CN111786976A - 一种ndn网络中基于路径聚合的兴趣包泛洪攻击检测系统 - Google Patents

Abstract

本发明公开了一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，涉及下一代互联网架构和网络安全领域。包括中心控制器，NDN路由器，内容请求节点和内容提供节点。内容请求节点在需要某一项内容时，将所需内容名称放在兴趣包中发送给NDN路由器；NDN路由器根据本地缓存的内容决定提供内容给请求节点或转发兴趣包；内容提供节点收到兴趣包时将请求的内容放在数据包中发回给请求节点；中心控制器通过路径聚合和负载均衡算法，计算并下发路由表给NDN路由器；NDN路由器根据每个端口的兴趣包满足率、请求兴趣表大小和否定应答数量三个指标判定是否遭遇兴趣包泛洪攻击。本发明明显提高兴趣包泛洪攻击的检测速度，增强兴趣包泛洪攻击检测的灵敏度。

Description

一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统

技术领域

本发明涉及下一代互联网架构和网络安全领域，尤其涉及一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统。

背景技术

信息中心网络(Information Centric Network，简称ICN)是未来网络架构的重要研究方向之一，旨在从体系架构层面支持高效可扩展的内容获取、设备移动性和内容安全机制。ICN的基本设计理念是摒弃以IP地址为基础的传输协议架构，采用以信息的名称为中心的传输协议架构。简单而言，每则内容被标识上一个唯一的名字，成为网络信息；网络可通过该命名区分每一则信息，整个网络的运行由针对这些信息的请求、路由和传输驱动。网络中的每台路由器均拥有存储资源，当内容经过路由器的时候，路由器的缓存决策算法决定是否在本地存储该内容。用户向网络发出请求，指定“感兴趣”的信息(目标内容)。网络通过路由算法扩散这个信息请求，根据特定分发机制确定ICN系统中可获取该内容的存储位置(可能是某台或数台邻近的路由器，也可能是拥有该内容的原始服务器)，并从这些存储地点获得此内容并传输给请求用户。

命名数据网络(Named Data Network，简称NDN)是信息中心网络(ICN)概念的一种主流实现方案，通过内容的请求者(Consumer)和提供者(Producer)来驱动内容的产生和获取。NDN中包含两种基础数据包：兴趣包(Interest Packet)和数据包(Data Packet)。兴趣包类似请求报文，由所请求的数据名称、一些可选项以及标识该条请求的随机数组成。兴趣包的转发可由路由器自定义的转发策略(forwarding strategy)决定。数据包是针对兴趣包的响应，由数据名、元数据、签名和具体的数据内容组成。数据包根据兴趣包的转发路径原路返回。

兴趣包泛洪攻击(Interest Flooding Attack)是NDN网络中特有的一种拒绝服务攻击。由于NDN的命名特性，攻击者无法根据地址针对某个特定的节点或主机发起攻击，传统的拒绝服务攻击无法起到作用。但由于NDN节点资源有限，攻击者可以构造特定前缀的兴趣包，向某个/些生产者高速发送，使得沿途节点的资源，尤其是PIT表的资源耗尽，从而影响节点对正常用户请求的处理。我们称攻击者发出的兴趣包为异常兴趣包，而为了提高攻击的效率，这些异常兴趣包通常有着共同的名称前缀，我们称为异常前缀。

当攻击发生时，攻击者向某个/些生产者发出大量的异常兴趣包，可能对沿途的路由节点和对应的生产者造成不利影响。具体对对路由节点而言，由于路由节点会在PIT中保存所有接收到但未被满足的兴趣包信息，高速到达的异常兴趣包会使得资源有限的PIT表被占满，无暇处理正常用户的兴趣包，导致正常用户的兴趣包大量超时；对生产者来说，被攻击的生产者忙于应对攻击者发出的大量兴趣包，对来自其它正常用户的兴趣包，可能会造成较大的延迟或超时。

IFA攻击根据攻击者发出的兴趣包种类，主要可以分成三种类型。1)兴趣包请求存在的静态数据：攻击者发出大量对于已知存在的静态数据的请求。这种攻击由于NDN的缓存机制，危害较小。2)兴趣包请求存在的动态数据：攻击者发出大量对生产者上不断变化的数据的请求。此时，每个兴趣包都会被转发到生产者端，生产者每次都要返回对应的数据包，可能同时路由节点和生产者。但这种攻击在实现上较为困难，因为攻击者需要知道这些动态数据的存在。3)兴趣包请求不存在的数据：攻击者发出大量对生产者端不存在的数据的请求。此时，每个兴趣包都会被转发到生产者端，生产者对每个兴趣包返回对应的NACK兴趣包，更容易影响到路由节点的正常工作。这种攻击是破坏力较大且易于实现的，因此本发明也主要这对这类攻击进行检测。其中，NACK包是一种特殊的兴趣包，在生产者无法提供用户所请求的内容时返回。

目前主要通过监控路由器各个端口的兴趣包满足率以及路由器的PIT资源消耗率来判断是否发生了泛洪攻击，当兴趣包满足率和PIT资源消耗均突破了所设置的阈值时，认为发生了泛洪攻击，并采取对应的措施。考虑到兴趣包泛洪攻击一般是基于某一种或者少量几种前缀进行大量泛洪，如果可以将前缀相同的路由进行聚合，就可以将原本分散的泛洪路由相对集中起来，便于防御机制的检测和分析。

因此，本领域的技术人员致力于开发一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，提高兴趣包泛洪攻击的检测速度，增强兴趣包泛洪攻击检测的灵敏度。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提高兴趣包泛洪攻击的检测速度，增强兴趣包泛洪攻击检测的灵敏度。

为实现上述目的，本发明提供了一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，包括中心控制器，NDN路由器，内容请求节点和内容提供节点；

所述内容请求节点在需要某一项内容时，将所需内容名称放在兴趣包中发送给所述NDN路由器；

所述NDN路由器在收到所述兴趣包时，根据本地缓存的内容决定提供内容给所述内容请求节点或转发所述兴趣包；

所述内容提供节点当收到所述兴趣包时将请求的内容放在数据包中发回给所述内容请求节点；

所述中心控制器通过路径聚合和负载均衡算法，计算并下发路由表给所述NDN路由器；

所述NDN路由器根据每个端口的兴趣包满足率、请求兴趣表大小和否定应答数量三个指标判定是否遭遇兴趣包泛洪攻击。

进一步地，所述NDN路由器维护的表包括请求兴趣表、转发信息表和缓存表。

进一步地，所述请求兴趣表存储所述NDN路由器接收到的、但尚未收到对应所述数据包的所述兴趣包信息和所述兴趣包的来源端口。

进一步地，所述转发信息表存储了所述兴趣包名称前缀和根据路由协议得到的下一跳端口。

进一步地，所述缓存表根据一定的策略缓存所述NDN路由器接收到的所述数据包。

进一步地，所述中心控制器获取的所述NDN路由器状态信息，包括所述NDN路由器接收到的所述兴趣包种类和数量。

进一步地，所述中心控制器获取的所述NDN路由器状态信息的方式，包括主动请求和被动接收。

进一步地，所述路径聚合是将具有相同内容名称前缀的路由进行合并，使得目的地为同一个内容提供者的所述兴趣包经过相同的路径。

进一步地，所述负载均衡算法是根据当前的网络连接和流量状态，在所述路径聚合的条件下，将网络流量比较均匀地分配给网络中的所述NDN路由器。

进一步地，所述NDN路由器当所述兴趣包满足率低于事先设定的阈值，同时所述请求兴趣表大小和所述否定应答数量都超过事先设定的阈值时，判定出现了兴趣包泛洪攻击。

在本发明的较佳实施方式中，提供了一种NDN(Named Data Networking)网络中基于路径聚合的兴趣包泛洪攻击检测系统，系统包括中心控制器，NDN路由器，内容提供节点和内容请求节点。内容请求节点在需要某一项内容时，将所需内容名称放在兴趣包(Interest Packet)中发送给NDN路由器。NDN路由器在收到兴趣包时，根据本地缓存的内容决定提供内容给请求节点或转发兴趣包。内容提供节点当收到兴趣包(Interest Packet)时将请求的内容放在数据包(Data Packet)中发回给请求节点。兴趣包泛洪攻击发起者伪装成内容请求节点，通过发送大量的兴趣包请求不存在的内容，造成NDN路由器和内容提供节点的处理压力，影响其正常功能。

本发明引入中心控制器和路径聚合机制来提高对兴趣包泛洪攻击的检测效果。中心控制器通过主动请求和被动接收两种方式获取NDN路由器接收到的兴趣包种类和数量，通过路径聚合和负载均衡算法，计算并下发路由表给NDN路由器。NDN路由器根据每个端口的兴趣包满足率、请求兴趣表大小和否定应答数量三个指标判定是否遭遇兴趣包泛洪攻击。由于路径聚合能够有效放大兴趣包泛洪攻击时的检测参数，因此可以明显提高兴趣包泛洪攻击的检测速度，增强兴趣包泛洪攻击检测的灵敏度。

本发明与现有技术相比较，具有如下显而易见的实质性特点和显著优点：

1、通过引入中央控制器，实现了路由器转发功能与控制功能的分离。中央控制器负责网络中路由的计算和下发，便于实现全局优化、负载均衡和路径聚合策略。

2、通过引入路径聚合机制，中央控制器将内容名称前缀相同的路由进行合并，在存在多条平行路径的时候，为目的地为同一个内容提供者的兴趣包选择同一条路径，因此当攻击者发送大量针对某一种或者几种前缀的兴趣包时，路由器能够更集中地观察到检测指标的变化。

3、路由器根据兴趣包满足率、请求兴趣表大小和否定应答这三个指标来判断是否存在兴趣包泛洪攻击。由于路径聚合能够有效放大兴趣包泛洪攻击时的上述检测参数，因此本发明可以明显提高兴趣包泛洪攻击的检测速度，增强兴趣包泛洪攻击检测的灵敏度。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一个较佳实施例的基于路径聚合的兴趣包泛洪攻击检测系统示意图；

图2是本发明的一个较佳实施例的兴趣包结构示意图；

图3是本发明的一个较佳实施例的数据包结构示意图；

图4是本发明的一个较佳实施例的内容获取过程示意图；

图5是本发明的一个较佳实施例的未实施路径聚合时的转发信息表示意图；

图6是本发明的一个较佳实施例的实施路径聚合以后的转发信息表示意图；

图7是本发明的一个较佳实施例的未实施路径聚合情况下兴趣包泛洪攻击造成的影响示意图；

图8是本发明的一个较佳实施例的实施了路径聚合后兴趣包泛洪攻击造成的影响示意图。

具体实施方式

以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限于文中提到的实施例。

在附图中，结构相同的部件以相同数字标号表示，各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的，本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰，附图中有些地方适当夸大了部件的厚度。

本发明提出了一种基于路径聚合的兴趣包泛洪攻击检测系统。NDN路由节点通过各个端口的兴趣包满足率以及请求兴趣表的资源消耗来判断是否遭遇到兴趣包泛洪攻击。为了提高检测的灵敏度，本发明引入了中心控制节点和路径聚合机制，中心控制节点通过全局优化算法，在满足负载均衡的前提下，将路由表中名称前缀相同的兴趣包路由进行合并，通过向路由器下发路由表，把发往同一个提供者的兴趣包引流到相同的路由节点。当发生针对不存在内容的兴趣包泛洪攻击时，由于路由的聚合效应，在所经过的路由器上兴趣包的未满足率和请求兴趣表资源消耗率都会得到明显的参数放大效果，从而提高路由器的攻击检测灵敏度。

本发明的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，包括中心控制器，NDN路由器，内容提供节点和内容请求节点。

内容请求节点在需要某一项内容时，将所需内容名称放在兴趣包中发送给直接相连的NDN路由器。兴趣包除了包含内容名称以外，还包含标识该条请求的随机数以及一些可选项。

每一个NDN路由器维护三张表：请求兴趣表、转发信息表和缓存表。其中请求兴趣表存储该路由器接收到的、但尚未收到对应数据包的兴趣包信息和兴趣包的来源端口；转发信息表存储了兴趣包名称前缀和根据路由协议得到的下一跳端口；缓存表则根据一定的策略缓存路由器接收到的数据包。

NDN路由器在收到兴趣包时，首先检查本地的缓存表中是否有与兴趣包名称相匹配的内容。如果有匹配的内容，则构造由内容名称、元数据、数字签名和具体的数据内容组成的数据包，并沿着该兴趣包来源端口发送数据包。如果路由器在本地缓存表里没有找到匹配的内容，则首先将该请求兴趣添加到请求兴趣表，同时记录兴趣包来源端口；然后查找转发信息表是否有与内容名称相匹配的条目，如有，则根据条目中的下一跳地址转发兴趣包，若没有匹配条目，路由器则向中心控制器提出路由请求，并在接收到中心控制器分配的路由后根据此路由转发兴趣包，同时将该条路由添加到转发信息表。

若兴趣包经过的路由器缓存里都没有匹配的内容，兴趣包最终会到达内容提供节点。内容提供节点收到兴趣包时，在本地数据库里查找是否存在与请求内容名称匹配的内容，如果有，则构造数据包，将请求的内容放在数据包里沿着兴趣包的路径返回。如果内容提供节点没有找的匹配的内容，则返回一个否定应答。

NDN路由器在接收到数据包时，首先查找请求兴趣表，找到该兴趣包来源端口，将数据包转发到该端口，同时从请求兴趣表中删除该条目。另外路由器根据缓存策略决定是否将该内容保存在本地缓存表。当路由器接收到针对某条内容的否定应答时，将该条内容从请求兴趣表中移除，同时记录在否定应答列表中进行统计。

当内容请求节点恶意地发送大量针对不存在内容的兴趣包时，每个兴趣包都会被转发到内容提供节点，内容提供节点对每个兴趣包都需要返回一个否定应答，这将给路由器和内容提供节点带来处理压力，导致正常的内容请求不能得到及时的服务，这种情况称为兴趣包泛洪攻击。

为了提高对兴趣包泛洪攻击的检测能力，本发明引入了中央控制器和路径聚合机制。中心控制器通过主动请求和被动接收两种方式获取路由器状态信息，包括路由器接收到的兴趣包种类和数量，通过路径聚合和负载均衡算法，计算并下发路由表给路由器。路径聚合是将具有相同内容名称前缀的路由进行合并，使得目的地为同一个内容提供者的兴趣包经过相同的路径，从而在发生兴趣包泛洪攻击时，路由器可以感知到明显的状态变化，检测算法能够更加灵敏地检测到攻击。负载均衡算法则是根据当前的网络连接和流量状态，在路径聚合的条件下，将网络流量比较均匀地分配给网络中的路由器，避免局部过载现象的发生。

NDN路由器周期性地统计三个参数指标：兴趣包满足率、请求兴趣表大小和否定应答的数量。兴趣包满足率是统计时间窗口中路由器接收到的数据包数量与请求兴趣数量的比值。当兴趣包满足率低于事先设定的阈值，同时请求兴趣表大小和否定应答的数量都超过事先设定的阈值时，路由器判定出现了兴趣包泛洪攻击。

如图1所示，本发明的基于路径聚合的兴趣包泛洪攻击检测系统包括内容请求节点、NDN路由器、内容提供节点以及中央控制器。内容请求节点通过发送兴趣包发起内容请求。NDN路由器转发兴趣包到内容提供节点。内容提供节点将所请求的内容放在数据包中，数据包根据兴趣包的转发路径原路返回。兴趣包的格式如图2所示，兴趣包除了包含内容名称以外，还包含标识该条请求的随机数以及一些可选项。数据包的格式如图3所示，数据包包含内容名称、元数据、数字签名和具体的数据内容。中央控制器实施负载均衡和路径聚合等策略，将路由表下发给路由器。

NDN节点都需要维护三张表：PIT(Pending Interest Table，请求兴趣表)、FIB(Forwarding Information Base，转发信息表)和CS(Content Store，缓存表)。PIT中存储了节点接收到的、但尚未收到对应数据包的兴趣包信息和兴趣包的来源端口；FIB是一个类似路由表的结构，存储了兴趣包名称前缀和根据路由协议得到的下一跳端口；CS则根据一定的策略缓存其收到的数据包。如图4所示，一个用户/c想要请求提供者/p提供数据内容/p/img/a.jpg，通常需要经过这样的流程：

(1)用户/c发出名字为/p/img/a.jpg的兴趣包；

(2)路由器1/r1接收到该兴趣包，若在自己的CS中找到对应名字的数据包，则直接将该数据包返回给用户，流程结束；若没有找到，则将该兴趣包信息存入PIT，查找FIB后，将兴趣包转发给路由器2/r2；

(3)路由器2/r2接收到路由器1/r1发送的兴趣包，若在自己的CS中找到对应名字的数据包，则直接将该数据包返回给路由器1/r1，路由器1/r1将该数据包存入CS并从PIT的对应端口返回给用户/c，流程结束；若没找到，则将该兴趣包信息存入PIT，查找FIB后，将兴趣包转发给提供者/p；

(4)提供者/p接收到路由器2/r2发送的兴趣包，将名字为/p/img/a.jpg的数据包返回；

(5)路由器2/r2接收到提供者/p返回的数据包，将该数据包存入CS并从PIT的对应端口返回给路由器1/r1；

(6)路由器1/r1接收到路由器2/r2返回的数据包，将该数据包存入CS并从PIT的对应端口返回给用户/c，流程结束。

路径聚合提升对兴趣包泛洪攻击的检测效果。

Producer1提供两种内容，/prefix1/a和/prefix1/b；Producer2提供两种内容，/prefix2/c/1和/prefix2/c；Producer3提供两种内容，/prefix3/d和/prefix3。

在未实施路径聚合的情况下，Router1-Router3的FIB表如图5所示。对于每一种兴趣包，Router1-Router3都有两种可行的转发选择，共计12条路由，我们假设Router1-Router3按照负载均衡策略将兴趣包发送给Edge Router1和Edge Router2，Edge Router1和Edge Router2的FIB表中也包含着每一种兴趣包对应的路由条目，共计6条路由。

本发明的路径聚合机制实施时，首先中央控制器将路由条目进行聚合处理，具有相同前缀的路由条目聚合为一条，然后根据不同前缀的流量负载大小将路由进行切分，确保切分后Edge Router1和Edge Router2承受的负载基本平衡。首先将图5路由表中的前缀/prefix1/a和/prefix1/b聚合为/prefix1，/prefix2/c/1和/prefix2/c聚合为/prefix2/c，/prefix3/d和/prefix3聚合为/prefix3；随后，中央控制器分析得到/prefix1的流量和/prefix2/c加上/prefix3的负载基本平衡，将路由进行拆分；最后，中央控制器将路由聚合结果下发到各个路由器，Router1-Router3将FIB合并为图6所示。

未实施本发明提出的路径聚合时，流量会平均分配到边界路由器上。如果发生了泛洪攻击，边界路由器的兴趣包满足率与PIT消耗率将发生一定幅度的变化，且两个边界路由器的对应参数变化幅度基本相同。图7为未实施路径聚合时发生泛洪攻击的示意图。

如图8所示，实施了本发明提出的路径聚合之后，由于前缀/prefix1相关的路由均聚合到了Edge Router1上，基于/prefix1进行兴趣包泛洪的恶意流量全部通过EdgeRouter1流向目标，而在Edge Router2上不会出现恶意流量。因此Edge Router1上的兴趣包未满足率和PIT大小将会发生相对较大的变化，而Edge Router2上的对应参数保持正常。相比于未实施路径聚合的情况，路径聚合模式下的泛洪流量更加集中，路由器监控参数变化更加明显，阈值的设置可以更加准确，同时可以更快地检测到兴趣包泛洪攻击的发生。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，包括中心控制器，NDN路由器，内容请求节点和内容提供节点；

所述内容请求节点在需要某一项内容时，将所需内容名称放在兴趣包中发送给所述NDN路由器；

所述NDN路由器在收到所述兴趣包时，根据本地缓存的内容决定提供内容给所述内容请求节点或转发所述兴趣包；

所述内容提供节点当收到所述兴趣包时将请求的内容放在数据包中发回给所述内容请求节点；

所述中心控制器通过路径聚合和负载均衡算法，计算并下发路由表给所述NDN路由器；

所述NDN路由器根据每个端口的兴趣包满足率、请求兴趣表大小和否定应答数量三个指标判定是否遭遇兴趣包泛洪攻击。

2.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述NDN路由器维护的表包括请求兴趣表、转发信息表和缓存表。

3.如权利要求2所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述请求兴趣表存储所述NDN路由器接收到的、但尚未收到对应所述数据包的所述兴趣包信息和所述兴趣包的来源端口。

4.如权利要求2所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述转发信息表存储了所述兴趣包名称前缀和根据路由协议得到的下一跳端口。

5.如权利要求2所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述缓存表根据策略缓存所述NDN路由器接收到的所述数据包。

6.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述中心控制器获取的所述NDN路由器状态信息，包括所述NDN路由器接收到的所述兴趣包种类和数量。

7.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述中心控制器获取的所述NDN路由器状态信息的方式，包括主动请求和被动接收。

8.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述路径聚合是将具有相同内容名称前缀的路由进行合并，使得目的地为同一个内容提供者的所述兴趣包经过相同的路径。

9.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述负载均衡算法是根据当前的网络连接和流量状态，在所述路径聚合的条件下，将网络流量比较均匀地分配给网络中的所述NDN路由器。

10.如权利要求1所述的NDN网络中基于路径聚合的兴趣包泛洪攻击检测系统，其特征在于，所述NDN路由器当所述兴趣包满足率低于事先设定的阈值，同时所述请求兴趣表大小和所述否定应答数量都超过事先设定的阈值时，判定出现了兴趣包泛洪攻击。

Images