CN106131844B

CN106131844B - 一种ndn中恶意请求兴趣包攻击的防御方法

Info

Publication number: CN106131844B
Application number: CN201610578300.7A
Authority: CN
Inventors: 朱轶; 龚朴; 吴环宇; 康浩浩
Original assignee: Jiangsu University
Current assignee: Jiangsu University
Priority date: 2016-07-21
Filing date: 2016-07-21
Publication date: 2019-08-27
Anticipated expiration: 2036-07-21
Also published as: CN106131844A

Abstract

本发明公开了一种NDN中恶意请求兴趣包攻击的防御方法，通过定时查询下一跳转发节点的平均兴趣包丢包率，将可选转发节点划分为可靠群组与非可靠群组；根据当前接收请求兴趣包的下行接口兴趣包满足率以及所请求的内容类别，设置对应的转发概率，概率选择可靠群组或者非可靠群组中的某一节点，作为转发节点，实现将用户恶意请求大概率转发至非可靠群组，完成恶意请求流的汇聚；在此基础上，对于上行接口的转发流量，根据其转发目标群组的平均兴趣包丢包率进行限速，并按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率，实现用户恶意请求的有效消除。该发明可应用于存在用户恶意请求的NDN网络，有效保证网络的可靠性。

Description

一种NDN中恶意请求兴趣包攻击的防御方法

技术领域

本发明涉及数据命名网络(NDN:Named Data Networking)，具体设计一种NDN中恶意请求兴趣包攻击的防御方法(H04W28/14使用中间存储器；H04Q3/495用于路由选择连接通道)。

背景技术

“以数据内容为中心”是下一代互联网架构的核心设计思想，自2006年起，国外学术界开展了多项关于下一代互联网架构的研究项目，包括UC Berkeley RAD实验室提出的“面向数据的网络架构”(Data-Oriented Network Architecture，DONA)、欧盟FP7的4WARD以及“发布/订阅式互联网路由范例”(The Publish-Subscribe Internet RoutingParadigm，PSIRP)、加州大学洛杉矶分校提出的命名数据网络(Named Data Networking，NDN)等，其中NDN更具代表性，是目前下一代互联网架构的研究热点。不同于传统IP网络采用面向主机的通信模式，NDN中去除掉主机地址的标识，通过内容名对内容进行唯一标识，进行寻址、路由、转发，实现内容与内容存储位置的分离。如此，用户无需再将内容的请求转发至拥有该内容的特定主机，仅采用基于内容的路由转发机制，即可从提供该内容的邻近节点取回相应的内容。此外，NDN还可通过节点对内容的缓存，加快网络中其它用户访问所需内容的响应时间，在减少内容获取时间的同时，进一步减轻网络的拥塞状况，提高网络资源的利用率。

在NDN网络中，请求兴趣包(Interest Packet)基于节点的转发表(ForwardingInformation Base，FIB)信息进行转发，同时请求兴趣包状态也将记录在待定兴趣表(Pending Interest Table，PIT)中，用于后续返回的对应数据包(data Packet)的反向转发，即请求兴趣包的转发过程需要占用路由器的内存资源完成包状态记录功能；而且，每个请求兴趣包或者数据包的到达过程，都会触发路由器待定兴趣表的条目添加、删除和更新工作；另外，若路由器待定兴趣表记录的兴趣包无法找到对应内容的数据包，则该请求兴趣包在待定兴趣表中的对应条目，将一直保存到待定兴趣表条目生存时间超时。由于NDN的这一固有工作机制，导致恶意请求兴趣包(本发明文档中也称之为“恶意请求”)攻击就成为NDN中的重要安全隐患。

恶意请求兴趣包攻击(即部分文献中所定义的PIT泛洪攻击)指的是：若NDN网络中存在恶意用户，该类用户会发送恶意请求兴趣包，这类恶意兴趣包请求的内容在网络中根本不存在，即无法从网络中获取任何数据包。但根据NDN的工作机制，这些恶意请求兴趣包会同样进入节点的待定兴趣表中，长时间非法占用待定兴趣表的存储资源，直至超时。而如果恶意用户在短时间内发起大量恶意请求，产生大量恶意兴趣包，将致使NDN节点的待定兴趣表资源被快速消耗殆尽，从而导致其他合法请求兴趣包无法正常存入待定兴趣表，从而降低整体的网络性能，产生类似传统IP网络中DoS或者DDoS攻击的效果。

针对存在恶意用户的非安全NDN网络，如何有效防御攻击，改善网络性能，是一个迫切需要解决的问题，该问题的现有解决方案主要采用下行接口(请求兴趣包的到达接口)限速机制^[1-2]。

文献[1]提出了一种限速机制去对抗恶意请求兴趣包攻击——Poseidon算法。Poseidon算法连续检测每个下行接口的兴趣包未满足率，如果在两个连续的时间间隔内出现显著的比率变化，Poseidon将会在异常下行接口上设置一个过滤器，用于限制该接口上请求兴趣包的速率，但未指明具体兴趣包接收速率限制规则，仅说明当该接口指标恢复正常，则取消速率限制。

文献[2]针对恶意请求兴趣包攻击问题，同样采用了限速机制，基于接口满足率给出了具体可操作的下行限速机制，其基本原理是，路由器统计节点各个下行接口的兴趣包满足率，根据接口的兴趣包满足率对下行接口进行限速。具体的限速方法是：将异常下行接口的兴趣包接收速率限制为“原接收速率乘以该接口的兴趣包满足率”。事实上，这种限速机制存在着明显的弊端，根据下行接口满足率进行限速，同时也限制了合法请求兴趣包的速率，显著抑制了正常请求用户的网络访问能力，因此还有待改进。

文献[1-2]均采用了下行接口限速机制来防御恶意请求兴趣包攻击，但该机制无差别同时限制正常用户的请求与恶意用户的请求，导致正常用户性能被严重制约。此外，由于恶意请求兴趣包经常分散于各个下行接口上，导致NDN节点对每个下行接口都需要限制，使得节点整体工作效率极低。针对这一问题，本发明提出了一种NDN中恶意请求兴趣包攻击的防御方法，对于每个接收到的请求兴趣包，根据其到达接口的满足率以及所请求内容类别，设置对应的上行转发概率，将接收到的恶意请求大概率转发至非可靠群组；进而在上行接口上，根据其转发目标群组的平均兴趣包丢包率进行限速，实现用户恶意请求的有效消除，同时残留的用户恶意请求由于已经大概率汇聚转发至不可靠群组，对可靠群组影响极小，从而进一步保证了正常用户请求的网络访问性能。

[1]Liu X,Yang X,Xia Y.NetFence:Preventing Internet Denial of Servicefrom Inside Out[J].Acm Sigcomm Computer Communication Review,2010,40(4):255-266.

[2]Compagno A,Conti M,Gasti P,et al.Poseidon:Mitigating interestflooding DDoS attacks in Named Data Networking[J].Computer Science,2013:630-638.

发明内容

本发明的目的在于提供一种NDN中恶意请求兴趣包攻击的防御方法，以有效实现恶意请求的消除，同时有力保障正常用户的网络访问性能。

为了解决以上技术问题，本发明基于恶意请求流汇聚，根据当前用户请求到达接口的兴趣包满足率和请求内容类别，设置转发概率，概率选择下一跳节点，将恶意请求大概率汇聚到非可靠群组的上行转发接口上；之后，再对上行转发接口进行限速处理，由于恶意请求已经汇聚到少数上行转发接口上，而对这些上行接口限速可以有效实现恶意请求的消除。对于剩余没有被限速机制消除掉的恶意请求兴趣包，由于大概率转发至非可靠群组，因此对转发至可靠群组的正常用户请求影响极小，因此本发明中的转发策略也有力保障了正常用户的网络访问性能。

从保证网络的整体性能的角度，本发明将来自非可靠接口的用户请求，大概率转发至非可靠群组；而将来自可靠接口的用户请求转发至可靠群组。在此基础上，本发明对上行转发接口进行限速处理，提出了一种NDN中恶意请求兴趣包攻击的防御方法。具体技术方案如下：

一种NDN中恶意请求兴趣包攻击的防御方法，其特征在于包括以下步骤：

步骤一，针对存在用户恶意请求的非安全NDN网络，将下一跳所有可选节点划分为可靠群组与非可靠群组，根据当前接收到请求兴趣包到达接口的兴趣包满足率以及所请求内容类别，设置对应的上行转发概率，概率选择下一跳转发节点，实现上行转发请求兴趣包的分流调节，使得接收到的恶意请求兴趣包大概率转发至非可靠群组，实现恶意请求流的汇聚；

步骤二，对于上行接口的转发流量，根据其转发目标群组的丢包率进行限速，并按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率，实现用户恶意请求的有效消除，同时残留的用户恶意请求由于已经大概率汇聚转发至不可靠群组，对可靠群组影响极小，从而进一步保证了正常用户请求的网络访问性能；所述上行接口的转发流量由未命中的请求兴趣包组成。

所述步骤一具体包括以下过程：

过程一，在具有I层的NDN网络拓扑环境中，每一层均具有R个节点，即R个路由，所有节点都存在n个接口，每个节点均与下一层任一节点存在连通路径；由于用户恶意请求的存在，节点接收到的兴趣包有一定比例是虚假的，因此产生兴趣包丢包现象；设在观测时间T内，第i层的第r个节点接收到的兴趣包丢包率为S(i,r)，其中1≤i≤I,1≤r≤R；

过程二，第i层的节点周期性轮询第i+1层所有可选节点的兴趣包丢包率，并以此为依据计算出第i+1层所有可选节点的平均兴趣包丢包率所述进而，第i层节点采用为阈值，把第i+1层所有可选节点划分为可靠群组与非可靠群组；

过程三，用户发出的请求兴趣包在第i层节点没有命中，将需要向第i+1层节点进行转发；为了进一步计算转发概率，第i层节点需要对自身各个下行接口的兴趣包满足率进行统计，在观测时间T内，第i层节点第r个路由器第j个下行接口请求内容流行度为k的兴趣包满足率可以表示为γ(i,r,j,k)，这里γ(i,r,j,k)定义为在时间区间T内，第j个下行接口到达的第k类兴趣包中被满足的比例，即被满足的第k类兴趣包数量除以到达的第k类兴趣包数量；

过程四，在完成各个下行接口的兴趣包满足率统计之后，第i层节点根据各个下行接口的兴趣包满足率以及需要转发的请求兴趣包的内容类别，设置该请求兴趣包的上行转发概率。该请求兴趣包转发至可靠群组的上行转发概率为g_rel(i,r,j,k)，定义为：该请求兴趣包转发至不可靠群组的上行转发概率为g_unrel(i,r,j,k)，定义为：其中a表示上行接口转发流量的分流配比系数，a的建议取值区间为[0.075,0.085]；这一上行转发概率的设计，将使得接收到的用户恶意请求大概率转发至不可靠群组，实现恶意请求流的汇聚；由于可靠群组和不可靠群组均包含若干个节点，在可靠群组和不可靠群组中，请求兴趣包将等概率随机选择其中一个节点转发。

所述步骤二具体包括以下过程：

所述上行接口的转发流量根据其转发目标群组的平均兴趣包丢包率进行限速，实现用户恶意请求的有效抑制。转发至可靠群组的上行接口的转发流量设置为原先的转发至非可靠群组的上行接口流量设置为原先的

限速后的所述上行接口的转发流量，进一步按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率；即限速后，上行接口的转发流量中，来自于第j个接口的未命中请求兴趣包的比例设置为由于低接口满足率意味着该接口的用户恶意请求比例较大，这一设置可以更有效地限制用户恶意请求在上行接口转发流中的比例。

所述将下一跳所有可选节点划分为可靠群组与非可靠群组的具体划分规则为：对于第i+1层的第r个节点，若则该节点划入不可靠群组；若则该节点划入可靠群组。在完成可靠群组与非可靠群组划分后，第i层节点计算出可靠群组的平均兴趣包丢包率以及非可靠群组的平均兴趣包丢包率

本发明具有有益效果。本发明针对存在用户恶意请求的非安全NDN网络，根据当前用户请求接口的兴趣包满足率以及请求内容类别，设置转发概率，概率选择下一跳节点，并对于上行转发接口进行限速处理，实现恶意请求的有效消除。本发明将来自可靠接口、请求内容流行度高的兴趣包大概率转发至下一跳的可靠群组，来自非可靠接口、请求内容流行度低的兴趣包大概率转发至下一跳的非可靠群组。通过进行合理上行转发限速，以及精细化控制上行接口中来自不同下行接口的兴趣包请求流比例，有效保证了网络的整体可靠性。

与下行接口限速方法相比较，本发明可以更好地降低下一跳节点的请求兴趣包丢包率。当请求兴趣包中恶意请求比例固定为0.2时，采用下行接口限速方法，第二层节点请求兴趣包丢包率下降了8％，第三层节点请求兴趣包丢包率下降了13％；而采用本发明提出的上行接口分流限速方法，第二层节点请求兴趣包丢包率下降了21％，第三层节点请求兴趣包丢包率下降了30％。

附图说明

图1是本发明的分层网络拓扑场景；

图2是本发明方法流程图。

具体实施方式

下面结合附图对本发明的技术方案做进一步详细说明。

设NDN网络场景如图1所示，设置网络拓扑为5层结构，网络的每层有20个节点，每个节点有10个下行接口。数据源可以提供内容总数5000，根据内容流行度可以划分为50类，即每类包含内容数100，缓存大小与网络内容总量比例为0.01。缓存置换策略采取最近最少置换策略(LRU)，用户发送的请求兴趣包服从α＝1.2的Zipf-like分布，接口路由节点用户请求兴趣包的到达率10⁴个/秒，内容获取的网络平均往返时延8ms，路由节点PIT的条目生存时间24ms，接口分流配比系数a＝0.08。

本发明的方法流程图如图2所示。

现设置用户请求兴趣包中恶意兴趣包的比例为0.2，采用本发明所提出的基于恶意请求流汇聚的NDN上行接口限速方法，对第二层和第三层节点的兴趣包丢包率进行计算，与随机转发策略下的结果进行比较。

本发明在以上实施条件下步骤为：

步骤1：在非安全NDN网络环境中，用户发出的请求兴趣包在边缘第一层的第一个节点没有命中，需要向第二层节点进行转发。首先统计第二层20个节点的丢包率，统计结果为S(2,r)＝[0.325、0.142、......0.083、0.092]，,1≤r≤20。计算第二层节点的平均兴趣包丢包率根据可靠与非可靠群组划分规则将第二层节点的20个路由器划分为两个群组，计算出第二层节点可靠群组和不可靠群组节点的平均兴趣包丢包率，计算结果为和

步骤2：第一层的第一个节点对当前10个下行接口的兴趣包满足率进行独立统计，请求第一类内容的统计结果为γ(1,1,j,1)＝[0.82、0.75......0.54、0.21]，,1≤j≤10；请求第二类内容的统计结果为γ(1,1,j,2)＝[0.53、0.92......0.41、0.63],1≤j≤10，依此类推，得到50类内容的下行接口兴趣包满足率。

步骤3：根据第一层第一个节点的10个下行接口兴趣包满足率和请求内容类别设置转发概率。来自第j个接口，请求第一类内容的兴趣包转发至可靠群组的转发概率为g_rel(1,1,j,1)＝[0.77、0.62......0.43、0.16],1≤j≤10；转发至不可靠群组的转发概率为g_unrel(1,1,j,1)＝[0.23、0.38......0.57、0.84],1≤j≤10；依此类推，得到来自不同下行接口的每一类内容请求兴趣包转发概率。由于网络第二层存在20个节点，在可靠群组和不可靠群组中，请求兴趣包均服从等概率转发。

步骤4：上行接口转发流量首先分别按其转发目标群组的平均兴趣包丢包率进行限速，转发至可靠群组的上行接口流量设置为原先的0.897，转发至非可靠群组的上行接口流量设置为原先的0.719。进而按照组成流量来源下行接口的请求兴趣包满足率确定其在限速后转发流中的比率。来源于10个下行接口的流量根据当前接口请求兴趣包满足率，在限速后转发流中的比率设置为[0.263、0.212......0.086、0.051]。

Claims

1.一种NDN中恶意请求兴趣包攻击的防御方法，其特征在于包括以下步骤：

步骤一，针对存在用户恶意请求的非安全NDN网络，将下一跳所有可选节点划分为可靠群组与非可靠群组，根据当前接收到请求兴趣包到达接口的兴趣包满足率以及所请求内容类别，设置对应的上行转发概率，概率选择下一跳转发节点，实现上行转发请求兴趣包的分流调节，使得接收到的恶意请求兴趣包大概率转发至非可靠群组，实现恶意请求流的汇聚，该步骤具体包括以下过程：

过程四，在完成各个下行接口的兴趣包满足率统计之后，第i层节点根据各个下行接口的兴趣包满足率以及需要转发的请求兴趣包的内容类别，设置该请求兴趣包的上行转发概率；该请求兴趣包转发至可靠群组的上行转发概率为g_rel(i,r,j,k)，定义为：该请求兴趣包转发至不可靠群组的上行转发概率为g_unrel(i,r,j,k)，定义为：其中a表示上行接口转发流量的分流配比系数，a的建议取值区间为[0.075,0.085]；这一上行转发概率的设计，将使得接收到的用户恶意请求大概率转发至不可靠群组，实现恶意请求流的汇聚；由于可靠群组和不可靠群组均包含若干个节点，在可靠群组和不可靠群组中，请求兴趣包将等概率随机选择其中一个节点转发；

步骤二，对于上行接口的转发流量，根据其转发目标群组的丢包率进行限速，并按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率，实现用户恶意请求的有效消除，同时残留的用户恶意请求由于已经大概率汇聚转发至不可靠群组，对可靠群组影响极小，从而进一步保证了正常用户请求的网络访问性能；所述上行接口的转发流量由未命中的请求兴趣包组成；该步骤具体包括以下过程：所述上行接口的转发流量根据其转发目标群组的平均兴趣包丢包率进行限速，实现用户恶意请求的有效抑制；转发至可靠群组的上行接口的转发流量设置为原先的转发至非可靠群组的上行接口流量设置为原先的其中为第i+1层节点计算出的可靠群组的平均兴趣包丢包率，为第i+1层节点计算出的非可靠群组的平均兴趣包丢包率。

2.根据权利要求1所述的一种NDN中恶意请求兴趣包攻击的防御方法，其特征在于：限速后的所述上行接口的转发流量，进一步按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率；即限速后，上行接口的转发流量中，来自于第j个接口的未命中请求兴趣包的比例设置为其中γ(i,r,j,k)表示第i层节点第r个路由器第j个下行接口请求内容流行度为k的兴趣包满足率；由于低接口满足率意味着该接口的用户恶意请求比例较大，这一设置可以更有效地限制用户恶意请求在上行接口转发流中的比例。

3.根据权利要求1所述的一种NDN中恶意请求兴趣包攻击的防御方法，其特征在于所述将下一跳所有可选节点划分为可靠群组与非可靠群组的具体划分规则为：对于第i+1层的第r个节点，若则该节点划入不可靠群组；若则该节点划入可靠群组；其中，S(i+1,r)为在观测时间T内，第i+1层的第r个节点接收到的兴趣包丢包率，为第i+1层所有可选节点的平均兴趣包丢包率；在完成可靠群组与非可靠群组划分后，第i层节点计算出可靠群组的平均兴趣包丢包率以及非可靠群组的平均兴趣包丢包率