CN108347442B - 内容中心网络中检测兴趣包泛洪攻击的方法及系统 - Google Patents

Abstract

本发明属于网络安全技术领域；涉及一种内容中心网络中检测兴趣包泛洪攻击的方法及系统，所述方法包括以下步骤：统计出关于兴趣包内容名称前缀的概率分布模型；根据统计值计算出路由器的信息熵；将信息熵与给定阈值进行比较，然后计算熵率；本发明设计的兴趣包泛洪攻击检测方案考虑了合法突发流与攻击流的熵率变化差异，在保证尽早检测出攻击的前提下，对合法用户的突发流和攻击者的攻击流进行了本质的区分，从而有效地减少了对合法用户的误判。

Description

内容中心网络中检测兴趣包泛洪攻击的方法及系统

技术领域

本发明涉及内容中心网络中的网络攻击检测，具体为一种内容中心网络中检测兴趣包泛洪攻击的方法及系统。

背景技术

随着互联网的发展，网络中需要递送的内容日益增加，因此人们逐渐将关注重心从“在哪里”转为了“是什么”，基于此，美国PARC研究中心的Van Jacobson教授等人在2009年提出了新型下一代网络体系结构。其中，内容中心网络(Content center network，CCN)是属于新型下一代网络体系结构中的一种网络，CCN是一个基于内容的网络，其核心思想是对网络中的每个内容进行命名，而不是使用主机和节点的IP地址。当用户需要获取一个内容/服务时，网络节点将发送一个包含所需内容/服务名字的请求，该请求按照内容名字进行路由，而不是IP地址；然后，网络将相应的数据对象返回给该节点。在CCN网络中，其网络节点的网络部署内嵌了缓存功能，每当数据包通过一个网络缓存节点时，它将被缓存(或者根据策略进行缓存)，而每当请求在中间节点命中时，中间节点将直接按照请求路径返回内容，以此提高了数据的高效利用率。

尽管CCN网络在设计之初就将安全作为网络架构的原生需求，将安全理念融入到网络架构设计中，其取消了主机的地址，消除了传统IP网络中的源地址伪造攻击和针对特定主机的泛洪攻击。然而，CCN网络在解决传统网络问题的同时，也引入了新的攻击类型，其中危害最大的就是攻击者把路由器的PIT模块作为攻击对象，向网络发送大量的虚假兴趣包，使PIT中添加条目的速率大于删除条目的速率，从而拒绝正常请求，这种攻击形式被称为兴趣包泛洪攻击，它被认为是危害最大且最易发动的一种攻击。因此，研究兴趣包泛洪攻击具有很大的意义：它不仅是一个安全问题，同时也是CCN网络服务质量的一个保证。

众所周知，在网络中对于攻击者发起的一个DDoS攻击来说，检测是防御的基础，只有在精确检测出攻击的前提下，才能对网络做出有效的防御。对国内外现有的文献进行分析可知，在CCN网络中，针对兴趣包泛洪攻击，现在已有的检测方案中，大多数都是基于网络表现出的异常状态来对攻击进行检测，基于这种检测方案，尽管最后能够检测出网络遭受了攻击，但在检测出攻击之前网络已经受到了较为严重的影响。唐建强等人提出了一种内容中心网络下基于前缀识别的兴趣包泛洪攻击防御方法[J].电子与信息学报,2014,36(07):1735-1742.通过PIT使用率和兴趣包满足率这两个参数来判断网络是否遭受了兴趣包泛洪攻击，该方法虽能够检测出攻击，但是当检测出攻击的时候，攻击已经对网络产生了较为严重的影响。

目前已有少数研究者结合了信息熵的相关知识，将其应用于攻击检测方案中，其基本思想是利用兴趣包泛洪攻击情况下兴趣请求内容的名称随机性和正常情况下兴趣请求的内容名称随机性的差异，从而判断是否发生了兴趣包泛洪攻击，但没有对攻击流与合法的突发流进行区分，笼统的将合法的突发流认定为网络攻击流，从而对合法用户产生了一定的影响。

现有技术CN201410484936.6的专利中公开了一种基于信息熵的DDoS攻击检测方法，在TCP/IP网络中，利用信息熵表示事件随机性的原理，通过对源IP地址、目的IP地址进行分析，从而识别出攻击流量，进一步确认被攻击的主机。但该技术中基于信息熵的检测方案只能应用于TCP/IP网络中的，不能检测出CCN网络的DDoS攻击。

现有技术CN201610829821.5的专利中公开了一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置，利用累积熵来检测网络是否遭受兴趣包洪泛攻击。但其算法复杂度较高，并且不适用攻击者高速率发包的攻击形式。

发明内容

本发明的目的在于克服上述已有的不足，提供一种结合信息熵和熵率相关知识的攻击检测方法，具体为内容中心网络中检测兴趣包泛洪攻击的方法；以确保在尽可能早的检测出攻击的前提下，还能有效地减少了对合法用户的误判。

本发明的内容中心网络中检测兴趣包泛洪攻击的方法的技术方案如下：

一种内容中心网络中检测兴趣包泛洪攻击的方法，包括以下步骤：

S1：统计进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量，从而得到关于兴趣包内容名称前缀的概率分布模型；

S2：利用所述概率分布模型统计出概率值，再由概率值计算路由器的信息熵；

S3：将所述信息熵与信息熵阈值进行比较；若高于信息熵阈值，则判定网络中都是合法用户在以正常的速率请求数据流；否则计算熵率，若所述熵率高于熵率阈值，则判定网络正在遭受兴趣包泛洪攻击；若所述熵率没有高于熵率阈值，则判定网络中都是合法用户请求的突发流。

进一步，S1中的概率分布模型为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

进一步的，在步骤S2中，所述路由器的信息熵的获取具体方法为：

首先，利用步骤S1中统计出的关于兴趣包内容名称前缀的概率分布模型，用得到的概率值计算出路由器的信息熵。其中信息熵的计算公式为：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。

其中，P(x_i)即为步骤S1得出的关于内容名称前缀的概率值。

然后，将计算出的信息熵值与信息熵阈值进行比较，通过比较的结果来进行判断，若没有低于信息熵阈值，则判定此时网络中都是合法用户在以正常的速率请求数据流；若低于信息熵阈值，则表示有一个或者多个内容名称前缀对应的概率值明显增大，此时网络可能遭受了兴趣包泛洪攻击，开始计算熵率。

进一步，在步骤S3中，所述熵率的获取具体方法为：

首先，利用步骤S2中计算出的信息熵值H(x)，将其与给定的信息熵阈值进行比较，若低于信息熵阈值，则开始计算熵率。熵率计算公式为：

其次，将计算出的熵率值与熵率阈值进行比较，若高于熵率阈值，则确定此时网络正在遭受兴趣包泛洪攻击，随即限制路由器接入兴趣包的速率；若没有高于熵率阈值，则判定为合法用户请求的合法突发流。

本发明的一种用于实现内容中心网络中检测兴趣包泛洪攻击的系统，所述系统包括：服务器，路由器以及检测装置；其特征在于，所述检测装置包括：统计模块，处理模块以及判断模块；所述服务器与所述路由器通过通信链路连接；所述检测装置与所述路由器通过通信线路连接；

所述服务器用于提供网络环境；

所述路由器用于响应网络是否遭受兴趣包泛洪攻击。

进一步的，所述统计模块包括：统计单元和概率单元；

所述统计单元用于：设计时间滑动窗口，将参数值初始化；统计在一个时间滑动窗口内，进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量；

所述概率单元用于：根据所述统计单元统计出的进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量，得到概率分布模型；所述概率分布模型的公式为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

进一步的，所述路由器的信息熵的计算方法为：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。

进一步的，所述信息熵的计算公式为：

其中，H(X₁,X₂,...,X_N)表示表示第1个时间窗口到第N个时间窗口的联合信息熵。

本发明的有益效果在于：

基于信息熵的检测方案的基本思想是利用兴趣包泛洪攻击情况下兴趣请求内容的名称随机性和正常情况下兴趣请求的内容名称随机性的差异，从而判断是否发生了兴趣包泛洪攻击，但仅仅利用信息熵，只是达到了尽早检测到兴趣包泛洪攻击的存在，却无法区分攻击流与合法突发流，从而会对检测结果有一定的误判。本发明针对高速率发包的兴趣包泛洪攻击，将信息熵与熵率结合起来，考虑了合法突发流与攻击流的熵率变化差异，在保证尽早检测出攻击的前提下，对合法用户的突发流和攻击者的攻击流进行了本质的区分，从而有效地减少了对合法用户的误判。

附图说明

图1为兴趣包泛洪攻击的示意图；

图2为本发明提供的一种内容中心网络中检测兴趣包泛洪攻击的方法的流程图；

图3为本发明提供的一种内容中心网络中检测兴趣包泛洪攻击的方法的仿真拓扑图。

具体实施方式

为了使本技术领域人员能更好地理解本发明的目的、技术方案和有益效果，下面结合具体实施例和说明附图来进行完整的描述。

本发明提供一种内容中心网络中兴趣包泛洪攻击的攻击示意图。如图1所示，在内容中心网络中，当攻击者向网络发送大量的虚假兴趣包之后，网络中的路由器由于其待定兴趣表PIT的空间被占满，此时路由器会直接将合法用户请求的正常兴趣包丢弃，从而合法用户便得不到相应数据包的响应。

本发明提供的一种内容中心网络中检测兴趣包泛洪攻击的方法的流程图。如图2所示，本发明提供的一种内容中心网络中检测兴趣包泛洪攻击的方法包括：

根据预设的窗口值也即是时间滑动窗口统计内容中心网络中路由器接收的不同内容名称前缀对应的兴趣包数量。具体包括：

针对没有发生兴趣包泛洪攻击的网络做仿真实验，得出一个在正常情况下待定兴趣表PIT占用率的占用率阈值，当路由器的待定兴趣表PIT占用率超过了这个占用率阈值之后，启动设计好的基于信息熵和熵率的攻击检测方案；这样是为了尽量避免不必要的检测，从而减少对路由器正常情况下的处理效率的影响；

设计一个时间滑动窗口，窗口值的大小根据之后的仿真而定，将参数值初始化，在一个滑动窗口里面，统计进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量，从而得到一个关于兴趣包内容名称前缀的概率分布模型。其中概率计算公式为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

本发明采取统计一个时间窗口内进入待定兴趣表PIT的兴趣包数量，从而得到关于兴趣包内容名称前缀的概率分布模型；以及步骤S2-S3的方法依次判断网络是否发生了攻击，若发生攻击就采取放入措施；如果没有发生攻击，又开始统计下一个时间窗口内进入待定兴趣表PIT的兴趣包数量，以此类推；可以理解的是，本发明只是对当前某一个时间窗口做了具体说明，该时间滑动窗口内兴趣包的有n种内容名称前缀，而下一个的时间窗口内的内容名称前缀可能为N种，N为任意整数。

采用信息熵算法对统计得到的概率值进行处理，得到所述的路由器的信息熵H(x)；

具体地，路由器的信息熵H(x)具体包括：根据以下公式得到所述内容中心网络中路由器的信息熵值：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。其中，P(x_i)即为关于内容名称前缀的概率值。在通信领域，信息熵用来表示事件的随机性，在内容中心网络中，基于信息熵的基本思想是利用兴趣包泛洪攻击情况下兴趣请求内容的名称随机性和正常情况下兴趣请求的内容名称随机性的差异。

判断所述信息熵值是否高于信息熵阈值，若所述信息熵高于信息熵阈值，则判定网络中全都是合法用户在以正常的速率请求数据流；否则，检测到此时网络可能遭受了兴趣包泛洪攻击，则开始计算熵率，若所述熵率高于熵率阈值，则判定网络正在遭受兴趣包泛洪攻击；若所述熵率没有高于熵率阈值，则判定网络中全都是合法用户请求的突发流。

具体包括：利用计算得到的信息熵值，将计算出的信息熵值与信息熵阈值进行比较，通过比较的结果来进行判断，若低于信息熵阈值，则表示有一个或者多个内容名称前缀对应的概率值明显增大，此时网络可能遭受了兴趣包泛洪攻击，开始通过以下公式计算所述熵率值：

其中，H(X₁,X₂,...,X_N)表示表示第1个时间窗口到第N个时间窗口的联合信息熵。若没有低于信息熵阈值，则判定此时网络中都是合法用户在正常请求数据流。

将计算出的熵率值与熵率阈值进行比较，若高于熵率阈值，则确定此时网络正在遭受兴趣包泛洪攻击，随即限制路由器接入兴趣包的速率；若熵率没有高于熵率阈值，则判定网络中全都为合法用户请求的突发流。

例如，计算第一个滑动窗口的信息熵记为H(X₁)，若H(X₁)没有低于给定阈值，则计算第二个滑动窗口的信息熵记为H(X₂)，若此时的信息熵H(X₂)低于给定阈值，则计算熵率，熵率的计算公式就是：

本发明的攻击检测方法是针对攻击者高速率发包的攻击形式，将攻击检测装置安装在直连用户的边缘路由器上。如图3所示，R1中的数据流是合法用户以正常速率请求的数据流，因为内容名称前缀的分布没有发生明显的波动，因此R1计算出的信息熵值不会低于信息熵阈值；R2中的数据流是合法用户请求的突发流，此时R2计算出的信息熵值会低于信息熵阈值，路由器会响应网络可能遭受了兴趣包泛洪攻击，随即开始计算路由器的熵率值，利用突发流的熵率变化比攻击流的熵率变化小的原理，发现R2中的熵率值没有高于熵率阈值；R4中的数据流是攻击者发起的攻击流，此时R4计算出的信息熵值会低于熵率阈值，路由器会响应网络可能遭受了兴趣包泛洪攻击，随即开始计算路由器的熵率值，利用突发流的熵率变化比攻击流的熵率变化小的原理，发现R4中的熵率值高于熵率阈值，则判断出内容中心网络中路由器R4遭受了兴趣包泛洪攻击；由于本发明是针对攻击者高速率发包的攻击形式，基于信息熵和熵率的攻击检测方案装置只安装在与用户直连的边缘路由器上，在攻击者发起攻击之后，便会在边缘路由器上有效检测出攻击，因此不会计算路由器R5和R6的信息熵值。图3中的IFA攻击表示兴趣包泛洪攻击(Interest flooding attack,IFA)。

本发明的一种用于实现内容中心网络中检测兴趣包泛洪攻击的系统，包括：服务器，路由器以及检测装置；所述检测装置包括：统计模块，处理模块以及判断模块；所述服务器与所述路由器通过通信链路连接；所述检测装置与所述路由器通过通信线路连接；

所述服务器用于提供网络环境；

所述路由器用于响应网络是否遭受兴趣包泛洪攻击；

进一步的，所述统计模块包括：统计单元和概率单元；

所述统计单元用于：设计时间滑动窗口，将参数值初始化；统计在一个时间滑动窗口内，进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量；

所述概率单元用于：根据所述统计单元统计出的进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量，得到概率分布模型；所述概率分布模型的公式为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

进一步的，所述处理模块，具体用于：根据所述概率单元得到概率分布模型，所述处理模块计算出路由器的信息熵和熵率。

进一步的，所述路由器的信息熵的计算方法为：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。

进一步的，所述熵率的计算公式为：

其中，H(X₁,X₂,...,X_N)表示表示第1个时间窗口到第N个时间窗口的联合信息熵。

可以理解的是，本发明中的熵率值也是熵率，为了便于描述与理解，当根据公式计算熵率或者当熵率需要与熵率阈值比较时，我们称熵率为熵率值。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其做出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims (6)

1.一种内容中心网络中检测兴趣包泛洪攻击的方法，其特征在于，该方法包括以下步骤：

S1：统计进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量，从而得到关于兴趣包内容名称前缀的概率分布模型；

S2：利用所述概率分布模型统计出概率值，再由概率值计算路由器的信息熵；

S3：将所述信息熵与信息熵阈值进行比较；若所述信息熵高于信息熵阈值，则判定网络中全都是合法用户在以正常的速率请求数据流；否则计算熵率，若所述熵率高于熵率阈值，则判定网络正在遭受兴趣包泛洪攻击；若所述熵率低于熵率阈值，则判定网络中全都是合法用户请求的突发流；

其中，所述统计进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量的实现方法为：

设计时间滑动窗口，将参数值初始化；分别统计在第j个时间滑动窗口内进入PIT条目里的不同内容名称前缀对应的兴趣包数量；j∈{1,2,...,N}；N表示时间窗口总数；

所述概率分布模型的公式为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

2.根据权利要求1所述的一种内容中心网络中检测兴趣包泛洪攻击的方法，其特征在于，所述路由器的信息熵的计算方法为：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。

3.根据权利要求2所述的一种内容中心网络中检测兴趣包泛洪攻击的方法，其特征在于，所述熵率的计算公式为：

其中，H(X₁,X₂,...,X_N)表示表示第1个时间窗口到第N个时间窗口的联合信息熵。

4.一种内容中心网络中检测兴趣包泛洪攻击的系统，包括：服务器，路由器以及检测装置，所述服务器与所述路由器通过通信链路连接；所述检测装置与所述路由器通过通信线路连接；其特征在于，所述检测装置包括：统计模块，处理模块以及判断模块；

所述服务器用于提供网络环境；

所述路由器用于响应网络是否遭受兴趣包泛洪攻击；

统计模块用于统计进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量以及生成概率分布模型；

处理模块用于计算所述路由器的信息熵和熵率；

判断模块用于判断网络是否正在遭受兴趣包泛洪攻击；

其中，所述统计模块包括：统计单元和概率单元；

所述统计单元用于：设计时间滑动窗口，将参数值初始化；统计在一个时间滑动窗口内，进入待定兴趣表PIT条目里的不同内容名称前缀对应的兴趣包数量；

所述概率单元用于：根据所述统计单元统计出的进入PIT条目里的不同内容名称前缀对应的兴趣包数量，得到概率分布模型；

所述概率分布模型的公式为：

其中，n表示的内容名称前缀的种类，x_i表示第i种内容名称前缀对应的兴趣包总数。

5.根据权利要求4所述的内容中心网络中检测兴趣包泛洪攻击的系统，其特征在于，所述处理模块计算路由器的信息熵的具体公式为：

H(X_j)表示第j个时间窗口的信息熵；j∈{1,2,...,N}；N表示时间窗口总数。

6.根据权利要求5所述的内容中心网络中检测兴趣包泛洪攻击的系统，其特征在于，处理模块计算熵率的计算公式为：

其中，H(X₁,X₂,...,X_N)表示表示第1个时间窗口到第N个时间窗口的联合信息熵。