本发明专利技术公开一种内容中心网络中兴趣泛洪攻击的检测方法及系统。方法包括:获取网络中的流量;对所述流量划分时间序列,得到多个时间序列;计算各所述时间序列的赫斯特指数;对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;计算各所述时间序列的信息熵值;对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。采用本发明专利技术的方法或系统能够解决内容中心网络中的兴趣泛洪攻击问题。
A Method and System for Detecting Interest Flooding Attacks in Content-Centered Networks
【技术实现步骤摘要】
一种内容中心网络兴趣泛洪攻击的检测方法及系统
本专利技术涉及内容中心网络兴趣泛洪攻击检测领域,特别是涉及一种内容中心网络兴趣泛洪攻击的检测方法及系统。
技术介绍
“内容中心网络”(ContentCentricNetwork,CCN)是未来互联网极具发展前景的架构之一。CCN对内容进行命名,在网络中通过兴趣包(Interest)和数据包(Data)来传输信息。其中,兴趣包是用户发起的内容请求包,携带内容名称等信息;数据包携带用户所请求的信息,用来满足兴趣包。不同于传统的TCP/IP网络,CCN以内容名称代替IP地址,作为网络中信息传输的唯一标识,由此消除了传统网络中源地址伪造攻击和针对特定主机的泛洪攻击等安全问题。然而,CCN在解决传统网络安全问题的同时,引入了新的安全威胁,其中以IFA(InterestFloodingAttack,兴趣泛洪攻击)最为突出。在用户请求的过程中,路由器节点会将未被满足的兴趣包的前缀信息、详细名称信息存储在PIT(PendingInterestTable,等待兴趣表)中,待收到对应的Data后将此表项内容删除。IFA攻击者利用CCN的这个特点,向网络发起大量恶意兴趣包,从而耗尽路由器的PIT资源,导致路由器上的PIT无法正常接收用户请求的兴趣包,并进一步导致网络拥塞。根据攻击者发送的恶意兴趣包的不同,可以将IFA分为两种形式:一种是攻击者发送伪造的虚假内容名称的兴趣包;第二种是攻击者请求真实存在但是非流行的内容。以上两类攻击均可对网络造成一定的影响。若攻击者请求真实但非流行的内容,需要提前收集大量不流行的内容且保证低速率攻击,以保证内容不会被中间路由器缓存,由此增加了攻击成本,但攻击效果没有明显提高,因此攻击者更有可能伪造内容名称来向网络发起攻击。因此,本文仅针对虚假内容名称的兴趣泛洪攻击开展研究。目前国内外已有很多学者对内容中心网络中兴趣泛洪攻击的检测方法进行了研究。AfanasyevA提出了基于接口公平性的令牌桶机制、基于内容获取成功率的兴趣包接收机制和基于内容获取成功率的反向反馈机制,这三种机制通过将PIT使用率、Interest满足率和提前设定的这两个指标的阈值进行比较,若PIT使用率大于相应的阈值且Interest满足率小于相应的阈值,则判定当前网络中存在兴趣泛洪攻击。唐琳对传统IP网络中的令牌桶算法进行改进,将当前端口实际的物理链路容量作为检测攻击的阈值,当超过这个阈值时认为攻击发生。CompagnoA基于路由器不同接口计算兴趣包被满足的概率值,作为检测攻击的指标,并通过这个指标的变化来动态调整路由器对应接口的兴趣包准入速率。DaiH提出一种兴趣包回溯机制,将PIT过期条目的数量作为检测的指标,当路由器PIT过期条目超过阈值时,即认为当前网络发生兴趣泛洪攻击。Wang中提出了一种基于兴趣包限速机制的IFA攻击对抗策略,统计转发表中每个名字前缀对应的超时兴趣包的数量,并与阈值比较,判断是否存在攻击。Wang提出了一种协同对抗策略,通过统计网络中PIT的占用比和PIT的超时比两项指标,从而判断是否存在攻击。唐建强等利用CCN中路由器维持的兴趣包转发状态,根据PIT占用率、兴趣包的满足率两个指标来检测兴趣包的泛洪攻击。丁锟提出基于PIT占用率、兴趣包未响应率和地域分布率三个指标建立空间向量模型,最后根据综合的向量距离判断是否存在攻击。HaniSalah提出了一种中央控制方案,通过在CCN网络中设置一个域控制器,综合统计内容访问信息和兴趣包的转发状态,通过检测网络中PIT的利用率和PIT的过期率来检测发现网络中分布式低速兴趣泛洪攻击。J.Tang和K.Wang都提出通过统计网络中PIT条目过期的数量,并设置阈值来检测网络中可能的攻击。P.Gasti等基于CCN流平衡的原理,利用每个出口PI的数量、入口兴趣包数量、名字空间PI的数量三种指标来综合检测网路中的攻击情况。XinY提出了一种基于熵的检测方法,首先基于累积熵来计算网络包头中某些属性的分布随机性来发现流量异常。游荣同样利用信息熵的理论来表征网络的随机性,以路由器收到的兴趣包名称的概率为基础计算其熵值,从而检测网络中的兴趣包泛洪攻击。另外,专利技术人张震等在其申请的专利《一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置》中提出一种兴趣洪泛攻击的防御方法。首先根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包名字的熵值,采用累积算法对得到的熵值进行处理,从而根据累积值是否超过预设的攻击检测阈值来判断网络中是否存在攻击;在检测到兴趣泛洪攻击时,则采用相对熵的前缀判别算法对兴趣包的名字的前缀集合进行查找,得到攻击前缀,并根据攻击前缀进行限速处理。通过对国内外研究现状的分析可知,目前对于内容中心网络中的兴趣包泛洪攻击的检测主要分为三类:(1)基于攻击发生后PIT状态异常变化的方法;(2)基于CCN数据流的平衡原理的方法;(3)基于网络流量行为特征的方法。其中,基于攻击发生后PIT异常状态变化的指标(如PIT占用率、兴趣包的满足率、PIT过期率等)这类方法,依赖于路由器受到攻击后所表现出来的异常特征,在攻击发生一段时间内,才能统计计算出相应的指标,这样就造成了攻击检测的滞后性和延时性。利用这种方法检测到网络中存在的攻击时,网络本身已经遭受了巨大的攻击,对整个网络的影响较大。基于CCN数据流的平衡原理的检测方法(如根据每个出口发出但还未满足的兴趣包数量、每个入口的兴趣包的数量、每个命名空间的兴趣包数量等),其指标的计算与平均内容包的大小、PIT的超时时间以及链路的带宽延迟等相关,所以并不能明显的区分网络中正常的突发流,因为会对合法用户的请求造成误判。在基于网络流量行为特征的方法中,目前的研究主要集中在利用信息熵来衡量整个网络的随机性,从而检测出网络中可能存在的攻击行为。这种方法不需要依赖受攻击后PIT状态的异常变化,因此相比于基于攻击发生后PIT状态的异常变化的方法,检测时延较低;并且信息熵的计算过程与内容包大小、链路带宽延迟、PIT的超时时间无关,因此相比于基于CCN数据流平衡的方法,误报率更小。虽然,相比于前两种方法,利用信息熵来检测CCN中的攻击效果更好,但是在低速率的IFA下,第(1)(2)类方法所采用的指标在最初几个被攻击的路由器上,指标变化并不明显,而对于基于信息熵的检测方法,短时间内用户请求的概率分布也没有发生明显的变化,因此熵值的变化也较小。因此,以上三种方法在低速率IFA下的检测效果都相对较差。
技术实现思路
本专利技术的目的是提供一种内容中心网络中兴趣泛洪攻击的检测方法及系统,能够解决内容中心网络中的兴趣泛洪攻击问题。为实现上述目的,本专利技术提供了如下方案:一种内容中心网络中兴趣泛洪攻击的检测方法,包括:获取网络中的流量;对所述流量划分时间序列,得到多个时间序列;计算各所述时间序列的赫斯特指数;对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;计算各所述时间序列的信息熵值;对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。可选的,所本文档来自技高网...
【技术保护点】
1.一种内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,包括:获取网络中的流量;对所述流量划分时间序列,得到多个时间序列;计算各所述时间序列的赫斯特指数;对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;计算各所述时间序列的信息熵值;对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。
【技术特征摘要】
1.一种内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,包括:获取网络中的流量;对所述流量划分时间序列,得到多个时间序列;计算各所述时间序列的赫斯特指数;对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;计算各所述时间序列的信息熵值;对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。2.根据权利要求1所述的内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,所述对所述流量划分时间序列,得到多个时间序列,具体包括:设置滑动窗口n,并根据所述滑动窗口n的大小将所述网络中的流量进行分段划分。3.根据权利要求1所述的内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,所述计算各所述时间序列的赫斯特指数,具体包括:获取当前时间序列X;将所述当前时间序列X划分为大小为m的数据块,并计算所述数据块的均值X(m)以及所述均值X(m)序列的方差,设为Var(Xm);根据所述数据块的均值X(m)以及所述均值X(m)序列的方差,确定所述当前时间序列的赫斯特指数。4.根据权利要求1所述的内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,所述对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值,具体包括:对所述赫斯特指数采用非参数累积和双边检测算法进行下侧累积,得到当前序列的累积值累积过程通过公式表示;其中,为当前序列赫斯特指数的累积值,为前一个序列赫斯特指数的累积值,Zn=Hurst-α1+β1,α1为当前序列的前几个序列中赫斯特指数的平均值,Hurst为赫斯特指数,β1为常数,用来保证Zn在正常情况下为一个正值;根据所有所述时间序列的赫斯特指数的平均值,并将所述平均差值作为非参数累积和双边检测算法下侧累积的判决函数的阈值。5.根据权利要求1所述的内容中心网络中兴趣泛洪攻击的检测方法,其特征在于,所述计算各所述时间序列的信息熵值,具体包括:获取当前时间序列X中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数;根据所述当前时间序列X中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数,计算当前时间序列X中每一个不同内容名称的兴趣包被请求的概率p(Yi);根据所述概率p(Yi)采用香农定理公式得到所述序列X的信息熵E(X...
【专利技术属性】
技术研发人员:徐雅斌,徐婷,
申请(专利权)人:北京信息科技大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。