面向NDN的網(wǎng)絡(luò)攻擊檢測技術(shù)分析

0０引言現(xiàn)代互聯(lián)網(wǎng)核心需求已向數(shù)據(jù)共享轉(zhuǎn)變，致使傳輸控制協(xié)議/網(wǎng)際協(xié)議（TransmissionControlProtocol/InternetProtocol，TCP/IP）網(wǎng)絡(luò)由于種種缺點(diǎn)已經(jīng)不適應(yīng)這種轉(zhuǎn)變趨勢。為了滿足需求的轉(zhuǎn)變，迫切需要改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。命名數(shù)據(jù)網(wǎng)絡(luò)（NamedDataNetwork，NDN）由于理念先進(jìn)、方案可行、社區(qū)活躍，從眾多“革命式”的網(wǎng)絡(luò)架構(gòu)中脫穎而出，成為一種主流網(wǎng)絡(luò)架構(gòu)。它獨(dú)特的安全機(jī)制克服了現(xiàn)有IP網(wǎng)絡(luò)的安全缺陷，但也面臨著許多新的安全挑戰(zhàn)?，F(xiàn)階段針對命名數(shù)據(jù)網(wǎng)絡(luò)的攻擊手段層出不窮，如興趣包泛洪攻擊（InterestFloodingAttack，IFA）、緩存污染攻擊等。如何快速準(zhǔn)確地檢測相關(guān)的攻擊手段，以支撐后續(xù)的防御方案制定，是學(xué)術(shù)界研究的一個重點(diǎn)方向。本文闡述NDN相比IP網(wǎng)絡(luò)的優(yōu)勢，分析其面臨的安全威脅，闡述兩種典型的網(wǎng)絡(luò)攻擊方式，并分析相應(yīng)的攻擊檢測技術(shù)及其存在的優(yōu)缺點(diǎn)，探討其未來可能的發(fā)展方向。01NDN安全優(yōu)勢及面臨的威脅NDN網(wǎng)絡(luò)顛覆了IP網(wǎng)絡(luò)架構(gòu)，將網(wǎng)絡(luò)的核心從主機(jī)地址轉(zhuǎn)變?yōu)閿?shù)據(jù)內(nèi)容。此外，獨(dú)特的內(nèi)生安全技術(shù)有效解決了現(xiàn)有IP網(wǎng)絡(luò)中的一系列問題，但也面臨著許多新的挑戰(zhàn)。現(xiàn)有IP網(wǎng)絡(luò)中面臨的主流攻擊方式有拒絕服務(wù)/分布式拒絕服務(wù)攻擊（DenialofService/DistributedDenialofService，DoS/DDoS)、嗅探（Snooping）攻擊、篡改（Modification）攻擊、數(shù)據(jù)流分析（TrafficAnalysis）攻擊、偽裝（Masquerading）攻擊、重放（Replay）攻擊以及抵賴（Repudiation）攻擊。不同的攻擊方式對信息的影響不同，如表1所示。表1不同攻擊方式對安全的影響嗅探攻擊、數(shù)據(jù)流分析攻擊影響信息的機(jī)密性，未經(jīng)授權(quán)的用戶能夠輕易訪問網(wǎng)絡(luò)中的消息。重放攻擊、抵賴攻擊影響信息的完整性，無法保證數(shù)據(jù)的準(zhǔn)確性和可靠性。篡改攻擊、偽裝攻擊會影響數(shù)據(jù)的機(jī)密性和完整性。拒絕服務(wù)攻擊通過多種攻擊方式，使得目標(biāo)服務(wù)或者主機(jī)直接癱瘓，影響信息的可用性。NDN網(wǎng)絡(luò)架構(gòu)確保了完整性和機(jī)密性，避免了IP網(wǎng)絡(luò)中存在的主流攻擊行為。生產(chǎn)者對內(nèi)容的簽名認(rèn)證保證了數(shù)據(jù)的完整性。假設(shè)中間節(jié)點(diǎn)截獲數(shù)據(jù)，對其進(jìn)行嗅探，由于數(shù)據(jù)經(jīng)過加密，攻擊者并不能解析出真正的數(shù)據(jù)內(nèi)容。如果攻擊者對數(shù)據(jù)做了篡改，由于數(shù)字簽名的存在，消費(fèi)者在接收到數(shù)據(jù)包后驗(yàn)證不通過，則會丟棄篡改的報文，因此篡改攻擊不能生效。偽裝攻擊的基礎(chǔ)是IP地址。NDN網(wǎng)絡(luò)并不通過IP地址進(jìn)行路由通信。NDN架構(gòu)由于興趣包Nonce字段和待轉(zhuǎn)發(fā)興趣表（PendingInterestTable，PIT）表項(xiàng)的存在，能夠?qū)崿F(xiàn)流量聚合，避免重放攻擊帶來的威脅。簽名能夠保證數(shù)據(jù)的不可抵賴。拒絕服務(wù)攻擊由于主要攻擊信息的可用性，因此在NDN中仍舊存在拒絕服務(wù)攻擊的威脅，但是攻擊方式產(chǎn)生了變化。NDN創(chuàng)新性的架構(gòu)能夠避免現(xiàn)有IP網(wǎng)絡(luò)中面臨的一系列安全問題，如重放攻擊、數(shù)據(jù)篡改等，也存在新的安全威脅。目前，針對NDN網(wǎng)絡(luò)的一系列攻擊方式不斷更新，主流的攻擊方式有興趣包泛洪攻擊和緩存污染攻擊。興趣包泛洪攻擊和緩存污染攻擊已經(jīng)成為NDN實(shí)際部署中的巨大阻礙。如何檢測上述攻擊行為是成功防范攻擊的重要前提。如表2所示，IFA攻擊主要發(fā)起者為消費(fèi)者應(yīng)用，而緩存污染攻擊（CachePollutionAttack，CPA）的攻擊發(fā)起需要多方配合。下面結(jié)合實(shí)例說明具體攻擊方式和現(xiàn)有的檢測手段。表2主流攻擊方式及其特性0２主流攻擊方式的檢測技術(shù)研究2.1興趣包泛洪攻擊興趣包泛洪攻擊的主要目標(biāo)是網(wǎng)絡(luò)中的路由節(jié)點(diǎn)。攻擊者構(gòu)造大量的興趣包消耗網(wǎng)絡(luò)鏈路帶寬源，導(dǎo)致PIT表項(xiàng)溢出，影響網(wǎng)絡(luò)中的消費(fèi)者應(yīng)用、生產(chǎn)者應(yīng)用以及路由節(jié)點(diǎn)，最終阻礙數(shù)據(jù)的正常獲取。如圖1所示，攻擊者通過向網(wǎng)絡(luò)中不斷發(fā)送興趣包，使得邊緣路由節(jié)點(diǎn)過載，丟棄用戶發(fā)出的興趣包和服務(wù)端返回的數(shù)據(jù)包，最終阻礙了用戶正常獲取數(shù)據(jù)。圖1興趣包泛洪攻擊GASTI指出DND中同樣存在DoS攻擊，為興趣包泛洪攻擊。作者將DND中的興趣包泛洪攻擊方式分為3種，分別為請求大量已存在或者靜態(tài)的內(nèi)容（Pre-existing/StaticPrefixInterestFloodingAttack，pIFA/sIFA）、請求大量不存在的內(nèi)容（No-existingPrefixInterestFloodingAttack，nIFA）和請求大量動態(tài)生成的內(nèi)容（dynamicPrefixInterestFloodingAttack，dIFA）。對于第1種攻擊方式，由于NDN路由節(jié)點(diǎn)中緩存（ContentStorage，CS）的存在，攻擊者發(fā)送的重復(fù)興趣包會在邊緣節(jié)點(diǎn)得到滿足，不會對網(wǎng)絡(luò)中心造成巨大影響。第2種攻擊方式會請求大量不流行的內(nèi)容，使得整個NDN網(wǎng)絡(luò)無法發(fā)揮緩存優(yōu)勢，導(dǎo)致正常的興趣請求會表現(xiàn)出較大的延遲。第3種攻擊方式會請求大量不存在內(nèi)容，會使路由節(jié)點(diǎn)中PIT表被大量不存在內(nèi)容占用，使得正常的請求不能夠得到滿足。這種攻擊方式是3種攻擊方式中最嚴(yán)重的。GASTI提出了一種嘗試性的對策來檢測興趣泛濫攻擊，但是缺乏具體的方法論述。SIGNORELLO在上述基礎(chǔ)上發(fā)展了bIFA和cIFA兩種新式的攻擊方式。bIFA攻擊中請求的數(shù)據(jù)包混合了存在的內(nèi)容和不存在的內(nèi)容，模糊了攻擊源真實(shí)性，使得針對內(nèi)容存在性的單一檢測體系失效。cIFA攻擊方式主要請求的是不存在的內(nèi)容，但是內(nèi)容的命名前綴是可變的，掩飾了攻擊源的攻擊意圖。上述主流攻擊方式中：靜態(tài)前綴易于檢測，對網(wǎng)絡(luò)影響較?。粍討B(tài)前綴對網(wǎng)絡(luò)影響較大，尤其是混合前綴攻擊很難發(fā)現(xiàn)，對網(wǎng)絡(luò)危害性大。綜上所述，興趣包泛洪攻擊作為拒絕服務(wù)攻擊在NDN中的現(xiàn)實(shí)體現(xiàn)，與IP網(wǎng)絡(luò)中一樣，深度威脅著網(wǎng)絡(luò)安全。2.1.1興趣包泛洪攻擊檢測方法針對IFA攻擊，AFANASYEV從統(tǒng)計(jì)模型出發(fā)，提出了3種算法。首先提出了基于接口公平性的令牌桶算法，原理與經(jīng)典的令牌算法類似，不同之處在于出接口可用的令牌平均分配在入接口上，限制了每個接口可轉(zhuǎn)發(fā)的興趣包數(shù)量。其次，提出了一種基于興趣包滿足率的決策算法，以興趣包滿足率為基礎(chǔ)產(chǎn)生一個隨機(jī)數(shù)，由此決定是否接收此興趣包。最后，提出了基于興趣包滿足率的回退算法，在每個接口上都對興趣包滿足率進(jìn)行限制，然后向全網(wǎng)傳播。此方法改進(jìn)了每個接口的統(tǒng)計(jì)數(shù)據(jù)，提升了全網(wǎng)興趣包滿足率，從而間接緩解了興趣包泛洪攻擊帶來的危害。但是，這3種方法在對接口進(jìn)行限制時均使用的是概率算法，導(dǎo)致合法的興趣請求很大概率上被忽視。DAI為PIT表設(shè)定一個閾值，僅通過檢測PIT大小是否超過閾值來判斷興趣包泛洪攻擊是否發(fā)生。當(dāng)超出閾值時，合法用戶的請求將會被判定成泛洪攻擊。這種檢測方式過于簡單，缺乏細(xì)粒度的思考。COMPAGNO提出了一種名為Poseidon的方法。Poseidon為兩個參數(shù)設(shè)定閾值，一是傳入興趣包和傳出數(shù)據(jù)包的比率，二是每個接口的PIT空間。在某個接口上如果檢測到兩者均超出閾值，那么就判定此接口受到攻擊。與DAI相比，COMPAGNO在此基礎(chǔ)上考慮興趣包滿足率，而與AFANASYEV相比加入了對PIT大小的考慮，在誤檢測率上相比兩者都低。TANG將檢測分為粗檢測階段和精準(zhǔn)識別階段。它為接口定義了一個相對強(qiáng)度指數(shù)（RelativeStrengthIndex，RSI），并預(yù)先設(shè)定了一個閾值。如果相對強(qiáng)度指數(shù)高于閾值，則表示某一時段不斷接收興趣包，返回?cái)?shù)據(jù)包較少，是受到興趣包泛洪攻擊的顯著體現(xiàn)，由此進(jìn)入精準(zhǔn)識別階段。在精準(zhǔn)識別階段，路由器計(jì)算超時前綴的超時率。如果超時率超過設(shè)定的閾值，那么表示此前綴的興趣包為異常興趣包，很有可能是攻擊者發(fā)起的攻擊。此方法在接口檢測的基礎(chǔ)上進(jìn)一步檢測命名前綴，實(shí)現(xiàn)了細(xì)粒度攻擊檢測，但是并沒有考慮到PIT大小。WANG提出了基于前綴超時的PIT禁用策略（DisablingPITExhaustion，DPE）。每個路由節(jié)點(diǎn)通過一個m-list表記錄每種命名前綴過期的數(shù)目，并設(shè)定一個閾值。如果超過閾值，則將此前綴指定為惡意前綴，在后續(xù)接收到此前綴的興趣包時不再緩存在PIT表中，而是直接轉(zhuǎn)發(fā)至下游節(jié)點(diǎn)。此種方法對cIFA的效果顯著，但是同樣前綴的合法興趣包可能會被誤判，直接判定為攻擊行為。之后，WANG又提出了一種基于模糊測試的方法。每個路由器定期監(jiān)測PIT占用率（PITOccupancyRadio，POR）和PIT超時率（PITExpiredRadio，PER）。POR是給定時間間隔內(nèi)當(dāng)前PIT條目數(shù)與最大PIT條目數(shù)之比。PER是給定時間間隔內(nèi)過期PIT條目數(shù)與未決PIT條目總數(shù)的比率。POR和PER都充當(dāng)模糊變量。檢測機(jī)制使用它們來檢測興趣泛濫攻擊。當(dāng)模糊變量之一變高時，檢測到攻擊。其中，PIT表項(xiàng)過多或PIT表項(xiàng)過期的前綴可被視為惡意前綴。本文中檢測基于POR，當(dāng)興趣包到達(dá)率增加時，POR會增加。但是，有時POR也會由于合法的流量突發(fā)而增加，可能會導(dǎo)致誤報。由于這種方法基于PIT超時率，因此對聚合興趣包泛洪攻擊無效。COMPAGNO等人的方法優(yōu)于這種方法。KARAMI提出了一種基于多目標(biāo)優(yōu)化的徑向基神經(jīng)網(wǎng)絡(luò)（RadialBasisFunction-ParticleSwarmOptimization，RBF-PSO）方法來檢測興趣包泛洪攻擊，能夠很好地檢測針對已存在命名前綴的攻擊、隨機(jī)前綴以及前綴劫持攻擊。RBF-PSO中選用12個特征值作為RBF神經(jīng)網(wǎng)絡(luò)的輸入層，使用NSGA-Ⅱ多目標(biāo)遺傳算法選擇優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)基函數(shù)中心，并利用粒子群優(yōu)化算法（ParticleSwarmOptimization，PSO）優(yōu)化RBF的輸出權(quán)值，訓(xùn)練得到神經(jīng)網(wǎng)絡(luò)用于檢測興趣包泛洪攻擊。但是，此方法并沒有闡述12個特征值的選取理由。此外，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練使用固定拓?fù)涞牧髁繑?shù)據(jù)，導(dǎo)致RBF-PSO方法依賴于網(wǎng)絡(luò)拓?fù)?。不同的拓?fù)洳⒉荒苁褂猛环N分類器進(jìn)行檢測。TAN提出了一種基于廣義似然比檢驗(yàn)算法（Generalized-LikelihoodRatioTest，GLRT）的興趣包泛洪攻擊檢測方法，以期望的告警概率為參數(shù)，計(jì)算檢測閾值。VASSILAKIS將焦點(diǎn)集中于邊緣路由器，計(jì)算單位時間內(nèi)過期PIT條目數(shù)來檢測惡意消費(fèi)者。XIN提出了一種基于非參數(shù)化遞歸算法（CumulativeSum，CUSUM）的方法來檢測接口上興趣包命名前綴的熵平均值。如果熵超過預(yù)定義的閾值，則檢測到攻擊。檢測到攻擊后，利用相對熵來識別惡意命名前綴。文中的策略通過命名前綴的變化，觀察是否遭受到攻擊，因此這種方法無法檢測cIFA。DING分析了興趣包泛洪攻擊的3個特性，即分布式攻擊、高請求頻率以及請求不存在的內(nèi)容。這3種特性在網(wǎng)絡(luò)中的具象為命名前綴的PIT占用率、PIT超時率和潛在攻擊率（PotentialAttackRadio，PAR）。同時，將路由器劃分為“正?！薄帮L(fēng)險”“未知”3個狀態(tài)，狀態(tài)值由3種特性的具象的平方和的平方根確定。據(jù)此開發(fā)了一種馬爾科夫模型，用以檢測是否有攻擊存在。這種方法比WANG提出的方法性能要好，因?yàn)槌薖OR和PER之外，還將PAR作為參數(shù)。SALAH提出了一種集中控制的檢測方法，通過NDN路由器（NDNRouter，NR）收集基本數(shù)據(jù)，通過監(jiān)控路由器（MonitorRouter，MR）收集相關(guān)信息，計(jì)算得到PIT利用率（PITUsedRadio，PUR）和PIT到期率（PITExpiredRadio，PER）。當(dāng)PUR超過預(yù)定義的閾值且PER的值為正時，則檢測到攻擊。檢測后，過期的命名前綴被MR視為是惡意的。但是，過多的信息交互會產(chǎn)生更多的開銷。XIN提出了一種基于小波分析的聚合興趣泛洪攻擊檢測方法。與其他流量相比，聚合興趣泛洪攻擊對應(yīng)的流量的功率譜密度較低，所以利用子帶的平均攻擊強(qiáng)度來檢測攻擊，并通過實(shí)驗(yàn)選擇檢測閾值。KUMAR選取6個參數(shù)通過不同的機(jī)器學(xué)習(xí)方法來檢測興趣包泛洪攻擊，并實(shí)驗(yàn)比較了不同的機(jī)器學(xué)習(xí)方法，結(jié)果顯示模擬和實(shí)現(xiàn)的興趣泛洪攻擊檢測的準(zhǔn)確性幾乎相同。ZH給出了一種基于基尼不純度（GiniImpurity，GI）的興趣泛洪攻擊檢測方法。路由器計(jì)算特定時間段內(nèi)觀察到的一組命名空間的GI。當(dāng)GI的相對變化超過一定的閾值時，會檢測到攻擊。檢測到攻擊后，通過用新集合中相同名稱空間的概率替換舊集合中每個名稱空間的概率，同時計(jì)算這兩個集合之間的差異。如果差異為負(fù)，則認(rèn)為前綴是惡意的。因此，這種方法檢測cIFA是可行的，因?yàn)樵赾IFA中攻擊者攻擊多個目標(biāo)前綴時命名前綴的GI會保持不變。2.1.2小結(jié)上述的各檢測方法可分為3類，分別為基于統(tǒng)計(jì)模型、基于概率模型和其他方法。相關(guān)分類以及特點(diǎn)如表3所示。表3興趣包泛洪攻擊檢測方法的對比從檢測模型分類來看，基于統(tǒng)計(jì)模型的方法最多的是基于閾值的檢測，其次是基于模糊測試和假設(shè)檢驗(yàn)的測試?；诟怕誓Ｐ偷姆椒ㄓ谢隈R爾科夫模型的檢測和基于熵的檢測。其他方法則有小波分析和機(jī)器學(xué)習(xí)。從檢測的攻擊類型來看，主要關(guān)注的是pIFA和dIFA，其他類型的攻擊沒有必要進(jìn)行深入研究。對于cIFA和bIFA，大多數(shù)方法沒有很好的策略進(jìn)行檢測，所以對cIFA和bIFA的檢測是未來值得關(guān)注的重點(diǎn)之一。從檢測的粒度來看，主要分為路由節(jié)點(diǎn)、接口、命名前綴以及PIT條目。所有的檢測方法應(yīng)該關(guān)注細(xì)粒度的檢測，以精確識別攻擊者的意圖，從而采取針對性的策略。此外，IFA攻擊檢測應(yīng)該能夠較快速檢測出各種攻擊行為，同時占用較低的計(jì)算存儲性能。2.2緩存污染攻擊緩存污染攻擊的主要目標(biāo)是邊緣路由節(jié)點(diǎn)的CS表。增大數(shù)據(jù)獲取時延的攻擊方式分為破壞內(nèi)容分布特性攻擊（LocalityDisruptionAttack，LDA）和偽造內(nèi)容分布特性攻擊（FalseLocalityAttack，F(xiàn)LA）兩種。LDA和FLA的攻擊看似相似，實(shí)際上攻擊方式不相同。LDA是通過請求不流行內(nèi)容，耗用緩存資源。正常用戶在請求流行內(nèi)容時，由于邊緣NDN節(jié)點(diǎn)CS資源被不流行內(nèi)容占用，所以緩存命中率會明顯下降。FLA的攻擊目的是偽造高熱度內(nèi)容，欺騙NDN路由節(jié)點(diǎn)，取代CS中真實(shí)的流行內(nèi)容，使得偽熱度內(nèi)容在網(wǎng)絡(luò)中長期駐留，如圖2所示。圖2緩存污染攻擊污染目標(biāo)數(shù)據(jù)的攻擊方式有對已有內(nèi)容的污染和對未來將要請求內(nèi)容的污染兩種。對已有內(nèi)容的污染是指攻擊者通過控制全網(wǎng)拓?fù)渲心骋宦酚晒?jié)點(diǎn)，在消費(fèi)者發(fā)送興趣請求時返回偽造的錯誤內(nèi)容，致使沿途的路由節(jié)點(diǎn)緩存已污染的錯誤內(nèi)容。這樣后續(xù)用戶在請求時，會直接接收到錯誤內(nèi)容。對未來將要請求內(nèi)容的污染是指假設(shè)攻擊者預(yù)測到某個特殊的內(nèi)容在未來某個時間段會被請求，則可以通過已攻破的一臺消費(fèi)者主機(jī)提前請求此內(nèi)容，同時控制一個內(nèi)容服務(wù)器返回污染的內(nèi)容，將污染的內(nèi)容提前緩存在拓?fù)渲械穆酚晒?jié)點(diǎn)，之后當(dāng)消費(fèi)者在請求此內(nèi)容時會直接接收到被污染的內(nèi)容。2.2.1緩存污染攻擊檢測方法針對緩存污染攻擊（CachePollutionAttack，CPA）攻擊，XIE提出了一種緩解緩存污染攻擊的方法，稱為緩存屏蔽。在這種方法中，CS存儲內(nèi)容包括名稱、頻率以及實(shí)際內(nèi)容的占位符。當(dāng)路由器第一次收到內(nèi)容時，它的占位符存儲在CS中，計(jì)數(shù)器最初設(shè)置為0。如果路由器接收到占位符已存儲在CS中的內(nèi)容，則計(jì)算屏蔽函數(shù)，并決定是否緩存數(shù)據(jù)。如果緩存內(nèi)容，則路由器用實(shí)際內(nèi)容替換內(nèi)容占位符，否則計(jì)數(shù)器增加。這種方法具有很高的空間和時間復(fù)雜度，因?yàn)槁酚善魇褂妙~外的空間來存儲名稱占位符，且每當(dāng)它接收到內(nèi)容時都會使用額外的CPU周期來計(jì)算屏蔽功能。此外，作者沒有討論如何在同一個CS中實(shí)現(xiàn)內(nèi)容緩存和內(nèi)容占位符。提出了一種檢測LDA和LFA的方法。該方法由兩個階段組成，即學(xué)習(xí)階段和檢測階段。在學(xué)習(xí)階段，緩存算法通過隨機(jī)抽樣選擇內(nèi)容的ID來創(chuàng)建一個集合。路由器跟蹤屬于集合的內(nèi)容，以計(jì)算用于檢測攻擊的閾值。在檢測階段，路由器計(jì)算測量的可變性。如果大于閾值，則表明有攻擊。此方法相比XIE的優(yōu)點(diǎn)在于對內(nèi)容進(jìn)行隨機(jī)抽樣，帶來的結(jié)果就是低內(nèi)存占用和低計(jì)算開銷。該方法的效果很大程度上取決于集合的選擇。假設(shè)了這樣的攻擊場景，即攻擊者為少量不受歡迎的命名前綴請求大量興趣包，提出了一種能夠檢測此種攻擊場景的方法，包括流量監(jiān)控和識別兩個階段。在流量監(jiān)控階段，路由器使用輕量級基數(shù)估計(jì)算法（LightweightFlajoletMartin，LFM）監(jiān)控具有公共命名空間的不同興趣包，并使用蒙特卡羅假設(shè)檢驗(yàn)計(jì)算閾值。在識別階段，路由器定期監(jiān)控流量并計(jì)算結(jié)果。如果超過閾值，則標(biāo)識正在受到攻擊。這種方法具有相對較低的內(nèi)存占用和計(jì)算開銷，但是只適用于特定的攻擊場景，不能抵抗FLA攻擊。分析在常規(guī)網(wǎng)絡(luò)狀況下同一內(nèi)容的請求者應(yīng)該來自于不同的網(wǎng)絡(luò)域，并基于此前提提出了基于路徑多樣性的檢測方法。NDN骨干路由器為CS中的每個內(nèi)容維護(hù)兩條信息，即內(nèi)容被命中的次數(shù)和名為PathTracker的數(shù)據(jù)結(jié)構(gòu)（存儲請求的興趣包來源的路徑數(shù)量）。根據(jù)命中次數(shù)，利用伯努利分布計(jì)算不同路徑的預(yù)期數(shù)，再利用不同路徑的預(yù)期數(shù)和命中數(shù)計(jì)算閾值，利用不同路徑的實(shí)際數(shù)和命中數(shù)計(jì)算比較值。如果結(jié)果大于閾值，則表明受到了攻擊。將節(jié)點(diǎn)分為3類，即ISP控制器（ISPController，IC）、監(jiān)控節(jié)點(diǎn)（MonitoringNode，MN）和NDN節(jié)點(diǎn)（NDNNode，NN）。MN周期性地向IC發(fā)送他們觀察到的內(nèi)容列表和請求內(nèi)容的時間，然后IC會根據(jù)它們的流行度形成一個命名前綴白名單，并將白名單的內(nèi)容分發(fā)給MN，指示緩存名單中的內(nèi)容，主要通知NN緩存不在NN關(guān)聯(lián)的MR的白名單中的內(nèi)容。這種方法確保流行數(shù)據(jù)始終緩存在網(wǎng)絡(luò)中，減少了互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider，ISP）數(shù)據(jù)請求的數(shù)量。此方法通過集中控制全網(wǎng)緩存空間資源，將流行的內(nèi)容始終緩存在網(wǎng)內(nèi)，提升了NDN網(wǎng)絡(luò)內(nèi)容分發(fā)的性能，但沒有明確闡述對內(nèi)容分發(fā)的技術(shù)。提出了一種基于內(nèi)容位置的緩存污染攻擊檢測和緩解方法。使用每個前綴的變異系數(shù)（CoefficientOfVariation，COV）和流行度兩個參數(shù)來決定是否緩存。當(dāng)路由器收到興趣包時，路由器會更新其數(shù)據(jù)集，其中包含前綴、傳入接口和頻率等信息，用于計(jì)算COV。前綴的流行度是為其請求興趣包的次數(shù)。當(dāng)路由器收到數(shù)據(jù)包時，路由器會根據(jù)流行度和COV的值決定是否緩存數(shù)據(jù)包。提出了一種利用請求熵檢測低速率LDA攻擊的方法。路由器將每個內(nèi)容對象的名稱映射到二進(jìn)制矩陣，矩陣的索引表示在對名稱進(jìn)行散列并使用兩個不同的正整數(shù)對結(jié)果取模后獲得的值。如果對象存在一個特定的映射，則對應(yīng)的值設(shè)置為1，否則設(shè)置為0。應(yīng)用高斯消元后，矩陣的秩值用于檢測請求隨機(jī)行為的變化。指數(shù)加權(quán)平均用于平滑秩值隨時間的變化，當(dāng)秩超過預(yù)定義的閾值時，會檢測到攻擊。但是，這種方法將消耗路由節(jié)點(diǎn)巨大的計(jì)算資源。提出了基于自適應(yīng)神經(jīng)模糊推理系統(tǒng)（AdaptiveNetworkBasedFuzzyInferenceSystems，ANFIS）的緩存替換策略。它使用神經(jīng)模糊網(wǎng)絡(luò)計(jì)算數(shù)據(jù)包的優(yōu)度值，通過收集每個數(shù)據(jù)包的統(tǒng)計(jì)信息，將信息通過模糊神經(jīng)網(wǎng)絡(luò)細(xì)化優(yōu)度值，將其用于緩存替換。ANFIS可以應(yīng)對大多數(shù)攻擊，但由于方法獨(dú)立運(yùn)行于路由器，路由節(jié)點(diǎn)之間并無信息交互，因此有預(yù)謀的攻擊者可以利用特定的策略攻擊邊緣路由節(jié)點(diǎn)，導(dǎo)致路由節(jié)點(diǎn)反而會不斷緩存攻擊者請求的內(nèi)容，導(dǎo)致產(chǎn)生緩存污染攻擊。2.2.2小結(jié)