[发明专利]一种NDN中恶意请求兴趣包攻击的防御方法

摘要

本发明公开了一种NDN中恶意请求兴趣包攻击的防御方法，通过定时查询下一跳转发节点的平均兴趣包丢包率，将可选转发节点划分为可靠群组与非可靠群组；根据当前接收请求兴趣包的下行接口兴趣包满足率以及所请求的内容类别，设置对应的转发概率，概率选择可靠群组或者非可靠群组中的某一节点，作为转发节点，实现将用户恶意请求大概率转发至非可靠群组，完成恶意请求流的汇聚；在此基础上，对于上行接口的转发流量，根据其转发目标群组的平均兴趣包丢包率进行限速，并按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率，实现用户恶意请求的有效消除。该发明可应用于存在用户恶意请求的NDN网络，有效保证网络的可靠性。

主权项

1.一种NDN中恶意请求兴趣包攻击的防御方法，其特征在于包括以下步骤：步骤一，针对存在用户恶意请求的非安全NDN网络，将下一跳所有可选节点划分为可靠群组与非可靠群组，根据当前接收到请求兴趣包到达接口的兴趣包满足率以及所请求内容类别，设置对应的上行转发概率，概率选择下一跳转发节点，实现上行转发请求兴趣包的分流调节，使得接收到的恶意请求兴趣包大概率转发至非可靠群组，实现恶意请求流的汇聚，该步骤具体包括以下过程：过程一，在具有I层的NDN网络拓扑环境中，每一层均具有R个节点，即R个路由，所有节点都存在n个接口，每个节点均与下一层任一节点存在连通路径；由于用户恶意请求的存在，节点接收到的兴趣包有一定比例是虚假的，因此产生兴趣包丢包现象；设在观测时间T内，第i层的第r个节点接收到的兴趣包丢包率为S(i,r)，其中1≤i≤I,1≤r≤R；过程二，第i层的节点周期性轮询第i+1层所有可选节点的兴趣包丢包率，并以此为依据计算出第i+1层所有可选节点的平均兴趣包丢包率所述进而，第i层节点采用为阈值，把第i+1层所有可选节点划分为可靠群组与非可靠群组；过程三，用户发出的请求兴趣包在第i层节点没有命中，将需要向第i+1层节点进行转发；为了进一步计算转发概率，第i层节点需要对自身各个下行接口的兴趣包满足率进行统计，在观测时间T内，第i层节点第r个路由器第j个下行接口请求内容流行度为k的兴趣包满足率可以表示为γ(i,r,j,k)，这里γ(i,r,j,k)定义为在时间区间T内，第j个下行接口到达的第k类兴趣包中被满足的比例，即被满足的第k类兴趣包数量除以到达的第k类兴趣包数量；过程四，在完成各个下行接口的兴趣包满足率统计之后，第i层节点根据各个下行接口的兴趣包满足率以及需要转发的请求兴趣包的内容类别，设置该请求兴趣包的上行转发概率；该请求兴趣包转发至可靠群组的上行转发概率为g_rel(i,r,j,k)，定义为：该请求兴趣包转发至不可靠群组的上行转发概率为g_unrel(i,r,j,k)，定义为：其中a表示上行接口转发流量的分流配比系数，a的建议取值区间为[0.075,0.085]；这一上行转发概率的设计，将使得接收到的用户恶意请求大概率转发至不可靠群组，实现恶意请求流的汇聚；由于可靠群组和不可靠群组均包含若干个节点，在可靠群组和不可靠群组中，请求兴趣包将等概率随机选择其中一个节点转发；步骤二，对于上行接口的转发流量，根据其转发目标群组的丢包率进行限速，并按照请求兴趣包的来源接口满足率确定其在限速后转发流中的比率，实现用户恶意请求的有效消除，同时残留的用户恶意请求由于已经大概率汇聚转发至不可靠群组，对可靠群组影响极小，从而进一步保证了正常用户请求的网络访问性能；所述上行接口的转发流量由未命中的请求兴趣包组成；该步骤具体包括以下过程：所述上行接口的转发流量根据其转发目标群组的平均兴趣包丢包率进行限速，实现用户恶意请求的有效抑制；转发至可靠群组的上行接口的转发流量设置为原先的转发至非可靠群组的上行接口流量设置为原先的其中为第i+1层节点计算出的可靠群组的平均兴趣包丢包率，为第i+1层节点计算出的非可靠群组的平均兴趣包丢包率。