趙雪峰 王興偉 易波 黃敏

摘?? 要：為了解決命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）中由興趣洪泛攻擊（Interest Flooding Attack，IFA）導(dǎo)致的資源浪費和服務(wù)安全等問題，文章根據(jù)IFA發(fā)生時NDN網(wǎng)絡(luò)流量的特征提出了針對分布式低速率攻擊的基于節(jié)點的檢測與防御機(jī)制，將其部署在可能受攻擊影響最大的網(wǎng)絡(luò)中心節(jié)點。首先設(shè)計了異常檢測觸發(fā)機(jī)制以減少傳統(tǒng)周期性檢測帶來的資源浪費;其次攻擊檢測部分通過選取重要特征屬性、計算信息熵以及利用K均值聚類算法訓(xùn)練好的模型檢測異常點，避免了攻擊檢測的滯后性;最后通過概率替換的方法和“緩解-阻斷”的方式對IFA進(jìn)行防御，準(zhǔn)確識別并刪除惡意興趣請求，快速恢復(fù)被攻擊節(jié)點的服務(wù)功能，并從源頭阻斷后續(xù)IFA攻擊。

關(guān)鍵詞：命名數(shù)據(jù)網(wǎng)絡(luò);興趣洪泛攻擊;信息熵;K均值聚類

中圖分類號：TP393.0????????? 文獻(xiàn)標(biāo)識碼：A

A Node-based attack detection and defense mechanism in NDN

Zhao Xuefeng? Wang Xingwei? ?Yi Bo1? ?Huang Min

（1.College of Computer Science and Engineering， Northeastern University， LiaoningShenyang 110169;

2.College of Information Science and Engineering， Northeastern University LiaoningShenyang 110819）

Abstract： In order to solve the problems of resource waste and service security caused by Interest Flooding Attack （IFA） in Named Data Networking （NDN）， this paper proposes a node-based detection and defense mechanism of distributed low-rate attacks based on the characteristics of NDN network traffic when IFA occurs， and deploys it in the network center node which may be most affected by attack. Firstly， the anomaly detection trigger mechanism is designed to reduce the waste of resources caused by traditional periodic detection. Secondly， the attack detection part includes selecting the important feature attributes， calculating the information entropy and using the K-means clustering algorithm to detect the abnormal points， which avoids the lag of the attack detection. Finally， the method of probability substitution and the "mitigation-blocking" are used to defend the IFA， it identifies and deletes the malicious interest requests accurately， restores the service function of the attacked node quickly， and blocks the follow-up IFA attacks from the source.

Key words： named data network; interest flooding attack; information entropy; K-means clustering

1 引言

隨著互聯(lián)網(wǎng)用戶和數(shù)據(jù)的爆炸式增長以及互聯(lián)網(wǎng)主要職能的轉(zhuǎn)變[1]，以內(nèi)容為中心的網(wǎng)絡(luò)應(yīng)用逐漸增多[2]，相對于信息的存儲位置而言，用戶更加關(guān)心信息的內(nèi)容本身[3]。與此同時，命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）架構(gòu)的成熟，使得基于NDN的各項研究也不斷地引起大家的廣泛關(guān)注。在安全方面，其屏蔽了傳統(tǒng)網(wǎng)絡(luò)下的拒絕服務(wù)攻擊（Denial of Service， DoS）的同時，卻引入了新型的安全問題興趣洪泛攻擊[5]，其是針對NDN中包轉(zhuǎn)發(fā)機(jī)制存在的安全漏洞進(jìn)行攻擊。

目前，關(guān)于興趣洪泛攻擊（Interest Flooding Attack，IFA）的檢測與防御問題已經(jīng)引起學(xué)術(shù)界的廣泛關(guān)注，陸續(xù)出現(xiàn)了相關(guān)的解決方案，但是在準(zhǔn)確識別，快速防御等方面仍有待改進(jìn)。首先，當(dāng)前研究中大多數(shù)對IFA的檢測主要是基于路由器節(jié)點的PIT異常狀態(tài)進(jìn)行統(tǒng)計分析判斷，該類檢測方案具有滯后性。其次，目前的方案可能容易對正常流量波動過度反應(yīng)，比如當(dāng)有突發(fā)的正常流量時，也會對PIT表的統(tǒng)計特征造成影響。再者，目前幾乎所有的方案都是針對網(wǎng)絡(luò)中所有的節(jié)點進(jìn)行檢測，不具有針對性，檢測粒度有待優(yōu)化?；谏鲜鲈颍琁FA的應(yīng)對機(jī)制仍具有進(jìn)一步研究的意義。

此外，目前的方案中很少研究如何準(zhǔn)確識別惡意興趣請求，這在后續(xù)的防御效果中有著至關(guān)重要的作用，精確的識別可在一定程度上減少對正常突發(fā)流量的誤判以及更好的進(jìn)行攻擊防御，這一部分也迫切需要進(jìn)行進(jìn)一步的研究。

針對目前IFA攻擊面臨的問題挑戰(zhàn)[6]以及一些解決方案所存在的如檢測滯后性、檢測粒度不具有針對性、資源浪費等問題，本文選擇分布式低速率攻擊，在網(wǎng)絡(luò)中心節(jié)點設(shè)計并部署了一種基于節(jié)點的檢測與防御機(jī)制，減少了周期性檢測帶來的資源浪費問題，避免了滯后性問題，并且能夠準(zhǔn)確識別惡意興趣請求，從源頭阻斷IFA攻擊，以快速恢復(fù)被攻擊節(jié)點的服務(wù)功能。具體研究工作主要包括設(shè)計了以下機(jī)制：異常檢測觸發(fā)機(jī)制、基于信息熵和K均值聚類的攻擊檢測機(jī)制、基于概率替換的惡意興趣請求識別機(jī)制、“緩解-阻斷”防御機(jī)制，并對所提機(jī)制進(jìn)行仿真實現(xiàn)以及性能評價。

2 興趣洪泛攻擊原理

NDN中的興趣包基于內(nèi)容名稱前綴進(jìn)行路由，并通過內(nèi)容名稱獲取數(shù)據(jù)，因此攻擊者無法輕易地直接針對特定中間節(jié)點或者終端發(fā)起攻擊。但是，攻擊者可以針對特定的命名空間發(fā)起攻擊，在興趣包尋路過程中造成網(wǎng)絡(luò)中間節(jié)點拒絕服務(wù)[7]。IFA正是一種針對特定命名空間發(fā)起攻擊的方式。

IFA基本工作原理如圖1所示。如果內(nèi)容提供者是“/Root/good”命名空間的獨占所有者，則路由器B和內(nèi)容提供者都將收到“/Root/good/ ...”的所有興趣，且無法被網(wǎng)內(nèi)緩存滿足。大量此類惡意興趣通過造成網(wǎng)絡(luò)擁塞或耗盡路由器節(jié)點上的資源造成合法興趣請求和數(shù)據(jù)包丟包，從而破壞網(wǎng)絡(luò)整體的服務(wù)質(zhì)量。而且，由于NDN中的興趣包既不攜帶源地址也不需進(jìn)行簽名認(rèn)證，很難立刻確定攻擊源并采取相應(yīng)的應(yīng)對措施，因此會對網(wǎng)絡(luò)造成非常大的攻擊力和破壞力[8]。

IFA將會造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降甚至是網(wǎng)絡(luò)服務(wù)癱瘓，其有兩種主要原因。第一，與傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)包類似，NDN中的興趣包也會消耗一部分網(wǎng)絡(luò)容量。因為NDN中的路由基于名稱前綴，通過針對一個特定的命名空間可將大量攻擊流量集中在網(wǎng)絡(luò)的某些段中，大量惡意興趣包可能會導(dǎo)致?lián)砣?dǎo)致合法興趣包被丟棄，影響網(wǎng)絡(luò)服務(wù)性能。第二，由于NDN路由器維護(hù)每個轉(zhuǎn)發(fā)興趣的每個數(shù)據(jù)包狀態(tài)，即其存儲在未決興趣請求表（Pending Interesting Table，PIT）中的信息，過多的惡意興趣請求可能造成節(jié)點的內(nèi)存被耗盡，從而使得該節(jié)點無法繼續(xù)為傳入的興趣請求創(chuàng)建新的PIT條目，導(dǎo)致合法興趣包被丟棄，影響為合法用戶提供網(wǎng)絡(luò)服務(wù)。

3 基于節(jié)點的攻擊檢測與防御機(jī)制

本文基于節(jié)點的IFA攻擊檢測與防御機(jī)制主要是針對分布式低速率的興趣洪泛攻擊情形。在這種攻擊情形下，由于流量的匯聚，靠近內(nèi)容提供者或者中心位置的網(wǎng)絡(luò)節(jié)點的PIT條目數(shù)增長迅速，最先使得PIT緩存溢出，從而造成中心節(jié)點拒絕服務(wù)，造成合法興趣請求丟包，影響巨大。

本節(jié)首先分別介紹了該機(jī)制包含的四大模塊即異常檢測觸發(fā)、基于信息熵和K-means聚類算法的攻擊檢測、惡意興趣請求的識別以及攻擊防御。該方案的具體實現(xiàn)過程有四個步驟。

（1） 首先通過監(jiān)控PIT的占用率來觸發(fā)攻擊檢測。

（2） 一旦IFA檢測觸發(fā)，則計算PIT屬性內(nèi)容名稱前綴、入口編號和興趣請求條目的被訪問頻次的信息熵值，輸入到已經(jīng)訓(xùn)練好的分類器中，進(jìn)行異常點識別。

（3） 利用概率替換方法識別出具體的惡意興趣請求前綴，通過分析攻擊流量的特征篩選特征屬性的值，識別出具體的惡意興趣請求條目。

（4） 當(dāng)檢測出具體條目后，立即刪除并生成與其具有相同內(nèi)容名稱的報警數(shù)據(jù)包，該報警數(shù)據(jù)包將回溯到攻擊者終端，沿路限制接口速率阻斷攻擊。

本文根據(jù)NDN中包處理機(jī)制，結(jié)合本文提出的方案，設(shè)計了基于節(jié)點的IFA檢測與防御機(jī)制下的包處理流程。

3.1 異常檢測觸發(fā)機(jī)制

為了避免現(xiàn)有方案中周期性收集PIT表項時間間隔太短和太長帶來的大量計算資源消耗和檢測滯后問題，在對PIT表項進(jìn)行收集并檢測之前應(yīng)添加異常檢測觸發(fā)機(jī)制，當(dāng)滿足檢測觸發(fā)條件時才收集PIT條目進(jìn)行分析檢測。而且，這種觸發(fā)機(jī)制應(yīng)該滿足易檢測并且容易實施的條件，盡量減少路由器節(jié)點的負(fù)擔(dān)。

IFA最顯著的影響就是占用路由器節(jié)點大量的PIT緩存資源，造成PIT溢出，此觀點已有多篇文獻(xiàn)指出并驗證，故本文采用PIT條目占用率作為異常觸發(fā)的指標(biāo)，PIT占用率的計算如公式（1）所示。其中? ?表示PIT條目的占用率，? ? 用于表示其閾值。? ? ? 表示PIT現(xiàn)有的PIT條目數(shù)，? ? ? 表示PIT中可緩存的條目總數(shù)。

（1）

3.2基于信息熵和K-means聚類的攻擊檢測機(jī)制

本節(jié)詳細(xì)介紹了基于節(jié)點流量統(tǒng)計的IFA攻擊檢測機(jī)制的設(shè)計。首先，分析了特征選擇、信息熵的引入和計算。其次，通過實驗數(shù)據(jù)驗證了引入信息熵進(jìn)行處理的合理性和可行性，并且利用K-means算法對原始數(shù)據(jù)進(jìn)行多次迭代訓(xùn)練，得到攻擊檢測的分類器模型。最后，將進(jìn)行多組實驗對比得到的分類器模型進(jìn)行檢驗和分析，并且對基于信息熵和K-means聚類算法的IFA檢測方案的優(yōu)勢、缺陷以及產(chǎn)生的原因進(jìn)行分析與說明。

（1）特征屬性選擇

IFA發(fā)生時，惡意興趣請求填滿PIT，此時，PIT中的條目分布必然呈現(xiàn)出異常狀態(tài)，因此本文涉及的屬性主要指PIT表項中的各屬性值。PIT是用于記錄已從該節(jié)點轉(zhuǎn)發(fā)出去但還未獲得數(shù)據(jù)響應(yīng)的興趣包的入口接口等屬性的集合。

由于針對不存在的內(nèi)容進(jìn)行攻擊時，攻擊者可利用完全偽造的內(nèi)容名稱，也可利用前綴合法后綴隨機(jī)的內(nèi)容名稱，這將導(dǎo)致PIT中內(nèi)容名稱項的隨機(jī)性增加。與此同時，惡意興趣請求大都來源于特定的某些端口，使得PIT中各條目的入口分布變得集中。再者，PIT中興趣請求條目的匹配次數(shù)幾乎都為1，因為攻擊發(fā)生時，PIT中充斥大量的惡意興趣請求，根據(jù)惡意興趣請求的唯一性，該請求條目大多只被訪問并匹配一次。綜上所述，本文選擇內(nèi)容名稱、入口以及PIT條目的匹配次數(shù)三個屬性作為后文聚類分析的特征屬性。

（2）信息熵的計算

本文的聚類算法主要是分析IFA發(fā)生前和發(fā)生后PIT條目各屬性的變化趨勢，而非PIT條目各屬性的內(nèi)容值。本文引入已被廣泛應(yīng)用在異常檢測[9-12]的信息熵表征流量變化趨勢，這有利于從根本上反應(yīng)IFA對網(wǎng)絡(luò)的影響。而且，本文所采用的K-means算法更適用于數(shù)值型數(shù)據(jù)，引入信息熵將各類型數(shù)據(jù)轉(zhuǎn)化為數(shù)值型，這有利于提升IFA檢測的準(zhǔn)確率，下文首先對信息熵計算進(jìn)行介紹，然后從信息熵的角度，通過實驗數(shù)據(jù)分析以上三個屬性在攻擊前后的熵值變化情況，以論證方案的可行性。

給定一個集合X=（X1， X2，… XN），表示采集的PIT中各個特征屬性下的內(nèi)容數(shù)據(jù)的集合。每個屬性中包含個類，表示屬性中類的概率，其中，，， 則信息熵的定義如公式（2）所示。本文實驗中，每100條PIT條目計算一次熵值。

（2）

以上三個特征屬性即內(nèi)容名稱、入口以及PIT條目的匹配次數(shù)的信息熵計算如公式（2）所示，其中概率計算公式如式（3）所示，表示PIT中一組興趣請求條目的總數(shù)，本文將該值設(shè)為100， 表示具有某相同特征屬性的興趣請求條目的數(shù)量。

（3）

內(nèi)容名稱前綴屬性：IFA發(fā)生前，因為PIT中內(nèi)容名稱前綴分布相對均勻，隨機(jī)性較高，熵值較高。當(dāng)IFA發(fā)生時，攻擊者短時間內(nèi)發(fā)送大量內(nèi)容名稱前綴相同且后綴為隨機(jī)產(chǎn)生的字符串的惡意興趣請求。惡意興趣請求的注入使得內(nèi)容名稱前綴的分布突然變得集中，不確定性下降，相應(yīng)地信息熵急劇下降。此外，如果攻擊者發(fā)送大量含有完全偽造的內(nèi)容名稱的惡意興趣請求時，此時的內(nèi)容名稱前綴分布更加隨機(jī)。相比攻擊前來說，不確定性上升，相應(yīng)地信息熵將急速上升。也就是說，不論以任何一種方式發(fā)起攻擊，熵值的突變是必然的，而本文所需要的也只是熵值突變帶來的差異而不是依賴具體的熵值大小。因此，不論熵值急速上升亦或是下降本文的方案均可適用。

如圖2所示，為內(nèi)容名稱前綴信息熵的變化。圖中0-100s以及200-300s沒有攻擊，200-300s發(fā)起興趣洪泛攻擊，惡意Interest的內(nèi)容名稱采用的是內(nèi)容名稱前綴合法而后綴為偽造的隨機(jī)字符串。由圖1可知，在100-200s之間發(fā)生攻擊時，PIT內(nèi)容名稱前綴的熵值的確迅速降低，而且，在攻擊期間都維持在較低值。

入口屬性：當(dāng)IFA攻擊發(fā)生時，對于每個節(jié)點而言，如果假設(shè)接口一定，惡意興趣請求的入口id一致，此時入口的隨機(jī)性較低，信息熵值較低;如果假設(shè)接口數(shù)量不一定，即發(fā)生攻擊后，惡意興趣請求可能來自多個全新的接口，入口屬性的隨機(jī)性較高，信息熵值增大。本文更多關(guān)注的是熵值變化引起的熵值檢測點之間的差異性，而非依賴具體的信息熵值的大小。此外，本文假設(shè)對每個內(nèi)容名稱前綴所采取的轉(zhuǎn)發(fā)和路由策略一致，則出口和入口屬性值的分布一致，熵值變化一致，所以，本文只討論入口屬性的熵值變化。

如圖3所示，在接口數(shù)量不一定的情況下，IFA攻擊前后入口屬性信息熵值的變化情況由圖可得，在100-200s期間發(fā)生IFA攻擊時，信息熵值直線上升，并且，在攻擊期間，熵值一直處于較高水平。

匹配次數(shù)屬性：由于惡意興趣請求是唯一的，故惡意興趣請求記錄在PIT條目后將只被訪問一次，而合法的興趣請求條目可能被不同的合法用戶多次訪問。因此，當(dāng)發(fā)生攻擊時，大量惡意興趣請求條目緩存在PIT中，導(dǎo)致大多是PIT條目的匹配次數(shù)屬性值為1，這將導(dǎo)致匹配次數(shù)屬性值隨機(jī)性會迅速下降，信息熵值也因此迅速減小，并且，在攻擊期間信息熵值一直維持在較低水平。

如圖4所示，為PIT中匹配次數(shù)屬性的信息熵值的變化趨勢。當(dāng)發(fā)生IFA攻擊時，熵值迅速下降，在100-200s攻擊期間，熵值維持在較低值。

綜上，可分別計算出一段時間內(nèi)三個屬性的信息熵值、（）和（）表示為點（）下一步的K-means聚類檢測分析將針對這些熵值點進(jìn)行異常檢測分析。

（3）K-means聚類檢測分析

本文實驗?zāi)M了300s，其中100-200s為攻擊發(fā)生時間。首先收集了各個特征屬性下的PIT條目，然后對每100條條目進(jìn)行信息熵的計算，生成一系列熵值點 ，由于在發(fā)生攻擊時，三個屬性的信息熵值均發(fā)生明顯變化，通過三個特征屬性的相互作用，發(fā)生攻擊時和沒有攻擊時的熵值點差異較大。經(jīng)過信息熵值處理的原始數(shù)據(jù)可明顯分為兩類，數(shù)據(jù)簇呈凸型分布且距離特征明顯，非常符合K-means應(yīng)用條件。

基于K-means聚類檢測的原理是通過對原始數(shù)據(jù)進(jìn)行訓(xùn)練得到分類器。在實際檢測中，當(dāng)異常檢測觸發(fā)后，收集PIT表項，計算熵值點并輸入到分類器模型中進(jìn)行異常檢測。在訓(xùn)練與檢測時，通過歐幾里得距離判斷熵值點之間的相似性。假設(shè)被檢測點為 ，簇心為 ，則可通過兩點之間的歐幾里得距離判定點 是否歸為點 所在的簇，歐幾里得計算如公式（4）所示。為了訓(xùn)練得到可靠的分類器模型，本文收集Node1上的流量數(shù)據(jù)迭代1000次進(jìn)行K-means聚類。

（4）

通過分析攻擊前后PIT屬性值的變化規(guī)律，對PIT條目進(jìn)行信息熵值的處理以及利用K-means對數(shù)據(jù)進(jìn)行熵值聚類的效果較為理想，雖然仍然存在一些離散點，但是離散點數(shù)量很小，這些離散點的存在可能是因為在攻擊前期PIT屬性值的分布特征不明顯或者某一時刻惡意請求超時刪除所致。

此外，為驗證模型的可靠性和應(yīng)用廣泛性，本文進(jìn)行了兩組對比實驗。對比實驗一：調(diào)整攻擊者和消費者的發(fā)送速率且仍在Node1上部署檢測方案。對比實驗二：在不同節(jié)點上（本文實驗采用圖6拓?fù)渲泄?jié)點Node3中的流量數(shù)據(jù)）部署檢測方案。每組對比實驗分別進(jìn)行10次實驗，統(tǒng)計兩組不同方式下的攻擊檢測準(zhǔn)確率，檢測結(jié)果如圖5所示。其中，對比實驗1的結(jié)果如圖中上方曲線所示，對于同一個節(jié)點，改變攻擊速率，利用得到的模型進(jìn)行攻擊檢測，效果較好，根據(jù)MCR參數(shù)統(tǒng)計，檢測準(zhǔn)確率基本分布在99%左右;對比實驗2的結(jié)果如圖中下方曲線所示，攻擊檢測的準(zhǔn)確率較低，檢測準(zhǔn)確率主要分布在72%左右。

為了尋找上述結(jié)果產(chǎn)生的原因，本文多次收集了Node3上的流量數(shù)據(jù)進(jìn)行分析并訓(xùn)練得到分類器模型。分析發(fā)現(xiàn)不同節(jié)點上的熵值變化一致，均可根據(jù)熵值差異在該節(jié)點高準(zhǔn)確率的檢測出IFA，但是，同樣地，該分類器模型并不適用于Node1。根據(jù)Node1和Node3中統(tǒng)計的熵值的分析得出造成上述結(jié)果的原因：雖然相對于一類節(jié)點而言，攻擊前后熵值變化明顯，但是每一個PIT特征屬性下的類別多樣性不同（如：中心節(jié)點內(nèi)容名稱前綴的類別可能較多，而邊緣節(jié)點的內(nèi)容名稱前綴的類別可能就較少）造成了信息熵值量級的不同。但是，這也是由于實驗規(guī)模的限制造成了節(jié)點之間的差異性，在真實網(wǎng)路環(huán)境中，隨著網(wǎng)絡(luò)規(guī)模的增大，流量數(shù)據(jù)的多樣性增加，這種差異性將會減小。

3.3 惡意興趣請求識別機(jī)制

需要注意的是，為了針對特定命名空間發(fā)起有效的攻擊，攻擊者發(fā)布的興趣請求需滿足兩個條件。

一是發(fā)起的興趣請求應(yīng)盡可能地傳遞給生產(chǎn)者，而不是被網(wǎng)內(nèi)緩存滿足。這要求興趣請求不能被中間路由器的網(wǎng)內(nèi)緩存滿足，因為如果興趣請求可以從中間路由器的內(nèi)容存儲區(qū)滿足，則被請求的內(nèi)容從中間路由器返回給請求者，興趣包將不向上游轉(zhuǎn)發(fā)興趣請求，無法發(fā)生IFA。

二是保證每個惡意興趣請求都能創(chuàng)建一條新的PIT條目，并保證其以盡可能長的時間存儲在中間節(jié)點的PIT中。這要求每個惡意興趣包請求唯一的且相互不同的內(nèi)容信息，否則所有請求相同內(nèi)容的興趣請求將在節(jié)點被聚合成一個PIT條目，無法發(fā)生IFA。

考慮到以上必須滿足的條件，攻擊者必須請求流行度較低的（即未在路由器中緩存）或不存在的唯一內(nèi)容，這兩種情形的實現(xiàn)難易程度不同，前者維持一段持續(xù)的大規(guī)模IFA攻擊難于實現(xiàn)，故本文專注于第二種影響范圍廣且易于發(fā)起的IFA攻擊模式，并且選擇內(nèi)容名稱前綴合法而后綴隨機(jī)的形式進(jìn)行攻擊實現(xiàn)，因為它不僅最大化了攻擊的影響，而且易于發(fā)起并廣泛適用于針對所有命名空間的攻擊。

以下將針對檢測到的IFA進(jìn)行惡意興趣請求識別，首先基于信息熵識別出惡意的興趣請求前綴，然后從中進(jìn)一步的識別惡意請求條目。

（1）識別惡意興趣請求前綴

一旦基于信息熵的檢測機(jī)制檢測到IFA，將觸發(fā)基于信息熵的惡意興趣請求識別過程以保護(hù)合法流量不受影響，因此，本文NDN路由器記錄幾個連續(xù)時間間隔的興趣請求前綴分布，以便分析識別惡意興趣請求前綴。當(dāng)觸發(fā)惡意興趣請求識別機(jī)制時，分別在集合S1和S2中記錄檢測到攻擊時和攻擊發(fā)生之前PIT中的興趣前綴。計算S1和S2中每個興趣前綴i的概率，分別表示為P1（i）和P2（i）。首先利用P2（i）計算H（S2）。然后，對于S2中的每個興趣前綴i，通過用P1（i）代替其概率P2（i），得到新的概率分布P2，從而得到新的信息熵表示為Hi（S2）。之后，使用公式（5）來計算興趣請求內(nèi)容名稱前綴i引起的信息熵變化△Ηi

（5）

通過迭代每個前綴，可以獲得一系列的 。由于惡意興趣請求前綴的注入使得S2中原始前綴的分布更加集中，因此加入了新前綴的原始集合的信息熵值將會變小。綜上所述，使得 成立的前綴被認(rèn)為是惡意前綴。

（2）識別惡意興趣請求條目

為了后續(xù)攻擊防御時生成偽造的報警數(shù)據(jù)包Data，需知道惡意興趣請求的內(nèi)容名稱。但是，當(dāng)檢測出惡意興趣請求前綴后并不能確定惡意興趣請求條目，因為本文的IFA場景是利用合法的興趣請求前綴和偽造的隨機(jī)后綴字符串發(fā)起攻擊，所以在檢測出的惡意興趣請求前綴中可能混合了合法的興趣請求，因此，為了避免對合法興趣請求的過度防御，必須篩除合法的興趣請求。因此，我們必須在識別出的惡意前綴的基礎(chǔ)上做進(jìn)一步的篩選。

據(jù)此，本文同樣利用PIT條目屬性的分布特征來解決這一問題。惡意興趣請求條目的匹配次數(shù)屬性均為1，而合法興趣請求因為可能有不同用戶請求相同的內(nèi)容，該值可能不為1。根據(jù)這一特性，本文通過篩選匹配次數(shù)的值來排除大部分的合法興趣請求，即若PIT條目的匹配次數(shù)為1，則為惡意興趣請求，否則為合法興趣請求。在此，需要提到的是對于一些冷門或者一次性的內(nèi)容如郵件，雖然其匹配次數(shù)屬性也為1，但對于不帶惡意前綴的條目則在第一步驟可能就被篩選過了，不會進(jìn)入此步。對于此種特殊情況，也可能會存在部分誤判。

3.4 基于節(jié)點的攻擊防御機(jī)制

基于節(jié)點的IFA防御機(jī)制的主要思想“緩解-阻斷”。其中，緩解的主要目的是當(dāng)發(fā)生IFA后，及時識別出惡意興趣請求條目并刪除，以迅速恢復(fù)網(wǎng)絡(luò)中的節(jié)點功能，阻斷的主要目的是切斷攻擊源，從根本上阻斷后續(xù)攻擊，其通過偽造報警包回溯攻擊者實現(xiàn)。

根據(jù)NDN中對稱路由的特性，偽造的報警包會按照惡意興趣請求的路徑原路返回，追溯到攻擊者。當(dāng)偽造的Data到達(dá)中間路由器時，將刪除PIT中與其匹配的大量惡意請求，及時恢復(fù)網(wǎng)絡(luò)功能。同時，根據(jù)傳統(tǒng)網(wǎng)絡(luò)中擁塞控制的思想，調(diào)整出口的速率，限制惡意興趣請求繼續(xù)轉(zhuǎn)發(fā)擴(kuò)散。

當(dāng)定位到具體的被攻擊接口后，引入傳統(tǒng)TCP/IP網(wǎng)絡(luò)中控制網(wǎng)絡(luò)擁塞的加性增乘性減（Additive Increase Multiplicative Decrease，AIMD）思想進(jìn)行接口速率限制。假設(shè)路由器節(jié)點i的接口j的初始速率為? ?，當(dāng)檢測到攻擊時，將接口接收速率迅速減少為1，然后如公式（6）的上半部分所示，隨著時間的推移，接口的速率按指數(shù)規(guī)律增長即速度值依次為1、2、4、8等。當(dāng)速率達(dá)到初始速率的一半時? ? ，如公式（6）的下半部分所示，接口的接收速率按“加性”增長進(jìn)行加一操作，直至接口的速率恢復(fù)到初始速率? ? 。

（6）

3.5 算法描述

由于在NDN中，只支持興趣包和數(shù)據(jù)包兩類報文，數(shù)據(jù)的傳送過程首先由消費者發(fā)送興趣包，然后數(shù)據(jù)包沿著相反的方向、相同的路徑返回，其轉(zhuǎn)發(fā)機(jī)制相對IP網(wǎng)絡(luò)是智能轉(zhuǎn)發(fā)，弱化了路由作用。

因此本文將所提出的基于節(jié)點的攻擊檢測和防御方案應(yīng)用在NDN中智能的包轉(zhuǎn)發(fā)機(jī)制上，設(shè)計了基于節(jié)點的IFA檢測與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過程。該過程涉及到對合法興趣包、惡意興趣包、合法數(shù)據(jù)包以及報警數(shù)據(jù)包的處理，在對各個包的處理過程中包含了本文基于節(jié)點的攻擊檢測與防御機(jī)制的具體策略。算法3.1為在包轉(zhuǎn)發(fā)和處理過程中基于節(jié)點的攻擊檢測機(jī)制，包含了異常觸發(fā)機(jī)制、攻擊檢測機(jī)制、惡意興趣請求識別機(jī)制，算法3.2為基于節(jié)點的攻擊防御機(jī)制。

基于節(jié)點的IFA檢測與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過程如下：

（1）節(jié)點判斷接收報文并判斷是否是興趣請求包。若是，則轉(zhuǎn)向?qū)εd趣包的處理。即首先查看CS表中是否有對應(yīng)的內(nèi)容信息，若存在，則興趣包是合法的，直接將內(nèi)容信息返回給消費者;若不存在，則查PIT中是否有與之相對應(yīng)的條目，若有，則需要將入口添加到對應(yīng)的PIT條目的入口列表中，防止興趣包的重復(fù)發(fā)送，否則插入新PIT條目，并更新PIT占用率。當(dāng)PIT占用率 超過閾值時，執(zhí)行攻擊檢測機(jī)制，包括數(shù)據(jù)篩選、信息熵的計算、以及異常點的判斷。如果通過分類器模型檢測到異常點，則進(jìn)一步執(zhí)行惡意興趣請求前綴的識別并篩選出惡意PIT請求條目，從而執(zhí)行算法3.2的攻擊防御策略。

（2）若不是，則轉(zhuǎn)向?qū)?shù)據(jù)包的處理，即接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表，若在PIT中未找到匹配的條目，則將數(shù)據(jù)包作為重復(fù)數(shù)據(jù)包而丟棄。如果匹配條目中列出了多個接口，首先判斷是否是用于攻擊防御的偽造的數(shù)據(jù)包，若不是，則作為合法的數(shù)據(jù)包進(jìn)行處理，若是，則轉(zhuǎn)向步驟（3）對偽造的報警數(shù)據(jù)包的處理。

（3）由于偽造的報警數(shù)據(jù)包的內(nèi)容名稱字段和惡意興趣請求的內(nèi)容名稱相同，則將其作為惡意興趣包按照算法3.2進(jìn)行處理。

算法3.1 基于節(jié)點的攻擊檢測算法

輸入： 節(jié)點接收的報文 msg ;

輸出： 得到統(tǒng)計信息， 如PIT條目中出/入興趣包、出/入數(shù)據(jù)包、丟棄的興趣包數(shù)量;

1.?初始化Ρ;??? // Ρ為閾值

2.? IF msg 是興趣請求包 THEN

3.???? IF CS表中存在對應(yīng)的內(nèi)容信息

4.???? 興趣包合法，直接將內(nèi)容信息返回給消費者;

5.???? ELSE

6.???? IF 查找PIT中有對應(yīng)的條目?? THEN

7.??????? 將入口添加到對應(yīng)的PIT條目的入口列表中;

8.???? ELSE

9.?????? 插入新PIT條目;

10.?????? 根據(jù)公式（1）計算并更新PIT占用率ρ;

11.?????? IF ρ>Р THEN?? //PIT占用率超過閾值

12.??????? 篩選PIT條目的特征屬性數(shù)據(jù);

13.???????? 根據(jù)公式（2）（3）計算信息熵記為 （x1，y1，z1）;

14.???????? 輸入（x1，y1，z1） 到訓(xùn)練好的用于異常點檢測的? ???? 分類器中;

15.???????? IF （x1，y1，z1） 屬于異常點 THEN

16.???????? 得到，并據(jù)公式（2）計算熵值?? ????? ，;

17.????????? ;

18.?????????? IF?? THEN

19.?????????????? 得到惡意前綴i ;

20.?????????????? IF 前綴i 的PIT條目的匹配次數(shù)屬性??????? ?????????? 為1? THEN

21.??????????????? 識別為惡意興趣請求;

22.??????????????? 惡意興趣請求條目作為輸入執(zhí)行算????????? 法3.2;

23.???????????? END IF

24.??????????? END IF

25.?????????? END IF

26.???????? END IF

27.?????? END IF

28.???? END IF

29.?ELSE IF msg 是合法數(shù)據(jù)包THEN

30.???? 接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表;

31.???? IF PIT中有請求該數(shù)據(jù)的興趣請求 THEN

32.???????? CS 中緩存數(shù)據(jù)信息;

33.???????? 找到PIT中對應(yīng)的興趣請求入口，將數(shù)據(jù)從該???????? 接口轉(zhuǎn)發(fā)給消費者;

34.???? ELSE

35.???????? 丟棄數(shù)據(jù)包;

36.???? END IF

37.?END IF

38.?ELSE IF msg 是報警數(shù)據(jù)包

39.???? 提取報警數(shù)據(jù)包的內(nèi)容名稱;

40.???? FOR PIT中的每個條目 Do

41.?????? IF 報警數(shù)據(jù)包的內(nèi)容名稱匹配用于攻擊防御??????????? ????????? 的偽造數(shù)據(jù)包的內(nèi)容名稱 THEN

42.???????? 報警數(shù)據(jù)包的條目信息作為輸入執(zhí)行算法3.2;

43.?????? END IF

44.???? END FOR

45.?END IF

算法3.2 基于節(jié)點的攻擊防御算法

輸入：惡意興趣請求條目的信息;

1.?初始化 Δt， Flag[];? //Δt表示執(zhí)行限速策略時速率的調(diào)整周期，F(xiàn)lag[]用于標(biāo)記接口是否正處于防御狀態(tài)

2.?獲取惡意興趣請求的內(nèi)容名稱以作為報警數(shù)據(jù)包的內(nèi)容名稱字段;

3.?獲取惡意興趣請求條目入口列表中的入口編號i;

4.?向接口 i 返回報警數(shù)據(jù)包回溯攻擊者;

5.?IF? THEN? //不在防御狀態(tài)，執(zhí)行限速策略

6.? ;

7.???? 將接口速度迅速減為1

8.???? FOR 每個調(diào)整周期 Δt? Do

9.???????? IF? < THEN

10.????????????? ;

11.???????? ELSE IF

12.???????????? ;

13.???????? ELSE

14.????????????? ;//正處于限速，不做處理

15.????????????? break;

16.???????? END IF

17.????? END FOR

18.?END IF

19.?刪除惡意興趣請求條目

4 性能評價

本文對基于節(jié)點的攻擊檢測與防御機(jī)制進(jìn)行了仿真實驗和性能評價。先介紹了實驗的仿真環(huán)境，包括實驗平臺、興趣洪泛攻擊場景以及實驗拓?fù)?其次給出評價指標(biāo)的定義，并借此驗證本文設(shè)計方案的有效性;最后與現(xiàn)有IFA攻擊應(yīng)對方案進(jìn)行比較分析，驗證了本文方案的優(yōu)勢。

4.1 仿真環(huán)境

由于命名數(shù)據(jù)網(wǎng)絡(luò)還處于探索和研究階段，目前還未正式投入使用，因此本文所提出的方案目前只能在模擬環(huán)境中實現(xiàn)。本文的網(wǎng)絡(luò)模擬主要基于ndnSIM平臺，采用版本ndnSIM2.1，運(yùn)行在ubuntu14.04之上。

為了模擬影響范圍較廣而且最易實現(xiàn)的IFA，本文通過合法的內(nèi)容名稱前綴和偽造的后綴來偽造惡意興趣請求的內(nèi)容名稱，從而發(fā)起攻擊，模擬IFA場景。

本文實驗采用的拓?fù)錇樾∫?guī)模二叉樹拓?fù)洌鐖D6所示，其中深色用戶表示攻擊者，本文在不同位置總共設(shè)置三個攻擊者，可用于模擬分布式低速率的IFA攻擊，淺色用戶表示合法用戶。此外，拓?fù)鋱D中還包括一個內(nèi)容提供者以及7個內(nèi)容路由器。在路由器節(jié)點中，在中心節(jié)點Node1處部署本文設(shè)計的IFA攻擊的檢測與防御機(jī)制，使其解決的是IFAs攻擊影響最嚴(yán)重的情況。

4.2 有效性分析

本文根據(jù)有無攻擊以及有無防御策略劃分了三種情景，并從PIT占用率、合法興趣請求滿足率以及合法興趣請求丟包率三個指標(biāo)分析本文方案的有效性。

（1）評價指標(biāo)

1）PIT占用率

PIT占用率可從根本上反應(yīng)IFA攻擊對節(jié)點的影響程度.計算公式如式（7） ，其中? 表示PIT條目的占用率，? ? ? ? ?表示PIT中可緩存的條目總數(shù)，? 表示節(jié)點? 中PIT當(dāng)前緩存的PIT條目數(shù)。

（7）

2）合法興趣請求滿足率

合法興趣請求滿足率可表征當(dāng)前節(jié)點對用戶請求的響應(yīng)能力。計算公式如式（8）? 所示? ，表示節(jié)點? 收到的合法興趣請求總數(shù)，? 表示節(jié)點? 收到的合法數(shù)據(jù)包總數(shù)。

（8）

3）丟包率分析

合法興趣請求丟包率可反映當(dāng)前節(jié)點的狀態(tài)，其計算公式如式（9）所示。其中，? ? 表示節(jié)點收到的合法興趣請求總數(shù)，? 表示節(jié)點? 丟棄的合法興趣請求總數(shù)。

（9）

（2）性能評價

1）PIT占用率

如圖7所示Node1的PIT占用率變化趨勢。由藍(lán)色曲線變化趨勢可知，當(dāng)沒有攻擊發(fā)生時，PIT條目占用率基本維持在15%左右。NDN中興趣請求內(nèi)容名稱的聚合機(jī)制、數(shù)據(jù)包返回后合法興趣請求條目將被刪除的機(jī)制以及超時機(jī)制等因素都將使PIT的緩存將維持一個穩(wěn)定的值域內(nèi)，而且該值不會過高，屬于正?，F(xiàn)象。由紅色曲線變化趨勢可知，當(dāng)在100s發(fā)起分布式低速率的IFA時，PIT的占用率幾乎呈直線迅速上升平均達(dá)到100%。當(dāng)200s停止攻擊時，PIT占用率將快速恢復(fù)常態(tài)，這是因為PIT條目超時會自動刪除，也體現(xiàn)了NDN中節(jié)點的自恢復(fù)能力。由圖中綠色曲線變化趨勢可知：當(dāng)安裝了本文的防御方案之后，即使發(fā)生攻擊，在PIT緩存未溢出時便迅速下降至20%，這避免了PIT因為緩存溢出而丟棄合法用戶的興趣請求包而無法提供正常服務(wù)。由此可見，本文基于節(jié)點的策略是有效的。

2）合法興趣請求滿足率

如圖8所示Node1的合法興趣請求滿足率變化趨勢。藍(lán)色曲線表示當(dāng)網(wǎng)絡(luò)中沒有發(fā)生IFA時，Node1的合法興趣請求滿足率幾乎接近100%，未發(fā)生丟包現(xiàn)象。紅色曲線表示在100-200s發(fā)起IFA，當(dāng)發(fā)生攻擊時合法興趣請求的滿足率急速下降，幾乎接近0%。這是因為大量惡意興趣包請求的是不存在的內(nèi)容，無法從路由器節(jié)點的網(wǎng)內(nèi)緩存或內(nèi)容提供者得到滿足，長時間占據(jù)了大量PIT緩存，造成合法請求丟包，滿足率下降。綠色曲線表示部署了本文基于節(jié)點的策略后合法興趣請求滿足率在下降到55%左右，便發(fā)生反彈迅速上升，這是因為本文的策略只有在一定條件下才會觸發(fā)。

3）丟包率分析

如圖9所示Node1的合法興趣請求丟包率變化趨勢。通過對比圖中三條曲線，可以得出在沒有任何防御措施的情況，當(dāng)攻擊發(fā)生時，合法興趣請求的丟包率迅速上升，甚至逼近100%。但是，由于PIT條目過期會自動刪除，因此發(fā)生攻擊時丟包率會基本呈現(xiàn)出周期性的波動趨勢，如圖中紅色曲線變化趨勢所示;當(dāng)安裝了本文的IFA防御方案后，合法用戶的興趣請求丟包率明顯下降，并逐漸趨近于0%，其受益于本文方案中迅速識別并刪除惡意興趣請求的策略，此外，通過接口速率的限制也在一定程度上控制了后續(xù)的攻擊流量，這一系列防御操作使得路由器節(jié)點有足夠的PIT緩存資源接收和處理興趣請求，降低丟包的概率。

4.3 方案對比分析

本小節(jié)主要是完成本文策略與基于PIT過期的IFA檢測機(jī)制的比較，基于PIT過期的IFA檢測機(jī)制的基本原理是：根據(jù)每個用戶興趣請求條目的過期率指標(biāo)，通過提前設(shè)定的閾值判斷用戶的合法性。二者比較的參數(shù)包括檢測的準(zhǔn)確性和攻擊檢測所需的時間。下文將詳細(xì)介紹各個參數(shù)的比較結(jié)果，兩圖中“1”表示有IFA，“0”表示沒有IFA。

（1）檢測的準(zhǔn)確性

以圖6拓?fù)錇槔?，采用前綴劫持攻擊并在Node1發(fā)起。當(dāng)發(fā)生前綴劫持攻擊時，攻擊者發(fā)出大量無效路由，這可能導(dǎo)致請求的內(nèi)容無法被滿足，最終導(dǎo)致大量PIT條目超時被刪除。在前綴劫持攻擊下，本文的方案和基于PIT過期率的方案的攻擊檢測結(jié)果如圖10所示。

當(dāng)攻擊開始時，基于PIT條目過期的檢測機(jī)制將前綴劫持攻擊誤判為IFA，但本文基于節(jié)點的機(jī)制未發(fā)生誤判。產(chǎn)生上述結(jié)果的原因是基于PIT過期的機(jī)制主要取決于PIT條目的超時。當(dāng)發(fā)生前綴劫持攻擊時，攻擊者可能會發(fā)出大量無效路由，這可能導(dǎo)致請求的內(nèi)容無法及時返回，導(dǎo)致大量PIT條目超時。在這種情況下，IFA被誤認(rèn)為已經(jīng)發(fā)生。而本文的策略是基于IFA發(fā)生時的特定流量特征，大多數(shù)情況下可以在大量PIT條目超時之前執(zhí)行檢測，不依賴于PIT條目超時指標(biāo)，檢測準(zhǔn)確度更高。

（2）攻擊檢測時間比較

攻擊者在節(jié)點Node1發(fā)起IFA，結(jié)果如圖11所示?；诠?jié)點的攻擊檢測機(jī)制能更早的探測出IFA，這是因為只要惡意興趣請求進(jìn)入路由器，無需等到大量PIT條目過時，本文的策略便可執(zhí)行，緩解了攻擊檢測的滯后性。然而基于PIT過期的機(jī)制需等到PIT條目過期才可檢測。

5 結(jié)束語

本文在研究學(xué)習(xí)現(xiàn)有相關(guān)工作的基礎(chǔ)上，引入節(jié)點分類的思想，針對分布式低速率攻擊，在最先遭受大規(guī)模攻擊的網(wǎng)絡(luò)中心節(jié)點部署針對性的方案，即本文提出的基于節(jié)點的IFA檢測和防御機(jī)制，與此同時設(shè)計了該機(jī)制下的包處理算法。該方案包括異常觸發(fā)機(jī)制、基于信息熵和K-means聚類的攻擊檢測機(jī)制以及惡意興趣請求識別機(jī)制、“緩解-阻斷”防御機(jī)制四個模塊。方案中對節(jié)點的PIT表進(jìn)行了擴(kuò)展，加入了對PIT占用率的監(jiān)控功能;利用基于信息熵和K-means的方法進(jìn)行攻擊檢測，同時通過對比實驗分析驗證了用于攻擊檢測的分類器模型的可靠性和應(yīng)用廣泛性;提出概率替換和“緩解-阻斷”相結(jié)合的方法準(zhǔn)確識別并刪除惡意請求條目;最后基于ndnSIM仿真平臺對本文的方案進(jìn)行仿真實現(xiàn)，通過三個指標(biāo)驗證了本文方案的可行性和有效性，并與基準(zhǔn)算法比較驗證了本文基于節(jié)點的方案在檢測準(zhǔn)確性以及檢測時間方面的優(yōu)勢。

基金項目：

1. 國家自然科學(xué)基金資助項目（項目編號：61872073，61572123）;

2. 遼寧省高校創(chuàng)新團(tuán)隊支持計劃資助項目（項目編號：LT2016007）。

參考文獻(xiàn)

[1] ?Ghodsi A， Shenker S， Koponen T， et al. Information-centric Networking： Seeing the Forest for the Trees[C]. ACM Workshop on Hot Topics in Networks. New York： 2011. 1-6.

[2] ?王興偉，李婕，譚振華.面向“互聯(lián)網(wǎng)+”的網(wǎng)絡(luò) 技術(shù)發(fā)展現(xiàn)狀與未來趨勢[J].計算機(jī)研究與發(fā)展，2016，53（4）：729-741.

[3] ?雷凱.信息中心網(wǎng)絡(luò)與命名數(shù)據(jù)網(wǎng)絡(luò)[M].北京：北京大學(xué)出版社，2015.

[4] ?Freet D， Agrawal R. An Overview of Architectural and Security Considerations for Named Data Networking （NDN）[C]. The 8th International Conference on Management of Digital EcoSystems. New York：2016. 52-57.

[5] ?Gasti P， Tsudik G， Uzun E， et al. DoS and DDoS in Named Data Networking[C]. IEEE International Conference on Computer Communications and Networks. Nassau， Bahamas： 2013. 1-7.

[6] ?李楊，辛永輝，韓言妮等.內(nèi)容中心網(wǎng)絡(luò)中DoS攻擊問題綜述[J].信息安全學(xué)報，2016，2（1）：91-108.

[7] ?Pang B， Li R， Zhang X， et al. Research on Interest Flooding Attack Analysis in Conspiracy with Content Providers[C]. The 7th IEEE International Conference on Electronics Information and Emergency Communication （ICEIEC）. Macau， China： 2017. 543-547.

[8] ?Choi S， Kim K， Roh B H， et al. Threat of DoS by Interest Flooding Attack in Content- centric Networking[C]. The International Conference on Information Networking. Bangkok， Thailand： 2013. 315-319.