CN110535875B - 车载内容中心网络下基于协作方式的缓存污染攻击检测方法 - Google Patents

Abstract

本发明属于信息安全技术领域，一种车载内容中心网络下基于协作方式的缓存污染攻击检测方法，通过统计相同请求的频率以及时间间隔来计算流行度，如果流行度增量超过了α，将其添加进入车辆的怀疑列表中。车辆周期性的将本时间单元生成的怀疑列表交付给路边基础单元。路边基础单元收到各个车辆的怀疑列表，根据这些怀疑列表计算请求内容的标准差，如果计算出来的标准差的值超过了β，基础单元会将其加入攻击表。路边基础单元将生成的攻击表广播出去。路边每个车辆收到路边基础单元发来的攻击表和恢复表，车辆将恢复表中的内容的流行度恢复到前一个时间单元的流行度。如果车辆收到一个来自于攻击者的请求包，先将其加入记录表中，然后将其直接丢弃。

Description

车载内容中心网络下基于协作方式的缓存污染攻击检测方法

技术领域

本发明涉及一种车载内容中心网络下基于合作的缓存污染攻击的检测和防御方法，属于信息安全技术领域。

背景技术

车载自组网(vehicular ad-hoc network，VANET)是一种特殊类型的移动自组网，它包含了若干固定的基础设施和车辆。在VANET中，每一辆车都可以与其他车辆或固定的路边基础单元进行通信。由于VANET的固有特性：短暂性、高机动性和间歇性，它很容易遭受频繁的通信中断，从而导致数据分发的性能下降。然而，基于TCP/IP的DSRC和WAVE通信协议，主要是用来支持端到端的连接通信，并不适合解决VANET中遇到的问题。

在过去的几十年里，VANET逐渐成为了一个无关来源的内容共享平台，即VANET更多的是关注内容本身，而不是内容的实际载体。面向内容的应用涵盖了诸如娱乐、体育、购物等不同领域。为满足VANET面向内容的特点，提出了一种新的网络结构——内容中心网络(content-centric networking,CCN)。与IP网络不同，内容名称是CCN中的基本元素，它的特征是内容请求包(称为“兴趣”)和内容响应包(称为“数据”)的基本交换。任何节点都可以发送包含了内容名称的兴趣来请求一个内容。如果兴趣可以在到期之前到达提供者，则相应的数据将按照兴趣的反向路径返回给请求者。在这个转发路径中的节点可以根据自己的缓存替换策略决定是否缓存内容。CCN的网络内缓存有助于在车辆的移动性和时断时续的连通性下有效地分发流行内容，从而产生了以车辆内容为中心的网络(vehicular contentcentric network，VCCN)。VCCN可以在安全应用、流量应用和舒适应用(如文件共享和商业广告)下获得较好的网络性能。

然而，网络内缓存可能遭受恶意行为。一些恶意攻击者通过发送大量异常兴趣来破坏缓存内容的内容局部性，这被称为缓存污染攻击(CPA)。这样一来，受害者的缓存被污染，大量缓存内容丢失，导致普通用户的命中率、交付延迟等服务质量明显下降。一般情况下，CPA可分为局部性破坏攻击(location-disruption attack,LDA)和伪局部性攻击(false-locality attack,FLA)。在LDA下，攻击者不断地以相同的频率请求不同的非流行内容以便用不同的非流行内容来填充缓存。在FLA下，攻击者不断地请求非流行内容的子集，从而达到在缓存中用非流行内容替换真正的流行内容的目的。在FLA中，攻击者需要通过监听合法用户的兴趣来推断流行内容的分布。然而，攻击者可以在不知道流行内容分布的情况下，可以通过请求均匀分布的内容成功地发动LDA攻击。FLA和LDA都旨在通过降低合法用户的命中率和增加检索延迟来降低网络性能。因此，检测和限制VCCN中CPA的不利影响至关重要，这也是一项具有挑战性的工作，因为之前很少有研究或讨论。

发明内容

为了有效的解决车载内容中心网络下缓存污染攻击问题，本发明提出了一种基于协作方式的缓存污染攻击检测和防御的方法。我们根据同一内容在前后时间片上的流行度的增长来判断发生缓存污染攻击的可能并将相关信息周期性的通告给RSU。RSU在综合其它车辆以及自身信息的情况下判断是否发生攻击，并且甄别出攻击者。然后针对于攻击者进行防御从而实现在车载内容中心网络下的抗缓存污染攻击的安全通信。

本发明的技术方案：

一种车载内容中心网络下基于协作方式的缓存污染攻击检测方法，步骤如下：

定义变量：

表1常用的变量及说明

具体步骤如下：

(1)车辆计算流行度来生成怀疑列表

(1.1)当车辆收到兴趣包时，统计如下信息：对相同内容的请求包的数量、连续请求相同内容的兴趣包的时间间隔以及收到的这些请求包的请求者；

请求率：表示为一个时间单元内针对相同内容的兴趣包的个数与车辆收到的所有兴趣包的个数的比值，定义如下：

r(c_i)＝n(c_i)/N

其中，n(c_i)是一个时间单元内针对于c_i的收到的兴趣包总数，N是一个时间片车辆收到的所有兴趣包的数量；

平均间隔：表示为在一个周期内对同一个内容的请求的平均时间差，定义如下：

其中，t(c_i)是c_i的兴趣包间的平均时间间隔，t_k(c_i)是c_i的第k个和第k+1个兴趣包的时间差，n(c_i)是一个时间单元中，针对于c_i的兴趣包的总数量；

当只收到一个兴趣包时，代表这个兴趣包请求的可能是一个不流行的内容，而且它并没有时间差的属性；为了使它的流行度具有代表意义，将它的时间间隔分配为一个处于

和t_s之间的一个随机的值；

是对于c_i的连续两个兴趣包之间最大的时间差，t_s是时间单元的长度；

(1.2)车辆得到以上统计信息，周期性的计算每一项内容的流行度，然后与上个时间单元的流行度进行比较，如果流行度的增长超过了预先定义的阈值α，车辆将会把如下信息记录到怀疑列表：内容名字、请求该项内容的车辆的身份标识以及每个车辆对于这项可疑的内容的请求次数；

流行度：对于内容c_i的兴趣包的流行度，其定义如下：

每个兴趣包的流行度在0和1之间，0代表最不流行，1代表最流行；然后检测哪些内容突然从不流行变为流行从而将其加入怀疑列表中；

(2)路边基础单元检测缓存污染攻击并且判断攻击者的处理

(2.1)每个车辆周期性的向路边基础单元发送它们各自的怀疑列表；

(2.2)然后路边基础单元根据自身的怀疑列表以及其他车辆发送来的怀疑列表，对整个网络进行综合计算，以此为依据计算一个攻击表，然后将攻击表在其通信范围内进行广播；

(3)抵御缓存污染攻击

(3.1)路边基础单元除了计算出一个攻击表并广播之外，还利用自己的统计信息计算出一个恢复表，恢复表包含所有被攻击者请求过的内容；车辆根据路边基础单元所公布的恢复表，将自身缓存内容的流行度恢复到前一个时间单元的流行度；

(3.2)如果车辆收到一个来自于攻击者的请求包或数据包，先将其加入记录表中，然后将其直接丢弃；这样，攻击者的请求包在网络中便不会被传播；而如果攻击者另外选择一部分不流行内容来进行攻击的话，仍旧会被抵御，因为我们的丢包策略是针对于攻击者而言的，与攻击者所攻击的内容无关，从而能够更好的实施抵御。

本发明的有益效果：车载内容中心网络的网内缓存有助于提供更好的用户服务体验，使用户更加方便，但在带来方便的同时，也带来了一系列的安全问题，缓存污染攻击对于整个车载内容中心网络带来了一系列的威胁，因此，本发明提出一个车载内容中心网络中基于合作的检测和抵御缓存污染攻击的算法。

附图说明

图1为本发明所述的检测策略和抵御策略的结构图。

图2为本发明所述的缓存污染攻击的检测流程图。

图3为本发明所述的路边基础单元计算攻击表的流程图。

图4为本发明所述的缓存污染攻击的防御流程图。

具体实施方式

为了将本发明的目的，技术方案和优点表达的更清晰明了，接下来将通过实施例和附图，对本发明做进一步的详尽的说明。

一种车载内容中心网络下缓存污染攻击的检测和防御方法，本方法包括车辆如何计算流行度来生成怀疑列表、路边基础单元如何检测缓存污染攻击并且判断攻击者和如何抵御缓存污染攻击；

参照图2，车辆如何计算流行度来生成怀疑列表的具体运行过程如下：

步骤1.车辆节点收到兴趣包。

步骤2.每个车辆为相同的内容的兴趣包，周期性的统计它的请求率、两个相邻的兴趣包之间的平均时间间隔以及请求者ID。

步骤3.在每个时间单元的末尾，车辆计算出和上一个时间单元末尾相比得到的流行度增量。

步骤4.将流行度增量和阈值α做比较。

步骤5.如果某个内容的增量超过了阈值α，那么将把这个内容的名称，以及收到的兴趣包的请求者和各个请求者请求的次数添加到车辆自身的怀疑列表中。

步骤6.每个时间单元的末尾，车辆周期性的将本时间单元生成的怀疑列表广播给路边基础单元处理。

参照图3，路边基础单元计算攻击表的具体运行过程如下：

步骤7.路边基础单元收到各个车辆的怀疑列表。

步骤8.根据这些怀疑列表计算内容c_i的请求的标准差。公示如下：

其中m是对于内容c_i发起兴趣包的车辆的总数，v_k(c_i)是第k个车辆对c_i发起的兴趣包的个数，而v(c_i)是这些车辆对c_i平均的请求次数。

步骤9.将标准差和阈值β做比较。

步骤10.如果计算出来的标准差的值超过了阈值β，那么路边基础单元就认为此时发生了缓存污染攻击。路边基础单元便会生成一个攻击表，攻击表中记录攻击者以及被攻击的内容，而攻击者判定准则如下：如果v_k(c_i)大于v(c_i)的时候，那么车辆k便会被当作攻击者加入攻击表。

此外，还考虑有一种特殊的情况。攻击者所攻击的不流行内容，正常用户对这些内容极少请求，那么非常有可能在数个时间单元中，没有一个正常用户对这些不流行的内容发起过请求，若是根据上述方法计算各个车辆对某一内容请求次数的标准差来判断是否发生过缓存污染攻击的时候是不可行的。因为，这时候仅有攻击者对这些不流行内容请求的话，它的标准差的值会是0，而不会超过我们预先设定的阈值α，而这个情况下，攻击却是确实发生的。这将会引起检测不准确。所以我们会在只有一个请求者的时候判断他的请求次数是否超过我们另外设定的阈值γ，如果高于γ，则添加进入攻击表。

步骤11.路边基础单元将生成的攻击表广播出去。

参照图4，抵御缓存污染攻击的具体运行过程如下：

步骤12.每个车辆收到RSU发来的攻击表和恢复表，恢复表是用来帮助车辆恢复流行度的。

步骤13.车辆根据路边基础单元所公布的恢复表，将恢复表中的内容的流行度恢复到前一个时间单元的流行度。

步骤14.如果车辆收到一个来自于攻击者的请求包或者是数据包，先将其加入记录表中，然后将其直接丢弃，因为我们的丢包策略是针对于攻击者而言的，与攻击者所攻击的内容无关。当攻击者的请求包以及数据包被丢弃之后，网络中传播的只有正常用户的请求包和数据包，随着时间的推移，网络中的缓存会恢复到没有攻击时的状态，为正常用户提供更好的服务质量。

Claims (1)

1.一种车载内容中心网络下基于协作方式的缓存污染攻击检测方法，其特征在于，步骤如下：

(1)车辆计算流行度来生成怀疑列表

(1.1)当车辆收到兴趣包时，统计如下信息：对相同内容的请求包的数量、连续请求相同内容的兴趣包的时间间隔以及收到的这些请求包的请求者；

请求率：表示为一个时间单元内针对相同内容的兴趣包的个数与车辆收到的所有兴趣包的个数的比值，定义如下：

r(c_i)＝n(c_i)/N

其中，n(c_i)是一个时间单元内针对于c_i的收到的兴趣包总数，N是一个时间片车辆收到的所有兴趣包的数量；

平均间隔：表示为在一个周期内对同一个内容的请求的平均时间差，定义如下：

其中，t(c_i)是c_i的兴趣包间的平均时间间隔，t_k(c_i)是c_i的第k个和第k+1个兴趣包的时间差，n(c_i)是一个时间单元中，针对于c_i的兴趣包的总数量；为了使兴趣包的流行度具有代表意义，将它的时间间隔分配为一个处于

和t_s之间的一个随机的值；

是对于c_i的连续两个兴趣包之间最大的时间差，t_s是时间单元的长度；

(1.2)车辆得到以上统计信息，周期性的计算每一项内容的流行度，然后与上个时间单元的流行度进行比较，如果流行度的增长超过了预先定义的阈值α，车辆将会把如下信息记录到怀疑列表：内容名字、请求该项内容的车辆的身份标识以及每个车辆对于这项可疑的内容的请求次数；

流行度：对于内容c_i的兴趣包的流行度，其定义如下：

每个兴趣包的流行度在0和1之间，0代表最不流行，1代表最流行；然后检测哪些内容突然从不流行变为流行从而将其加入怀疑列表中；

(2)路边基础单元检测缓存污染攻击并且判断攻击者的处理

(2.1)每个车辆周期性的向路边基础单元发送它们各自的怀疑列表；

(2.2)然后路边基础单元根据自身的怀疑列表以及其他车辆发送来的怀疑列表，对整个网络进行综合计算，以此为依据计算一个攻击表，然后将攻击表在其通信范围内进行广播；

(3)抵御缓存污染攻击

(3.1)路边基础单元除了计算出一个攻击表并广播之外，还利用自己的统计信息计算出一个恢复表，恢复表包含所有被攻击者请求过的内容；车辆根据路边基础单元所公布的恢复表，将自身缓存内容的流行度恢复到前一个时间单元的流行度；

(3.2)如果车辆收到一个来自于攻击者的请求包或数据包，先将其加入记录表中，然后将其直接丢弃；这样，攻击者的请求包在网络中便不会被传播；而如果攻击者另外选择一部分不流行内容来进行攻击的话，仍旧会被抵御，因为我们的丢包策略是针对于攻击者而言的，与攻击者所攻击的内容无关，从而能够更好的实施抵御。

Images