[发明专利]一种NDN低速缓存污染攻击的协同检测方法

摘要

本发明公开了一种NDN低速缓存污染攻击的协同检测方法，通过计算传输路径上多层节点请求变动率，进而融合各层节点与第一层节点请求变动率的相关性来检测攻击行为，在低速率缓存污染攻击场合，可保证高正确检测率，同时三层以上路由协同，能降低分散攻击的检测时延。本发明可同时有效检测低速集中攻击与分散攻击，以牺牲空间复杂度换取检测性能提升，可以应用于数据命名网络缓存污染攻击检测。

主权项

一种NDN低速缓存污染攻击的协同检测方法，其特征在于：采用多层路由协同检测缓存污染攻击，具体包括以下步骤步骤1：在L层节点级联的分层拓扑NDN网络中，将源服务器提供的M个不同内容，根据所述内容的流行度均匀划分为K个类；网络的攻击速率记为v，将攻击建立时间T等间隔划分为m个时间单元，每一时间单元持续时间为T0；在观测时间区间τ内，无攻击出现时，第r层路由器到达的第k类兴趣包个数记为Nnon(k,r,τ)，使用公式统计第k类内容在第r层路由器处的正常请求率qnon(k,r,τ)；当出现缓存污染攻击，攻击者对于第r层路由器发送的第k类恶意攻击兴趣包个数记为Nat(k,r,τ)，使用公式统计第k类内容在第r层路由器处的异常请求率qat(k,r,τ)；其中1≤k≤K,1≤r≤L,1≤τ≤m；步骤2：每个NDN路由器在时间单元结束时，将该时间区间内所统计的兴趣包到达数目传输给负责本区域的数据融合中心即处理服务器，由数据融合中心使用公式逐层计算各层路由器在第i个时间单元内的请求变动率其中qat(k,r,i·T0)为第i个时间单元内第k类内容在第r层路由器处的异常请求率，qnon(k,r,∞)为第r层路由器处的第k类内容请求的长期正常分布统计；步骤3：数据融合中心根据当前以及过去W‑1个时间单元的历史请求变动率进一步使用公式计算传输路径上每层节点与第一层节点请求变动率的归一化相关性这里，W 为统计的时间单元个数，为第r层节点当前及过去W‑1个时间单元的请求变动率的数学期望，为第1层节点当前及过去W‑1个时间单元的请求变动率的方差，为第r层节点当前及过去W‑1个时间单元的请求变动率的方差，W≤i≤m；步骤4：数据融合中心采用最大比方式，在每个时间单元结束时，将传输路径上l个参与协同的路由器相关数据加以融合；设第j个协同路由器对应的权重因子为此时检测对象为l个路由器请求变动率相关系数的加权之和为第i时间单元结束时，第j层节点与第一层节点请求变动率的相关系数；1≤l≤L；步骤5：根据判决式若l个协同路由器请求变动率相关系数的加权之和大于门限γ，则认为在i时间单元检测到攻击，反之认为无攻击；其中W≤i≤m,1≤l≤L。