節(jié)點(diǎn)上的資源造成合法興趣請求和數(shù)據(jù)包丟包，從而破壞網(wǎng)絡(luò)整體的服務(wù)質(zhì)量。而且，由于NDN中的興趣包既不攜帶源地址也不需進(jìn)行簽名認(rèn)證，很難立刻確定攻擊源并采取相應(yīng)的應(yīng)對措施，因此會對網(wǎng)絡(luò)造成非常大的攻擊力和破壞力[8]。

IFA將會造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降甚至是網(wǎng)絡(luò)服務(wù)癱瘓，其有兩種主要原因。第一，與傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)包類似，NDN中的興趣包也會消耗一部分網(wǎng)絡(luò)容量。因?yàn)镹DN中的路由基于名稱前綴，通過針對一個(gè)特定的命名空間可將大量攻擊流量集中在網(wǎng)絡(luò)的某些段中，大量惡意興趣包可能會導(dǎo)致?lián)砣?dǎo)致合法興趣包被丟棄，影響網(wǎng)絡(luò)服務(wù)性能。第二，由于NDN路由器維護(hù)每個(gè)轉(zhuǎn)發(fā)興趣的每個(gè)數(shù)據(jù)包狀態(tài)，即其存儲在未決興趣請求表（Pending Interesting Table，PIT）中的信息，過多的惡意興趣請求可能造成節(jié)點(diǎn)的內(nèi)存被耗盡，從而使得該節(jié)點(diǎn)無法繼續(xù)為傳入的興趣請求創(chuàng)建新的PIT條目，導(dǎo)致合法興趣包被丟棄，影響為合法用戶提供網(wǎng)絡(luò)服務(wù)。

3 基于節(jié)點(diǎn)的攻擊檢測與防御機(jī)制

本文基于節(jié)點(diǎn)的IFA攻擊檢測與防御機(jī)制主要是針對分布式低速率的興趣洪泛攻擊情形。在這種攻擊情形下，由于流量的匯聚，靠近內(nèi)容提供者或者中心位置的網(wǎng)絡(luò)節(jié)點(diǎn)的PIT條目數(shù)增長迅速，最先使得PIT緩存溢出，從而造成中心節(jié)點(diǎn)拒絕服務(wù)，造成合法興趣請求丟包，影響巨大。

本節(jié)首先分別介紹了該機(jī)制包含的四大模塊即異常檢測觸發(fā)、基于信息熵和K-means聚類算法的攻擊檢測、惡意興趣請求的識別以及攻擊防御。該方案的具體實(shí)現(xiàn)過程有四個(gè)步驟。

（1） 首先通過監(jiān)控PIT的占用率來觸發(fā)攻擊檢測。

（2） 一旦IFA檢測觸發(fā)，則計(jì)算PIT屬性內(nèi)容名稱前綴、入口編號和興趣請求條目的被訪問頻次的信息熵值，輸入到已經(jīng)訓(xùn)練好的分類器中，進(jìn)行異常點(diǎn)識別。

（3） 利用概率替換方法識別出具體的惡意興趣請求前綴，通過分析攻擊流量的特征篩選特征屬性的值，識別出具體的惡意興趣請求條目。

（4） 當(dāng)檢測出具體條目后，立即刪除并生成與其具有相同內(nèi)容名稱的報(bào)警數(shù)據(jù)包，該報(bào)警數(shù)據(jù)包將回溯到攻擊者終端，沿路限制接口速率阻斷攻擊。

本文根據(jù)NDN中包處理機(jī)制，結(jié)合本文提出的方案，設(shè)計(jì)了基于節(jié)點(diǎn)的IFA檢測與防御機(jī)制下的包處理流程。

3.1 異常檢測觸發(fā)機(jī)制

為了避免現(xiàn)有方案中周期性收集PIT表項(xiàng)時(shí)間間隔太短和太長帶來的大量計(jì)算資源消耗和檢測滯后問題，在對PIT表項(xiàng)進(jìn)行收集并檢測之前應(yīng)添加異常檢測觸發(fā)機(jī)制，當(dāng)滿足檢測觸發(fā)條件時(shí)才收集PIT條目進(jìn)行分析檢測。而且，這種觸發(fā)機(jī)制應(yīng)該滿足易檢測并且容易實(shí)施的條件，盡量減少路由器節(jié)點(diǎn)的負(fù)擔(dān)。

IFA最顯著的影響就是占用路由器節(jié)點(diǎn)大量的PIT緩存資源，造成PIT溢出，此觀點(diǎn)已有多篇文獻(xiàn)指出并驗(yàn)證，故本文采用PIT條目占用率作為異常觸發(fā)的指標(biāo)，PIT占用率的計(jì)算如公式（1）所示。其中? ?表示PIT條目的占用率，? ? 用于表示其閾值。? ? ? 表示PIT現(xiàn)有的PIT條目數(shù)，? ? ? 表示PIT中可緩存的條目總數(shù)。

（1）

3.2基于信息熵和K-means聚類的攻擊檢測機(jī)制

本節(jié)詳細(xì)介紹了基于節(jié)點(diǎn)流量統(tǒng)計(jì)的IFA攻擊檢測機(jī)制的設(shè)計(jì)。首先，分析了特征選擇、信息熵的引入和計(jì)算。其次，通過實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了引入信息熵進(jìn)行處理的合理性和可行性，并且利用K-means算法對原始數(shù)據(jù)進(jìn)行多次迭代訓(xùn)練，得到攻擊檢測的分類器模型。最后，將進(jìn)行多組實(shí)驗(yàn)對比得到的分類器模型進(jìn)行檢驗(yàn)和分析，并且對基于信息熵和K-means聚類算法的IFA檢測方案的優(yōu)勢、缺陷以及產(chǎn)生的原因進(jìn)行分析與說明。

（1）特征屬性選擇

IFA發(fā)生時(shí)，惡意興趣請求填滿PIT，此時(shí)，PIT中的條目分布必然呈現(xiàn)出異常狀態(tài)，因此本文涉及的屬性主要指PIT表項(xiàng)中的各屬性值。PIT是用于記錄已從該節(jié)點(diǎn)轉(zhuǎn)發(fā)出去但還未獲得數(shù)據(jù)響應(yīng)的興趣包的入口接口等屬性的集合。

由于針對不存在的內(nèi)容進(jìn)行攻擊時(shí)，攻擊者可利用完全偽造的內(nèi)容名稱，也可利用前綴合法后綴隨機(jī)的內(nèi)容名稱，這將導(dǎo)致PIT中內(nèi)容名稱項(xiàng)的隨機(jī)性增加。與此同時(shí)，惡意興趣請求大都來源于特定的某些端口，使得PIT中各條目的入口分布變得集中。再者，PIT中興趣請求條目的匹配次數(shù)幾乎都為1，因?yàn)楣舭l(fā)生時(shí)，PIT中充斥大量的惡意興趣請求，根據(jù)惡意興趣請求的唯一性，該請求條目大多只被訪問并匹配一次。綜上所述，本文選擇內(nèi)容名稱、入口以及PIT條目的匹配次數(shù)三個(gè)屬性作為后文聚類分析的特征屬性。

（2）信息熵的計(jì)算

本文的聚類算法主要是分析IFA發(fā)生前和發(fā)生后PIT條目各屬性的變化趨勢，而非PIT條目各屬性的內(nèi)容值。本文引入已被廣泛應(yīng)用在異常檢測[9-12]的信息熵表征流量變化趨勢，這有利于從根本上反應(yīng)IFA對網(wǎng)絡(luò)的影響。而且，本文所采用的K-means算法更適用于數(shù)值型數(shù)據(jù)，引入信息熵將各類型數(shù)據(jù)轉(zhuǎn)化為數(shù)值型，這有利于提升IFA檢測的準(zhǔn)確率，下文首先對信息熵計(jì)算進(jìn)行介紹，然后從信息熵的角度，通過實(shí)驗(yàn)數(shù)據(jù)分析以上三個(gè)屬性在攻擊前后的熵值變化情況，以論證方案的可行性。

給定一個(gè)集合X=（X1， X2，… XN），表示采集的PIT中各個(gè)特征屬性下的內(nèi)容數(shù)據(jù)的集合。每個(gè)屬性中包含個(gè)類，表示屬性中類的概率，其中，，， 則信息熵的定義如公式（2）所示。本文實(shí)驗(yàn)中，每100條PIT條目計(jì)算一次熵值。

（2）

以上三個(gè)特征屬性即內(nèi)容名稱、入口以及PIT條目的匹配次數(shù)的信息熵計(jì)算如公式（2）所示，其中概率計(jì)算公式如式（3）所示，表示PIT中一組興趣請求條目的總數(shù)，本文將該值設(shè)為100， 表示具有某相同特征屬性的興趣請求條目的數(shù)量。

（3）

內(nèi)容名稱前綴屬性：IFA發(fā)生前，因?yàn)镻IT中內(nèi)容名稱前綴分布相對均勻，隨機(jī)性較高，熵值較高。當(dāng)IFA發(fā)生時(shí)，攻擊者短時(shí)間內(nèi)發(fā)送大量內(nèi)容名稱前綴相同且后綴為隨機(jī)產(chǎn)生的字符串的惡意興趣請求。惡意興趣請求的注入使得內(nèi)容名稱前綴的分布突然變得集中，不確定性下降，相應(yīng)地信息熵急劇下降。此外，如果攻擊者發(fā)送大量含有完全偽造的內(nèi)容名稱的惡意興趣請求時(shí)，此時(shí)的內(nèi)容名稱前綴分布更加隨機(jī)。相比攻擊前來說，不確定性上升，相應(yīng)地信息熵將急速上升。也就是說，不論以任何一種方式發(fā)起攻擊，熵值的突變是必然的，而本文所需要的也只是熵值突變帶來的差異而不是依賴具體的熵值大小。因此，不論熵值急速上升亦或是下降本文的方案均可適用。

如圖2所示，為內(nèi)容名稱前綴信息熵的變化。圖中0-100s以及200-300s沒有攻擊，200-300s發(fā)起興趣洪泛攻擊，惡意Interest的內(nèi)容名稱采用的是內(nèi)容名稱前綴合法而后綴為偽造的隨機(jī)字符串。由圖1可知，在100-200s之間發(fā)生攻擊時(shí)，PIT內(nèi)容名稱前綴的熵值的確迅速降低，而且，在攻擊期間都維持在較低值。

入口屬性：當(dāng)IFA攻擊發(fā)生時(shí)，對于每個(gè)節(jié)點(diǎn)而言，如果假設(shè)接口一定，惡意興趣請求的入口id一致，此時(shí)入口的隨機(jī)性較低，信息熵值較低;如果假設(shè)接口數(shù)量不一定，即發(fā)生攻擊后，惡意興趣請求可能來自多個(gè)全新的接口，入口屬性的隨機(jī)性較高，信息熵值增大。本文更多關(guān)注的是熵值變化引起的熵值檢測點(diǎn)之間的差異性，而非依賴具體的信息熵值的大小。此外，本文假設(shè)對每個(gè)內(nèi)容名稱前綴所采取的轉(zhuǎn)發(fā)和路由策略一致，則出口和入口屬性值的分布一致，熵值變化一致，所以，本文只討論入口屬性的熵值變化。

如圖3所示，在接口數(shù)量不一定的情況下，IFA攻擊前后入口屬性信息熵值的變化情況由圖可得，在100-200s期間發(fā)生IFA攻擊時(shí)，信息熵值直線上升，并且，在攻擊期間，熵值一直處于較高水平。

匹配次數(shù)屬性：由于惡意興趣請求是唯一的，故惡意興趣請求記錄在PIT條目后將只被訪問一次，而合法的興趣請求條目可能被不同的合法用戶多次訪問。因此，當(dāng)發(fā)生攻擊時(shí)，大量惡意興趣請求條目緩存在PIT中，導(dǎo)致大多是PIT條目的匹配次數(shù)屬性值為1，這將導(dǎo)致匹配次數(shù)屬性值隨機(jī)性會迅速下降，信息熵值也因此迅速減小，并且，在攻擊期間信息熵值一直維持在較低水平。

如圖4所示，為PIT中匹配次數(shù)屬性的信息熵值的變化趨勢。當(dāng)發(fā)生IFA攻擊時(shí)，熵值迅速下降，在100-200s攻擊期間，熵值維持在較低值。

綜上，可分別計(jì)算出一段時(shí)間內(nèi)三個(gè)屬性的信息熵值、（）和（）表示為點(diǎn)（）下一步的K-means聚類檢測分析將針對這些熵值點(diǎn)進(jìn)行異常檢測分析。

（3）K-means聚類檢測分析

本文實(shí)驗(yàn)?zāi)M了300s，其中100-200s為攻擊發(fā)生時(shí)間。首先收集了各個(gè)特征屬性下的PIT條目，然后對每100條條目進(jìn)行信息熵的計(jì)算，生成一系列熵值點(diǎn) ，由于在發(fā)生攻擊時(shí)，三個(gè)屬性的信息熵值均發(fā)生明顯變化，通過三個(gè)特征屬性的相互作用，發(fā)生攻擊時(shí)和沒有攻擊時(shí)的熵值點(diǎn)差異較大。經(jīng)過信息熵值處理的原始數(shù)據(jù)可明顯分為兩類，數(shù)據(jù)簇呈凸型分布且距離特征明顯，非常符合K-means應(yīng)用條件。

基于K-means聚類檢測的原理是通過對原始數(shù)據(jù)進(jìn)行訓(xùn)練得到分類器。在實(shí)際檢測中，當(dāng)異常檢測觸發(fā)后，收集PIT表項(xiàng)，計(jì)算熵值點(diǎn)并輸入到分類器模型中進(jìn)行異常檢測。在訓(xùn)練與檢測時(shí)，通過歐幾里得距離判斷熵值點(diǎn)之間的相似性。假設(shè)被檢測點(diǎn)為 ，簇心為 ，則可通過兩點(diǎn)之間的歐幾里得距離判定點(diǎn) 是否歸為點(diǎn) 所在的簇，歐幾里得計(jì)算如公式（4）所示。為了訓(xùn)練得到可靠的分類器模型，本文收集Node1上的流量數(shù)據(jù)迭代1000次進(jìn)行K-means聚類。

（4）

通過分析攻擊前后PIT屬性值的變化規(guī)律，對PIT條目進(jìn)行信息熵值的處理以及利用K-means對數(shù)據(jù)進(jìn)行熵值聚類的效果較為理想，雖然仍然存在一些離散點(diǎn)，但是離散點(diǎn)數(shù)量很小，這些離散點(diǎn)的存在可能是因?yàn)樵诠羟捌赑IT屬性值的分布特征不明顯或者某一時(shí)刻惡意請求超時(shí)刪除所致。

此外，為驗(yàn)證模型的可靠性和應(yīng)用廣泛性，本文進(jìn)行了兩組對比實(shí)驗(yàn)。對比實(shí)驗(yàn)一：調(diào)整攻擊者和消費(fèi)者的發(fā)送速率且仍在Node1上部署檢測方案。對比實(shí)驗(yàn)二：在不同節(jié)點(diǎn)上（本文實(shí)驗(yàn)采用圖6拓?fù)渲泄?jié)點(diǎn)Node3中的流量數(shù)據(jù)）部署檢測方案。每組對比實(shí)驗(yàn)分別進(jìn)行10次實(shí)驗(yàn)，統(tǒng)計(jì)兩組不同方式下的攻擊檢測準(zhǔn)確率，檢測結(jié)果如圖5所示。其中，對比實(shí)驗(yàn)1的結(jié)果如圖中上方曲線所示，對于同一個(gè)節(jié)點(diǎn)，改變攻擊速率，利用得到的模型進(jìn)行攻擊檢測，效果較好，根據(jù)MCR參數(shù)統(tǒng)計(jì)，檢測準(zhǔn)確率基本分布在99%左右;對比實(shí)驗(yàn)2的結(jié)果如圖中下方曲線所示，攻擊檢測的準(zhǔn)確率較低，檢測準(zhǔn)確率主要分布在72%左右。

為了尋找上述結(jié)果產(chǎn)生的原因，本文多次收集了Node3上的流量數(shù)據(jù)進(jìn)行分析并訓(xùn)練得到分類器模型。分析發(fā)現(xiàn)不同節(jié)點(diǎn)上的熵值變化一致，均可根據(jù)熵值差異在該節(jié)點(diǎn)高準(zhǔn)確率的檢測出IFA，但是，同樣地，該分類器模型并不適用于Node1。根據(jù)Node1和Node3中統(tǒng)計(jì)的熵值的分析得出造成上述結(jié)果的原因：雖然相對于一類節(jié)點(diǎn)而言，攻擊前后熵值變化明顯，但是每一個(gè)PIT特征屬性下的類別多樣性不同（如：中心節(jié)點(diǎn)內(nèi)容名稱前綴的類別可能較多，而邊緣節(jié)點(diǎn)的內(nèi)容名稱前綴的類別可能就較少）造成了信息熵值量級的不同。但是，這也是由于實(shí)驗(yàn)規(guī)模的限制造成了節(jié)點(diǎn)之間的差異性，在真實(shí)網(wǎng)路環(huán)境中，隨著網(wǎng)絡(luò)規(guī)模的增大，流量數(shù)據(jù)的多樣性增加，這種差異性將會減小。

3.3 惡意興趣請求識別機(jī)制

需要注意的是，為了針對特定命名空間發(fā)起有效的攻擊，攻擊者發(fā)布的興趣請求需滿足兩個(gè)條件。

一是發(fā)起的興趣請求應(yīng)盡可能地傳遞給生產(chǎn)者，而不是被網(wǎng)內(nèi)緩存滿足。這要求興趣請求不能被中間路由器的網(wǎng)內(nèi)緩存滿足，因?yàn)槿绻d趣請求可以從中間路由器的內(nèi)容存儲區(qū)滿足，則被請求的內(nèi)容從中間路由器返回給請求者，興趣包將不向上游轉(zhuǎn)發(fā)興趣請求，無法發(fā)生IFA。

二是保證每個(gè)惡意興趣請求都能創(chuàng)建一條新的PIT條目，并保證其以盡可能長的時(shí)間存儲在中間節(jié)點(diǎn)的PIT中。這要求每個(gè)惡意興趣包請求唯一的且相互不同的內(nèi)容信息，否則所有請求相同內(nèi)容的興趣請求將在節(jié)點(diǎn)被聚合成一個(gè)PIT條目，無法發(fā)生IFA。

考慮到以上必須滿足的條件，攻擊者必須請求流行度較低的（即未在路由器中緩存）或不存在的唯一內(nèi)容，這兩種情形的實(shí)現(xiàn)難易程度不同，前者維持一段持續(xù)的大規(guī)模IFA攻擊難于實(shí)現(xiàn)，故本文專注于第二種影響范圍廣且易于發(fā)起的IFA攻擊模式，并且選擇內(nèi)容名稱前綴合法而后綴隨機(jī)的形式進(jìn)行攻擊實(shí)現(xiàn)，因?yàn)樗粌H最大化了攻擊的影響，而且易于發(fā)起并廣泛適用于針對所有命名空間的攻擊。

以下將針對檢測到的IFA進(jìn)行惡意興趣請求識別，首先基于信息熵識別出惡意的興趣請求前綴，然后從中進(jìn)一步的識別惡意請求條目。

（1）識別惡意興趣請求前綴

一旦基于信息熵的檢測機(jī)制檢測到IFA，將觸發(fā)基于信息熵的惡意興趣請求識別過程以保護(hù)合法流量不受影響，因此，本文NDN路由器記錄幾個(gè)連續(xù)時(shí)間間隔的興趣請求前綴分布，以便分析識別惡意興趣請求前綴。當(dāng)觸發(fā)惡意興趣請求識別機(jī)制時(shí)，分別在集合S1和S2中記錄檢測到攻擊時(shí)和攻擊發(fā)生之前PIT中的興趣前綴。計(jì)算S1和S2中每個(gè)興趣前綴i的概率，分別表示為P1（i）和P2（i）。首先利用P2（i）計(jì)算H（S2）。然后，對于S2中的每個(gè)興趣前綴i，通過用P1（i）代替其概率P2（i），得到新的概率分布P2，從而得到新的信息熵表示為Hi（S2）。之后，使用公式（5）來計(jì)算興趣請求內(nèi)容名稱前綴i引起的信息熵變化△Ηi

（5）

通過迭代每個(gè)前綴，可以獲得一系列的 。由于惡意興趣請求前綴的注入使得S2中原始前綴的分布更加集中，因此加入了新前綴的原始集合的信息熵值將會變小。綜上所述，使得 成立的前綴被認(rèn)為是惡意前綴。

（2）識別惡意興趣請求條目

為了后續(xù)攻擊防御時(shí)生成偽造的報(bào)警數(shù)據(jù)包Data，需知道惡意興趣請求的內(nèi)容名稱。但是，當(dāng)檢測出惡意興趣請求前綴后并不能確定惡意興趣請求條目，因?yàn)楸疚牡腎FA場景是利用合法的興趣請求前綴和偽造的隨機(jī)后綴字符串發(fā)起攻擊，所以在檢測出的惡意興趣請求前綴中可能混合了合法的興趣請求，因此，為了避免對合法興趣請求的過度防御，必須篩除合法的興趣請求。因此，我們必須在識別出的惡意前綴的基礎(chǔ)上做進(jìn)一步的篩選。

據(jù)此，本文同樣利用PIT條目屬性的分布特征來解決這一問題。惡意興趣請求條目的匹配次數(shù)屬性均為1，而合法興趣請求因?yàn)榭赡苡胁煌脩粽埱笙嗤膬?nèi)容，該值可能不為1。根據(jù)這一特性，本文通過篩選匹配次數(shù)的值來排除大部分的合法興趣請求，即若PIT條目的匹配次數(shù)為1，則為惡意興趣請求，否則為合法興趣請求。在此，需要提到的是對于一些冷門或者一次性的內(nèi)容如郵件，雖然其匹配次數(shù)屬性也為1，但對于不帶惡意前綴的條目則在第一步驟可能就被篩選過了，不會進(jìn)入此步。對于此種特殊情況，也可能會存在部分誤判。

3.4 基于節(jié)點(diǎn)的攻擊防御機(jī)制

基于節(jié)點(diǎn)的IFA防御機(jī)制的主要思想“緩解-阻斷”。其中，緩解的主要目的是當(dāng)發(fā)生IFA后，及時(shí)識別出惡意興趣請求條目并刪除，以迅速恢復(fù)網(wǎng)絡(luò)中的節(jié)點(diǎn)功能，阻斷的主要目的是切斷攻擊源，從根本上阻斷后續(xù)攻擊，其通過偽造報(bào)警包回溯攻擊者實(shí)現(xiàn)。

根據(jù)NDN中對稱路由的特性，偽造的報(bào)警包會按照惡意興趣請求的路徑原路返回，追溯到攻擊者。當(dāng)偽造的Data到達(dá)中間路由器時(shí)，將刪除PIT中與其匹配的大量惡意請求，及時(shí)恢復(fù)網(wǎng)絡(luò)功能。同時(shí)，根據(jù)傳統(tǒng)網(wǎng)絡(luò)中擁塞控制的思想，調(diào)整出口的速率，限制惡意興趣請求繼續(xù)轉(zhuǎn)發(fā)擴(kuò)散。

當(dāng)定位到具體的被攻擊接口后，引入傳統(tǒng)TCP/IP網(wǎng)絡(luò)中控制網(wǎng)絡(luò)擁塞的加性增乘性減（Additive Increase Multiplicative Decrease，AIMD）思想進(jìn)行接口速率限制。假設(shè)路由器節(jié)點(diǎn)i的接口j的初始速率為? ?，當(dāng)檢測到攻擊時(shí)，將接口接收速率迅速減少為1，然后如公式（6）的上半部分所示，隨著時(shí)間的推移，接口的速率按指數(shù)規(guī)律增長即速度值依次為1、2、4、8等。當(dāng)速率達(dá)到初始速率的一半時(shí)? ? ，如公式（6）的下半部分所示，接口的接收速率按“加性”增長進(jìn)行加一操作，直至接口的速率恢復(fù)到初始速率? ? 。

（6）

3.5 算法描述

由于在NDN中，只支持興趣包和數(shù)據(jù)包兩類報(bào)文，數(shù)據(jù)的傳送過程首先由消費(fèi)者發(fā)送興趣包，然后數(shù)據(jù)包沿著相反的方向、相同的路徑返回，其轉(zhuǎn)發(fā)機(jī)制相對IP網(wǎng)絡(luò)是智能轉(zhuǎn)發(fā)，弱化了路由作用。

因此本文將所提出的基于節(jié)點(diǎn)的攻擊檢測和防御方案應(yīng)用在NDN中智能的包轉(zhuǎn)發(fā)機(jī)制上，設(shè)計(jì)了基于節(jié)點(diǎn)的IFA檢測與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過程。該過程涉及到對合法興趣包、惡意興趣包、合法數(shù)據(jù)包以及報(bào)警數(shù)據(jù)包的處理，在對各個(gè)包的處理過程中包含了本文基于節(jié)點(diǎn)的攻擊檢測與防御機(jī)制的具體策略。算法3.1為在包轉(zhuǎn)發(fā)和處理過程中基于節(jié)點(diǎn)的攻擊檢測機(jī)制，包含了異常觸發(fā)機(jī)制、攻擊檢測機(jī)制、惡意興趣請求識別機(jī)制，算法3.2為基于節(jié)點(diǎn)的攻擊防御機(jī)制。

基于節(jié)點(diǎn)的IFA檢測與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過程如下：

（1）節(jié)點(diǎn)判斷接收報(bào)文并判斷是否是興趣請求包。若是，則轉(zhuǎn)向?qū)εd趣包的處理。即首先查看CS表中是否有對應(yīng)的內(nèi)容信息，若存在，則興趣包是合法的，直接將內(nèi)容信息返回給消費(fèi)者;若不存在，則查PIT中是否有與之相對應(yīng)的條目，若有，則需要將入口添加到對應(yīng)的PIT條目的入口列表中，防止興趣包的重復(fù)發(fā)送，否則插入新PIT條目，并更新PIT占用率。當(dāng)PIT占用率 超過閾值時(shí)，執(zhí)行攻擊檢測機(jī)制，包括數(shù)據(jù)篩選、信息熵的計(jì)算、以及異常點(diǎn)的判斷。如果通過分類器模型檢測到異常點(diǎn)，則進(jìn)一步執(zhí)行惡意興趣請求前綴的識別并篩選出惡意PIT請求條目，從而執(zhí)行算法3.2的攻擊防御策略。

（2）若不是，則轉(zhuǎn)向?qū)?shù)據(jù)包的處理，即接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表，若在PIT中未找到匹配的條目，則將數(shù)據(jù)包作為重復(fù)數(shù)據(jù)包而丟棄。如果匹配條目中列出了多個(gè)接口，首先判斷是否是用于攻擊防御的偽造的數(shù)據(jù)包，若不是，則作為合法的數(shù)據(jù)包進(jìn)行處理，若是，則轉(zhuǎn)向步驟（3）對偽造的報(bào)警數(shù)據(jù)包的處理。

（3）由于偽造的報(bào)警數(shù)據(jù)包的內(nèi)容名稱字段和惡意興趣請求的內(nèi)容名稱相同，則將其作為惡意興趣包按照算法3.2進(jìn)行處理。

算法3.1 基于節(jié)點(diǎn)的攻擊檢測算法

輸入： 節(jié)點(diǎn)接收的報(bào)文 msg ;

輸出： 得到統(tǒng)計(jì)信息， 如PIT條目中出/入興趣包、出/入數(shù)據(jù)包、丟棄的興趣包數(shù)量;

1.?初始化Ρ;??? // Ρ為閾值

2.? IF msg 是興趣請求包 THEN

3.???? IF CS表中存在對應(yīng)的內(nèi)容信息

4.???? 興趣包合法，直接將內(nèi)容信息返回給消費(fèi)者;

5.???? ELSE

6.???? IF 查找PIT中有對應(yīng)的條目?? THEN

7.??????? 將入口添加到對應(yīng)的PIT條目的入口列表中;

8.???? ELSE

9.?????? 插入新PIT條目;

10.?????? 根據(jù)公式（1）計(jì)算并更新PIT占用率ρ;

11.?????? IF ρ>Р THEN?? //PIT占用率超過閾值

12.??????? 篩選PIT條目的特征屬性數(shù)據(jù);

13.???????? 根據(jù)公式（2）（3）計(jì)算信息熵記為 （x1，y1，z1）;

14.???????? 輸入（x1，y1，z1） 到訓(xùn)練好的用于異常點(diǎn)檢測的? ???? 分類器中;

15.???????? IF （x1，y1，z1） 屬于異常點(diǎn) THEN

16.???????? 得到，并據(jù)公式（2）計(jì)算熵值?? ????? ，;

17.????????? ;

18.?????????? IF?? THEN

19.?????????????? 得到惡意前綴i ;

20.?????????????? IF 前綴i 的PIT條目的匹配次數(shù)屬性??????? ?????????? 為1? THEN

21.??????????????? 識別為惡意興趣請求;

22.??????????????? 惡意興趣請求條目作為輸入執(zhí)行算????????? 法3.2;

23.???????????? END IF

24.??????????? END IF

25.?????????? END IF

26.???????? END IF

27.?????? END IF

28.???? END IF

29.?ELSE IF msg 是合法數(shù)據(jù)包THEN

30.???? 接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表;

31.???? IF PIT中有請求該數(shù)據(jù)的興趣請求 THEN

32.???????? CS 中緩存數(shù)據(jù)信息;

33.???????? 找到PIT中對應(yīng)的興趣請求入口，將數(shù)據(jù)從該???????? 接口轉(zhuǎn)發(fā)給消費(fèi)者;

34.???? ELSE

35.???????? 丟棄數(shù)據(jù)包;

36.???? END IF

37.?END IF

38.?ELSE IF msg 是報(bào)警數(shù)據(jù)包

39.???? 提取報(bào)警數(shù)據(jù)包的內(nèi)容名稱;

40.???? FOR PIT中的每個(gè)條目 Do

41.?????? IF 報(bào)警數(shù)據(jù)包的內(nèi)容名稱匹配用于攻擊防御??????????? ????????? 的偽造數(shù)據(jù)包的內(nèi)容名稱 THEN

42.???????? 報(bào)警數(shù)據(jù)包的條目信息作為輸入執(zhí)行算法3.2;

43.?????? END IF

44.???? END FOR

45.?END IF

算法3.2 基于節(jié)點(diǎn)的攻擊防御算法

輸入：惡意興趣請求條目的信息;

1.?初始化 Δt， Flag[];? //Δt表示執(zhí)行限速策略時(shí)速率的調(diào)整周期，F(xiàn)lag[]用于標(biāo)記接口是否正處于防御狀態(tài)

2.?獲取惡意興趣請求的內(nèi)容名稱以作為報(bào)警數(shù)據(jù)包的內(nèi)容名稱字段;

3.?獲取惡意興趣請求條目入口列表中的入口編號i;

4.?向接口 i 返回報(bào)警數(shù)據(jù)包回溯攻擊者;

5.?IF? THEN? //不在防御狀態(tài)，執(zhí)行限速策略

6.? ;

7.???? 將接口速度迅速減為1

8.???? FOR 每個(gè)調(diào)整周期 Δt? Do

9.???????? IF? < THEN

10.????????????? ;

11.???????? ELSE IF

12.???????????? ;

13.???????? ELSE

14.????????????? ;//正處于限速，不做處理

15.????????????? break;

16.???????? END IF

17.????? END FOR

18.?END IF

19.?刪除惡意興趣請求條目

4 性能評價(jià)

本文對基于節(jié)點(diǎn)的攻擊檢測與防御機(jī)制進(jìn)行了仿真實(shí)驗(yàn)和性能評價(jià)。先介紹了實(shí)驗(yàn)的仿真環(huán)境，包括實(shí)驗(yàn)平臺、興趣洪泛攻擊場景以及實(shí)驗(yàn)拓?fù)?其次給出評價(jià)指標(biāo)的定義，并借此驗(yàn)證本文設(shè)計(jì)方案的有效性;最后與現(xiàn)有IFA攻擊應(yīng)對方案進(jìn)行比較分析，驗(yàn)證了本文方案的優(yōu)勢。

4.1 仿真環(huán)境

由于命名數(shù)據(jù)網(wǎng)絡(luò)還處于探索和研究階段，目前還未正式投入使用，因此本文所提出的方案目前只能在模擬環(huán)境中實(shí)現(xiàn)。本文的網(wǎng)絡(luò)模擬主要基于ndnSIM平臺，采用版本ndnSIM2.1，運(yùn)行在ubuntu14.04之上。

為了模擬影響范圍較廣而且最易實(shí)現(xiàn)的IFA，本文通過合法的內(nèi)容名稱前綴和偽造的后綴來偽造惡意興趣請求的內(nèi)容名稱，從而發(fā)起攻擊，模擬IFA場景。

本文實(shí)驗(yàn)采用的拓?fù)錇樾∫?guī)模二叉樹拓?fù)洌鐖D6所示，其中深色用戶表示攻擊者，本文在不同位置總共設(shè)置三個(gè)攻擊者，可用于模擬分布式低速率的IFA攻擊，淺色用戶表示合法用戶。此外，拓?fù)鋱D中還包括一個(gè)內(nèi)容提供者以及7個(gè)內(nèi)容路由器。在路由器節(jié)點(diǎn)中，在中心節(jié)點(diǎn)Node1處部署本文設(shè)計(jì)的IFA攻擊的檢測與防御機(jī)制，使其解決的是IFAs攻擊影響最嚴(yán)重的情況。

4.2 有效性分析

本文根據(jù)有無攻擊以及有無防御策略劃分了三種情景，并從PIT占用率、合法興趣請求滿足率以及合法興趣請求丟包率三個(gè)指標(biāo)分析本文方案的有效性。

（1）評價(jià)指標(biāo)

1）PIT占用率

PIT占用率可從根本上反應(yīng)IFA攻擊對節(jié)點(diǎn)的影響程度.計(jì)算公式如式（7） ，其中? 表示PIT條目的占用率，? ? ? ? ?表示PIT中可緩存的條目總數(shù)，? 表示節(jié)點(diǎn)? 中PIT當(dāng)前緩存的PIT條目數(shù)。

（7）

2）合法興趣請求滿足率

合法興趣請求滿足率可表征當(dāng)前節(jié)點(diǎn)對用戶請求的響應(yīng)能力。計(jì)算公式如式（8）? 所示? ，表示節(jié)點(diǎn)? 收到的合法興趣請求總數(shù)，? 表示節(jié)點(diǎn)? 收到的合法數(shù)據(jù)包總數(shù)。

（8）

3）丟包率分析

合法興趣請求丟包率可反映當(dāng)前節(jié)點(diǎn)的狀態(tài)，其計(jì)算公式如式（9）所示。其中，? ? 表示節(jié)點(diǎn)收到的合法興趣請求總數(shù)，? 表示節(jié)點(diǎn)? 丟棄的合法興趣請求總數(shù)。

（9）

（2）性能評價(jià)

1）PIT占用率

如圖7所示Node1的PIT占用率變化趨勢。由藍(lán)色曲線變化趨勢可知，當(dāng)沒有攻擊發(fā)生時(shí)，PIT條目占用率基本維持在15%左右。NDN中興趣請求內(nèi)容名稱的聚合機(jī)制、數(shù)據(jù)包返回后合法興趣請求條目將被刪除的機(jī)制以及超時(shí)機(jī)制等因素都將使PIT的緩存將維持一個(gè)穩(wěn)定的值域內(nèi)，而且該值不會過高，屬于正?，F(xiàn)象。由紅色曲線變化趨勢可知，當(dāng)在100s發(fā)起分布式低速率的IFA時(shí)，PIT的占用率幾乎呈直線迅速上升平均達(dá)到100%。當(dāng)200s停止攻擊時(shí)，PIT占用率將快速恢復(fù)常態(tài)，這是因?yàn)镻IT條目超時(shí)會自動刪除，也體現(xiàn)了NDN中節(jié)點(diǎn)的自恢復(fù)能力。由圖中綠色曲線變化趨勢可知：當(dāng)安裝了本文的防御方案之后，即使發(fā)生攻擊，在PIT緩存未溢出時(shí)便迅速下降至20%，這避免了PIT因?yàn)榫彺嬉绯龆鴣G棄合法用戶的興趣請求包而無法提供正常服務(wù)。由此可見，本文基于節(jié)點(diǎn)的策略是有效的。

2）合法興趣請求滿足率

如圖8所示Node1的合法興趣請求滿足率變化趨勢。藍(lán)色曲線表示當(dāng)網(wǎng)絡(luò)中沒有發(fā)生IFA時(shí)，Node1的合法興趣請求滿足率幾乎接近100%，未發(fā)生丟包現(xiàn)象。紅色曲線表示在100-200s發(fā)起IFA，當(dāng)發(fā)生攻擊時(shí)合法興趣請求的滿足率急速下降，幾乎接近0%。這是因?yàn)榇罅繍阂馀d趣包請求的是不存在的內(nèi)容，無法從路由器節(jié)點(diǎn)的網(wǎng)內(nèi)緩存或內(nèi)容提供者得到滿足，長時(shí)間占據(jù)了大量PIT緩存，造成合法請求丟包，滿足率下降。綠色曲線表示部署了本文基于節(jié)點(diǎn)的策略后合法興趣請求滿足率在下降到55%左右，便發(fā)生反彈迅速上升，這是因?yàn)楸疚牡牟呗灾挥性谝欢l件下才會觸發(fā)。

3）丟包率分析

如圖9所示Node1的合法興趣請求丟包率變化趨勢。通過對比圖中三條曲線，可以得出在沒有任何防御措施的情況，當(dāng)攻擊發(fā)生時(shí)，合法興趣請求的丟包率迅速上升，甚至逼近100%。但是，由于PIT條目過期會自動刪除，因此發(fā)生攻擊時(shí)丟包率會基本呈現(xiàn)出周期性的波動趨勢，如圖中紅色曲線變化趨勢所示;當(dāng)安裝了本文的IFA防御方案后，合法用戶的興趣請求丟包率明顯下降，并逐漸趨近于0%，其受益于本文方案中迅速識別并刪除惡意興趣請求的策略，此外，通過接口速率的限制也在一定程度上控制了后續(xù)的攻擊流量，這一系列防御操作使得路由器節(jié)點(diǎn)有足夠的PIT緩存資源接收和處理興趣請求，降低丟包的概率。

4.3 方案對比分析

本小節(jié)主要是完成本文策略與基于PIT過期的IFA檢測機(jī)制的比較，基于PIT過期的IFA檢測機(jī)制的基本原理是：根據(jù)每個(gè)用戶興趣請求條目的過期率指標(biāo)，通過提前設(shè)定的閾值判斷用戶的合法性。二者比較的參數(shù)包括檢測的準(zhǔn)確性和攻擊檢測所需的時(shí)間。下文將詳細(xì)介紹各個(gè)參數(shù)的比較結(jié)果，兩圖中“1”表示有IFA，“0”表示沒有IFA。

（1）檢測的準(zhǔn)確性

以圖6拓?fù)錇槔?，采用前綴劫持攻擊并在Node1發(fā)起。當(dāng)發(fā)生前綴劫持攻擊時(shí)，攻擊者發(fā)出大量無效路由，這可能導(dǎo)致請求的內(nèi)容無法被滿足，最終導(dǎo)致大量PIT條目超時(shí)被刪除。在前綴劫持攻擊下，本文的方案和基于PIT過期率的方案的攻擊檢測結(jié)果如圖10所示。

當(dāng)攻擊開始時(shí)，基于PIT條目過期的檢測機(jī)制將前綴劫持攻擊誤判為IFA，但本文基于節(jié)點(diǎn)的機(jī)制未發(fā)生誤判。產(chǎn)生上述結(jié)果的原因是基于PIT過期的機(jī)制主要取決于PIT條目的超時(shí)。當(dāng)發(fā)生前綴劫持攻擊時(shí)，攻擊者可能會發(fā)出大量無效路由，這可能導(dǎo)致請求的內(nèi)容無法及時(shí)返回，導(dǎo)致大量PIT條目超時(shí)。在這種情況下，IFA被誤認(rèn)為已經(jīng)發(fā)生。而本文的策略是基于IFA發(fā)生時(shí)的特定流量特征，大多數(shù)情況下可以在大量PIT條目超時(shí)之前執(zhí)行檢測，不依賴于PIT條目超時(shí)指標(biāo)，檢測準(zhǔn)確度更高。

（2）攻擊檢測時(shí)間比較

攻擊者在節(jié)點(diǎn)Node1發(fā)起IFA，結(jié)果如圖11所示?；诠?jié)點(diǎn)的攻擊檢測機(jī)制能更早的探測出IFA，這是因?yàn)橹灰獝阂馀d趣請求進(jìn)入路由器，無需等到大量PIT條目過時(shí)，本文的策略便可執(zhí)行，緩解了攻擊檢測的滯后性。然而基于PIT過期的機(jī)制需等到PIT條目過期才可檢測。

5 結(jié)束語

本文在研究學(xué)習(xí)現(xiàn)有相關(guān)工作的基礎(chǔ)上，引入節(jié)點(diǎn)分類的思想，針對分布式低速率攻擊，在最先遭受大規(guī)模攻擊的網(wǎng)絡(luò)中心節(jié)點(diǎn)部署針對性的方案，即本文提出的基于節(jié)點(diǎn)的IFA檢測和防御機(jī)制，與此同時(shí)設(shè)計(jì)了該機(jī)制下的包處理算法。該方案包括異常觸發(fā)機(jī)制、基于信息熵和K-means聚類的攻擊檢測機(jī)制以及惡意興趣請求識別機(jī)制、“緩解-阻斷”防御機(jī)制四個(gè)模塊。方案中對節(jié)點(diǎn)的PIT表進(jìn)行了擴(kuò)展，加入了對PIT占用率的監(jiān)控功能;利用基于信息熵和K-means的方法進(jìn)行攻擊檢測，同時(shí)通過對比實(shí)驗(yàn)分析驗(yàn)證了用于攻擊檢測的分類器模型的可靠性和應(yīng)用廣泛性;提出概率替換和“緩解-阻斷”相結(jié)合的方法準(zhǔn)確識別并刪除惡意請求條目;最后基于ndnSIM仿真平臺對本文的方案進(jìn)行仿真實(shí)現(xiàn)，通過三個(gè)指標(biāo)驗(yàn)證了本文方案的可行性和有效性，并與基準(zhǔn)算法比較驗(yàn)證了本文基于節(jié)點(diǎn)的方案在檢測準(zhǔn)確性以及檢測時(shí)間方面的優(yōu)勢。

基金項(xiàng)目：

1. 國家自然科學(xué)基金資助項(xiàng)目（項(xiàng)目編號：61872073，61572123）;

2. 遼寧省高校創(chuàng)新團(tuán)隊(duì)支持計(jì)劃資助項(xiàng)目（項(xiàng)目編號：LT2016007）。

參考文獻(xiàn)

[1] ?Ghodsi A， Shenker S， Koponen T， et al. Information-centric Networking： Seeing the Forest for the Trees[C]. ACM Workshop on Hot Topics in Networks. New York： 2011. 1-6.

[2] ?王興偉，李婕，譚振華.面向“互聯(lián)網(wǎng)+”的網(wǎng)絡(luò) 技術(shù)發(fā)展現(xiàn)狀與未來趨勢[J].計(jì)算機(jī)研究與發(fā)展，2016，53（4）：729-741.

[3] ?雷凱.信息中心網(wǎng)絡(luò)與命名數(shù)據(jù)網(wǎng)絡(luò)[M].北京：北京大學(xué)出版社，2015.

[4] ?Freet D， Agrawal R. An Overview of Architectural and Security Considerations for Named Data Networking （NDN）[C]. The 8th International Conference on Management of Digital EcoSystems. New York：2016. 52-57.

[5] ?Gasti P， Tsudik G， Uzun E， et al. DoS and DDoS in Named Data Networking[C]. IEEE International Conference on Computer Communications and Networks. Nassau， Bahamas： 2013. 1-7.

[6] ?李楊，辛永輝，韓言妮等.內(nèi)容中心網(wǎng)絡(luò)中DoS攻擊問題綜述[J].信息安全學(xué)報(bào)，2016，2（1）：91-108.

[7] ?Pang B， Li R， Zhang X， et al. Research on Interest Flooding Attack Analysis in Conspiracy with Content Providers[C]. The 7th IEEE International Conference on Electronics Information and Emergency Communication （ICEIEC）. Macau， China： 2017. 543-547.

[8] ?Choi S， Kim K， Roh B H， et al. Threat of DoS by Interest Flooding Attack in Content- centric Networking[C]. The International Conference on Information Networking. Bangkok， Thailand： 2013. 315-319.