CN111628982A - 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 - Google Patents
一种基于信誉度与基尼杂质的洪泛攻击缓解方法 Download PDFInfo
- Publication number
- CN111628982A CN111628982A CN202010438355.4A CN202010438355A CN111628982A CN 111628982 A CN111628982 A CN 111628982A CN 202010438355 A CN202010438355 A CN 202010438355A CN 111628982 A CN111628982 A CN 111628982A
- Authority
- CN
- China
- Prior art keywords
- port
- prefix
- prefixes
- content name
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息中心网络的洪泛攻击缓解技术领域,具体涉及一种基于信誉度与基尼杂质的洪泛攻击缓解方法。本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。
Description
技术领域
本发明属于信息中心网络的洪泛攻击缓解技术领域,具体涉及一种基于信誉度与基尼杂质的洪泛攻击缓解方法。
背景技术
信息中心网络彻底改变了传统的TCP/IP网络架构,在网络架构中不存在IP地址的概念,内容作为网络的核心。信息中心网络的数据包与TCP/IP网络中也不相同,信息中心网络中的数据包分为兴趣包和数据包,兴趣包是内容需求者构建并且发出,数据包是传输的内容需求数据。当用户发送的兴趣包到达路由器的时候,信息中心网络先查询路由器的CS表。请求成功则返回内容从接入口。请求失败则查询PIT,如果匹配成功则将端口记录到PIT表中,如果匹配失败则在PIT表中建立记录并且去查询FIB表。
洪泛攻击作为传统TCP/IP模型最常见的攻击模式,对于网络情况以及网络资源产生很大的影响。在信息中心网络中,洪泛攻击也为破坏最严重的攻击形式之一。洪泛攻击作为最常见的攻击方式,对于信息中心网络的路由器节点的PIT产生非常大的影响。当攻击者发动攻击时,会发送大量不存在的内容名称的兴趣包。正如上述信息中心网络路由器流程所述,信息中心网络首先会在PIT表中存储大量不存在的内容名称前缀的条目,PIT条目耗尽导致正常的用户不能成功的转发兴趣包,导致合法用户的请求不能及时的得到响应。PIT表目录存在超时机制,超时机制能够在PIT条目超过过期时间进行释放,但是仅仅依靠超时机制仍然不能够及时的处理大量的恶意兴趣包。所以在检测出节点存在洪泛攻击的前提下,对攻击能否做出及时有效的应对方法为影响网络状况的关键。
发明内容
本发明的目的在于提供用于信息中心网络的能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,并在缓解洪泛攻击的情况下尽量不影响正常的用户的一种基于信誉度与基尼杂质的洪泛攻击缓解方法。
本发明的目的通过如下技术方案来实现:包括以下步骤:
步骤1:查询当前收到兴趣包的路由器节点的端口号;
步骤2:根据端口信誉表查询端口历史信誉值;
步骤3:根据端口号查询PIT表中相应端口的PIT条目数量;
步骤4:根据端口i在时间t中全部收到的兴趣包数I(i,t)以及端口的PIT条目数量计算端口的信誉值R(i,t);
R(i,t)=αR(i,t-1)+(1-α)(D(i,t)/I(i,t))
其中,D(i,t)为端口i在时间t中收到的数据包数量;α为历史信誉度比值,α=R(i,t-1)/R(i,t-2);
步骤5:判断端口的信誉值是否小于阈值T;若端口的信誉值不小于阈值T,则将其记录到端口信誉表;若端口的信誉值小于阈值T,则当前存在大量恶意前缀的风险,执行步骤6;
步骤6:统计当前的兴趣包对应端口的PIT中的全名称前缀;
步骤7:统计端口中在全名称前缀下的内容名称前缀的数量,即内容名称前缀聚合成全名称前缀的数量;
步骤8:计算阈值TP,TP为全名称前缀最多数量的百分之八十;
步骤9:遍历端口对应的全名称前缀,将大于阈值的潜在攻击内容名称前缀加入到缓冲队列List;
步骤10:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态,获取小于阈值T的端口分布以及当前时间节点最近的两个分布状态S1和S2;其中,S1以及S2为整个路由器节点的内容名称前缀状态;
步骤11:遍历缓冲队列中的内容名称前缀,计算每个内容前缀对应的基尼杂质Gini(S1);
步骤12:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质Gini(S1′);
步骤13:若Gini(S1′)-Gini(S1)<0,则表示当前的内容名称前缀对整体分布影响较大,将该内容名称前缀加入黑名单。
本发明的有益效果在于:
本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。
附图说明
图1是本发明中全名称前缀收敛示意图。
图2是本发明与其他方法的实验对比分析图。
图3是本发明与回溯策略的实验对比分析图。
图4是本发明中计算端口的信誉值的伪代码图。
图5是本发明中获取潜在攻击内容名称前缀并加入到缓冲队列List的伪代码图。
图6是本发明中限制攻击端口的伪代码图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明从边缘路由器切入,能够使得洪泛攻击在源头被控制从而减少了核心网络遭受兴趣包洪泛攻击的影响。对于洪泛攻击检测方法,当攻击发生时应该能够及时的检测出结果。对于攻击缓解方法不仅要求及时的响应处理,而且在应用对抗方法的同时要保证正常用户的数据请求。本发明具有更高的性能,可以适应更加复杂的网络环境,能够在攻击者发出洪泛攻击的情况下定位受攻击的端口,在缓解洪泛攻击的情况下尽最大努力不影响正常的用户。
本发明为兴趣包洪泛攻击缓存方法,当在内容中心网络中检测到路由器存在攻击的条件下触发。本发明是基于信誉度和内容名称前缀的洪泛攻击缓解方法,主要考虑用户路由器表中的各种信息,根据用户路由器表中的各种信息来评估路由器端口的信誉度。本发明考虑在限制攻击者的情况最大限度下不影响正常用户的请求,限制攻击端口并且不影响其他端口,所以按照端口为粒度进行信誉的计算。方法中对潜在攻击前缀设置黑名单,拒绝其发送的所有兴趣包。本发明设置在边缘路由器,在攻击者发动洪泛攻击的情况下,在源头被处理尽量不影响核心网络的状况。
本发明针对虚假兴趣包洪泛攻击提出了一种新的缓解方法,方法是基于端口信誉度和兴趣包的基尼杂质。本发明提出的缓解手段部署在边缘路由器,通过限制恶意数据,能够将洪泛攻击在源头被缓解,减少攻击对核心网络的影响;在内容名称方面,提出全名称前缀的概念,降低了字典树的空间开销,减少方法的空间复杂度;在恶意前缀识别方面,本发明提出了基尼杂质与全名称前缀组合识别方法,基于统计学理论基尼杂质和路由器的PIT结构,实现了恶意内容名称的识别;在正常用户的数据传输方面。本发明提出的洪泛攻击缓解方法保证了正常用户数据传输,降低了洪泛攻击对合法用户的影响。
端口信誉度计算方案如下:
在通过对路由器维护的端口信誉表中记录的信誉值以及当前的PIT表中的兴趣包的信誉度的情况进行计算评估当前的端口信誉值。算法流程如图4所示。
对内容中心网络路由器的端口信誉度的计算步骤如下所示。
步骤1.1:判断当前收到兴趣包的路由器节点的端口号。
步骤1.2:根据上述定义的端口信誉表查询端口信誉表端口历史信誉值。
步骤1.3:根据端口号,查询PIT表中相应端口的PIT条目数量。
步骤1.4:I(i,t)表示为接口i在时间t中全部收到的兴趣包数,根据I(i,t)以及上述统计的端口PIT条目。求得D(i,t)。
步骤1.5:根据上述求得的I(i,t)与D(i,t)计算相应端口的信誉值。
步骤1.6:如果当前端口的信誉值小于阈值T则表示当前存在大量恶意前缀的风险。
步骤1.7:如果当前的端口号的信誉值不小于T,则将其记录到端口信誉表。结束本策略。
前缀判断方案如下:
步骤2.1:首先进行条件判断,判断端口的信誉值是否小于阈值。
步骤2.2:统计当前的兴趣包对应端口的PIT中的全名称前缀。
步骤2.3:统计端口中在全名称前缀下的内容名称前缀的数量。即内容名称前缀聚合成全名称前缀的数量。
步骤2.4:设置阈值TP,TP为全名称前缀最多数量的百分之八十。
步骤2.5:遍历端口对应的全名称前缀,与阈值进行比较。当大于阈值的情况下则将其加入到缓冲队列List。
限制方案如下:
步骤3.1:获取步骤2.5中缓冲队列List中的潜在攻击内容名称前缀。
步骤3.2:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态。获取信誉值Putation<T的分布以及当前时间节点最近的两个分布状态S1和S2;S1以及S2为整个路由器节点的内容名称前缀状态。
步骤3.3:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质S1′。
步骤3.4:计算差值,当其差值小于0则表示当前的内容名称前缀对整体分布影响较大,将其内容名称前缀加入黑名单。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种基于信誉度与基尼杂质的洪泛攻击缓解方法,其特征在于,包括以下步骤:
步骤1:查询当前收到兴趣包的路由器节点的端口号;
步骤2:根据端口信誉表查询端口历史信誉值;
步骤3:根据端口号查询PIT表中相应端口的PIT条目数量;
步骤4:根据端口i在时间t中全部收到的兴趣包数I(i,t)以及端口的PIT条目数量计算端口的信誉值R(i,t);
R(i,t)=αR(i,t-1)+(1-α)(D(i,t)/I(i,t))
其中,D(i,t)为端口i在时间t中收到的数据包数量;α为历史信誉度比值,α=R(i,t-1)/R(i,t-2);
步骤5:判断端口的信誉值是否小于阈值T;若端口的信誉值不小于阈值T,则将其记录到端口信誉表;若端口的信誉值小于阈值T,则当前存在大量恶意前缀的风险,执行步骤6;
步骤6:统计当前的兴趣包对应端口的PIT中的全名称前缀;
步骤7:统计端口中在全名称前缀下的内容名称前缀的数量,即内容名称前缀聚合成全名称前缀的数量;
步骤8:计算阈值TP,TP为全名称前缀最多数量的百分之八十;
步骤9:遍历端口对应的全名称前缀,将大于阈值的潜在攻击内容名称前缀加入到缓冲队列List;
步骤10:在路由器中根据维护的连续的几个时间间隔兴趣包的分布状态,获取小于阈值T的端口分布以及当前时间节点最近的两个分布状态S1和S2;其中,S1以及S2为整个路由器节点的内容名称前缀状态;
步骤11:遍历缓冲队列中的内容名称前缀,计算每个内容前缀对应的基尼杂质Gini(S1);
步骤12:遍历缓冲队列中的内容名称前缀,用S2的内容名称前缀替换S1的内容名称前缀,重新计算每个内容前缀对应的基尼杂质Gini(S1′);
步骤13:若Gini(S1′)-Gini(S1)<0,则表示当前的内容名称前缀对整体分布影响较大,将该内容名称前缀加入黑名单。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010438355.4A CN111628982B (zh) | 2020-05-22 | 2020-05-22 | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010438355.4A CN111628982B (zh) | 2020-05-22 | 2020-05-22 | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111628982A true CN111628982A (zh) | 2020-09-04 |
CN111628982B CN111628982B (zh) | 2022-03-18 |
Family
ID=72272677
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010438355.4A Active CN111628982B (zh) | 2020-05-22 | 2020-05-22 | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111628982B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023241048A1 (zh) * | 2022-06-15 | 2023-12-21 | 中兴通讯股份有限公司 | 对网络连接请求的调控方法、控制器、基站及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160359876A1 (en) * | 2015-06-08 | 2016-12-08 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
CN106357641A (zh) * | 2016-09-18 | 2017-01-25 | 中国科学院信息工程研究所 | 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置 |
CN107612937A (zh) * | 2017-10-26 | 2018-01-19 | 武汉理工大学 | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 |
CN108347442A (zh) * | 2018-02-09 | 2018-07-31 | 重庆邮电大学 | 内容中心网络中检测兴趣包泛洪攻击的方法及系统 |
CN108429761A (zh) * | 2018-04-10 | 2018-08-21 | 北京交通大学 | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 |
US20200076825A1 (en) * | 2018-08-30 | 2020-03-05 | Syniverse Technologies, Llc | Detection of flooding of unwanted messages |
-
2020
- 2020-05-22 CN CN202010438355.4A patent/CN111628982B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160359876A1 (en) * | 2015-06-08 | 2016-12-08 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
CN106357641A (zh) * | 2016-09-18 | 2017-01-25 | 中国科学院信息工程研究所 | 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置 |
CN107612937A (zh) * | 2017-10-26 | 2018-01-19 | 武汉理工大学 | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 |
CN108347442A (zh) * | 2018-02-09 | 2018-07-31 | 重庆邮电大学 | 内容中心网络中检测兴趣包泛洪攻击的方法及系统 |
CN108429761A (zh) * | 2018-04-10 | 2018-08-21 | 北京交通大学 | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 |
US20200076825A1 (en) * | 2018-08-30 | 2020-03-05 | Syniverse Technologies, Llc | Detection of flooding of unwanted messages |
Non-Patent Citations (2)
Title |
---|
TING ZHI: "A Gini Impurity-Based Interest Flooding Attack Defence Mechanism in NDN", 《IEEE COMMUNICATIONS LETTERS》 * |
陈本刚,宋礼鹏: "网页内容链接层次语义树的恶意网页检测方法", 《计算机工程与应用》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023241048A1 (zh) * | 2022-06-15 | 2023-12-21 | 中兴通讯股份有限公司 | 对网络连接请求的调控方法、控制器、基站及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111628982B (zh) | 2022-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6973040B1 (en) | Method of maintaining lists of network characteristics | |
US9270643B2 (en) | State-transition based network intrusion detection | |
US7426634B2 (en) | Method and apparatus for rate based denial of service attack detection and prevention | |
EP1648118B1 (en) | Bridge node with MAC address table overflow protection | |
CN107018084B (zh) | 基于sdn架构的ddos攻击防御网络安全方法 | |
JP2009534001A (ja) | 悪質な攻撃の検出システム及びそれに関連する使用方法 | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
CA2540802A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
US10951649B2 (en) | Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content | |
US11153342B2 (en) | Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data | |
Maheshwari et al. | Defending network system against IP spoofing based distributed DoS attacks using DPHCF-RTT packet filtering technique | |
Xing et al. | Isolation forest-based mechanism to defend against interest flooding attacks in named data networking | |
CN111628982B (zh) | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 | |
Chen et al. | Isolation forest based interest flooding attack detection mechanism in ndn | |
Noh et al. | Protection against flow table overflow attack in software defined networks | |
CN111031077B (zh) | 一种流量清洗方法、流量清洗系统和设备 | |
Cheng et al. | Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view | |
Al-Duwairi et al. | A novel packet marking scheme for IP traceback | |
KR20030009887A (ko) | 서비스거부 공격 차단시스템 및 방법 | |
CN112714102A (zh) | 一种多核异构平台下SYN Flood攻击防御方法 | |
CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
CN113556342A (zh) | 一种dns缓存服务器前缀变化攻击防护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |