[发明专利]内容中心网络中检测兴趣包泛洪攻击的方法及系统

说明书

本发明属于网络安全技术领域；涉及一种内容中心网络中检测兴趣包泛洪攻击的方法及系统，所述方法包括以下步骤：统计出关于兴趣包内容名称前缀的概率分布模型；根据统计值计算出路由器的信息熵；将信息熵与给定阈值进行比较，然后计算熵率；本发明设计的兴趣包泛洪攻击检测方案考虑了合法突发流与攻击流的熵率变化差异，在保证尽早检测出攻击的前提下，对合法用户的突发流和攻击者的攻击流进行了本质的区分，从而有效地减少了对合法用户的误判。

技术领域

本发明涉及内容中心网络中的网络攻击检测，具体为一种内容中心网络中检测兴趣包泛洪攻击的方法及系统。

背景技术

随着互联网的发展，网络中需要递送的内容日益增加，因此人们逐渐将关注重心从“在哪里”转为了“是什么”，基于此，美国PARC研究中心的Van Jacobson教授等人在2009年提出了新型下一代网络体系结构。其中，内容中心网络(Content center network，CCN)是属于新型下一代网络体系结构中的一种网络，CCN是一个基于内容的网络，其核心思想是对网络中的每个内容进行命名，而不是使用主机和节点的IP地址。当用户需要获取一个内容/服务时，网络节点将发送一个包含所需内容/服务名字的请求，该请求按照内容名字进行路由，而不是IP地址；然后，网络将相应的数据对象返回给该节点。在CCN网络中，其网络节点的网络部署内嵌了缓存功能，每当数据包通过一个网络缓存节点时，它将被缓存(或者根据策略进行缓存)，而每当请求在中间节点命中时，中间节点将直接按照请求路径返回内容，以此提高了数据的高效利用率。

尽管CCN网络在设计之初就将安全作为网络架构的原生需求，将安全理念融入到网络架构设计中，其取消了主机的地址，消除了传统IP网络中的源地址伪造攻击和针对特定主机的泛洪攻击。然而，CCN网络在解决传统网络问题的同时，也引入了新的攻击类型，其中危害最大的就是攻击者把路由器的PIT模块作为攻击对象，向网络发送大量的虚假兴趣包，使PIT中添加条目的速率大于删除条目的速率，从而拒绝正常请求，这种攻击形式被称为兴趣包泛洪攻击，它被认为是危害最大且最易发动的一种攻击。因此，研究兴趣包泛洪攻击具有很大的意义：它不仅是一个安全问题，同时也是CCN网络服务质量的一个保证。

众所周知，在网络中对于攻击者发起的一个DDoS攻击来说，检测是防御的基础，只有在精确检测出攻击的前提下，才能对网络做出有效的防御。对国内外现有的文献进行分析可知，在CCN网络中，针对兴趣包泛洪攻击，现在已有的检测方案中，大多数都是基于网络表现出的异常状态来对攻击进行检测，基于这种检测方案，尽管最后能够检测出网络遭受了攻击，但在检测出攻击之前网络已经受到了较为严重的影响。唐建强等人提出了一种内容中心网络下基于前缀识别的兴趣包泛洪攻击防御方法[J].电子与信息学报,2014,36(07):1735-1742.通过PIT使用率和兴趣包满足率这两个参数来判断网络是否遭受了兴趣包泛洪攻击，该方法虽能够检测出攻击，但是当检测出攻击的时候，攻击已经对网络产生了较为严重的影响。

目前已有少数研究者结合了信息熵的相关知识，将其应用于攻击检测方案中，其基本思想是利用兴趣包泛洪攻击情况下兴趣请求内容的名称随机性和正常情况下兴趣请求的内容名称随机性的差异，从而判断是否发生了兴趣包泛洪攻击，但没有对攻击流与合法的突发流进行区分，笼统的将合法的突发流认定为网络攻击流，从而对合法用户产生了一定的影响。

现有技术CN201410484936.6的专利中公开了一种基于信息熵的DDoS攻击检测方法，在TCP/IP网络中，利用信息熵表示事件随机性的原理，通过对源IP地址、目的IP地址进行分析，从而识别出攻击流量，进一步确认被攻击的主机。但该技术中基于信息熵的检测方案只能应用于TCP/IP网络中的，不能检测出CCN网络的DDoS攻击。

现有技术CN201610829821.5的专利中公开了一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置，利用累积熵来检测网络是否遭受兴趣包洪泛攻击。但其算法复杂度较高，并且不适用攻击者高速率发包的攻击形式。

发明内容