CN104836810B - 一种ndn低速缓存污染攻击的协同检测方法 - Google Patents
一种ndn低速缓存污染攻击的协同检测方法 Download PDFInfo
- Publication number
- CN104836810B CN104836810B CN201510245400.3A CN201510245400A CN104836810B CN 104836810 B CN104836810 B CN 104836810B CN 201510245400 A CN201510245400 A CN 201510245400A CN 104836810 B CN104836810 B CN 104836810B
- Authority
- CN
- China
- Prior art keywords
- attack
- rate
- layers
- time quantum
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种NDN低速缓存污染攻击的协同检测方法,通过计算传输路径上多层节点请求变动率,进而融合各层节点与第一层节点请求变动率的相关性来检测攻击行为,在低速率缓存污染攻击场合,可保证高正确检测率,同时三层以上路由协同,能降低分散攻击的检测时延。本发明可同时有效检测低速集中攻击与分散攻击,以牺牲空间复杂度换取检测性能提升,可以应用于数据命名网络缓存污染攻击检测。
Description
技术领域
本发明涉及数据命名网络(NDN:Named Data Networking),具体设计一种NDN低速缓存污染攻击的协同检测方法,H04W28/14使用中间存储器;H04L 29/06以协议为特征的。
背景技术
下一代互联网架构是当前网络领域的重要研究方向之一。自2010年起,美国国家自然基金NSF赞助了4个未来网络的研究项目:NDN(Named Data Networking)项目、MobilityFirst项目、NEBULA项目、XIA项目,其中NDN(Named Data Networking)属于内容中心网络范畴,是下一代互联网架构的研究热点。所谓内容中心网络,是以内容为网络的中心,采用面向内容的设计架构,不同于传统互联网以主机为网络的中心。NDN只关注内容本身,而非内容的存储位置。NDN通过内容的名字对内容进行唯一标识,并利用内置的网络缓存来提高内容的分发效率,提高网络资源的利用率。
相比传统网络,NDN网络最大的特征是引入缓存机制。无处不在的缓存加快用户获取内容的速度,减轻网络拥塞,但同时也使NDN面临新的安全问题。目前NDN的安全威胁主要包括缓存污染攻击、兴趣泛洪攻击和隐私泄露,其中缓存污染攻击和隐私泄露均由缓存机制引起。缓存污染攻击是NDN中的一类重要安全隐患,该类攻击中,攻击者为了降低缓存服务,用不流行的内容置换缓存中流行的内容,使缓存中充斥用户所不关注的内容,从而导致用户无法就近获取所请求的高流行度内容。缓存污染攻击分为两类:分散攻击(Locality-Disruption)和集中攻击(False-Locality)。对于分散攻击,攻击者通过恶意请求大量低流行度的合法内容,使邻近用户的NDN节点缓存充斥低流行度内容,从而达到污染NDN节点缓存的目标。对于集中攻击,攻击者针对某类特定内容发送大量恶意请求,从而使该类内容长期占据网络节点的缓存,从而降低合法用户的请求命中率。
鉴于缓存污染攻击严重制约了网络性能,如何在攻击出现之初就检测出该类攻击,成为研究者所关注的问题。对于短时间内出现大量异常请求的快速缓存污染攻击,易于检测,目前也已提出若干良好的检测方案,而对于缓慢出现的低速率缓存污染攻击,仍缺乏有效的检测机制。现有检测方案主要如文献[1-2]中所提出的方法。文献[1]中,作者Park等人提出基于缓存中内容请求随机性的检测机制。每个节点将到达的请求数据经过哈希函数映射存储于矩阵,当矩阵的秩低于某一门限时,则判断出现攻击。这种机制不依赖于请求者的源地址,可同时适用于IP和NDN网络。然而Park等人考虑的网络结构过于简单,仅包含单一的缓存节点,因此该检测机制不能直接推广应用到实际网络,因为实际NDN网络包括多个路由节点,路由之间的信息交换会影响内容请求的随机性。此外该方法需要存储个兴趣包,N为缓存的大小。从计算角度考虑,有两个操作计算量很大:(1)将每个兴趣包映射为对应的哈希函数;(2)矩阵的秩计算。文献[2]中,作者Conti等人认为缓存污染攻击会改变路由中的内容请求分布,提出了一种轻量级检测机制Lightweight Mechanism(下文简记为LwM)。该机制首先选取一定的样本空间(如N类内容),然后计算样本空间内所有类请求率变化之和δ,当δ超过门限时,检测出受到攻击。这种轻量级检测机制节省了大量的计算资源,并且[2]中所用的网络拓扑接近现实网络拓扑,该文成果为缓存污染攻击检测领域的后继研究工作提供了良好的设计参考。但是[2]存在误判可能,当无攻击时也会出现合法请求变化率之和超出门限的状况,出现误判。
综上所述,缓存污染攻击是NDN中的主要安全威胁之一,攻击者用不流行的内容置换缓存中流行的内容,使用户无法就近获取所请求的高流行度内容,严重制约了网络性能。如何对其进行有效的检测,已成为当前NDN研究的热点。目前现有文献提出的若干检测方案,已经能解决短时间内出现大量异常请求的快速缓存污染攻击,但对于缓慢出现的低速率缓存污染攻击,现有多种检测方案均不适用。
[1]Park H,Widjaja I,Lee H.Detection ofcache pollution attacks usingrandomness checks[C]//Communications(ICC),2012IEEE International Conferenceon.IEEE,2012:1096-1100.
[2]Conti M,Gasti P,Teoli M.A lightweight mechanism for detection ofcache pollution attacks in Named Data Networking[J].Computer Networks,2013,57(16):3178-3191.
发明内容
本发明的目的在于提供一种NDN低速缓存污染攻击的协同检测方法,以实现对缓慢出现的低速率缓存污染攻击进行准确有效的检测,且在多层协同时可改善检测时间。
为了解决以上技术问题,本发明考虑到实际网络中,网络所提供的内容数远大于单个节点的缓存容量,缓存污染攻击会透过边缘节点,溯源而上,影响传输路径中的多个节点,因此利用传输路径上多节点对缓存污染攻击的感知,开展协同检测,是一种有效的检测方法。基于该设计思路,本发明在计算网络中相邻多节点请求变动率的基础上,以各层节点与第一层节点请求变动率的相关性为检测依据,提出了一种协同检测机制CollaborativeDetection Mechanism,下文简记为CDM,具体技术方案如下:
一种NDN低速缓存污染攻击的协同检测方法,其特征在于:采用多层路由
协同检测缓存污染攻击,具体包括以下步骤
步骤1:在L层节点级联的分层拓扑NDN网络中,将源服务器提供的M个不同内容,根据所述内容的流行度均匀划分为K个类;网络的攻击速率记为v,将攻击建立时间T等间隔划分为m个时间单元,每一时间单元持续时间为T0;在观测时间区间τ内,无攻击出现时,第r层路由器到达的第k类兴趣包个数记为Nnon(k,r,τ),使用公式统计第k类内容在第r层路由器处的正常请求率qnon(k,r,τ);当出现缓存污染攻击,攻击者对于第r层路由器发送的第k类恶意攻击兴趣包个数记为Nat(k,r,τ),使用公式统计第k类内容在第r层路由器处的异常请求率qat(k,r,τ);其中1≤k≤K,1≤r≤L,1≤τ≤m;
步骤2:每个NDN路由器在时间单元结束时,将该时间区间内所统计的兴趣包到达数目传输给负责本区域的数据融合中心即处理服务器,由数据融合中心使用公式逐层计算各层路由器在第i个时间单元内的请求变动率其中qat(k,r,i·T0)为第i个时间单元内第k类内容在第r层路由器处的异常请求率,qnon(k,r,∞)为第r层路由器处的第k类内容请求的长期正常分布统计;
步骤3:步骤3:数据融合中心根据当前以及过去W-1个时间单元的历史请求变动率进一步使用公式计算传输路径上每层节点与第一层节点请求变动率的归一化相关性这里,W为统计的时间单元个数,为第r层节点当前及过去W-1个时间单元的请求变动率的数学期望,为第1层节点当前及过去W-1个时间单元的请求变动率的方差,为第r层节点当前及过去W-1个时间单元的请求变动率的方差,W≤i≤m;
步骤4:数据融合中心采用最大比方式,在每个时间单元结束时,将传输路径上l个参与协同的路由器相关数据加以融合;设第j个协同路由器对应的权重因子为此时检测对象为l个路由器请求变动率相关系数的加权之和 为第i时间单元结束时,第j层节点与第一层节点请求变动率的相关系数;1≤l≤L;
步骤5:根据判决式
若l个协同路由器请求变动率相关系数的加权之和大于门限γ,则认为在i时间单元检测到攻击,反之认为无攻击;其中W≤i≤m,1≤l≤L。
对于低速率缓存污染攻击场合即攻击速率小于等于20%时,本发明能保证攻击检测的正确率大于90%。
所述的网络的攻击速率v定义如下:
对于网络第一层的边缘路由器,时间单元内恶意攻击兴趣包的增量占合法用户请求兴趣包的百分比;网络的攻击速率
对于低速率分散攻击,采用三层路由或三层以上路由协同检测能降低分散攻击的检测时延,提升检测性能;因为三层路由或三层以上路由协同相比两层路由协同,正确检测率提高3%,平均检测时延降低14%,检测性能更优。
本发明具有有益效果。本发明针对NDN低速率缓存污染攻击,通过计算传输路径上多层节点请求变动率,进而融合各层节点与第一层节点请求变动率的相关性来检测攻击行为,在低速率缓存污染攻击场合,保证高正确检测率,同时三层以上路由协同检测,能降低低速率分散攻击的检测时延。
相比先前文献公开的方法,本发明的检测机制在低速率攻击场合即攻击速率小于等于20%时,具备更高的正确检测率即正确检测率大于90%,且本发明多层协同时可改善检测时间。
附图说明
图1是本发明的分层路由级联结构示意图;
图2是本发明算法流程图;
具体实施方式
下面结合附图对本发明的技术方案做进一步详细说明。
设NDN网络场景如图1所示,网络中设置一个数据融合中心来集中处理各路由节点的检测数据,并反馈检测结果,设置网络拓扑为四层级联结构,网络中内容分为K=200类,每类内容数为1000个,缓存大小C=10G,单个文件大小为10Mbyte,缓存置换策略采取LRU(Least Recently Used),缓存判决策略采用LCE(Leave Copy Everywhere);合法用户的请求服从α=1.2的Zipf分布;第一层节点的请求到达率服从泊松分布,每秒随机产生100个兴趣包请求,设时间单元长度为10秒,设一次用户请求过程共有150个时间单元,从第50个时间单元开始进行低速攻击;分散攻击时针对所有类随机发送兴趣请求,集中攻击时针对第20类发送兴趣请求。
现以攻击速率v=0.2,攻击模式为分散攻击,采用两层路由协同,说明具体实施方式。计算相关系数时取W=20,并根据数据融合中心在开始二十个时间单元内,对第一层与第二层路由器请求变动率相关性的计算统计结果,取门限γ=0.8。
本发明在以上实施条件下步骤为:
步骤1.NDN网络中各层路由器独立统计计算时间单元内内容的请求分布率,以边缘第一层路由器第1个时间单元为例,此时网络中无攻击,则统计结果为qnon(200,1,1)=[0.2591、0.1128、0.0693......0.0005、0.0005、0.0004],这里qnon(200,1,1)包含200个数据。
步骤2.每个路由器在时间单元结束时,将该时间区间内所统计计算的请求分布率传输给负责本区域的数据融合中心,由融合中心逐层计算并存储每层路由器在第i个时间单元实时请求变动率例如第50时间单元,第一层路由第二层路由依次类推。
步骤4.融合中心根据当前以及之前19个历史请求变动率进一步计算传输路径上每层节点与第一层节点请求变动率的归一化相关性例如第50时间单元,第一层节点前20个历史请求变动率为第二层节点前20个历史请求变动率为则第二层节点与第一层节点请求变动率的归一化相关性
步骤5.采用两层路由协同,融合中心采用最大比方式,在每个时间单元结束时,将传输路径上2个参与协同的路由器相关数据加以融合。第50时间单元对应的权重因子为ω1=1,检测对象为2个路由器请求变动率相关系数的加权之和0.81。
步骤6.根据门限γ=0.8,则第50时间单元两个协同路由器请求变动率相关系数的加权之和0.81大于门限0.8,则认为在50时间单元检测到攻击,整个算法流程如图2所示。
Claims (2)
1.一种NDN低速缓存污染攻击的协同检测方法,其特征在于:采用多层路由协同检测缓存污染攻击,具体包括以下步骤
步骤1:在L层节点级联的分层拓扑NDN网络中,将源服务器提供的M个不同内容,根据所述内容的流行度均匀划分为K个类;网络的攻击速率记为v,将攻击建立时间T等间隔划分为m个时间单元,每一时间单元持续时间为T0;在观测时间区间τ内,无攻击出现时,第r层路由器到达的第k类兴趣包个数记为Nnon(k,r,τ),使用公式统计第k类内容在第r层路由器处的正常请求率qnon(k,r,τ);当出现缓存污染攻击,攻击者对于第r层路由器发送的第k类恶意攻击兴趣包个数记为Nat(k,r,τ),使用公式统计第k类内容在第r层路由器处的异常请求率qat(k,r,τ);其中1≤k≤K,1≤r≤L,1≤τ≤m;
步骤2:每个NDN路由器在时间单元结束时,将该时间区间内所统计的兴趣包到达数目传输给负责本区域的数据融合中心即处理服务器,由数据融合中心使用公式逐层计算各层路由器在第i个时间单元内的请求变动率其中qat(k,r,i·T0)为第i个时间单元内第k类内容在第r层路由器处的异常请求率,qnon(k,r,∞)为第r层路由器处的第k类内容请求的长期正常分布统计;
步骤3:数据融合中心根据当前以及过去W-1个时间单元的历史请求变动率进一步使用公式计算传输路径上每层节点与第一层节点请求变动率的归一化相关性 这里,W 为统计的时间单元个数,为第r层节点当前及过去W-1个时间单元的请求变动率的数学期望,为第1层节点当前及过去W-1个时间单元的请求变动率的方差,为第r层节点当前及过去W-1个时间单元的请求变动率的方差,W≤i≤m;
步骤4:数据融合中心采用最大比方式,在每个时间单元结束时,将传输路径上l个参与协同的路由器相关数据加以融合;设第j个协同路由器对应的权重因子为此时检测对象为l个路由器请求变动率相关系数的加权之和 为第i时间单元结束时,第j层节点与第一层节点请求变动率的相关系数;1≤l≤L;
步骤5:根据判决式
若l个协同路由器请求变动率相关系数的加权之和大于门限γ,则认为在i时间单元检测到攻击,反之认为无攻击;其中W≤i≤m,1≤l≤L。
2.根据权利要求1所述的一种NDN低速缓存污染攻击的协同检测方法,其特征在于:
所述的网络的攻击速率v定义如下
对于网络第一层的边缘路由器,时间单元内恶意攻击兴趣包的增量占合法用户请求兴趣包的百分比;网络的攻击速率
对于低速率分散攻击,采用三层路由或三层以上路由协同检测能降低分散攻击的检测时延,以提升检测性能;因为三层路由或三层以上路由协同相比两层路由协同,正确检测率提高3%,平均检测时延降低14%,检测性能更优。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510245400.3A CN104836810B (zh) | 2015-05-14 | 2015-05-14 | 一种ndn低速缓存污染攻击的协同检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510245400.3A CN104836810B (zh) | 2015-05-14 | 2015-05-14 | 一种ndn低速缓存污染攻击的协同检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104836810A CN104836810A (zh) | 2015-08-12 |
CN104836810B true CN104836810B (zh) | 2017-11-03 |
Family
ID=53814446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510245400.3A Active CN104836810B (zh) | 2015-05-14 | 2015-05-14 | 一种ndn低速缓存污染攻击的协同检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104836810B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105429936B (zh) * | 2015-10-21 | 2018-10-09 | 北京交通大学 | 专网路由器内存储资源恶意占用抵御方法及装置 |
CN105376229A (zh) * | 2015-11-13 | 2016-03-02 | 中国人民解放军信息工程大学 | 一种内容中心网络缓存污染攻击主动防御方法 |
CN106920198B (zh) * | 2015-12-24 | 2022-08-26 | 日本电气株式会社 | 用于污染物溯源的设备和方法 |
CN105871820B (zh) * | 2016-03-23 | 2018-11-20 | 广东科学技术职业学院 | 一种动态频率的数据包捕获方法 |
CN106131844B (zh) * | 2016-07-21 | 2019-08-27 | 江苏大学 | 一种ndn中恶意请求兴趣包攻击的防御方法 |
CN107896217B (zh) * | 2017-11-28 | 2020-10-16 | 重庆邮电大学 | 内容中心网络中多参数的缓存污染攻击检测方法 |
CN109831455B (zh) * | 2019-03-14 | 2021-04-20 | 东南大学 | 一种缓解命名数据网络中隐蔽兴趣包泛洪攻击的方法 |
CN110049039B (zh) * | 2019-04-15 | 2021-09-10 | 哈尔滨工程大学 | 一种基于gbdt的信息中心网络缓存污染检测方法 |
CN110535875B (zh) * | 2019-09-19 | 2021-05-11 | 大连理工大学 | 车载内容中心网络下基于协作方式的缓存污染攻击检测方法 |
CN111327611B (zh) * | 2020-02-17 | 2022-04-05 | 辽宁大学 | 一种命名数据网络中的针对多种攻击的安全防护方法 |
CN111786976B (zh) * | 2020-06-22 | 2021-05-25 | 上海交通大学 | 一种ndn网络中基于路径聚合的兴趣包泛洪攻击检测系统 |
CN112188495B (zh) * | 2020-09-01 | 2021-11-19 | 大连理工大学 | 超密集网络下基于联邦学习的缓存污染攻击检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1669009A (zh) * | 2002-07-29 | 2005-09-14 | 国际商业机器公司 | 用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 |
CN102404317A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4950606B2 (ja) * | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
-
2015
- 2015-05-14 CN CN201510245400.3A patent/CN104836810B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1669009A (zh) * | 2002-07-29 | 2005-09-14 | 国际商业机器公司 | 用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 |
CN102404317A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104836810A (zh) | 2015-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104836810B (zh) | 一种ndn低速缓存污染攻击的协同检测方法 | |
CN106657107A (zh) | 一种SDN中基于信任值的自适应启动的ddos防御方法和系统 | |
CN107896217B (zh) | 内容中心网络中多参数的缓存污染攻击检测方法 | |
CN106131844B (zh) | 一种ndn中恶意请求兴趣包攻击的防御方法 | |
CN103973589B (zh) | 网络流量分类方法及装置 | |
CN110198341A (zh) | 一种基于内容流行度和节点中心度的协同缓存方法和系统 | |
CN113347156A (zh) | 一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质 | |
CN107483473A (zh) | 一种云环境的低速拒绝服务攻击数据流检测方法 | |
CN105763449A (zh) | 基于存储资源自适应调整的单包溯源方法 | |
Maity et al. | An effective probabilistic technique for DDoS detection in OpenFlow controller | |
CN105119876B (zh) | 一种自动生成的域名的检测方法及系统 | |
Wen | Cloud computing intrusion detection technology based on BP-NN | |
CN106101071B (zh) | 一种基于行为触发的防御链路耗尽型cc攻击的方法 | |
CN110213280A (zh) | 一种SDN环境下基于LDMDBF的DDoS攻击检测方法 | |
CN111782700A (zh) | 基于双层结构的数据流频次估计方法、系统及介质 | |
Wang et al. | SDN traffic anomaly detection method based on convolutional autoencoder and federated learning | |
Feng et al. | Research on the active DDoS filtering algorithm based on IP flow | |
CN105100016A (zh) | 基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法 | |
CN112235254B (zh) | 一种高速主干网中Tor网桥的快速识别方法 | |
CN105791300A (zh) | 基于追踪痕迹重要性评估的单包溯源方法 | |
Zhao et al. | A DDoS attack detection and defense mechanism based on the self‐organizing mapping in SDN | |
Wu et al. | Detection of improved collusive interest flooding attacks using BO-GBM fusion algorithm in NDN | |
CN107302571B (zh) | 基于果蝇算法的信息中心网络路由和缓存管理方法 | |
CN107070995A (zh) | 一种内容中心网络的缓存方法及装置 | |
Liu et al. | Identifying elephant flows using a reversible multilayer hashed counting bloom filter |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |