CN107612876B - 智慧协同网络中服务请求包泛洪攻击的检测方法 - Google Patents

Abstract

本发明提供了一种智慧协同网络中服务请求包泛洪攻击的检测与响应方法。该方法主要包括：选取智慧协同网络中的节点，计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度；判断不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，如果是，则确定所述智慧协同网络发生了服务请求包泛洪攻击。本发明能够监测服务请求包请求的服务标识分布的变化，通过计算服务标识的基尼不纯度的异常变化来间接诊断服务请求包泛洪攻击的发生，能够有效地检测服务请求包泛洪攻击，降低服务请求包泛洪攻击的误判率，保障智慧协同网络的安全性。

Description

智慧协同网络中服务请求包泛洪攻击的检测方法

技术领域

本发明涉及网络攻击检测技术领域，尤其涉及一种智慧协同网络中服务请求包泛洪攻击的检测方法。

背景技术

互联网自从过去几十年出现以来，对人类社会的发展产生了巨大的影响。然而，随着互联网在世界各地的广泛使用，传统网络的不足逐渐显现。最初，互联网是为了简单地在两台计算机之间传送数据而设计的，因此，传统网络架构实行主机到主机的设计原则，网络中的所有主机都使用IP地址来表示其位置信息。这种以主机为中心的网络架构在可扩展性、可管理性、移动性和安全性等方面面临许多严重问题。尽管到目前为止世界各国的研究人员已经提出了很多解决方案来提升传统网络的性能，但传统僵化的网络架构仍然限制了互联网的进一步发展。

由于互联网具有强大的开放性，传统网络架构存在巨大的安全隐患，如前缀劫持攻击、IP欺骗攻击、DDoS攻击等。在这些攻击方式中，DDoS攻击的使用最为广泛，并且可能对受害者造成巨大损失。虽然软件定义网络(SDN,Software-Defined Networking)、信息中心网络(ICN,Information-Centric Networking)和智慧协同网络(SINET,Smart IdentiferNetwork)等新型互联网架构在改善互联网安全问题方面取得了一些成果，但攻击者同时也在分析这些新型网络架构的特点，从而找到新的攻击方法。

智慧协同网络于2013年被提出，传统的互联网的通信模式以主机为中心，智慧协同网络以资源和服务为中心，网络中信息的位置基于服务标识而不再基于传统网络中的IP地址。智慧协同网络的“三层、两域”总体系架构模型如图1所示。“三层”即：智慧服务层、资源适配层和网络组件层。“智慧服务层”主要负责服务的标识和描述，以及服务的智慧查找与动态匹配等；“资源适配层”通过感知服务需求与网络状态，动态地适配网络资源并构建网络族群，以充分满足服务需求进而提升用户体验，并提高网络资源利用率；“网络组件层”主要负责数据的存储与传输，以及网络组件的行为感知与聚类等。

“两域”指实体域和行为域。实体域使用SID(Service ID，服务标识)来标记一次智慧服务，实现服务的“资源和位置分离”；使用FID(Family ID，族群标识)来标记一个族群功能模块；使用NID(Node ID，组件标识)来标记一个网络组件设备，实现网络的“控制和数据分离”及“身份与位置分离”；行为域使用SBD(Service Behavior Description，服务行为描述)、FBD(Family Behavior Description，族群行为描述)和NBD(Node BehaviorDescription，组件行为描述)来分别描述实体域中服务标识、族群标识和组件标识的行为特征。

智慧协同网络的传输过程中有三种类型的传输包和三个路由表项。三种类型的传输包包括：

服务注册包：服务提供者用于注册新的服务；

服务请求包：用于请求需要的服务；

服务数据包：用于回复所请求的服务。

路由器中的三个表项包括：

待转发服务请求表：用于记录已经转发过的服务请求包的服务标识以及这些服务请求包对应的接口(face)信息；

转发路由表：记录了节点之间的转发规则，是数据路由转发的主要依据。用于转发服务请求包到可能的服务提供者节点；

服务缓存表：负责缓存已成功请求的服务。

当一个路由器接收到服务请求包时，对服务请求包的处理流程如下：

(1)根据服务标识查询本地的服务缓存表，若有相应数据缓存，则从接收到该请求包的接口返回这个服务数据包，然后直接丢弃这个已经被满足了的服务请求包；

(2)如果服务缓存表中没有匹配的数据，则按照服务标识匹配继续查找待转发服务请求表。如果待转发服务请求表中有对应项，表明该节点之前已经收到过相同的服务请求并且已经转发出去了，但还未获得返回结果。这时只要把该服务请求包进来的接口加入到待转发服务请求表对应服务标识项的接口列表中，然后直接丢弃这个请求包。当相应的数据包返回时，按照待转发服务请求表里记录的接口列表分别给每个接口回复一个数据包，并将该数据缓存到服务缓存表中；

(3)如果在服务缓存表和待转发服务请求表中都没有匹配项，就需要继续在转发路由表中进行查找。若转发路由表中有对应项，则说明该节点是第一次收到这样的服务请求包，根据转发路由表中对应的服务标识的接口列表向其他节点转发该服务请求，同时在待转发服务请求表中加一条新条目以表明对这个服务的请求正在解决中；

(4)如果服务缓存表、待转发服务请求表、转发路由表中都没有相应的匹配结果，表明该节点无法处理这个服务请求，就直接丢弃这个服务请求包。

利用智慧协同网络的结构和路由机制，攻击者开展针对智慧协同网络架构的DDoS攻击。网络中每个新的服务请求都会被添加到待转发服务请求表中，因此攻击者通过发送大量伪造的服务请求包来发起服务请求包泛洪攻击。如图2所示，攻击者产生大量的恶意服务请求包，并将其发送给中间路由器。由于恶意服务请求包请求的服务标识是伪造的，没有服务提供者会产生相应的数据包返回给攻击者。因此，恶意服务请求包相应的待转发服务请求表条目会始终存在于待转发服务请求表中，直到超过过期时间。当待转发服务请求表表被恶意服务请求包条目占满时，它会丢弃所有新收到的服务请求包，导致合法的服务请求包不能被转发到内容提供者。在这种情况下，整个智慧协同网络将会受到严重的影响。

现有技术中的一种数据包泛洪攻击的检测方法为基于数据请求包未满足率的检测方法。在数据包泛洪攻击中，由于攻击者请求的是不存在的数据，没有数据提供者可以产生恶意请求的数据，这会导致数据请求包的未满足率增大。因此，该方法利用这一特点来检测数据包泛洪攻击，当数据请求包的未满足率超过某一提前设定的阈值时，判断为有数据包泛洪攻击。

上述基于数据请求包未满足率的检测方法的缺点为：由于前缀劫持攻击等其他攻击也可能导致较高的数据包未满足率，因此，基于数据请求包未满足率的检测方法无法区分数据包泛洪攻击与其他攻击，对数据包泛洪攻击的误判率较高，不利于防御者针对特定攻击采用合适的响应方法。

智慧协同网络中，上游路由器受到攻击后，会丢弃下游路由器发送来的数据包，因此下游路由器的数据请求包未满足率也会增大，导致下游路由器容易被误判为出现攻击。基于数据请求包未满足率的检测方法需要在攻击到达受害者的一段时间后才能检测到攻击，攻击检测的实时性不高。

发明内容

本发明的实施例提供了一种智慧协同网络中服务请求包泛洪攻击的检测方法，以实现有效地检测出智慧协同网络中的服务请求包泛洪攻击。

为了实现上述目的，本发明采取了如下技术方案。

一种智慧协同网络中服务请求包泛洪攻击的检测方法，包括：

选取智慧协同网络中的节点，计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度；

判断不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，如果是，则确定所述智慧协同网络发生了服务请求包泛洪攻击；

所述的选取智慧协同网络中的节点，包括计算智慧协同网络中的各个节点的接近中心度或者中间中心度，选择接近中心度或者中间中心度大于设定的数值范围的节点：

对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的接近中心度c_c(n_i)的计算根据如下公式

其中，d(n_i,n_j)表示节点n_i和节点n_j之间的距离；

计算出智慧协同网络中的各个节点的接近中心度，选择接近中心度大于设定的数值范围的节点；

或，

对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的中间中心度c_b(n_i)的计算根据如下公式

其中，p_jk表示节点n_j和n_k之间所有存在的最短路径的路径数，p_jk(i)表示节点n_j和n_k之间经过节点n_i的最短路径的路径数；

计算出智慧协同网络中的各个节点的中间中心度，选择中间中心度大于设定的数值范围的节点。

进一步地，所述的计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度，包括：

设服务请求包中的服务标识集合为D，包含n个服务标识类别，时间间隔t_i内的服务标识类别j出现的概率为p_j，则时间间隔t_i内的服务标识的基尼不纯度Gini(t_i)的计算公式如下：

时间间隔t_i-1内的服务标识类别j出现的概率为p_j′，则时间间隔t_i-1内的服务标识的基尼不纯度Gini(t_i-1)的计算公式如下：

进一步地，所述的判断不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，如果是，则确定所述智慧协同网络发生了服务请求包泛洪攻击，包括：

设服务请求包中的服务标识的波动范围为<0,ΔG_Th>，根据所述Gini(t_i)、Gini(t_i-1)计算出a(t_i)：

当a(t_i)＝1时，则确定所述智慧协同网络发生了服务请求包泛洪攻击；当a(t_i)＝0时，则确定所述智慧协同网络没有发生服务请求包泛洪攻击。

进一步地，所述的方法还包括：

分别统计检测到服务请求包泛洪攻击时和服务请求包泛洪攻击前的服务标识前缀的分布情况，分别计算每个服务标识前缀给基尼不纯度的波动带来的影响，将造成最大影响的服务标识前缀作为恶意服务标识前缀；包括如下步骤：

1)记录检测到攻击时的服务标识的前缀，并记为集合S₁，记录攻击前的服务标识的前缀，并记为S₂，并分别计算S₁和S₂中前缀的概率分布情况，记为P₁和P₂；

2)计算S₂的基尼不纯度Gini(S₂)；

3)令S′＝S₂，其中前缀的概率分布P′＝P₂；

4)对S′中的每个前缀i，令P′(i)＝P₁(i)，计算当只有P′(i)改变时的Gini(S′)；

5)用如下公式计算每个前缀对基尼不纯度造成的影响ΔGini_i：

ΔGini_i＝Gini_i(S′)-Gini(S₂)；

6)使ΔGini_i取得最大值的前缀i为恶意服务标识前缀。

进一步地，所述的方法还包括：

当恶意服务标识的前缀被识别出来后，服务提供者将构造伪造的数据包，该数据包满足恶意服务请求包的请求，并根据待转发服务请求表条目将其转发到下一跳，将所述伪造的数据包到达的客户端确定为发送恶意服务请求包的攻击客户端，对所述攻击客户端进入智慧协同网络的接口进行速率限制，直到服务请求包泛洪攻击消失。

由上述本发明的实施例提供的技术方案可以看出，本发明能够监测服务请求包请求的服务标识分布的变化，通过计算服务标识的基尼不纯度的异常变化来间接诊断服务请求包泛洪攻击的发生，能够有效地检测服务请求包泛洪攻击，降低服务请求包泛洪攻击的误判率，保障智慧协同网络的安全性。传统攻击检测方法的检测周期较长，本发明方案可以在恶意服务请求包到达路由器接口后就检测到攻击的存在，从而尽可能地减小攻击时长。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中的一种智慧协同网络的“三层、两域”总体系架构模型示意图；

图2为现有技术中的一种服务请求包泛洪攻击示意图；

图3为本发明提供的一种基于基尼不纯度的服务请求包泛洪攻击检测和响应方法的实现原理示意图；

图4为本发明提供的一种基于基尼不纯度的服务请求包泛洪攻击检测和响应方法的具体处理流程图；

图5为本发明提供的一种基于基尼不纯度的服务请求包泛洪攻击检测和响应方法的应用实例示意图；

图6为本发明提供的一种路由器A，C，D和E的接近中心度示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例在智慧协同网络中提供一种服务请求包泛洪攻击的检测与响应方法，通过路由器收到的服务请求包的异常情况来检测泛洪攻击，并触发连锁响应以减轻攻击带来的影响，为智慧协同网络提供安全保障，提高了智慧协同网络的安全性与可靠性。

本发明实施例针对智慧协同网络中的服务请求包泛洪攻击，提出了一种基于基尼不纯度的检测和响应服务请求包泛洪攻击的方法。本发明能够监测服务请求包请求的服务标识分布的变化，通过计算服务标识的基尼不纯度的异常变化来间接诊断服务请求包泛洪攻击的发生，能够有效地检测服务请求包泛洪攻击，降低服务请求包泛洪攻击的误判率，保障网络的安全性。同时，本发明能够提供实时的响应方法来控制和遏制服务请求包泛洪攻击，防止服务请求包泛洪攻击对网络造成的影响扩大化，提高了智慧协同网络的安全性。另外，本发明通过选取网络拓扑中接近中心度较高的路由器来部署攻击防御机制，能够有效提高网络资源利用率，减少资源浪费。

为了防御智慧协同网络中的服务请求包泛洪攻击，本发明提供了一种基于基尼不纯度的服务请求包泛洪攻击检测和响应方法，该方法的实现原理示意图如图3所示，具体处理流程如图4所示，包括如下的处理步骤：

步骤S410、选择接近中心度或者中间中心度大于设定的数值范围的节点部署服务请求包泛洪攻击防御机制。

接近中心度描述网络拓扑中某一节点到其他所有节点的距离的总和，接近中心度的值越高，则说明节点位于网络中心。本发明实施例中选择接近中心度较高的节点部署防御机制。对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的接近中心度c_c(n_i)的计算方法如下：

其中，d(n_i,n_j)表示节点n_i和节点n_j之间的距离。

根据计算出的各个节点的接近中心度，选择接近中心度大于设定的数值范围的节点部署本发明实施例提出的服务请求包泛洪攻击防御机制。

在实际应用中，上述接近中心度还可以用中间中心度来代替，即计算出各个节点的中间中心度，选择中间中心度大于设定的数值范围的节点部署本发明实施例提出的服务请求包泛洪攻击防御机制。

对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的中间中心度c_b(n_i)的计算方法如下：

其中，p_jk表示节点n_j和n_k之间所有存在的最短路径的路径数，p_jk(i)表示节点n_j和n_k之间经过节点n_i的最短路径的路径数。

步骤S420、计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度。

根据智慧协同网络的特点，每个网络中的路由器在待转发服务请求表中记录所请求的服务标识，利用服务请求包中的服务标识字段的统计属性来检测和响应服务请求包泛洪攻击。如图3所示，首先，我们使用基于基尼不纯度的检测机制来检测是否存在服务请求包泛洪攻击，如果是，将触发恶意服务标识前缀识别过程，以确定恶意服务标识前缀。最后触发攻击响应过程，以消除攻击的影响。

基尼不纯度表示一个随机选中的样本在子集中被分错的可能性，可以作为衡量系统混乱程度的标准。基尼不纯度越小，纯度越高，说明系统的有序程度越高；基尼不纯度越大，纯度越低，说明系统的混乱程度越高。给定集合D，包含n个类别，p_j表示类别j出现的概率，基尼不纯度Gini(D)的定义如下：

当系统中所有信息属于同一类别时，Gini(D)最小，为0；当系统中所有信息均匀分布时，Gini(D)达到最大值(1-1/n)。

本发明实施例使用基尼不纯度来检测智慧协同网络的路由器中服务标识的分散程度。智慧协同网络中没有发生服务请求包泛洪攻击时，由于服务请求具有相对稳定的分布，服务标识的基尼不纯度在微小范围内变化。当攻击者开始向网络中发送恶意服务请求包时，路由器接口接收到的服务请求中服务标识的分布会发生变化，因此，服务标识的基尼不纯度会受到影响，并将超过正常范围。在这种情况下，利用基于基尼不纯度的检测机制来检测网络中是否存在服务请求包泛洪攻击。

设服务请求包中的服务标识集合为D，包含n个服务标识类别，时间间隔t_i内的服务标识类别j出现的概率为p_j，则时间间隔t_i内的服务标识的基尼不纯度Gini(t_i)的计算公式如下：

时间间隔t_i-1内的服务标识类别j出现的概率为p′_j，则时间间隔t_i-1内的服务标识的基尼不纯度Gini(t_i-1)的计算公式如下：

步骤S430、当不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，则确定所述智慧协同网络发生了服务请求包泛洪攻击。

正常情况下基尼不纯度的波动范围为<0,ΔG_Th>。然后按公式(3)计算服务标识的基尼不纯度Gini(t_i)，并和上一个时间间隔内的基尼不纯度Gini(t_i-1)按照公式(4)进行比较。

当a(t_i)＝1时，则确定存在服务请求包泛洪攻击；当a(t_i)＝0时，则确定不存在服务请求包泛洪攻击。

步骤S440、识别出恶意服务标识的前缀。

当基于基尼不纯度的检测机制检测到服务请求包泛洪攻击时，将触发恶意服务标识前缀的识别过程，以区分恶意请求与合法请求，从而避免合法服务请求被丢弃。智慧协同网络的路由器记录了几个连续时间间隔内的服务标识前缀的分布，当恶意前缀识别机制被触发时，本发明实施例统计检测到攻击时和攻击前的服务标识前缀分布情况，然后单独计算每个前缀给基尼不纯度带来的影响，造成最大影响的前缀即为恶意服务标识前缀。具体步骤如下：

1)记录检测到攻击时的服务标识的前缀，并记为集合S₁，记录攻击前的服务标识的前缀，并记为S₂，并分别计算S₁和S₂中前缀的概率分布情况，记为P₁和P₂；

2)计算S₂的基尼不纯度Gini(S₂)；

3)令S′＝S₂，其中前缀的概率分布P′＝P₂；

4)对S′中的每个前缀i，令P′(i)＝P₁(i)，计算当只有P′(i)改变时的Gini(S′)；

5)用公式(5)计算每个前缀对基尼不纯度造成的影响ΔGini_i：

ΔGini_i＝Gini_i(S′)-Gini(S₂)； 公式(5)

6)使ΔGini_i取得最大值的前缀i为恶意服务标识前缀。

步骤S450、使用速率限制的方法来响应服务请求包泛洪攻击。

当恶意服务标识的前缀被识别出来时，本发明实施例使用速率限制的方法来响应服务请求包泛洪攻击。服务提供者将构造伪造的数据包，该数据包满足恶意服务请求包的请求，并根据待转发服务请求表条目将其转发到下一跳，当伪造的数据包到达客户端时，表示该客户端是发送恶意服务请求包的攻击者，此时对恶意服务请求包进入网络的接口进行速率限制，直到攻击消失。

实施例二

如图5所示，合法用户A请求前缀为video/line/fine1的合法服务，合法用户B请求前缀为video/line/fine2的合法服务，攻击者A请求前缀为video/line/forged的伪造的服务。

为了计算在哪些路由器上部署攻击防御机制，首先根据公式(1)计算网络拓扑中各个节点的接近中心度，如图6所示，路由器A，C，D和E的接近中心度均为0.8，路由器B的接近中心度为0.67，因此我们选择在路由器A，C，D和E中部署服务请求包泛洪攻击的防御机制。对于更大、更复杂的网络拓扑，节点的接近中心度具有更明显的差别，通过选择接近中心度较高的节点来部署攻击防御机制可以在完成攻击防御的同时，有效地节省网络资源，提高网络的资源利用率。

综上所述，由于前缀劫持攻击等其他攻击也可能导致高的数据包未满足率，因此传统的检测方法无法区分服务请求包泛洪攻击与其他攻击，有可能造成误判。本发明能够监测服务请求包请求的服务标识分布的变化，通过计算服务标识的基尼不纯度的异常变化来间接诊断服务请求包泛洪攻击的发生，能够有效地检测服务请求包泛洪攻击，降低服务请求包泛洪攻击的误判率，保障智慧协同网络的安全性。传统攻击检测方法的检测周期较长，本发明方案可以在恶意服务请求包到达路由器接口后就检测到攻击的存在，从而尽可能地减小攻击时长。

本发明能够提供实时的响应方法来控制和遏制服务请求包泛洪攻击，有针对性地采取相应的措施来减轻攻击带来的影响，防止服务请求包泛洪攻击对网络造成的影响扩大化，提高了智慧协同网络的安全性。

本发明通过选取网络拓扑中接近中心度较高的路由器来部署攻击防御机制，攻击检测和响应方案只需要部署在网络中连通性较高的中心路由器上，能够有效提高网络资源利用率，减少资源浪费。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (5)

1.一种智慧协同网络中服务请求包泛洪攻击的检测方法，其特征在于，包括：

选取智慧协同网络中的节点，计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度；

判断不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，如果是，则确定所述智慧协同网络发生了服务请求包泛洪攻击；

所述的选取智慧协同网络中的节点，包括计算智慧协同网络中的各个节点的接近中心度或者中间中心度，选择接近中心度或者中间中心度大于设定的数值范围的节点：

对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的接近中心度c_c(n_i)的计算根据如下公式

其中，d(n_i,n_j)表示节点n_i和节点n_j之间的距离；

计算出智慧协同网络中的各个节点的接近中心度，选择接近中心度大于设定的数值范围的节点；

或，

对于具有N个节点和E条边的拓扑G＝(N,E)，节点n_i的中间中心度c_b(n_i)的计算根据如下公式

其中，p_jk表示节点n_j和n_k之间所有存在的最短路径的路径数，p_jk(i)表示节点n_j和n_k之间经过节点n_i的最短路径的路径数；

计算出智慧协同网络中的各个节点的中间中心度，选择中间中心度大于设定的数值范围的节点。

2.根据权利要求1所述的方法，其特征在于，所述的计算出不同时间间隔内所述节点接收到的服务请求包中的服务标识的基尼不纯度，包括：

设服务请求包中的服务标识集合为D，包含n个服务标识类别，时间间隔t_i内的服务标识类别j出现的概率为p_j，则时间间隔t_i内的服务标识的基尼不纯度Gini(t_i)的计算公式如下：

时间间隔t_i-1内的服务标识类别j出现的概率为p_j′，则时间间隔t_i-1内的服务标识的基尼不纯度Gini(t_i-1)的计算公式如下：

3.根据权利要求2所述的方法，其特征在于，所述的判断不同时间间隔之间的服务标识的基尼不纯度的波动范围是否超过了设定数值范围，如果是，则确定所述智慧协同网络发生了服务请求包泛洪攻击，包括：

设服务请求包中的服务标识的波动范围为<0,ΔG_Th>，根据所述Gini(t_i)、Gini(t_i-1)计算出a(t_i)：

当a(t_i)＝1时，则确定所述智慧协同网络发生了服务请求包泛洪攻击；当a(t_i)＝0时，则确定所述智慧协同网络没有发生服务请求包泛洪攻击。

4.根据权利要求3所述的方法，其特征在于，所述的方法还包括：

分别统计检测到服务请求包泛洪攻击时和服务请求包泛洪攻击前的服务标识前缀的分布情况，分别计算每个服务标识前缀给基尼不纯度的波动带来的影响，将造成最大影响的服务标识前缀作为恶意服务标识前缀；包括如下步骤：

1)记录检测到攻击时的服务标识的前缀，并记为集合S₁，记录攻击前的服务标识的前缀，并记为S₂，并分别计算S₁和S₂中前缀的概率分布情况，记为P₁和P₂；

2)计算S₂的基尼不纯度Gini(S₂)；

3)令S′＝S₂，其中前缀的概率分布P′＝P₂；

4)对S′中的每个前缀i，令P′(i)＝P₁(i)，计算当只有P′(i)改变时的Gini(S′)；

5)用如下公式计算每个前缀对基尼不纯度造成的影响ΔGini_i：

ΔGini_i＝Gini_i(S′)-Gini(S₂)；

6)使ΔGini_i取得最大值的前缀i为恶意服务标识前缀。

5.根据权利要求4所述的方法，其特征在于，所述的方法还包括：

当恶意服务标识的前缀被识别出来后，服务提供者将构造伪造的数据包，该数据包满足恶意服务请求包的请求，并根据待转发服务请求表条目将其转发到下一跳，将所述伪造的数据包到达的客户端确定为发送恶意服务请求包的攻击客户端，对所述攻击客户端进入智慧协同网络的接口进行速率限制，直到服务请求包泛洪攻击消失。

Images