命名數據網絡中興趣包泛洪攻擊與防御對策的研究.pdf

1、命名數據網絡是下一代互聯網中一種新型的網絡架構，隨著以內容為導向的數據驅動模型成為未來互聯網發(fā)展的趨勢，命名數據網絡或許將取代目前基于TCP/IP的網絡架構。作為下一代互聯網架構的一種實現，命名數據網絡的安全性受到廣泛關注。盡管命名數據網絡能夠抵御目前存在的大多數網絡攻擊形式，但其不能有效地抵御一種類似DDoS的網絡攻擊——興趣包泛洪攻擊。這種興趣包泛洪攻擊利用了命名數據網絡轉發(fā)機制本身的安全邏輯漏洞，以很高的速率泛洪大量的惡意攻擊包，

2、耗盡網絡資源，導致網絡癱瘓。
　　考慮到該種攻擊的危害的嚴重性，本文做了如下工作:
　　(1)闡述了命名數據網絡環(huán)境下興趣包泛洪攻擊的攻擊模式，分析了其攻擊原理，介紹了該攻擊可能對網絡環(huán)境造成的影響，通過歸納分析，提出了興趣包泛洪攻擊的三大特征。結合這三大特征，分析了目前已有的幾種興趣包泛洪攻擊防御方案的檢測原理，總結了各個方案的監(jiān)測量化指標的實質，將各個監(jiān)測量化指標與三大攻擊特征相互對應。同時，對各個防御方案進行了比較，分

3、析了每種方案的優(yōu)缺點。
　　(2)提出分布式監(jiān)測機制，使數據包在NDN網絡節(jié)點之間進行傳輸時，能夠帶有最初網絡節(jié)點的標識，以方便對興趣包泛洪攻擊的分布式特性進行監(jiān)測。
　　(3)使用三個量化指標分別對興趣包泛洪攻擊的三大特征進行表征，將三個指標歸一化并對應到空間向量模型的三個維度上。通過空間向量距離來描述興趣包是攻擊包的可能性。建立時變馬爾科夫模型，對興趣數據包在網絡節(jié)點中傳輸時的狀態(tài)轉移進行描述。提出基于空間向量模型與時變