[发明专利]内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置

说明书

本发明公开一种内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置，能提高LIFA检测的准确性，减少误报情况的发生。所述方法包括：S1、利用内容中心网络中流量采样信号和小波母函数计算选定尺度集合中每个尺度的小波系数d_j,k，并利用所述小波系数d_j,_k重构出所述流量采样信号的低频部分，其中，小波分解层数为J，J为正整数，所述尺度集合为满足不小于且小于J条件的整数的集合，d_j,k表示尺度j、平移k上的细节信息；S2、将所述低频部分的模与预设的检测阈值进行比较，若所述模不小于所述检测阈值，则确定出存在低速率兴趣包洪泛攻击。

技术领域

本发明涉及网络安全领域，具体涉及一种内容中心网络中低速率兴趣包洪泛攻击的检测方法及装置。

背景技术

TCP/IP网络架构在互联网几十年的发展中表现出了它的实用性，尤其是在面对诸多上、下层的新技术和新应用时显得比较稳定。然而随着互联网的发展，用户对网络的移动性、内容分发以及安全性等服务的需求不断增长，并逐渐暴露出现有网络对移动性、内容分发以及安全性支持的问题。为了应对这些新型的服务，学术界提出了一种新型的网络架构——内容中心网络(Information Centric Network，ICN)。作为ICN的一个实例化模型，命名数据网络(Named Data Networking，NDN)适用于内容分发，并在未来网络架构中极具竞争力。NDN在设计之初已经考虑了安全性的需求，再加上它使用内容取缔了主机标识，可以避免现有网络中多种类型的攻击。NDN可以减小当今流行的多种分布式拒绝服务(DistributedDenial of Service，DDoS)攻击，比如带宽耗尽型、反射型攻击以及前缀劫持型黑洞等攻击。然而它也引发了新型的NDN特有的DDoS攻击，叫做兴趣包洪泛攻击(InterestFlooding Attacks，IFA)。由于在NDN网络中，兴趣包在得到数据包满足之前会被记录在中间路由器的待定兴趣表(Pending Interest Table，PIT)中，攻击者可以发送大量虚假的兴趣包来耗尽中间路由器的存储资源，这种攻击的发起者不需要知道整个内容的分布，却能严重的影响NDN网络的性能，对应的检测防御方法也得到了学术界的广泛研究；然而，我们认为在合谋服务器的帮助下，攻击者也可以轻易的发起兴趣包洪泛攻击，轻易的躲避利用PIT超时类的检测方法，并且攻击者可以通过调节攻击参数，使得攻击流量淹没在网络自身的流量中，从而躲避基于流量变化的检测方法，我们称这种攻击为低速率兴趣包洪泛攻击(LowInterestFlooding Attacks，LIFA)。从攻击效果方面来讲，低速率兴趣包洪泛攻击产生的危害和传统虚假类兴趣包洪泛攻击类似，然而，从危害性方面来讲，这种低速率的洪泛攻击检测难度更高，危害性更大，因此需要提出一种有效的检测方法来检测此种攻击。

如图1所示，A、B、C均为ICN路由器，正常用户发出的兴趣包请求通过路由器A和C到达内容服务器，此过程中路由器A和C会分别为转发过的不同名字的兴趣包创建一个PIT入口记录；当路由器收到正常兴趣包请求后，立即返回对应的数据包，当路由器C收到对应的数据包后，根据PIT入口记录，查得该数据包对应的兴趣包是从A转发得到，然后将数据包转发给A，同样路由器A也根据类似的查询最终将数据包转发给正常用户，路由器在转发过数据包或者PIT入口的生存时间到达时，该PIT入口会被系统销毁，因此在没有攻击的情况下，路由器的PIT资源处于一个动态的占用和释放过程。

如图1(a)所示，在传统的虚假类IFA攻击中，IFA攻击者以一定速率发送与内容服务器具有相同前缀但是名字是随意伪造的兴趣包，这样可以保证当这些兴趣包可以被路由器B和C转发，当路由器C将这些兴趣包转发出去后，由于收不到对应的内容包，路由器C上的PIT资源就被大量的占用而得不到释放，无法为后续到达的兴趣包提供转发服务而主动丢弃收到的兴趣包(包括正常用户和攻击者发送的兴趣包)，从而降低网络的性能；当这些被恶意兴趣包占用的PIT资源发生超时后，PIT资源得到释放，可以为正常用户提供服务，然而传统的IFA是一种持续性的洪泛方式，新得到释放的PIT资源会被持续到达的攻击兴趣包占用，因此受攻击路由器的PIT空间一直处于满的状态。