命名數(shù)據(jù)網(wǎng)絡中興趣包泛洪攻擊與防御對策的研究.pdf

1、命名數(shù)據(jù)網(wǎng)絡是下一代互聯(lián)網(wǎng)中一種新型的網(wǎng)絡架構(gòu)，隨著以內(nèi)容為導向的數(shù)據(jù)驅(qū)動模型成為未來互聯(lián)網(wǎng)發(fā)展的趨勢，命名數(shù)據(jù)網(wǎng)絡或許將取代目前基于TCP/IP的網(wǎng)絡架構(gòu)。作為下一代互聯(lián)網(wǎng)架構(gòu)的一種實現(xiàn)，命名數(shù)據(jù)網(wǎng)絡的安全性受到廣泛關注。盡管命名數(shù)據(jù)網(wǎng)絡能夠抵御目前存在的大多數(shù)網(wǎng)絡攻擊形式，但其不能有效地抵御一種類似DDoS的網(wǎng)絡攻擊——興趣包泛洪攻擊。這種興趣包泛洪攻擊利用了命名數(shù)據(jù)網(wǎng)絡轉(zhuǎn)發(fā)機制本身的安全邏輯漏洞，以很高的速率泛洪大量的惡意攻擊包，

2、耗盡網(wǎng)絡資源，導致網(wǎng)絡癱瘓。
　　考慮到該種攻擊的危害的嚴重性，本文做了如下工作:
　　(1)闡述了命名數(shù)據(jù)網(wǎng)絡環(huán)境下興趣包泛洪攻擊的攻擊模式，分析了其攻擊原理，介紹了該攻擊可能對網(wǎng)絡環(huán)境造成的影響，通過歸納分析，提出了興趣包泛洪攻擊的三大特征。結(jié)合這三大特征，分析了目前已有的幾種興趣包泛洪攻擊防御方案的檢測原理，總結(jié)了各個方案的監(jiān)測量化指標的實質(zhì)，將各個監(jiān)測量化指標與三大攻擊特征相互對應。同時，對各個防御方案進行了比較，分

3、析了每種方案的優(yōu)缺點。
　　(2)提出分布式監(jiān)測機制，使數(shù)據(jù)包在NDN網(wǎng)絡節(jié)點之間進行傳輸時，能夠帶有最初網(wǎng)絡節(jié)點的標識，以方便對興趣包泛洪攻擊的分布式特性進行監(jiān)測。
　　(3)使用三個量化指標分別對興趣包泛洪攻擊的三大特征進行表征，將三個指標歸一化并對應到空間向量模型的三個維度上。通過空間向量距離來描述興趣包是攻擊包的可能性。建立時變馬爾科夫模型，對興趣數(shù)據(jù)包在網(wǎng)絡節(jié)點中傳輸時的狀態(tài)轉(zhuǎn)移進行描述。提出基于空間向量模型與時變