CN111628982A - 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 - Google Patents

一种基于信誉度与基尼杂质的洪泛攻击缓解方法 Download PDF

Info

Publication number
CN111628982A
CN111628982A CN202010438355.4A CN202010438355A CN111628982A CN 111628982 A CN111628982 A CN 111628982A CN 202010438355 A CN202010438355 A CN 202010438355A CN 111628982 A CN111628982 A CN 111628982A
Authority
CN
China
Prior art keywords
port
prefix
prefixes
content name
content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010438355.4A
Other languages
English (en)
Other versions
CN111628982B (zh
Inventor
苘大鹏
杨武
王巍
玄世昌
吕继光
张吉顺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN202010438355.4A priority Critical patent/CN111628982B/zh
Publication of CN111628982A publication Critical patent/CN111628982A/zh
Application granted granted Critical
Publication of CN111628982B publication Critical patent/CN111628982B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于信息中心网络的洪泛攻击缓解技术领域,具体涉及一种基于信誉度与基尼杂质的洪泛攻击缓解方法。本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。

Description

一种基于信誉度与基尼杂质的洪泛攻击缓解方法
技术领域
本发明属于信息中心网络的洪泛攻击缓解技术领域,具体涉及一种基于信誉度与基尼杂质的洪泛攻击缓解方法。
背景技术
信息中心网络彻底改变了传统的TCP/IP网络架构,在网络架构中不存在IP地址的概念,内容作为网络的核心。信息中心网络的数据包与TCP/IP网络中也不相同,信息中心网络中的数据包分为兴趣包和数据包,兴趣包是内容需求者构建并且发出,数据包是传输的内容需求数据。当用户发送的兴趣包到达路由器的时候,信息中心网络先查询路由器的CS表。请求成功则返回内容从接入口。请求失败则查询PIT,如果匹配成功则将端口记录到PIT表中,如果匹配失败则在PIT表中建立记录并且去查询FIB表。
洪泛攻击作为传统TCP/IP模型最常见的攻击模式,对于网络情况以及网络资源产生很大的影响。在信息中心网络中,洪泛攻击也为破坏最严重的攻击形式之一。洪泛攻击作为最常见的攻击方式,对于信息中心网络的路由器节点的PIT产生非常大的影响。当攻击者发动攻击时,会发送大量不存在的内容名称的兴趣包。正如上述信息中心网络路由器流程所述,信息中心网络首先会在PIT表中存储大量不存在的内容名称前缀的条目,PIT条目耗尽导致正常的用户不能成功的转发兴趣包,导致合法用户的请求不能及时的得到响应。PIT表目录存在超时机制,超时机制能够在PIT条目超过过期时间进行释放,但是仅仅依靠超时机制仍然不能够及时的处理大量的恶意兴趣包。所以在检测出节点存在洪泛攻击的前提下,对攻击能否做出及时有效的应对方法为影响网络状况的关键。
发明内容
本发明的目的在于提供用于信息中心网络的能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,并在缓解洪泛攻击的情况下尽量不影响正常的用户的一种基于信誉度与基尼杂质的洪泛攻击缓解方法。
本发明的目的通过如下技术方案来实现:包括以下步骤:
步骤1:查询当前收到兴趣包的路由器节点的端口号;
步骤2:根据端口信誉表查询端口历史信誉值;
步骤3:根据端口号查询PIT表中相应端口的PIT条目数量;
步骤4:根据端口i在时间t中全部收到的兴趣包数I(i,t)以及端口的PIT条目数量计算端口的信誉值R(i,t);
R(i,t)=αR(i,t-1)+(1-α)(D(i,t)/I(i,t))
其中,D(i,t)为端口i在时间t中收到的数据包数量;α为历史信誉度比值,α=R(i,t-1)/R(i,t-2);
步骤5:判断端口的信誉值是否小于阈值T;若端口的信誉值不小于阈值T,则将其记录到端口信誉表;若端口的信誉值小于阈值T,则当前存在大量恶意前缀的风险,执行步骤6;
步骤6:统计当前的兴趣包对应端口的PIT中的全名称前缀;
步骤7:统计端口中在全名称前缀下的内容名称前缀的数量,即内容名称前缀聚合成全名称前缀的数量;
步骤8:计算阈值TP,TP为全名称前缀最多数量的百分之八十;
步骤9:遍历端口对应的全名称前缀,将大于阈值的潜在攻击内容名称前缀加入到缓冲队列List;
步骤10:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态,获取小于阈值T的端口分布以及当前时间节点最近的两个分布状态S1和S2;其中,S1以及S2为整个路由器节点的内容名称前缀状态;
步骤11:遍历缓冲队列中的内容名称前缀,计算每个内容前缀对应的基尼杂质Gini(S1);
步骤12:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质Gini(S1′);
步骤13:若Gini(S1′)-Gini(S1)<0,则表示当前的内容名称前缀对整体分布影响较大,将该内容名称前缀加入黑名单。
本发明的有益效果在于:
本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。
附图说明
图1是本发明中全名称前缀收敛示意图。
图2是本发明与其他方法的实验对比分析图。
图3是本发明与回溯策略的实验对比分析图。
图4是本发明中计算端口的信誉值的伪代码图。
图5是本发明中获取潜在攻击内容名称前缀并加入到缓冲队列List的伪代码图。
图6是本发明中限制攻击端口的伪代码图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明从边缘路由器切入,能够使得洪泛攻击在源头被控制从而减少了核心网络遭受兴趣包洪泛攻击的影响。对于洪泛攻击检测方法,当攻击发生时应该能够及时的检测出结果。对于攻击缓解方法不仅要求及时的响应处理,而且在应用对抗方法的同时要保证正常用户的数据请求。本发明具有更高的性能,可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。
本发明为兴趣包洪泛攻击缓存方法,当在内容中心网络中检测到路由器存在攻击的条件下触发。本发明是基于信誉度和内容名称前缀的洪泛攻击缓解方法,主要考虑用户路由器表中的各种信息,根据用户路由器表中的各种信息来评估路由器端口的信誉度。本发明考虑在限制攻击者的情况最大限度下不影响正常用户的请求,限制攻击端口并且不影响其他端口,所以按照端口为粒度进行信誉的计算。方法中对潜在攻击前缀设置黑名单,拒绝其发送的所有兴趣包。本发明设置在边缘路由器,在攻击者发动洪泛攻击的情况下,在源头被处理尽量不影响核心网络的状况。
本发明针对虚假兴趣包洪泛攻击提出了一种新的缓解方法,方法是基于端口信誉度和兴趣包的基尼杂质。本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明提出的洪泛攻击缓解方法保证了正常用户数据传输,降低了洪泛攻击对合法用户的影响。
端口信誉度计算方案如下:
在通过对路由器维护的端口信誉表中记录的信誉值以及当前的PIT表中的兴趣包的信誉度的情况进行计算评估当前的端口信誉值。算法流程如图4所示。
对内容中心网络路由器的端口信誉度的计算步骤如下所示。
步骤1.1:判断当前收到兴趣包的路由器节点的端口号。
步骤1.2:根据上述定义的端口信誉表查询端口信誉表端口历史信誉值。
步骤1.3:根据端口号,查询PIT表中相应端口的PIT条目数量。
步骤1.4:I(i,t)表示为接口i在时间t中全部收到的兴趣包数,根据I(i,t)以及上述统计的端口PIT条目。求得D(i,t)。
步骤1.5:根据上述求得的I(i,t)与D(i,t)计算相应端口的信誉值。
步骤1.6:如果当前端口的信誉值小于阈值T则表示当前存在大量恶意前缀的风险。
步骤1.7:如果当前的端口号的信誉值不小于T,则将其记录到端口信誉表。结束本策略。
前缀判断方案如下:
步骤2.1:首先进行条件判断,判断端口的信誉值是否小于阈值。
步骤2.2:统计当前的兴趣包对应端口的PIT中的全名称前缀。
步骤2.3:统计端口中在全名称前缀下的内容名称前缀的数量。即内容名称前缀聚合成全名称前缀的数量。
步骤2.4:设置阈值TP,TP为全名称前缀最多数量的百分之八十。
步骤2.5:遍历端口对应的全名称前缀,与阈值进行比较。当大于阈值的情况下则将其加入到缓冲队列List。
限制方案如下:
步骤3.1:获取步骤2.5中缓冲队列List中的潜在攻击内容名称前缀。
步骤3.2:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态。获取信誉值Putation<T的分布以及当前时间节点最近的两个分布状态S1和S2;S1以及S2为整个路由器节点的内容名称前缀状态。
步骤3.3:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质S1′。
步骤3.4:计算差值,当其差值小于0则表示当前的内容名称前缀对整体分布影响较大,将其内容名称前缀加入黑名单。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于信誉度与基尼杂质的洪泛攻击缓解方法,其特征在于,包括以下步骤:
步骤1:查询当前收到兴趣包的路由器节点的端口号;
步骤2:根据端口信誉表查询端口历史信誉值;
步骤3:根据端口号查询PIT表中相应端口的PIT条目数量;
步骤4:根据端口i在时间t中全部收到的兴趣包数I(i,t)以及端口的PIT条目数量计算端口的信誉值R(i,t);
R(i,t)=αR(i,t-1)+(1-α)(D(i,t)/I(i,t))
其中,D(i,t)为端口i在时间t中收到的数据包数量;α为历史信誉度比值,α=R(i,t-1)/R(i,t-2);
步骤5:判断端口的信誉值是否小于阈值T;若端口的信誉值不小于阈值T,则将其记录到端口信誉表;若端口的信誉值小于阈值T,则当前存在大量恶意前缀的风险,执行步骤6;
步骤6:统计当前的兴趣包对应端口的PIT中的全名称前缀;
步骤7:统计端口中在全名称前缀下的内容名称前缀的数量,即内容名称前缀聚合成全名称前缀的数量;
步骤8:计算阈值TP,TP为全名称前缀最多数量的百分之八十;
步骤9:遍历端口对应的全名称前缀,将大于阈值的潜在攻击内容名称前缀加入到缓冲队列List;
步骤10:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态,获取小于阈值T的端口分布以及当前时间节点最近的两个分布状态S1和S2;其中,S1以及S2为整个路由器节点的内容名称前缀状态;
步骤11:遍历缓冲队列中的内容名称前缀,计算每个内容前缀对应的基尼杂质Gini(S1);
步骤12:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质Gini(S1′);
步骤13:若Gini(S1′)-Gini(S1)<0,则表示当前的内容名称前缀对整体分布影响较大,将该内容名称前缀加入黑名单。
CN202010438355.4A 2020-05-22 2020-05-22 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 Active CN111628982B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010438355.4A CN111628982B (zh) 2020-05-22 2020-05-22 一种基于信誉度与基尼杂质的洪泛攻击缓解方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010438355.4A CN111628982B (zh) 2020-05-22 2020-05-22 一种基于信誉度与基尼杂质的洪泛攻击缓解方法

Publications (2)

Publication Number Publication Date
CN111628982A true CN111628982A (zh) 2020-09-04
CN111628982B CN111628982B (zh) 2022-03-18

Family

ID=72272677

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010438355.4A Active CN111628982B (zh) 2020-05-22 2020-05-22 一种基于信誉度与基尼杂质的洪泛攻击缓解方法

Country Status (1)

Country Link
CN (1) CN111628982B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023241048A1 (zh) * 2022-06-15 2023-12-21 中兴通讯股份有限公司 对网络连接请求的调控方法、控制器、基站及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160359876A1 (en) * 2015-06-08 2016-12-08 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
CN106357641A (zh) * 2016-09-18 2017-01-25 中国科学院信息工程研究所 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置
CN107612937A (zh) * 2017-10-26 2018-01-19 武汉理工大学 一种sdn网络下对dhcp泛洪攻击的检测与防御方法
CN108347442A (zh) * 2018-02-09 2018-07-31 重庆邮电大学 内容中心网络中检测兴趣包泛洪攻击的方法及系统
CN108429761A (zh) * 2018-04-10 2018-08-21 北京交通大学 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法
US20200076825A1 (en) * 2018-08-30 2020-03-05 Syniverse Technologies, Llc Detection of flooding of unwanted messages

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160359876A1 (en) * 2015-06-08 2016-12-08 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
CN106357641A (zh) * 2016-09-18 2017-01-25 中国科学院信息工程研究所 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置
CN107612937A (zh) * 2017-10-26 2018-01-19 武汉理工大学 一种sdn网络下对dhcp泛洪攻击的检测与防御方法
CN108347442A (zh) * 2018-02-09 2018-07-31 重庆邮电大学 内容中心网络中检测兴趣包泛洪攻击的方法及系统
CN108429761A (zh) * 2018-04-10 2018-08-21 北京交通大学 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法
US20200076825A1 (en) * 2018-08-30 2020-03-05 Syniverse Technologies, Llc Detection of flooding of unwanted messages

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
TING ZHI: "A Gini Impurity-Based Interest Flooding Attack Defence Mechanism in NDN", 《IEEE COMMUNICATIONS LETTERS》 *
陈本刚,宋礼鹏: "网页内容链接层次语义树的恶意网页检测方法", 《计算机工程与应用》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023241048A1 (zh) * 2022-06-15 2023-12-21 中兴通讯股份有限公司 对网络连接请求的调控方法、控制器、基站及存储介质

Also Published As

Publication number Publication date
CN111628982B (zh) 2022-03-18

Similar Documents

Publication Publication Date Title
US6973040B1 (en) Method of maintaining lists of network characteristics
US9270643B2 (en) State-transition based network intrusion detection
US7426634B2 (en) Method and apparatus for rate based denial of service attack detection and prevention
EP1648118B1 (en) Bridge node with MAC address table overflow protection
CN107018084B (zh) 基于sdn架构的ddos攻击防御网络安全方法
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US20200137112A1 (en) Detection and mitigation solution using honeypots
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
CA2540802A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
US10951649B2 (en) Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
US11153342B2 (en) Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data
Maheshwari et al. Defending network system against IP spoofing based distributed DoS attacks using DPHCF-RTT packet filtering technique
Xing et al. Isolation forest-based mechanism to defend against interest flooding attacks in named data networking
CN111628982B (zh) 一种基于信誉度与基尼杂质的洪泛攻击缓解方法
Chen et al. Isolation forest based interest flooding attack detection mechanism in ndn
Noh et al. Protection against flow table overflow attack in software defined networks
CN111031077B (zh) 一种流量清洗方法、流量清洗系统和设备
Cheng et al. Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view
Al-Duwairi et al. A novel packet marking scheme for IP traceback
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법
CN112714102A (zh) 一种多核异构平台下SYN Flood攻击防御方法
CN113014530B (zh) Arp欺骗攻击防范方法及系统
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
CN113556342A (zh) 一种dns缓存服务器前缀变化攻击防护方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant