CN102821039B - 基于名称的网络系统中防止待定兴趣表溢出的设备和方法 - Google Patents
基于名称的网络系统中防止待定兴趣表溢出的设备和方法 Download PDFInfo
- Publication number
- CN102821039B CN102821039B CN201210191863.2A CN201210191863A CN102821039B CN 102821039 B CN102821039 B CN 102821039B CN 201210191863 A CN201210191863 A CN 201210191863A CN 102821039 B CN102821039 B CN 102821039B
- Authority
- CN
- China
- Prior art keywords
- pit
- interface unit
- request message
- unit
- identifying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
描述了一种在基于名称的网络系统中防止待定兴趣表溢出的节点设备和方法。所述节点设备和方法增加多个PIT以对应于多个接口单元,从而所述PIT分别匹配所述接口单元,并且所述节点设备和方法将流入每个接口单元的请求消息存储在所述匹配PIT中。另外,当在每个PIT处使用的容量超过阈值时,所述节点设备和方法通过分别匹配的接口单元发送用于流量控制的流量控制消息,以防止所述PIT的溢出。
Description
本申请要求于2011年6月9日提交到韩国知识产权局的第10-2011-0055480号韩国专利申请的权益,该申请的全部公开通过引用合并于此。
技术领域
以下描述涉及一种用于在基于名称的网络系统的节点装置中进行路由的技术。
背景技术
在网络路由技术(诸如,内容中心网络/命名数据网络(CCN/NDN))中,当响应请求消息的响应消息返回以被处理时,必须获知重新发送所述响应消息的目标地点。在基于名称的联网(诸如,CCN/NDN)中,所述请求消息还可被称为请求、兴趣或数据请求。此外,所述响应消息可被称为响应或数据。
待定兴趣表(PIT)指存储接收的请求消息的列表的表。也就是说,当接收到请求消息时,对应的节点装置在所述PIT中记录流量路径和关于请求消息的信息。当对应的响应消息返回时,所述对应的节点装置将所述对应的响应消息重新发送到在所述PIT中存储的请求消息的流量路径。
然而,所述PIT可能是分布式拒绝服务(DDoS)攻击的目标。也就是说,当接收的请求消息的量超过所述节点装置的PIT的容量时,所述节点装置不得不删除所记录的信息的一部分或丢弃新接收的请求消息。不论是删除记录的信息还是丢弃新接收的请求消息,因为妨碍了所述节点装置正常处理请求消息,所以DDoS攻击最终将是成功的。
通用网络协议(IP)路由器不需要流量历史的管理。因此,如上所述的DDoS攻击的情景不适用于IP路由器。然而,在不识别装置的网络(诸如CCN/NDN)中,所述PIT用作用于联网的基本信息。因此,与基于名称的网络系统中的路由器对应的节点装置容易受到DDoS攻击。
发明内容
根据说明性配置,一种节点装置包括:接口单元,被配置为从基于名称的网络接收请求消息;待定兴趣表(PIT),被配置为存储请求消息。所述PIT与所述接口单元分别匹配。所述节点装置还包括控制单元,所述控制单元被配置为当接口单元中的一个接口单元接收到请求消息时识别接收到请求消息的接口单元,并识别所述PIT中与识别出的接口单元匹配的一个PIT,从而控制识别出的PIT存储请求消息。
根据另一示例,描述了一种方法,包括:在接口单元处接收从基于名称的网络产生的请求消息;识别接口单元中接收到所述请求消息的接口单元。所述方法还包括:识别待定兴趣表(PIT)中对应于识别出的接口单元的待定兴趣表(PIT),并在识别出的PIT中存储所述请求消息以防止节点装置中的待定兴趣表(PIT)的溢出。
根据可选择的示例,一种设备包括:待定兴趣表(PIT),被配置为接收请求消息并存储接收的请求消息;控制单元,被配置为识别接收所述请求消息的接口单元,并从PIT中识别对应于识别出的接口单元的PIT,并且所述控制单元被配置为控制识别出的PIT存储所述请求消息以防止识别出的PIT的溢出。
从以下详细说明、附图和权利要求,其他特点和方面将是清楚的。
附图说明
图1是示出根据说明性示例的防止待定兴趣表(PIT)的溢出的节点装置的结构的示图;
图2是示出根据说明性示例的多个PIT的结构的示图;
图3是示出根据说明性示例的将请求消息分布并存储在节点装置中的多个PIT中的方法的流程图;
图4是根据说明性示例的在节点装置中处理攻击的方法的流程图。
在整个附图和详细说明中,除非另有说明,否则相同的附图标号将被理解为表示相同的元件、特征和结构。为了清楚、例证和方便,这些元件的相对大小和描绘可被夸大。
具体实施方式
提供以下详细描述以帮助读者获得在此描述的方法、设备和/或系统的全面理解。因此,在此描述的系统、设备和/或方法的各种改变、修改和等同物将被建议给本领域的普通技术人员。
根据各种示例,提供了一种用于防止待定兴趣表(PIT)的溢出的设备和方法。节点装置被配置为将PIT的数量增加至与接口装置或接口单元的数量对应。所述节点装置还被配置为在所述PIT中存储流入每个接口单元的请求消息。因为请求消息被分别存储在与每个接口单元匹配或对应的PIT中,所以如果发送攻击,则损失可被最小化。此外,当在每个PIT处使用的容量超过阈值时,所述节点装置可通过每个匹配接口单元发送流量控制消息,从而控制流入的请求消息的量。
图1示出根据说明性示例的防止待定兴趣表(PIT)的溢出的节点装置100的结构。
参照图1,所述节点装置100包括控制单元110、攻击检测单元111、流量控制请求单元112、攻击管理单元113以及接口单元121、122和123。控制单元110还包括多个PIT(例如,PIT 131、132和133)以及转发信息数据库(FIB)表140和存储单元150。
接口单元121、122和123可接收由控制单元110控制的请求消息,并发送接收的请求消息。此外,接口单元121、122和123可发送由控制单元110控制的流量控制消息。
这里,接口单元121、122和123可以是逻辑接口(即,虚拟接口)或物理接口。虽然在图1中,每个接口单元121、122和123被标记为第一接口单元、第二接口单元和第n接口单元,但使用这样的标记的唯一目的是为了在接口单元之间进行区分。术语“第一”、“第二”和“第n”在一说明性配置中可指接口单元的特定顺序。在另一说明性配置中,这些术语可不指特定顺序,而是可被仅仅用于在接口单元之间进行区分或区别。
通过控制单元110的控制,PIT 131、132和133可存储分别从接口单元121、122和123接收的请求消息。如图1中所示,可从互联网接收请求消息并且可将流量控制消息发送回互联网。虽然在图1中,每个PIT 131、132和1 33被标记为第一PIT、第二PIT和第n PIT,但使用这样的标记的唯一目的是为了在PIT之间进行区分。术语“第一”、“第二”和“第n”在一说明性配置中可指PIT的特定顺序。在另一说明性配置中,这些术语可不指特定顺序,而是可被仅仅用于在PIT之间进行区分或区别。
图2示出根据说明性示例的多个PIT的结构。
参照图2,所述多个PIT(例如,PIT 131、132和133)可将请求消息的名称与来自接口单元121、122、123中接收到所述请求消息的一个接口单元的信息一起存储。所述信息可包括,但不限于,接口信息。因为PIT 131、132和133中的每个PIT可分别与接口单元121、122和123中的一个接口单元关联,所以接收的接口信息可以是非必需的。
在一个配置中,PIT 131、132和133可能具有完全相同的容量或各自不同的容量。例如,PIT 131、132和133的容量可被设置为流入对应接口单元的流量的函数。
举例来说,PIT 131、132和133可以是物理上不同的表。在一个示例中,PIT 131、132和133中的至少一个可被逻辑地划分为虚拟划分表。例如,可使用接口单元121、122和123的计数器来对一个PIT进行逻辑划分。
FIB表140可存储请求消息的名称和对应的接口信息。
存储单元150可存储操作系统和应用程序以控制节点装置100的整体操作。此外,存储单元150还可存储节点装置100的验证信息以验证节点装置100。
当通过接口单元121、122和123接收请求消息时,控制单元110可控制PIT 131、132和133存储所述请求消息。当通过接口单元121、122、123中的一个接口单元接收到请求消息时,控制单元110可识别接收到所述请求消息的接口单元121、122和123。此外,控制单元110可识别PIT 131、132、133中与识别出的接口单元匹配的一个PIT,并可控制识别出的PIT存储所述请求消息。例如,控制单元110可控制PIT 131存储通过第一接口单元121接收的请求消息。
控制单元110可从FIB表140中搜索与所述请求消息实质相似、相同、匹配或等同的名称,并且可检查接口单元121、122和123以确定哪一个接口单元121、122或123对应于搜索出的名称。在一个配置中,使用来自FIB表140的请求消息,控制单元110可同时检查所有接口单元121、122和123。在另一配置中,使用来自FIB表140的请求消息,控制单元110可依次检查接口单元121、122和123。在另一配置中,控制单元110可使用FIB表140以随机检查接口单元121、122和123。控制单元110可通过与使用FIB表140搜索出的名称对应的接口单元121、122和/或123发送接收的请求消息。
攻击检测单元111可检查存储在识别出的PIT 131、132和/或133中的容量,并检测存储的容量是否超过预定阈值。当存储在识别出的PIT 131、132和/或133中的容量超过预定阈值时,攻击检测单元111可通过与识别出的PIT匹配的接口单元检测攻击。在一个说明性示例中,PIT 131、132和133均可应用相同的预定阈值或各自不同的阈值。在一个配置中,可考虑流入与PIT131、132和133分别匹配的接口单元的流量的函数来设置每个阈值,或者每个阈值可被设置为流入与PIT 131、132和133分别匹配的接口单元的流量的函数。
此外,所述阈值可根据网络拓扑结构中的节点装置100的位置而变化。例如,位于所述网络的末端的节点装置可能比位于所述网络的中心的节点装置接收到相对更少的流量。在一个示例中,位于所述网络的末端的节点装置的阈值可被设置为少于位于所述网络的中心的节点装置的阈值。
流量控制请求单元112可将流量控制消息发送到由攻击检测单元111检测到的接口单元。在一个示例中,流量控制消息可请求控制请求消息的发送间隔。
流量控制消息可包含用于识别并验证节点装置100的验证信息。流量控制消息还可包含跳数信息、保持时间信息和发送间隔信息中的至少一个。跳数信息可表示用于发送流量控制消息的节点的数量。保持时间信息可表示流量控制消息保持流量控制的时间段。发送间隔信息可表示请求消息的发送间隔。
在流量控制请求单元112发送流量控制消息之后,通过检测攻击的接口单元121、122或123来接收请求消息。可能以比通过流量控制消息设置的发送间隔更短的间隔接收到请求消息。然后攻击管理单元113可丢弃以比设置的发送间隔更短的间隔接收到的请求消息。例如,攻击管理单元113可丢弃以除了通过控制流量的接口单元设置的发送间隔以外的发送间隔接收到的请求消息。
流量控制请求单元112可将流量控制消息发送到所有接口单元121、122和123。当流量控制请求单元112将请求消息发送到所有接口单元121、122和123时,攻击管理单元113可丢弃以比接口单元121、122和123中的每个接口单元请求的发送间隔更短的间隔接收到的请求消息。
控制单元110可控制节点装置100的整体操作。根据说明性示例,虽然为了区别描述而在附图中分别示出上述部分,但控制单元110可执行攻击检测单元111、流量控制请求单元112和攻击管理单元113的功能。换句话说,控制单元110可包括被配置为执行攻击检测单元111、流量控制请求单元112和攻击管理单元113的功能的至少一个处理器。另外,控制单元110可包括被配置为执行攻击检测单元111、流量控制请求单元112和攻击管理单元113的部分功能的至少一个处理器。
如下所述,提供了对用于防止在基于名称的网络系统中的上述节点装置100中的PIT 131、132和133的溢出的方法描述。
可使用硬件组件和软件组件来实现针对图1和图2描述的单元。例如,麦克风、放大器、带通滤波器、模拟到数字转换器和处理装置。可使用一个或多个通用或专用计算机(诸如,例如,处理器、控制器和算术逻辑单元、数字信号处理器、微计算机、现场可编程门阵列、可编程逻辑单元、微处理器或任何其它能够以定义的方式响应并执行指令的装置)来实现处理装置。所述处理装置可运行操作系统(OS)和在所述OS上运行的一个或多个软件应用。所述处理装置还可响应于所述软件的执行而访问、存储、操作、处理和创建数据。为简化的目的,对处理装置的描述被用作单数;然而,本领域的技术人员将理解,处理装置可包括多个处理元件和多种类型的处理元件。例如,处理装置可包括多个处理器或一个处理器和一个控制器。另外,不同的处理配置是可行的,如并行处理器。
图3示出根据说明性示例的描述将请求消息分布并存储在节点装置中的多个PIT中的方法或处理的流程图。
在310,所述方法确定在节点装置处是否接收到请求消息。当所述方法确定接收到请求消息时,所述方法进行到312。在312,所述方法在节点装置处识别接收到所述请求消息的接口单元。在314,所述方法识别对应于识别出的接口单元的PIT。
在316,所述节点装置检查在识别出的PIT处使用的容量。在318,针对所述节点装置的方法检查在所述PIT处使用的容量是否超过预定阈值。当所述方法确定在所述PIT处使用的容量等于或低于所述预定阈值时,所述方法进行到320。在320,所述节点装置将接收的请求消息存储在识别出的PIT中。
在322,所述方法从FIB表搜索与接收的请求消息相似的名称,或者可选择地,搜索与接收的请求消息匹配的名称,检查与搜索出的名称对应的接口单元,并通过检查出的接口单元发送接收的请求消息。
当所述方法确定在所述PIT处使用的容量超过预定阈值时,所述方法进行到324。在324,针对所述节点装置的方法将流量控制消息发送到识别出的接口单元。在一个示例中,响应消息可请求控制请求消息的发送间隔。流量控制消息可包含用于识别和验证节点装置的验证信息。例如,流量控制消息可包含跳数信息、保持时间信息和发送间隔信息中的至少一个。
图4示出根据说明性示例的描述在节点装置中处理攻击的方法或处理的流程图。
参照图4,在410,所述节点装置处的方法发送流量控制消息。在412,所述节点装置处的方法接收请求消息。在414,所述方法识别接收到所述请求消息的接口单元。
在416,所述方法检查识别出的接口单元是否是控制流量的接口单元。当所述方法在416确定识别出的接口单元不是控制流量的接口单元时,所述方法执行图3的314(图3和图4中示出的“A”)。
当所述方法在416确定识别出的接口单元是控制流量的接口单元时,在418,所述节点装置处的方法检查是否观察到通过流量控制消息请求的流量。这里,当以比请求的发送间隔更短的间隔从被发送流量控制消息的接口单元接收到请求消息时,所述节点装置处的方法可确定没有观察到请求的流量。
当所述方法在418确定观察到请求的流量时,在420,所述方法将接收的请求消息存储在与识别出的接口单元对应的PIT中。
另外,在422,所述节点装置处的方法从FIB表中搜索与接收的请求消息具有高度相似性的名称,检查对应于搜索出的名称的接口单元,并通过检查出的接口单元发送接收的请求消息。
作为结果,当所述方法在418确定:确定没有观察到请求的流量时,在424,所述节点装置处的方法丢弃在请求的发送间隔之外接收的请求消息。
将理解,在本发明的实施例中,尽管可在不脱离本发明的精神和范围的情况下改变一些步骤的顺序等,但按照所示的顺序和方式执行图3和图4中的操作。根据说明性示例,还可提供在非暂时性计算机可读介质上实施的计算机程序,对指令进行编码以至少执行在图3和图4中描述的方法。
用于执行在图3和图4中描述的方法或所述方法的一个或多个操作的程序指令可被记录,存储或固定在一个或多个计算机可读存储介质中。可通过计算机实现所述程序指令。例如,计算机可使处理器执行所述程序指令。所述介质可包括单独的程序指令、数据文件、数据结构等或与程序指令结合的数据文件、数据结构等。计算机可读介质的示例包括:磁介质(诸如,硬盘、软盘和磁带);光学介质(诸如,CD-ROM盘和DVD);磁光介质(诸如,光盘);以及专门配置为存储和执行程序指令的硬件装置(诸如,只读存储器(ROM)、随机存取存储器(RAM)、闪存等)。程序指令的示例包括机器代码(诸如由编译器生成的机器代码)和包含可由计算机使用解释器执行的更高级代码的文件。所述程序指令,即,软件,可被分布在联网的计算机系统上,从而以分布式方式存储和执行所述软件。例如,可由一个或多个计算机可读记录介质存储所述软件和数据。此外,基于并使用附图的流程图和框图及在此提供的所述流程图和框图的对应描述,实施例所属领域的程序员可容易地解释用于完成在此公开的示例实施例的功能程序、代码和代码段。
虽然已示出和描述了示例实施例,但本领域的技术人员将理解,在不脱离本公开的原理和精神的情况下,可对这些示例实施例做出改变,本公开的范围在权利要求及其等同物中被限定。
以上已描述了一些示例。然而,将理解,可做出各种修改。例如,如果以不同的顺序执行描述的技术,并且/或者如果在描述的系统、架构、装置或电路中的组件以不同的方式被组合和/或被其它组件或它们的等同物所取代或补充,则可实现适当的结果。因此,其它实施方式在权利要求的范围内。
Claims (21)
1.一种节点装置,包括:
接口单元,被配置为从基于名称的网络接收请求消息;
待定兴趣表(PIT),被配置为存储请求消息,所述PIT与所述接口单元分别匹配;
控制单元,被配置为当所述接口单元中的一个接口单元接收到请求消息时,识别接收到请求消息的接口单元,并识别所述PIT中与识别出的接口单元匹配的一个PIT,从而控制识别出的PIT存储请求消息;
攻击检测单元,被配置为检查在识别出的PIT处使用的容量并检测使用的容量是否超过预定阈值,当在所述PIT处使用的容量超过所述预定阈值时,通过与识别出的PIT匹配的接口单元检测攻击。
2.如权利要求1所述的节点装置,其中,所述PIT中的每个PIT的容量被设置为流入与接口单元匹配的每个PIT的流量的函数。
3.如权利要求1所述的节点装置,还包括:
流量控制请求单元,被配置为将流量控制消息发送到与识别出的PIT匹配的接口单元,
其中,所述流量控制消息请求控制所述请求消息的发送间隔。
4.如权利要求3所述的节点装置,其中,所述流量控制消息包括验证信息以识别并验证所述节点装置。
5.如权利要求4所述的节点装置,其中,所述流量控制消息还包括以下信息中的至少一个:
跳数信息,表示发送流量控制消息的节点的数量,
保持时间信息,表示通过流量控制消息保持流量控制的时间,
发送间隔信息,表示请求消息的发送间隔。
6.如权利要求3所述的节点装置,还包括:
攻击管理单元,被配置为当以比由识别出的接口单元请求的发送间隔更短的间隔接收到请求消息时,并且在流量控制消息被发送之后,丢弃以除了由识别出的接口单元请求的发送间隔以外的发送间隔接收到请求消息。
7.如权利要求3所述的节点装置,其中,所述流量控制请求单元将流量控制消息发送到接口单元的所有单元。
8.如权利要求7所述的节点装置,还包括:
攻击管理单元,被配置为当以比由每个接口单元请求的发送间隔更短的间隔接收到请求消息,并且在流量控制消息被发送到接口单元之后,丢弃以除了由所述每个接口单元请求的发送间隔以外的发送间隔接收到的请求消息。
9.一种防止待定兴趣表溢出的方法,包括:
在接口单元接收从基于名称的网络产生的请求消息;
识别接口单元中接收到所述请求消息的接口单元;
识别待定兴趣表(PIT)中对应于识别出的接口单元的待定兴趣表(PIT);
将所述请求消息存储在识别出的PIT中以防止节点装置中的待定兴趣表(PIT)的溢出;
检查在识别出的PIT处使用的容量并检测使用的容量是否超过预定阈值;
当检测出在PIT处使用的容量超过所述预定阈值时,通过与识别出的PIT匹配的接口单元检测攻击。
10.如权利要求9所述的方法,其中,每个PIT匹配每个接口单元。
11.如权利要求9所述的方法,其中,所述PIT中的每个PIT的容量被设置为流入多个接口单元中的每个匹配单元的流量的函数。
12.如权利要求9所述的方法,还包括:
将流量控制消息发送到识别出的接口单元,
其中,所述流量控制消息请求控制请求消息的发送间隔。
13.如权利要求12所述的方法,其中,所述流量控制消息包括验证信息以识别并验证所述节点装置。
14.如权利要求13所述的方法,其中,所述流量控制信息包括:
跳数信息,表示发送流量控制消息的节点的数量;
保持时间信息,表示通过流量控制消息保持流量控制的时间;
发送间隔信息,表示请求消息的发送间隔。
15.如权利要求12所述的方法,还包括:
当在发送流量控制消息之后以比由识别出的接口单元请求的发送间隔更短的间隔接收到请求消息时,丢弃以除了由识别出的接口单元请求的发送间隔以外的发送间隔接收到的请求消息。
16.如权利要求12所述的方法,其中,发送流量控制消息的步骤将流量控制消息发送到所有接口单元。
17.如权利要求16所述的方法,还包括:
当在发送流量控制消息之后以比由每个接口单元请求的发送间隔更短的间隔接收到请求消息时,丢弃以除了由所述每个接口单元请求的发送间隔以外的发送间隔接收到的请求消息。
18.一种防止待定兴趣表溢出的设备,包括:
待定兴趣表(PIT),被配置为接收请求消息并存储接收的请求消息;
控制单元,被配置为识别接收请求消息的接口单元,从PIT中识别对应于识别出的接口单元的PIT,并控制识别出的PIT存储所述请求消息以防止识别出的PIT的溢出;
攻击检测单元,被配置为检查存储在识别出的PIT中的容量,并检测存储的容量是否超过预定阈值,其中,当存储在识别出的PIT中的容量超过所述预定阈值时,所述攻击检测单元通过对应于识别出的PIT的接口单元来检测攻击。
19.如权利要求18所述的设备,还包括:
转发信息数据库(FIB)表,被配置为存储请求消息的名称和对应的接口信息。
20.如权利要求18所述的设备,其中,基于流入对应于所述PIT的接口单元的流量或根据所述设备的位置,设置所述预定阈值。
21.如权利要求18所述的设备,还包括:
流量控制请求单元,被配置为将流量控制消息发送到由攻击检测单元检测出的接口单元,其中,所述流量控制消息包括以下信息中的至少一个:跳数信息、保持时间信息和发送间隔信息中的至少一个以及用于识别和验证节点装置的验证信息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110055480A KR101715080B1 (ko) | 2011-06-09 | 2011-06-09 | 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 |
KR10-2011-0055480 | 2011-06-09 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102821039A CN102821039A (zh) | 2012-12-12 |
CN102821039B true CN102821039B (zh) | 2017-06-16 |
Family
ID=46229307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210191863.2A Active CN102821039B (zh) | 2011-06-09 | 2012-06-11 | 基于名称的网络系统中防止待定兴趣表溢出的设备和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9143527B2 (zh) |
EP (1) | EP2533495B1 (zh) |
JP (1) | JP6026789B2 (zh) |
KR (1) | KR101715080B1 (zh) |
CN (1) | CN102821039B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120136507A (ko) * | 2011-06-09 | 2012-12-20 | 삼성전자주식회사 | 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 |
CN103179037B (zh) * | 2012-12-13 | 2015-12-09 | 清华大学 | 基于内容的数据中心网络的数据传输方法 |
KR102033999B1 (ko) * | 2012-12-21 | 2019-10-21 | 삼성전자주식회사 | 컨텐트 중심 네트워크에서의 통신 방법 및 장치 |
CN104737505B (zh) * | 2013-02-05 | 2017-07-14 | 华为技术有限公司 | 基于缓存的路由方法及路由节点 |
US20140280823A1 (en) * | 2013-03-14 | 2014-09-18 | Alcatel-Lucent | Wire-speed pending interest table |
CN104052667B (zh) * | 2013-03-15 | 2017-05-31 | 华为技术有限公司 | 报文处理方法及设备 |
CN104283808B (zh) | 2013-07-03 | 2019-03-26 | 华为技术有限公司 | 拥塞控制方法、设备及系统 |
CN103747083B (zh) * | 2014-01-02 | 2015-10-14 | 北京邮电大学 | 一种基于ccn的内容推送方法 |
KR102185350B1 (ko) * | 2014-06-10 | 2020-12-01 | 삼성전자주식회사 | 네트워크 노드 및 네트워크 노드의 동작 방법 |
US9762490B2 (en) * | 2014-10-27 | 2017-09-12 | Telefonaktiebolaget L M Ericsson (Publ) | Content filtering for information centric networks |
US10397066B2 (en) | 2014-10-27 | 2019-08-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Content filtering for information centric networks |
CN104537091B (zh) * | 2015-01-06 | 2018-08-10 | 湖南科技大学 | 一种基于层次标识路由的网络化关系数据查询方法 |
US10425503B2 (en) | 2016-04-07 | 2019-09-24 | Cisco Technology, Inc. | Shared pending interest table in a content centric network |
CN107369319B (zh) * | 2017-06-06 | 2019-12-10 | 中国科学院信息工程研究所 | 一种路况信息的获取方法及装置 |
CN108924055B (zh) * | 2018-08-23 | 2019-06-14 | 北京理工大学 | 一种基于斯坦纳树的命名数据网络多播路由方法 |
CN110035377B (zh) * | 2019-03-19 | 2020-08-14 | 南开大学 | 一种基于动态方向接口模型的车载命名数据网络传输方法 |
CN110753123B (zh) * | 2019-10-28 | 2020-10-23 | 北京理工大学 | 一种面向连接的命名数据网络数据传输方法 |
CN113132238A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 一种通信方法及设备 |
CN111786976B (zh) * | 2020-06-22 | 2021-05-25 | 上海交通大学 | 一种ndn网络中基于路径聚合的兴趣包泛洪攻击检测系统 |
KR102651987B1 (ko) * | 2021-10-08 | 2024-03-27 | 한국전자통신연구원 | NDN 네트워크에서 DDoS 공격 대응 방법 및 장치 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19845331A1 (de) | 1998-10-01 | 2000-04-06 | Siemens Ag | Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- und Datennetz |
US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
JP3861625B2 (ja) | 2001-06-13 | 2006-12-20 | ソニー株式会社 | データ転送システム、データ転送装置、記録装置、データ転送方法 |
WO2003017562A1 (en) | 2001-08-15 | 2003-02-27 | Precache Inc. | Packet routing via payload inspection and subscription processing in a publish-subscribe network |
US7656840B2 (en) * | 2003-02-26 | 2010-02-02 | Nokia Corporation | Method of reducing denial-of-service attacks and a system as well as an access router therefor |
US20060130140A1 (en) * | 2004-12-14 | 2006-06-15 | International Business Machines Corporation | System and method for protecting a server against denial of service attacks |
US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
WO2007052527A1 (ja) * | 2005-10-31 | 2007-05-10 | Matsushita Electric Industrial Co., Ltd. | 無線通信システム、通信装置、及び中継装置 |
US8161549B2 (en) * | 2005-11-17 | 2012-04-17 | Patrik Lahti | Method for defending against denial-of-service attack on the IPV6 neighbor cache |
US20070115828A1 (en) * | 2005-11-18 | 2007-05-24 | Ramandeep Ahuja | Method for sending requests in a network |
US7607041B2 (en) * | 2005-12-16 | 2009-10-20 | Cisco Technology, Inc. | Methods and apparatus providing recovery from computer and network security attacks |
US20070156594A1 (en) | 2006-01-03 | 2007-07-05 | Mcgucken Elliot | System and method for allowing creators, artsists, and owners to protect and profit from content |
JP4837378B2 (ja) * | 2006-01-04 | 2011-12-14 | 株式会社日立製作所 | データの改竄を防止する記憶装置 |
JP2007266850A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 伝送装置 |
JP2009147569A (ja) * | 2007-12-12 | 2009-07-02 | Fujitsu Ltd | フレーム送信装置およびフレーム受信装置 |
WO2009139170A1 (ja) * | 2008-05-16 | 2009-11-19 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
US8375453B2 (en) * | 2008-05-21 | 2013-02-12 | At&T Intellectual Property I, Lp | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network |
US20100063873A1 (en) | 2008-09-08 | 2010-03-11 | Elliot McGucken | Method for providing creator-centric region on displays, devices, and social networks where content owners can define rights and creating a novel rights and content repositor |
US8204060B2 (en) | 2009-01-30 | 2012-06-19 | Palo Alto Research Center Incorporated | Method and system for facilitating forwarding a packet in a content-centric network |
US8121135B2 (en) * | 2009-06-23 | 2012-02-21 | Juniper Networks, Inc. | Discovering path maximum transmission unit size |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
KR101688857B1 (ko) * | 2010-05-13 | 2016-12-23 | 삼성전자주식회사 | 컨텐츠 중심 네트워크(ccn)에서 단말 및 허브의 통신 방법 및 컨텐츠 중심 네트워크를 위한 단말 |
US8837499B2 (en) * | 2011-05-14 | 2014-09-16 | International Business Machines Corporation | Distributed fabric protocol (DFP) switching network architecture |
US8667172B2 (en) * | 2011-06-07 | 2014-03-04 | Futurewei Technologies, Inc. | Method and apparatus for content identifier based radius constrained cache flooding to enable efficient content routing |
KR20120136507A (ko) * | 2011-06-09 | 2012-12-20 | 삼성전자주식회사 | 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 |
US8694675B2 (en) * | 2011-09-01 | 2014-04-08 | Futurewei Technologies, Inc. | Generalized dual-mode data forwarding plane for information-centric network |
KR101474320B1 (ko) * | 2013-02-04 | 2014-12-18 | 아주대학교산학협력단 | 위치기반 컨텐츠를 위한 위치기반 컨텐츠 중심 네트워킹 방법 |
US9185120B2 (en) * | 2013-05-23 | 2015-11-10 | Palo Alto Research Center Incorporated | Method and system for mitigating interest flooding attacks in content-centric networks |
-
2011
- 2011-06-09 KR KR1020110055480A patent/KR101715080B1/ko active IP Right Grant
-
2012
- 2012-06-07 EP EP12171164.2A patent/EP2533495B1/en active Active
- 2012-06-08 US US13/491,683 patent/US9143527B2/en active Active
- 2012-06-11 JP JP2012132321A patent/JP6026789B2/ja active Active
- 2012-06-11 CN CN201210191863.2A patent/CN102821039B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP2533495A2 (en) | 2012-12-12 |
CN102821039A (zh) | 2012-12-12 |
US20120317643A1 (en) | 2012-12-13 |
KR101715080B1 (ko) | 2017-03-13 |
US9143527B2 (en) | 2015-09-22 |
KR20120136506A (ko) | 2012-12-20 |
JP6026789B2 (ja) | 2016-11-16 |
EP2533495A3 (en) | 2013-01-16 |
EP2533495B1 (en) | 2014-03-12 |
JP2012257251A (ja) | 2012-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102821039B (zh) | 基于名称的网络系统中防止待定兴趣表溢出的设备和方法 | |
CN100361452C (zh) | 响应拒绝服务攻击的方法和设备 | |
CN105745870B (zh) | 从用于检测大流的串行多级过滤器去除头部过滤器以便清除流以实现延长操作 | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
CN111147513A (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
CN104320325B (zh) | 一种消息推送方法及装置 | |
CN104780103B (zh) | 报文转发方法及装置 | |
KR102585874B1 (ko) | Sdn네트워크에서 라우팅 제어 장치 및 방법 | |
CN109525587A (zh) | 一种数据包的识别方法及装置 | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
CN112287251B (zh) | 线上门店的异常状态检测方法、装置及系统 | |
CN112150514A (zh) | 视频的行人轨迹追踪方法、装置、设备及存储介质 | |
CN109981573B (zh) | 安全事件响应方法及装置 | |
TW201526589A (zh) | 以當前時間為基準共享公網ip之因特網連接請求流量之選擇性允許或阻止方法及用以執行該方法之公網ip共享之當前狀態檢測及阻止系統 | |
WO2020220220A1 (zh) | 分类模型训练方法、装置和计算机可读介质 | |
US20200382541A1 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
CN110147759A (zh) | 目标识别方法、系统、目标识别管理方法及存储介质 | |
CN110661796B (zh) | 一种用户动作流量的识别方法和识别装置 | |
US20170366464A1 (en) | Information processing method and information processing device | |
CN113785326A (zh) | 纸牌游戏的状态切换方法、装置、设备和存储介质 | |
CN101599902A (zh) | 一种获取业务信息的方法及装置 | |
KR101286713B1 (ko) | Sns문장분석을 통한 사용자 요구사항 수집방법 | |
KR20110027907A (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
CN106330722B (zh) | 一种创建路由缓存项的方法、转发报文的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |