命名數(shù)據(jù)網(wǎng)絡(luò)中興趣包泛洪攻擊與防御對(duì)策的研究.pdf

1、命名數(shù)據(jù)網(wǎng)絡(luò)是下一代互聯(lián)網(wǎng)中一種新型的網(wǎng)絡(luò)架構(gòu)，隨著以內(nèi)容為導(dǎo)向的數(shù)據(jù)驅(qū)動(dòng)模型成為未來(lái)互聯(lián)網(wǎng)發(fā)展的趨勢(shì)，命名數(shù)據(jù)網(wǎng)絡(luò)或許將取代目前基于TCP/IP的網(wǎng)絡(luò)架構(gòu)。作為下一代互聯(lián)網(wǎng)架構(gòu)的一種實(shí)現(xiàn)，命名數(shù)據(jù)網(wǎng)絡(luò)的安全性受到廣泛關(guān)注。盡管命名數(shù)據(jù)網(wǎng)絡(luò)能夠抵御目前存在的大多數(shù)網(wǎng)絡(luò)攻擊形式，但其不能有效地抵御一種類似DDoS的網(wǎng)絡(luò)攻擊——興趣包泛洪攻擊。這種興趣包泛洪攻擊利用了命名數(shù)據(jù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)機(jī)制本身的安全邏輯漏洞，以很高的速率泛洪大量的惡意攻擊包，

2、耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓。
　　考慮到該種攻擊的危害的嚴(yán)重性，本文做了如下工作:
　　(1)闡述了命名數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下興趣包泛洪攻擊的攻擊模式，分析了其攻擊原理，介紹了該攻擊可能對(duì)網(wǎng)絡(luò)環(huán)境造成的影響，通過歸納分析，提出了興趣包泛洪攻擊的三大特征。結(jié)合這三大特征，分析了目前已有的幾種興趣包泛洪攻擊防御方案的檢測(cè)原理，總結(jié)了各個(gè)方案的監(jiān)測(cè)量化指標(biāo)的實(shí)質(zhì)，將各個(gè)監(jiān)測(cè)量化指標(biāo)與三大攻擊特征相互對(duì)應(yīng)。同時(shí)，對(duì)各個(gè)防御方案進(jìn)行了比較，分

3、析了每種方案的優(yōu)缺點(diǎn)。
　　(2)提出分布式監(jiān)測(cè)機(jī)制，使數(shù)據(jù)包在NDN網(wǎng)絡(luò)節(jié)點(diǎn)之間進(jìn)行傳輸時(shí)，能夠帶有最初網(wǎng)絡(luò)節(jié)點(diǎn)的標(biāo)識(shí)，以方便對(duì)興趣包泛洪攻擊的分布式特性進(jìn)行監(jiān)測(cè)。
　　(3)使用三個(gè)量化指標(biāo)分別對(duì)興趣包泛洪攻擊的三大特征進(jìn)行表征，將三個(gè)指標(biāo)歸一化并對(duì)應(yīng)到空間向量模型的三個(gè)維度上。通過空間向量距離來(lái)描述興趣包是攻擊包的可能性。建立時(shí)變馬爾科夫模型，對(duì)興趣數(shù)據(jù)包在網(wǎng)絡(luò)節(jié)點(diǎn)中傳輸時(shí)的狀態(tài)轉(zhuǎn)移進(jìn)行描述。提出基于空間向量模型與時(shí)變