侯睿，韓敏，陳璟，何柳婷，毛騰躍

(中南民族大學(xué) 計算機(jī)科學(xué)學(xué)院，武漢430074)

隨著互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)量爆炸式的增長，目前以地址為中心的信息傳輸方式已經(jīng)不能適應(yīng)快速、高效的網(wǎng)絡(luò)數(shù)據(jù)交互業(yè)務(wù)，而以數(shù)據(jù)信息內(nèi)容為資源共享方式的信息中心網(wǎng)絡(luò)(ICN，Information Centric Networking)[1]，逐漸成為新一代互聯(lián)網(wǎng)體系的主要構(gòu)成部分.命名數(shù)據(jù)網(wǎng)絡(luò)(NDN，Named Data Networking)[2,3]以耦合路由、網(wǎng)內(nèi)存儲等特點成為ICN最有效的解決方案之一，受到世界各國的廣泛關(guān)注.

在NDN中，內(nèi)容請求者(Subscriber)將所需數(shù)據(jù)內(nèi)容名稱封裝到interest包并發(fā)送到NDN網(wǎng)絡(luò)中，NDN路由器會根據(jù)數(shù)據(jù)內(nèi)容名稱找到對應(yīng)的內(nèi)容發(fā)布者(Publisher)，Publisher將Subscriber所需數(shù)據(jù)內(nèi)容封裝成data包，沿interest包所經(jīng)路徑原路返回至Subscriber，完成一次信息交互.由于NDN將數(shù)據(jù)內(nèi)容名稱作為信息發(fā)現(xiàn)和傳輸?shù)幕A(chǔ)，因此在NDN中，存在惡意攻擊者將不存在的惡意數(shù)據(jù)內(nèi)容名稱封裝到interest包中并向NDN網(wǎng)絡(luò)大量發(fā)送的行為，由于網(wǎng)絡(luò)中沒有匹配的data包予以響應(yīng)，使得這些惡意interest包一直得不到回應(yīng)，滯留在待定請求表(PIT，Pending Interest Table)中，甚至耗盡NDN路由器的內(nèi)存等資源，這就是NDN中被重點關(guān)注的興趣包洪泛攻擊(IFA，Interest Flooding Attack)，IFA會嚴(yán)重影響網(wǎng)絡(luò)質(zhì)量及正常用戶獲取信息，對NDN網(wǎng)絡(luò)危害較大.

近年來，針對NDN中的IFA問題，提出了多種檢測和防御方法.這些方法基本上從兩個方面進(jìn)行考慮：一方面根據(jù)NDN中interest包的轉(zhuǎn)發(fā)規(guī)則，即NDN要求interest包和data包之間的負(fù)載均衡，文獻(xiàn)[4]通過限制NDN路由器接口不接受過量的interest請求來緩解IFA；另一方面，文獻(xiàn)[5-7]通過計算每個NDN路由器接口接收到的data包和轉(zhuǎn)發(fā)出去的interest包數(shù)量的比值，即interest包滿足率，并配合PIT空間占用率，與預(yù)先給定的攻擊閾值進(jìn)行比較，來檢測是否受到了攻擊.但是，上述方法均容易對正常流量的波動產(chǎn)生過度反應(yīng)，從而出現(xiàn)誤判正常流量波動和惡意攻擊的情況.文獻(xiàn)[8]提出一種基于累計熵和相對熵理論的檢測和防御方案，相較于前述IFA檢測和防御方法，信息熵機(jī)制有著較高的容錯性、相對較低的誤判率和復(fù)雜性，但該方案對路由器收到的interest包的分布情況依賴較大，導(dǎo)致該方案在識別復(fù)雜攻擊如ON-OFF攻擊[9]時存在局限.因此，針對以上方案的不足，本文提出一種基于信息熵的改進(jìn)方法(EIM, Entropy-based Improved Method)，通過NDN路由器對用戶信譽(yù)值[10]的計算來判別用戶類型，以應(yīng)對如ON-OFF類型的復(fù)雜攻擊，從而有效緩解IFA.

1 IFA理論基礎(chǔ)

1.1 NDN路由方式

如前所述，NDN的數(shù)據(jù)信息交互由interest包和data包來完成，每個NDN路由器有3個信息處理單元，即內(nèi)容存儲單元(CS，Content Store)、PIT和興趣包轉(zhuǎn)發(fā)單元(FIB，F(xiàn)orwarding Information Base).interest包和data包在NDN路由器中的處理過程如圖1所示，當(dāng)NDN路由器收到一個interest包后，首先查看其CS中有無與該interest包所含名稱匹配的數(shù)據(jù)內(nèi)容信息，若有則生成一個data包，并將此數(shù)據(jù)內(nèi)容封裝到此data中返還至Subscriber；若沒有則在PIT表中記錄下該interest包的輸入接口信息，之后在FIB中查找與該interest封裝名稱匹配的轉(zhuǎn)發(fā)記錄，以確定從哪些接口將此interest包進(jìn)行轉(zhuǎn)發(fā)，如果沒有找到匹配項，則丟棄該interest包.同時，當(dāng)NDN路由器接收到一個data包時，首先檢查該data包中所包含的數(shù)據(jù)內(nèi)容名稱在PIT中是否有匹配的表項，若存在匹配項，則根據(jù)PIT所記錄的接口信息將此data包從相應(yīng)接口發(fā)送出去，并將該data包所封裝的數(shù)據(jù)內(nèi)容緩存到CS中以響應(yīng)Subscriber可能發(fā)出的后續(xù)請求.

圖1 NDN轉(zhuǎn)發(fā)機(jī)制Fig.1 Forwarding mechanism in NDN

1.2 IFA類型

IFA由攻擊者發(fā)起，攻擊目標(biāo)為NDN路由器.根據(jù)攻擊者的攻擊方式，主要分為以下兩種類型：

(1)單一攻擊模式IFA

攻擊者根據(jù)interest包在NDN路由器中的轉(zhuǎn)發(fā)方式，持續(xù)向網(wǎng)絡(luò)中發(fā)送大量偽造數(shù)據(jù)內(nèi)容名稱的interest包以請求不存在數(shù)據(jù)內(nèi)容的信息，由于網(wǎng)絡(luò)中沒有與其對應(yīng)的data包響應(yīng)，導(dǎo)致PIT始終被此類惡意interest包所占據(jù)，直到PIT空間被耗盡或這些interest包超時被丟棄.這種單一攻擊模式IFA實施起來最容易，攻擊者所需帶寬較小，但是對NDN網(wǎng)絡(luò)的危害較大.

(2)復(fù)雜攻擊模式IFA

復(fù)雜攻擊模式主要體現(xiàn)在攻擊者在發(fā)出interest包時呈現(xiàn)惡意行為和正常行為切換模式，不利于防御者找到規(guī)律進(jìn)行防護(hù)，最典型的攻擊方式為ON-OFF攻擊.在ON-OFF攻擊中，攻擊者在ON狀態(tài)發(fā)送大量惡意interest包，對網(wǎng)絡(luò)產(chǎn)生危害；而在OFF狀態(tài)下，攻擊者切換為正常用戶而發(fā)送正常interest包，表現(xiàn)正常.由于攻擊者不斷在ON狀態(tài)和OFF狀態(tài)間進(jìn)行角色切換，導(dǎo)致ON狀態(tài)和OFF狀態(tài)很難被預(yù)測，致使對該類攻擊模式的預(yù)測和緩解難度較大.

2 EIM方法

針對上述IFA的兩種攻擊類型，本文提出一種基于信息熵的EIM檢測與防御方法，EIM分為檢測和防御兩個階段：在檢測階段，EIM通過對路由器每個接口發(fā)出的interest包的分布進(jìn)行監(jiān)控和統(tǒng)計，以此作為判斷網(wǎng)絡(luò)中是否存在攻擊的指標(biāo)，在此基礎(chǔ)上，EIM還結(jié)合與路由器相連的用戶的信譽(yù)值來對用戶類型進(jìn)行檢測，以更好地實現(xiàn)在限制惡意用戶的同時不影響正常用戶的行為；在防御階段，EIM結(jié)合興趣回溯和基于信譽(yù)值Pi,t進(jìn)行概率性丟包這兩種方法來緩解惡意interest包大量轉(zhuǎn)發(fā)對網(wǎng)絡(luò)服務(wù)質(zhì)量的巨大影響.

2.1 檢測階段

首先，借助信息熵能反映出信息源分布隨機(jī)性的特點，本文利用信息熵對NDN網(wǎng)絡(luò)中的interest包分布情況進(jìn)行實時檢測，其熵值H定義如下：

(1)

在NDN中，熵值提供了一種對interest包隨機(jī)分布特性的描述，即H越大，表明NDN路由器收到的interest包分布越隨機(jī)；反之，H越小，表明interest包分布較為集中，僅某些interest包出現(xiàn)的頻率高.NDN網(wǎng)絡(luò)正常運(yùn)行時，用戶的請求具有相對穩(wěn)定的分布，因此在NDN路由器的每個接口上計算出的H值在一個有限的范圍內(nèi)變化.當(dāng)IFA侵入網(wǎng)絡(luò)時，interest包分布將發(fā)生改變，部分NDN路由器相應(yīng)接口上的H值將超出閾值，從而判定受到了IFA攻擊；其次，為了對復(fù)雜模式攻擊有準(zhǔn)確的檢測，EIM引入用戶信譽(yù)值協(xié)助信息熵以達(dá)到較低的誤判率，用戶信譽(yù)值是指在單位時間內(nèi)，與特定Subscriber直連的NDN路由器的每個接口所通過的能夠得到data包響應(yīng)的interest包數(shù)量占該接口通過的所有interest包數(shù)量的比例，其定義如下：

(2)

其中，Ri,t(0≤Ri,t≤1)表示用戶i在t時刻的信譽(yù)值，Di,t和Ii,t分別表示用戶i在t時刻收到的data包數(shù)量和已發(fā)出的interest包數(shù)量，α為常數(shù).可以看到Ri,t-1是用戶i在前一時刻的信譽(yù)值，揭示了用戶i過去時刻的行為表現(xiàn).通過公式(2)計算出用戶信譽(yù)值后，基于檢測惡意用戶的恒定閾值T，用戶的類型得以判斷，其中T為經(jīng)驗值.即若Ri,t低于預(yù)先設(shè)定的閾值T，NDN路由器則判斷用戶i為惡意用戶;反之，則為正常用戶.

2.2 防御階段

在檢測到攻擊后，首先運(yùn)用interest包追溯方法來防御IFA[6]，即讓被攻擊NDN路由器生成一個帶有與惡意interest包名稱相匹配的內(nèi)容的欺騙性data包來滿足惡意interest包，并結(jié)合PIT中對惡意interest包的來源接口的記錄追溯到攻擊者.追溯到攻擊者后，被攻擊的NDN路由器限制與該攻擊者相連接的接口的速率，達(dá)到防御IFA的目的；其次，在interest包追溯方法的基礎(chǔ)上，EIM還根據(jù)用戶的信譽(yù)值Ri,t與閾值T的比較結(jié)果來找尋惡意用戶，然后對惡意用戶發(fā)出的interest包進(jìn)行概率性丟包，即若用戶i被判定為惡意用戶，就基于概率Pi,t對用戶i進(jìn)行丟包處理，其定義如下：

Pi,t=1-Ri,t.

(3)

該種對用戶類別(正常用戶和攻擊者)進(jìn)行判別的方式，能夠解決ON-OFF等復(fù)雜攻擊不易被檢測到的問題，緩解其帶來的危害,使得EIM相對于以往的IFA解決方法更能適應(yīng)多種類型的攻擊.

3 仿真實驗

3.1 實驗準(zhǔn)備

本文以二叉樹結(jié)構(gòu)作為NDN網(wǎng)絡(luò)拓?fù)洌鐖D2所示.在仿真實驗中，涉及到兩種類型的用戶：普通用戶和惡意用戶，不失一般性，本文設(shè)定普通用戶與惡意用戶數(shù)量比為3∶1，用戶總數(shù)為16，NDN路由器數(shù)量為15，內(nèi)容提供者數(shù)量為1，仿真參數(shù)如表1所示，仿真總時長為300s，其中普通用戶在仿真開始時發(fā)送恒定速率interest包，惡意用戶在仿真開始200s后啟動IFA，攻擊模型分為以下兩種類型：

1)ON-OFF攻擊：惡意用戶間隔1s切換其狀態(tài)，持續(xù)時間段為201～230s；

2)單一攻擊：惡意用戶持續(xù)執(zhí)行IFA，持續(xù)時間段為231～260s.

圖2 NDN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.2 NDN network topology

1 s10 ms100packets/sPIT50 entriesPIT1 sα0.5T0.4525%

3.2 仿真結(jié)果分析

首先通過對網(wǎng)絡(luò)施加ON-OFF復(fù)雜攻擊來驗證信息熵方法在應(yīng)對復(fù)雜攻擊時的局限，之后采用以下兩個指標(biāo)來評估EIM對單一攻擊和復(fù)雜攻擊的緩解效果：

1)正常用戶接收到的data包數(shù)量；

2)NDN路由器PIT空間占用率.

圖3表示在上述兩種模式的攻擊下，信息熵值H的變化圖.

圖3 兩種攻擊模式下信息熵值的變化情況Fig.3 The change of information entropy value under two attack modes

可以看出，熵值H大概在第230.4s開始，持續(xù)高于給定閾值Th，相對于前200s的學(xué)習(xí)階段，熵值變化明顯，能夠迅速檢測到攻擊.但是，在對網(wǎng)絡(luò)施加復(fù)雜的ON-OFF攻擊時，即201～230s期間，熵值 基本都保持在給定閾值Th以內(nèi)，偶爾高于Th值，而信息熵方法認(rèn)為偶爾的波動是正常行為，不會將其視為攻擊.因此，如果網(wǎng)絡(luò)中存在復(fù)雜的ON-OFF攻擊時，基于信息熵的IFA解決方法在檢測準(zhǔn)確性上有著明顯的局限.

圖4和圖5通過在不同攻擊速率下正常用戶接收到的data包數(shù)量和NDN路由器R1的PIT空間占用率兩個指標(biāo)對本文提出的EIM方法進(jìn)行性能評估.從圖4(a)可見，NDN網(wǎng)絡(luò)剛開始運(yùn)行時，所有用戶收到的data包數(shù)量維持在1100個左右，占所發(fā)出data包總數(shù)的91.6%.第201s時ON-OFF攻擊開始，可以發(fā)現(xiàn)用戶收到的data包數(shù)量急劇下降.其中在沒有采取任何IFA解決措施的情況下，data包數(shù)量下降了近45%，同時基于信息熵方法的IFA解決方法效果也不明顯，基本與沒有采取任何措施的情況持平.而本文提出的EIM方法卻有效緩解了IFA，可以看到，在ON-OFF攻擊下，用戶仍然能收到80%左右的data包，這是因為EIM通過信譽(yù)值對正常用戶和攻擊者進(jìn)行了判別，在限制攻擊者的同時，緩解了IFA對正常用戶的影響.在231～260s時間段內(nèi)持續(xù)進(jìn)行單一攻擊模式，正常用戶收到的data包數(shù)量幾乎降為0，但在信息熵方法和EIM方法的緩解作用下，NDN網(wǎng)絡(luò)能很快恢復(fù)到正常狀態(tài).

同樣，從圖4(b)中可以看到，在ON-OFF攻擊階段，無IFA解決措施與信息熵方法情況下，被攻擊NDN路由器的PIT空間占用率基本保持在60%左右，而實施了EIM方法后，PIT的占用率基本可以恢復(fù)到10%～20%以內(nèi)，偶爾會波動到20%以上；同時，在單一攻擊模式下，采用信息熵和EIM后，能夠使NDN路由器的PIT占用率從接近100%迅速降至20%以內(nèi)，IFA緩解效果明顯.

當(dāng)攻擊者發(fā)送interest包效率為3000個/s時，網(wǎng)絡(luò)狀況如圖5，從圖5(a)中可以看到，隨著攻擊速率的增大，正常用戶收到的data包的數(shù)量在每個時刻都有不同程度的下降，但是EIM方法仍然能夠使data包數(shù)量維持在75%左右，極大地緩解了IFA帶來的影響.同理，從如圖5(b)中可以看到，當(dāng)速率增大一倍時，PIT空間占用率在EIM方法的作用下變化并不大，網(wǎng)絡(luò)性能表現(xiàn)得最好.

綜上所述，相對于信息熵方法，本文提出的EIM方法不僅能夠在單一攻擊模式情況下，取得和信息熵方法相同的IFA解決效果，而且能夠在復(fù)雜攻擊模式下，有效限制攻擊者的行為，緩解IFA給正常用戶帶來的危害，因此具有更好的效果.

圖4 攻擊者發(fā)送interest包速率為1500個/s時的網(wǎng)絡(luò)性能圖Fig.4 Network performance diagram of an attacker sending 1500 interest packets per second

圖5 攻擊者發(fā)送interest包速率為3000個/s時的網(wǎng)絡(luò)性能圖Fig.5 Network performance diagram of an attacker sending 3000 interest packets per second

4 結(jié)語

本文提出一種基于信息熵的改進(jìn)方法—EIM，該方法在根據(jù)interest包封裝的數(shù)據(jù)內(nèi)容名稱分布來檢測和防御IFA的基礎(chǔ)上，增加了對用戶類型的判別，有效限制了攻擊者的同時，不影響正常用戶獲取所需數(shù)據(jù).通過仿真實驗，驗證了該方法能夠有效地緩解IFA.