本发明专利技术提供一种内容中心网络中兴趣包洪泛攻击的防御方法及装置,属于网络安全技术领域,其可至少部分解决现有的兴趣包洪泛攻击的防御方法时间长、效率低的问题。本发明专利技术的内容中心网络中兴趣包洪泛攻击的防御方法包括:计算PIT表利用率;比对PIT表利用率与第一阈值的大小;若PIT表利用率大于第一阈值,则计算用户满足率;比对用户满足率与第二阈值的大小;若对用户满足率小于第二阈值,则计算PIT表的端口占用率;比对PIT表的不同端口的占用率的大小,并对占用率最大的端口进行限速。通过计算的PIT表利用率与用户满足率这两个因素完成兴趣包泛洪攻击的检测;通过对PIT表的占用率最大的端口进行限速,实现兴趣包洪泛攻击得到防御,从而实现快速防御。
【技术实现步骤摘要】
一种内容中心网络中兴趣包洪泛攻击的防御方法及装置
本专利技术属于网络安全
,具体涉及一种内容中心网络中兴趣包洪泛攻击的防御方法及装置。
技术介绍
内容中心网络(NamedDataNetwork,NDN)作为一种新型的网络架构可以满足用户对网络的移动性、内容分发以及安全性等服务需求的增长。内容中心网络通信由内容请求者的请求报文进行驱动,数据可以进行块级传输,内容路由网络报文分为兴趣包(Interest)和数据包(Data)两种类型,内容请求者通过广播兴趣包的方式请求数据包,网络节点在收到兴趣包后如果发现自身有该内容的缓存,则转发数据包。内容中心网络可以有效解决传统网络中存在的安全问题,例如,带宽耗尽型、反射型攻击等问题。然而内容中心网络也引入了新的安全问题,例如兴趣包洪泛攻击(InterestFloodingAttacks,IFA)。由于在内容中心网络中,兴趣包在得到数据包满足之前会被记录在中间路由器的待定兴趣表(PendingInterestTable,PIT)中,攻击者可以发送大量虚假的兴趣包来耗尽待定兴趣表的储存资源。这种攻击的发起者不需要知道整个内容的分布,却能严重影响内容中心网络的性能。目前,一种解决兴趣包洪泛攻击问题的方法是基于双阈值的兴趣包泛洪攻击探测方法,其中双阈值包括路由器PIT超时条目阈值和网络接口数据流量阈值,这种探测方法从一定程度上实现了对兴趣包洪泛攻击的预警功能。但是,基于双阈值的兴趣包泛洪攻击探测方法往往需要等到PIT表被占满并且其中条目超时数超过一定阈值才能做出相应的预警,这样使得判定兴趣包洪泛攻击时间延长,降低了效率,从而影响了内容中心网络性能。
技术实现思路
本专利技术至少部分解决现有的兴趣包洪泛攻击的防御方法时间长、效率低的问题,提供一种快速的、高效率的内容中心网络中兴趣包洪泛攻击的防御方法及装置。解决本专利技术技术问题所采用的技术方案是一种内容中心网络中兴趣包洪泛攻击的防御方法,包括:计算PIT表利用率;比对所述PIT表利用率与第一阈值的大小;若所述PIT表利用率大于第一阈值,则计算用户满足率;比对所述用户满足率与第二阈值的大小;若对所述用户满足率小于所述第二阈值,则计算PIT表的端口占用率;比对所述PIT表的不同端口的占用率的大小,并对所述占用率最大的端口进行限速。进一步优选的是,在计算所述PIT表利用率之前还包括:接收所述内容中心网络的兴趣包并且更新所述PIT表。进一步优选的是,比对所述PIT表利用率与第一阈值的大小之前还包括:设定所述第一阈值和所述第二阈值。进一步优选的是,根据以下公式计算所述PIT表利用率:PIT表利用率=当前PIT表项条目/PIT表容量;根据以下公式计算所述用户满足率:用户满足率=转发数据包数/当前PIT表项条目;根据以下公式计算所述PIT表的端口占用率:PIT表的端口占用率=PIT表中含有的端口的表项数/PIT表容量。进一步优选的是,若所述PIT表利用率小于或者等于所述第一阈值,则转发数据包;若对所述用户满足率大于或者等于所述第二阈值,则转发数据包。解决本专利技术技术问题所采用的技术方案是一种内容中心网络中兴趣包洪泛攻击的防御装置,包括:计算模块,用于计算PIT表利用率、用户满足率以及PIT表的端口占用率;比对模块,用于比对所述PIT表利用率与第一阈值的大小、所述用户满足率与第二阈值的大小以及所述PIT表的不同端口占用率的大小;限速模块,用于对占用率最大的端口进行限速。进一步优选的是,网络中兴趣包洪泛攻击的防御装置还包括:接收模块,用于接收所述内容中心网络的兴趣包并且更新所述PIT表。进一步优选的是,网络中兴趣包洪泛攻击的防御装置还包括:设定模块,用于设定所述第一阈值和所述第二阈值。进一步优选的是,根据以下公式计算所述PIT表利用率:PIT表利用率=当前PIT表项条目/PIT表容量;根据以下公式计算所述用户满足率:用户满足率=转发数据包数/当前PIT表项条目;根据以下公式计算所述PIT表的端口占用率:PIT表的端口占用率=PIT表中含有的端口的表项数/PIT表容量。进一步优选的是,还包括:转发模块,用于转发数据包。本专利技术的内容中心网络中兴趣包洪泛攻击的防御方法中,通过计算的PIT表利用率与预设的第一阈值比对;若PIT表利用率大于第一阈值,则用户满足率与第二阈值相比对;若用户满足率小于第二阈值,则对PIT表的占用率最大的端口进行限速,从而使得兴趣包洪泛攻击得到防御,不仅可以实现快速防御、提高防御效率,而且提高了兴趣包洪泛攻击防御的准确性以及有效性。本实施例的一种内容中心网络中兴趣包洪泛攻击的防御方法是基于软件定义网络(SoftwareDefinedNetwork,SDN)对数据包进行转发。软件定义网络主要通过将网络控制与报文转发分离开,从而实现的网络流量的灵活控制,使网络作为管道变得更加智能。附图说明图1为本专利技术的实施例的一种内容中心网络中兴趣包洪泛攻击的防御方法的流程示意图;图2为本专利技术的实施例的另一种内容中心网络中兴趣包洪泛攻击的防御方法的流程示意图;图3为本专利技术的实施例的一种内容中心网络中兴趣包洪泛攻击的防御装置的组成示意框图。具体实施方式为使本领域技术人员更好地理解本专利技术的技术方案,下面结合附图和具体实施方式对本专利技术作进一步详细描述。实施例1:如图1所示,本实施例提供一种内容中心网络中兴趣包洪泛攻击的防御方法,包括:S101、计算PIT表利用率。其中,根据以下公式计算PIT表利用率:PIT表利用率=当前PIT表项条目/PIT表容量。S102、比对PIT表利用率与第一阈值的大小。S103、若PIT表利用率大于第一阈值,则计算用户满足率。其中,根据以下公式计算用户满足率:用户满足率=转发数据包数/当前PIT表项条目,这里所说的转发的数据包数包括内容中心网络中所有根据兴趣包转发的数据包,当前的PIT表项条目数相当于兴趣包的数量。S104、比对用户满足率与第二阈值的大小。S105、若对用户满足率小于第二阈值,则计算PIT表的端口占用率。其中,根据以下公式计算PIT表的端口占用率:PIT表的端口占用率=PIT表中含有的端口的表项数/PIT表容量。S106、比对PIT表的不同端口的占用率的大小,并对占用率最大的端口进行限速。其中,通过对PIT表的最大的端口进行限速来完成对兴趣包洪泛攻击的防御,从而保证内容中心网络性能。本实施例的一种内容中心网络中兴趣包洪泛攻击的防御方法是基于软件定义网络(SoftwareDefinedNetwork,SDN)对数据包进行转发。软件定义网络主要通过将网络控制与报文转发分离开,从而实现的网络流量的灵活控制,使网络作为管道变得更加智能。通过计算的PIT表利用率与用户满足率这两个因素完成兴趣包泛洪攻击的检测;通过对PIT表的占用率最大的端口进行限速,实现兴趣包洪泛攻击的防御,这样不仅可以实现快速防御、提高防御效率,而且提高了兴趣包洪泛攻击防御的准确性以及有效性。实施例2:如图2所示,本实施例提供一种内容中心网络中兴趣包洪泛攻击的防御方法。内容中心网络的包类型包括兴趣包和数据包。若兴趣包的内容名字(ContentName)是据包内容名字的前缀,则该数据包满足该请求。当内容中心网络的兴趣包到达网络节点时,会根据起内容的名字本文档来自技高网...
【技术保护点】
1.一种内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,包括:计算PIT表利用率;比对所述PIT表利用率与第一阈值的大小;若所述PIT表利用率大于第一阈值,则计算用户满足率;比对所述用户满足率与第二阈值的大小;若对所述用户满足率小于所述第二阈值,则计算PIT表的端口占用率;比对所述PIT表的不同端口的占用率的大小,并对所述占用率最大的端口进行限速。
【技术特征摘要】
1.一种内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,包括:计算PIT表利用率;比对所述PIT表利用率与第一阈值的大小;若所述PIT表利用率大于第一阈值,则计算用户满足率;比对所述用户满足率与第二阈值的大小;若对所述用户满足率小于所述第二阈值,则计算PIT表的端口占用率;比对所述PIT表的不同端口的占用率的大小,并对所述占用率最大的端口进行限速。2.根据权利要求1所述的内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,在计算所述PIT表利用率之前还包括:接收所述内容中心网络的兴趣包并且更新所述PIT表。3.根据权利要求1所述的内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,比对所述PIT表利用率与第一阈值的大小之前还包括:设定所述第一阈值和所述第二阈值。4.根据权利要求1所述的内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,根据以下公式计算所述PIT表利用率:PIT表利用率=当前PIT表项条目/PIT表容量;根据以下公式计算所述用户满足率:用户满足率=转发数据包数/当前PIT表项条目;根据以下公式计算所述PIT表的端口占用率:PIT表的端口占用率=PIT表中含有的端口的表项数/PIT表容量。5.根据权利要求1所述的内容中心网络中兴趣包洪泛攻击的防御方法,其特征在于,若所述PIT表利用率小于或者等...
【专利技术属性】
技术研发人员:侯乐,徐雷,贾宝军,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。