CN111541722B - 基于密度聚类的信息中心网络缓存污染攻击检测防御方法 - Google Patents

基于密度聚类的信息中心网络缓存污染攻击检测防御方法 Download PDF

Info

Publication number
CN111541722B
CN111541722B CN202010438363.9A CN202010438363A CN111541722B CN 111541722 B CN111541722 B CN 111541722B CN 202010438363 A CN202010438363 A CN 202010438363A CN 111541722 B CN111541722 B CN 111541722B
Authority
CN
China
Prior art keywords
content
node
request
cache pollution
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010438363.9A
Other languages
English (en)
Other versions
CN111541722A (zh
Inventor
苘大鹏
杨武
王巍
玄世昌
吕继光
王龙娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN202010438363.9A priority Critical patent/CN111541722B/zh
Publication of CN111541722A publication Critical patent/CN111541722A/zh
Application granted granted Critical
Publication of CN111541722B publication Critical patent/CN111541722B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/145Detection or countermeasures against cache poisoning

Abstract

本发明属于信息中心网络缓存污染攻击的检测与防御技术领域,具体涉及一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法。本发明针对现有的缓存污染攻击检测与防御方法存在的检测准确率不高的问题,利用了KANN‑DBSCAN对用户请求的请求比率和平均请求时间间隔进行聚类,根据聚类的结果判断用户的请求是否符合Zipf分布,实现了对缓存污染攻击更加准确的检测。一旦检测出缓存污染攻击的发生,本发明可以迅速组织对FLA或LDA的有效防御,阻止准确检测出的恶意内容存储到路由节点的CS,使得恶意内容无法占用路由节点的缓存空间,这将大大提高节点中正常用户请求的缓存命中率,降低内容请求的平均跳数。

Description

基于密度聚类的信息中心网络缓存污染攻击检测防御方法
技术领域
本发明属于信息中心网络缓存污染攻击的检测与防御技术领域,具体涉及一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法。
背景技术
信息中心网络的缓存污染攻击,主要是指攻击者可以通过不断请求非流行的正常内容,让这些内容长期占据节点的缓存空间。缓存污染攻击会导致正常用户的一些请求无法直接在最近的路由节点命中,这些正常请求会转发到其他缓存节点,直到获取到请求的内容,降低了正常请求的缓存命中率,增加正常用户的访问时延,使得网络拥塞发生的可能性增大,严重影响网络性能。
缓存污染攻击根据攻击产生效果的不同可以分为两大类:破坏内容分布特性攻击(Locality-Disruption Attack,LDA)和伪造内容分布特性攻击(False-Locality Attack,FLA)。在LDA中,攻击者均匀分散地请求大量不同类别的非流行的合法内容,使得ICN节点的缓存中大量存储了各类原本是非流行的内容,人为地提高了各类非流行内容的流行度,平滑了到达路由节点的内容请求分布,这使得各类内容的命中率均明显下降。在FLA中,攻击者集中请求某种特定类别的非流行内容,通过持续发送大量的恶意兴趣包,提高该类内容的流行度,使其长期存储在ICN节点的缓存中,锐化了到达路由节点的内容请求分布,这使得除了被攻击类别的内容命中率虚高以外,其他各类内容的命中率全都有所下降。
发明内容
本发明的目的在于提供一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法。
本发明的目的通过如下技术方案来实现:包括以下步骤:
步骤1:在当前统计周期结束后,节点计算已结束的统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔;
步骤2:利用KANN-DBSCAN算法将统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔进行聚类,分成不同的集群,获得准确聚类后的簇数并收集流行内容集合的请求内容及其数量;
步骤3:判断是否出现缓存污染攻击,以及出现的缓存污染攻击的类型;
若聚类后的簇数为1,即流行集合的内容请求和非流行集合的内容请求混合为一个集合,则判断出现了破坏内容分布特性攻击LDA;
若聚类后的簇数为2,且出现了非流行内容集合的数量突然下降,而流行内容集合的数量却突然增加的情况,则判断出现了伪造内容分布特性攻击FLA;
步骤4:针对缓存污染攻击采取防御策略;
若当前缓存污染攻击类型为破坏内容分布特性攻击LDA,则节点采用CacheShield防御策略,统计请求内容的请求次数,计算请求内容的存储概率,阻止非流行内容存储到节点的缓存空间中;
若当前缓存污染攻击类型为伪造内容分布特性攻击FLA,则节点获取从非流行内容集合中转移到流行内容集合中的内容名称,将这些内容名称添加到节点设置的黑名单中,此后当该节点接收到数据包时,将该数据包的内容名称与黑名单中的恶意内容名称进行前缀匹配,匹配成功后节点不再缓存该数据包;若节点是核心路由节点,则节点还需要设置数据包的通知字段通知边缘路由器对恶意内容进行限速,然后转发数据包;若节点是边缘路由器,当边缘路由器节点收到一个带通知标识的数据包时,将数据包的名称标识添加到限速名单中,再转发数据包;当边缘路由器节点接收到一个兴趣包时,将该兴趣包的内容名称与限速名单中的内容名称进行前缀匹配,若匹配成功则对兴趣包实行限速机制。
本发明的有益效果在于:
本发明针对现有的缓存污染攻击检测与防御方法存在的检测准确率不高的问题,利用了 KANN-DBSCAN对用户请求的请求比率和平均请求时间间隔进行聚类,根据聚类的结果判断用户的请求是否符合Zipf分布,实现了对缓存污染攻击更加准确的检测。一旦检测出缓存污染攻击的发生,本发明可以迅速组织对FLA或LDA的有效防御,阻止准确检测出的恶意内容存储到路由节点的CS,使得恶意内容无法占用路由节点的缓存空间,这将大大提高节点中正常用户请求的缓存命中率,降低内容请求的平均跳数。
附图说明
图1是本发明的缓存污染攻击检测模块示意图。
图2是本发明的缓存污染攻击防御模块示意图。
图3是实验对比分析图。
图4是本发明中用户请求行为特征参数的算法流程的伪代码图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明对于现有的缓存污染攻击检测与防御方法的不足进行了分析,通过分析LDA和FLA的特性,提出了一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法。
本发明通过分析LDA和FLA的特性,利用KANN-DBSCAN算法对用户请求行为的请求比率和平均请求时间间隔进行聚类,根据聚类结果判断用户请求是否服从Zipf分布,进而准确检测出缓存污染攻击及其类型,再针对缓存污染攻击的类型提出不同的防御方法。若是 LDA采用CacheShield防御方法,若是FLA采用创建黑名单的方式阻止恶意内容缓存并且使用数据包通告的方式通知边缘路由器实行限速机制。
本发明主要针对现有的缓存污染攻击检测与防御方法存在的检测准确率不高的问题,利用了KANN-DBSCAN对用户请求的请求比率和平均请求时间间隔进行聚类,根据聚类的结果判断用户的请求是否符合Zipf分布,实现了对缓存污染攻击更加准确的检测。所以一旦检测出缓存污染攻击的发生,本发明可以迅速组织对FLA或LDA的有效防御,阻止准确检测出的恶意内容存储到路由节点的CS,使得恶意内容无法占用路由节点的缓存空间,这将大大提高节点中正常用户请求的缓存命中率,降低内容请求的平均跳数。
缓存污染攻击检测方法如下:
步骤1:在每个统计周期内,当节点每收到一个请求,需要统计请求的内容对象的请求总数、收到的总请求数和前后两次请求内容对象的时间间隔。在当前统计周期结束后,每个节点需要计算已结束的统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔。节点计算用户请求行为特征参数的算法流程如图4所示。
步骤2:基于步骤1统计得到的周期内收到的每个请求内容对象的请求比率和平均请求时间间隔,利用KANN-DBSCAN算法进行聚类,分成不同的集群,获得准确聚类后的簇数并收集流行内容集合的请求内容及其数量。
步骤3:根据上一步聚类获得的簇,判断是否出现缓存污染攻击,以及出现的缓存污染攻击的类型。当节点在无攻击情况下,到达路由节点的内容请求分布会服从Zipf分布;当节点出现LDA时,到达路由节点的内容请求分布会近似于均匀分布;当节点出现FLA时,合法用户内容请求分布仍会服从Zipf分布,但是恶意用户的攻击行为会增加某些非流行内容的请求比率锐化了正常的Zipf分布。所以对用户的请求行为进行聚类,若是聚类后的簇数为1,即流行集合的内容请求和非流行集合的内容请求混合为一个集合,则出现了LDA。若聚类后簇数为2,出现了非流行内容集合的数量突然下降,而流行内容集合的数量却突然增加的情况,则此时可能出现了FLA。否则,在无攻击情况下,正常用户的请求情况会分为流行集合和非流行集合两个部分,聚类后簇数为2。
缓存污染攻击防御方法如下:
(1)针对LDA的防御方法
当存在一个节点利用缓存污染攻击检测方法检测出LDA时,采用CacheShield防御方法,统计请求内容的请求次数,计算请求内容的存储概率,阻止非流行内容存储到节点的缓存空间中。
(2)针对FLA的防御方法
当存在一个节点利用缓存污染攻击检测方法检测出FLA时,会获取到从非流行内容集合中转移到流行内容集合中的内容名称,将这些内容名称添加到节点设置的黑名单中。此后当该节点每接收到一个数据包时,将该数据包的内容名称与黑名单中的恶意内容名称进行前缀匹配,匹配成功后节点不再缓存该数据包。若节点是核心路由节点,还需要设置数据包的通知字段通知边缘路由器对恶意内容进行限速,然后转发数据包。若节点是边缘路由器,当该节点收到一个带通知标识的数据包,将数据包的名称标识添加到限速名单中,再转发数据包;当该节点接收到一个兴趣包时,将该兴趣包的内容名称与限速名单中的内容名称进行前缀匹配,若匹配成功,则该节点对其实行限速机制。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法,其特征在于,包括以下步骤:
步骤1:在当前统计周期结束后,节点计算已结束的统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔;
步骤2:利用KANN-DBSCAN算法将统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔进行聚类,分成不同的集群,获得准确聚类后的簇数并收集流行内容集合的请求内容及其数量;
步骤3:判断是否出现缓存污染攻击,以及出现的缓存污染攻击的类型;
若聚类后的簇数为1,即流行集合的内容请求和非流行集合的内容请求混合为一个集合,则判断出现了破坏内容分布特性攻击LDA;
若聚类后的簇数为2,且出现了非流行内容集合的数量突然下降,而流行内容集合的数量却突然增加的情况,则判断出现了伪造内容分布特性攻击FLA;
步骤4:针对缓存污染攻击采取防御策略;
若当前缓存污染攻击类型为破坏内容分布特性攻击LDA,则节点采用CacheShield防御策略,统计请求内容的请求次数,计算请求内容的存储概率,阻止非流行内容存储到节点的缓存空间中;
若当前缓存污染攻击类型为伪造内容分布特性攻击FLA,则节点获取从非流行内容集合中转移到流行内容集合中的内容名称,将这些内容名称添加到节点设置的黑名单中,此后当该节点接收到数据包时,将该数据包的内容名称与黑名单中的恶意内容名称进行前缀匹配,匹配成功后节点不再缓存该数据包;若节点是核心路由节点,则节点还需要设置数据包的通知字段通知边缘路由器对恶意内容进行限速,然后转发数据包;若节点是边缘路由器,当边缘路由器节点收到一个带通知标识的数据包时,将数据包的名称标识添加到限速名单中,再转发数据包;当边缘路由器节点接收到一个兴趣包时,将该兴趣包的内容名称与限速名单中的内容名称进行前缀匹配,若匹配成功则对兴趣包实行限速机制。
CN202010438363.9A 2020-05-22 2020-05-22 基于密度聚类的信息中心网络缓存污染攻击检测防御方法 Active CN111541722B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010438363.9A CN111541722B (zh) 2020-05-22 2020-05-22 基于密度聚类的信息中心网络缓存污染攻击检测防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010438363.9A CN111541722B (zh) 2020-05-22 2020-05-22 基于密度聚类的信息中心网络缓存污染攻击检测防御方法

Publications (2)

Publication Number Publication Date
CN111541722A CN111541722A (zh) 2020-08-14
CN111541722B true CN111541722B (zh) 2022-03-18

Family

ID=71976188

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010438363.9A Active CN111541722B (zh) 2020-05-22 2020-05-22 基于密度聚类的信息中心网络缓存污染攻击检测防御方法

Country Status (1)

Country Link
CN (1) CN111541722B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112188495B (zh) * 2020-09-01 2021-11-19 大连理工大学 超密集网络下基于联邦学习的缓存污染攻击检测方法
CN113852643B (zh) * 2021-10-21 2023-11-14 西安电子科技大学 基于内容流行度的内容分发网络缓存污染防御方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376229A (zh) * 2015-11-13 2016-03-02 中国人民解放军信息工程大学 一种内容中心网络缓存污染攻击主动防御方法
CN111160456A (zh) * 2019-12-28 2020-05-15 大连理工大学 车载内容中心网络下基于集成学习的缓存污染攻击检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9519586B2 (en) * 2013-01-21 2016-12-13 Qualcomm Incorporated Methods and apparatus to reduce cache pollution caused by data prefetching
US20170220479A1 (en) * 2016-01-29 2017-08-03 International Business Machines Corporation Dynamic cache memory management with cache pollution avoidance

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376229A (zh) * 2015-11-13 2016-03-02 中国人民解放军信息工程大学 一种内容中心网络缓存污染攻击主动防御方法
CN111160456A (zh) * 2019-12-28 2020-05-15 大连理工大学 车载内容中心网络下基于集成学习的缓存污染攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
内容中心网络中DoS攻击问题综述;李杨等;《信息安全学报》;20170131;第2卷(第1期);第91-104页 *

Also Published As

Publication number Publication date
CN111541722A (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
Liu et al. Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things
Xie et al. Enhancing cache robustness for content-centric networking
Kim et al. Efficient content verification in named data networking
WO2021227322A1 (zh) 一种SDN环境DDoS攻击检测防御方法
CN111541722B (zh) 基于密度聚类的信息中心网络缓存污染攻击检测防御方法
CN109905480B (zh) 基于内容中心性的概率缓存内容放置方法
CN108429761B (zh) 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法
Wang et al. Decoupling malicious interests from pending interest table to mitigate interest flooding attacks
US20060075489A1 (en) Streaming algorithms for robust, real-time detection of DDoS attacks
Yao et al. Detection and defense of cache pollution attacks using clustering in named data networks
CN103916379B (zh) 一种基于高频统计的cc攻击识别方法及系统
CN106131844B (zh) 一种ndn中恶意请求兴趣包攻击的防御方法
CN109257443A (zh) 一种面向车联网的命名数据网络自适应缓存策略
CN109831455B (zh) 一种缓解命名数据网络中隐蔽兴趣包泛洪攻击的方法
CN110535875B (zh) 车载内容中心网络下基于协作方式的缓存污染攻击检测方法
CN112235288A (zh) 一种基于gan的ndn网络入侵检测方法
CN109040163B (zh) 基于k匿名的命名数据网络隐私保护缓存决策方法
US20140133309A1 (en) Method and Apparatus for Sending Packet
CN108566382B (zh) 基于规则生命周期检测的防火墙自适应能力提升方法
CN111031077B (zh) 一种流量清洗方法、流量清洗系统和设备
Benarfa et al. Chokifa: A new detection and mitigation approach against interest flooding attacks in ndn
Al-Duwairi et al. A novel packet marking scheme for IP traceback
Zhou et al. Cache pollution prevention mechanism based on cache partition in V-NDN
CN109905482B (zh) 命名数据网络中基于视频直播系统的缓存方法
CN111628982B (zh) 一种基于信誉度与基尼杂质的洪泛攻击缓解方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant