湯紅波，鄭林浩，葛國(guó)棟，袁泉

（國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

CCN中基于節(jié)點(diǎn)狀態(tài)模型的緩存污染攻擊檢測(cè)算法

湯紅波，鄭林浩，葛國(guó)棟，袁泉

（國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

針對(duì)內(nèi)容中心網(wǎng)絡(luò)中的緩存污染攻擊問(wèn)題，以污染內(nèi)容數(shù)量、分布狀態(tài)和攻擊強(qiáng)度3個(gè)參數(shù)對(duì)緩存污染攻擊進(jìn)行定量描述和分析，建立了攻擊下的節(jié)點(diǎn)緩存狀態(tài)模型。通過(guò)分析節(jié)點(diǎn)關(guān)鍵參數(shù)的變化，提出了基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則，并分別以單位時(shí)間緩存替換率和請(qǐng)求達(dá)到率為觀(guān)測(cè)參數(shù)進(jìn)行算法實(shí)例化設(shè)計(jì)。仿真結(jié)果與性能分析表明，所提檢測(cè)算法在應(yīng)對(duì)分散式攻擊與集中式攻擊時(shí)，可以取得良好的檢測(cè)性能。

內(nèi)容中心網(wǎng)絡(luò)；緩存污染攻擊；緩存狀態(tài)模型；攻擊檢測(cè)

1 引言

互聯(lián)網(wǎng)自20世紀(jì)90年代以來(lái)獲得了前所未有的迅猛發(fā)展，已成為數(shù)十億用戶(hù)生活中不可分割的部分。如今，互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)和數(shù)據(jù)流量呈現(xiàn)激增趨勢(shì)，而網(wǎng)絡(luò)應(yīng)用的主體也逐步向內(nèi)容獲取和信息服務(wù)演進(jìn)，用戶(hù)關(guān)注的是內(nèi)容信息本身以及對(duì)應(yīng)的檢索傳輸速度、服務(wù)質(zhì)量和安全性，而不是從哪里獲取內(nèi)容[1]。

在此背景下，以信息為中心的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)運(yùn)而生，其中以加州大學(xué)洛杉磯分校為首開(kāi)展的研究項(xiàng)目?jī)?nèi)容中心網(wǎng)絡(luò)（CCN, content-centric networking）[2]最為典型。CCN作為信息中心網(wǎng)絡(luò)的典型代表，讓內(nèi)容本身成為網(wǎng)絡(luò)通信的主體單元，采用以信息為中心的網(wǎng)絡(luò)通信模型來(lái)支持高效的內(nèi)容分發(fā)。CCN一經(jīng)提出，便得到了國(guó)內(nèi)外的高度關(guān)注，被譽(yù)為最有發(fā)展?jié)摿Φ慕Y(jié)構(gòu)范例，其思想也被諸多研究者廣泛借鑒[3]。CCN體系結(jié)構(gòu)同 IP網(wǎng)絡(luò)一樣都是沙漏模型，但以?xún)?nèi)容取代了IP地址作為其核心。通信采用“發(fā)布—請(qǐng)求—響應(yīng)”的模式，用戶(hù)只需通過(guò)名稱(chēng)來(lái)請(qǐng)求自己需要的內(nèi)容（發(fā)送包含內(nèi)容名稱(chēng)的interest packet），當(dāng)檢索到所需內(nèi)容后，應(yīng)答數(shù)據(jù)（data packet）依照interest packet沿途留存的路徑信息返回至請(qǐng)求者。

對(duì)于 CCN而言，其實(shí)現(xiàn)高效內(nèi)容分發(fā)的主要?jiǎng)?chuàng)新之處是采用廣泛緩存的做法，每個(gè) CCN節(jié)點(diǎn)都帶有緩存空間，用于駐留高請(qǐng)求頻度的內(nèi)容，當(dāng)data packet沿interest packet的反向路徑進(jìn)行回傳時(shí)，會(huì)按照一定策略在沿途各個(gè)節(jié)點(diǎn)進(jìn)行緩存，當(dāng)這些節(jié)點(diǎn)再次接收到相同內(nèi)容請(qǐng)求時(shí)，會(huì)在緩存空間中進(jìn)行檢索并直接予以回傳。

然而，新型網(wǎng)絡(luò)結(jié)構(gòu)的新特點(diǎn)往往會(huì)帶來(lái)新的問(wèn)題，普遍緩存的做法在提高網(wǎng)絡(luò)效率的同時(shí)也引發(fā)了新的安全威脅，如隱私泄露、緩存污染等[4～6]，本文主要研究 CCN中的緩存污染攻擊問(wèn)題，指的是攻擊者通過(guò)對(duì)污染內(nèi)容的請(qǐng)求，使其占據(jù)節(jié)點(diǎn)緩存空間，降低網(wǎng)絡(luò)性能，而這些污染內(nèi)容可以是正常的冷門(mén)資源，也可以由特定的惡意內(nèi)容服務(wù)商提供。緩存污染攻擊實(shí)際上可以視為一種DoS攻擊[6]，但是它與傳統(tǒng)的DoS攻擊相比卻更加靈活。首先，其具有隱蔽的特點(diǎn)，不需要使用洪泛的方式來(lái)攻擊數(shù)據(jù)源；第二，它影響了路由節(jié)點(diǎn)，會(huì)使內(nèi)容請(qǐng)求者與內(nèi)容提供者雙方都受到嚴(yán)重的影響；第三，攻擊使用真實(shí)的內(nèi)容占據(jù)緩存，而不是請(qǐng)求虛假內(nèi)容，與興趣分組洪泛攻擊[6]相比更加難以檢測(cè)。

2 問(wèn)題分析

目前，提出的緩存污染攻擊主要分為以下2類(lèi)[6]：破壞內(nèi)容（locality-disruption）局域分布特性和偽造內(nèi)容（false-locality）局域分布特性。在 localitydisruption攻擊中，攻擊者持續(xù)生成一系列 interest packet，用來(lái)請(qǐng)求新的污染（非流行）內(nèi)容，從而破壞內(nèi)容的整體分布特征，提高了污染內(nèi)容的流行度，使其長(zhǎng)期駐留于緩存之中。在false-locality攻擊中，攻擊者選擇一個(gè)非流行內(nèi)容的集合，周期性地對(duì)其進(jìn)行請(qǐng)求，請(qǐng)求的頻率應(yīng)當(dāng)保證不破壞當(dāng)前內(nèi)容的流行度分布規(guī)律，以此來(lái)偽造正常請(qǐng)求狀態(tài)，保證攻擊不被發(fā)現(xiàn)。

針對(duì)locality-disruption攻擊，當(dāng)前的應(yīng)對(duì)手段可以分為主動(dòng)檢測(cè)與被動(dòng)防御2種，前者采用各類(lèi)啟發(fā)式算法檢測(cè)攻擊，如文獻(xiàn)[7, 8]通過(guò)檢測(cè)各內(nèi)容請(qǐng)求規(guī)律的變化來(lái)判斷攻擊是否發(fā)生，進(jìn)而判斷哪類(lèi)內(nèi)容更有可能是污染內(nèi)容；后者則是通過(guò)設(shè)置某種規(guī)則，對(duì)某些內(nèi)容不予緩存，從而降低污染內(nèi)容進(jìn)入緩存的概率，例如文獻(xiàn)[9]提出了cache shield，避免緩存流行度小于所設(shè)定閾值的內(nèi)容。這些檢測(cè)與防御方法在各自的場(chǎng)景中效果顯著，但是在面對(duì)更復(fù)雜的攻擊場(chǎng)景時(shí)卻力不從心，因?yàn)橐坏o(wú)法檢測(cè)到內(nèi)容分布特性的突變，則無(wú)法判斷攻擊是否發(fā)生。同樣，當(dāng)攻擊請(qǐng)求較多時(shí)，cache shield的防御效果也會(huì)下降。

針對(duì)false-locality，文獻(xiàn)[7,8]認(rèn)為攻擊者難以對(duì)正常內(nèi)容的流行度進(jìn)行評(píng)估，因而難以偽造，同時(shí)需要大量的攻擊流量，可以通過(guò)限制突發(fā)流量來(lái)進(jìn)行避免。文獻(xiàn)[10]則認(rèn)為只需要檢測(cè)短時(shí)間內(nèi)某端口大量突發(fā)的interest packet，但是卻忽略了存在分布式攻擊的可能性。

CCN中緩存污染攻擊的本質(zhì)是攻擊者按照某種規(guī)律持續(xù)性地請(qǐng)求某些特定的污染內(nèi)容，使其占據(jù)節(jié)點(diǎn)的緩存空間。從這一點(diǎn)來(lái)看，false-locality與locality-disruption的分類(lèi)方式僅僅是一種定性的描述，而沒(méi)有定量的判斷標(biāo)準(zhǔn)，若攻擊者對(duì)數(shù)量可變的污染內(nèi)容進(jìn)行請(qǐng)求，這種攻擊狀態(tài)便可以介于所謂的false-locality攻擊和locality-disruption攻擊之間，比嚴(yán)格的false-locality攻擊更具可行性，也比locality-disruption更加難以檢測(cè)。對(duì)于該類(lèi)攻擊模式，因其動(dòng)態(tài)性難以進(jìn)行準(zhǔn)確歸類(lèi)，而以往的工作只針對(duì)單一類(lèi)型的攻擊，難以應(yīng)對(duì)特征不斷變化的攻擊行為，因此，本文拋開(kāi)傳統(tǒng)的定義方式，以定量的方式對(duì)緩存污染攻擊進(jìn)行描述，研究檢測(cè)算法應(yīng)對(duì)不同攻擊時(shí)的效果，尋找應(yīng)對(duì)范圍更廣的解決方案，主要有以下工作。

1) 對(duì)緩存污染攻擊進(jìn)行定量描述，并建模分析攻擊下的節(jié)點(diǎn)緩存狀態(tài)變化。

2) 提出基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則，并給出檢測(cè)算法設(shè)計(jì)示例。

3) 通過(guò)改變攻擊參數(shù)設(shè)置5類(lèi)攻擊模式，據(jù)此對(duì)不同算法的檢測(cè)效果做出對(duì)比分析。

3 緩存污染攻擊建模與分析

3.1 攻擊描述與假設(shè)

3.1.1 緩存污染攻擊定量描述

如問(wèn)題分析所述，CCN中緩存污染攻擊的本質(zhì)是攻擊者按照某種規(guī)律持續(xù)性地請(qǐng)求某些特定的污染內(nèi)容，使其長(zhǎng)期占據(jù)節(jié)點(diǎn)的緩存空間[6]。由此而言，傳統(tǒng)的2種攻擊分類(lèi)之間并沒(méi)有本質(zhì)的區(qū)別，都是通過(guò)類(lèi)似的手段（依照某種策略請(qǐng)求污染內(nèi)容）實(shí)現(xiàn)相同的目的（污染節(jié)點(diǎn)緩存空間）。另外，這種分類(lèi)方式僅僅屬于模糊性的概括，并沒(méi)有給出定量的標(biāo)準(zhǔn)，對(duì)攻擊進(jìn)行描述時(shí)往往不夠精確。若攻擊者通過(guò)調(diào)整攻擊請(qǐng)求發(fā)送頻率和所請(qǐng)求污染內(nèi)容的數(shù)量來(lái)實(shí)現(xiàn)不同的攻擊狀態(tài)，根據(jù)傳統(tǒng)的分類(lèi)方式便難以對(duì)攻擊進(jìn)行準(zhǔn)確描述，也影響了進(jìn)一步的檢測(cè)算法設(shè)計(jì)。

從發(fā)起方法和形式上看，緩存污染攻擊的組成要素包括污染內(nèi)容和攻擊請(qǐng)求兩方面。當(dāng)攻擊者發(fā)起攻擊時(shí)，為了使污染內(nèi)容能夠占據(jù)節(jié)點(diǎn)緩存空間，其首先要請(qǐng)求一定數(shù)量的污染內(nèi)容，其次要足夠頻繁地發(fā)送攻擊請(qǐng)求分組，用以增加污染內(nèi)容的駐留概率，且以不同的頻率請(qǐng)求不同的污染內(nèi)容也會(huì)達(dá)到不同的攻擊效果。因此，本文以參數(shù)污染內(nèi)容數(shù)量描述污染內(nèi)容集合，表征緩存污染攻擊的規(guī)模；分別用攻擊強(qiáng)度和分布狀態(tài)2個(gè)參數(shù)來(lái)刻畫(huà)攻擊請(qǐng)求發(fā)送的模式，3個(gè)參數(shù)具體定義如下。

1) 污染內(nèi)容數(shù)量L：由惡意內(nèi)容服務(wù)器提供或者從正常的冷門(mén)資源中選取的污染內(nèi)容的總數(shù)。

2) 攻擊強(qiáng)度η：所有攻擊請(qǐng)求的總到達(dá)率與正常請(qǐng)求到達(dá)率之比，通過(guò)比例的形式反映了攻擊的強(qiáng)度。

3) 分布狀態(tài)X(L)：描述如何對(duì)這L份污染內(nèi)容進(jìn)行請(qǐng)求，如依照Z(yǔ)ipf分布[11]或者依照平均分布發(fā)送請(qǐng)求。

根據(jù)上述3個(gè)參數(shù)，緩存污染攻擊可以定義為：攻擊者以強(qiáng)度η，依照X(L)的分布狀態(tài)，對(duì)L份污染內(nèi)容進(jìn)行請(qǐng)求，從而使污染內(nèi)容占據(jù)路由節(jié)點(diǎn)的緩存空間。由于每個(gè)節(jié)點(diǎn)的緩存空間都是有限的，一般意義上最優(yōu)的攻擊策略就是通過(guò)設(shè)置這些參數(shù)，使緩存空間盡可能多地被占據(jù)，同時(shí)保證攻擊行為盡量隱蔽。

上述定義的描述雖然無(wú)法完全精確地刻畫(huà)緩存污染攻擊全部細(xì)節(jié)，但是可以清晰地描述緩存污染的主要特征，可以表征緩存污染攻擊的主要行為，能夠?yàn)楣魴z測(cè)方法的設(shè)計(jì)提供良好的支持。它可以包括傳統(tǒng)的locality-disruption或者false-locality攻擊，當(dāng)L較大、X(L)為平均分布、η較小時(shí)，則屬于locality-disruption攻擊；當(dāng)L與η大小適中、X(L)近似Zipf分布時(shí)，則屬于false-locality攻擊。

3.1.2 模型假設(shè)

在定義攻擊特征的3個(gè)參數(shù)中，攻擊的分布狀態(tài)可能存在的情況較為復(fù)雜，為了簡(jiǎn)化計(jì)算，從下面兩方面進(jìn)行分析：1) 空間分布方面，若一次攻擊依照任意的分布狀態(tài)，攻擊者針對(duì)每類(lèi)污染內(nèi)容請(qǐng)求概率并不相同，此時(shí)對(duì)請(qǐng)求概率相等或相近的污染內(nèi)容進(jìn)行劃分，可將該攻擊視為多次平均分布的攻擊同時(shí)疊加；2) 時(shí)間分布方面，若一次攻擊中攻擊請(qǐng)求狀態(tài)隨時(shí)間變化，依照同樣的分析方法，可將其視為多次攻擊的連續(xù)實(shí)施。因此，為了分析最一般的情況，可假定攻擊依照平均分布，即針對(duì)所有污染內(nèi)容的請(qǐng)求概率相等。對(duì)于建模對(duì)象而言，為了分析攻擊的效果，則需要知道緩存節(jié)點(diǎn)的狀態(tài)，考慮到網(wǎng)絡(luò)邊緣的接入節(jié)點(diǎn)直接連接網(wǎng)絡(luò)與大量用戶(hù)，受到攻擊的危害最高，同時(shí)由于其與用戶(hù)之間通常只有一跳，只需單節(jié)點(diǎn)模型便可以對(duì)其進(jìn)行描述，因此將建模對(duì)象定位于網(wǎng)絡(luò)邊緣的單節(jié)點(diǎn)，同時(shí)這也可作為未來(lái)建立多節(jié)點(diǎn)模型的基礎(chǔ)。

因此，針對(duì)網(wǎng)絡(luò)邊緣的緩存節(jié)點(diǎn)v進(jìn)行建模，并做出如下假設(shè)。

1) 網(wǎng)絡(luò)中合法的提供者維護(hù)有N份正常內(nèi)容，分屬于K級(jí)不同的流行度，惡意內(nèi)容源提供L份污染內(nèi)容用于污染緩存，所有內(nèi)容大小相等。

2) 節(jié)點(diǎn)緩存空間大小為可存儲(chǔ)V份內(nèi)容，緩存替換策略采用最近最少使用策略[12]（LRU, least recently used）。

3) 節(jié)點(diǎn)v處正常請(qǐng)求的到達(dá)服從Zipf分布，對(duì)第k級(jí)別流行度內(nèi)容的請(qǐng)求概率為，其中，分別針對(duì)每級(jí)流行度內(nèi)容的請(qǐng)求符合泊松到達(dá)并且相互獨(dú)立[13]，到達(dá)率分別為，所有正常請(qǐng)求總到達(dá)率記為λn。

4) 節(jié)點(diǎn)v處攻擊者針對(duì)所有污染內(nèi)容的請(qǐng)求總到達(dá)率為λa,v，分布狀態(tài)為平均分布。

3.2 攻擊下的節(jié)點(diǎn)緩存狀態(tài)模型

使用 LRU替換策略的緩存空間可以看作一個(gè)隊(duì)列[12]：如果最近請(qǐng)求的一份內(nèi)容在其中沒(méi)有緩存，節(jié)點(diǎn)會(huì)將該內(nèi)容的一份緩存副本保存在緩存隊(duì)列的頭部，同時(shí)其他所有內(nèi)容依次向后移動(dòng)，而最早請(qǐng)求的一份內(nèi)容（位于緩存隊(duì)列的尾部）則會(huì)移出緩存。如果最近請(qǐng)求的一份內(nèi)容在緩存中已保留有副本，那么該內(nèi)容將會(huì)重新移至隊(duì)列頭部，若此內(nèi)容原本處于緩存隊(duì)列中的第j個(gè)位置，那么在位置1,?,j?1的所有內(nèi)容依次向后轉(zhuǎn)移一位。文獻(xiàn)[13,14]中介紹了a-LRU算法，對(duì)LRU緩存空間中的內(nèi)容穩(wěn)態(tài)分布進(jìn)行計(jì)算，該算法可以表示為函數(shù)，其中，表示內(nèi)容在緩存節(jié)點(diǎn)v中的駐留概率，表示針對(duì)各內(nèi)容請(qǐng)求的概率。在a-LRU算法的基礎(chǔ)上對(duì)攻擊下的節(jié)點(diǎn)緩存狀態(tài)進(jìn)行推導(dǎo)。

節(jié)點(diǎn)v處請(qǐng)求流的到達(dá)率為正常請(qǐng)求與攻擊請(qǐng)求之和，記為

其中，mv,n和mv表示正常請(qǐng)求的未命中流以及所有請(qǐng)求的未命中流，Pmiss,n和Pmiss分別表示正常請(qǐng)求的未命中概率以及總未命中概率。

文獻(xiàn)[15]認(rèn)為，可以通過(guò)節(jié)點(diǎn)的未命中概率直接反映攻擊是否發(fā)生，然而從式(4)可以看出，一個(gè)緩存節(jié)點(diǎn)上未命中的請(qǐng)求流包括正常請(qǐng)求和攻擊請(qǐng)求這兩部分，由于攻擊與正常的interest packet并沒(méi)有區(qū)別，能觀(guān)測(cè)到的未命中概率實(shí)際上是節(jié)點(diǎn)的總未命中概率。由于攻擊請(qǐng)求與污染內(nèi)容對(duì)節(jié)點(diǎn)的影響，總未命中概率并不一定與正常請(qǐng)求的未命中概率成正比例關(guān)系，那么如何對(duì)攻擊進(jìn)行檢測(cè)仍是需要仔細(xì)考慮的問(wèn)題，需要進(jìn)一步分析攻擊對(duì)節(jié)點(diǎn)參數(shù)的影響。

3.3 節(jié)點(diǎn)關(guān)鍵參數(shù)影響分析

圖1給出了緩存未命中概率隨攻擊強(qiáng)度變化的曲線(xiàn)，圖中橫坐標(biāo)表示攻擊強(qiáng)度，縱坐標(biāo)表示未命中概率，各曲線(xiàn)從下到上分別為污染內(nèi)容數(shù)量。圖 1(a)表示總未命中概率，當(dāng)污染內(nèi)容數(shù)量較少時(shí)，由于污染內(nèi)容以較大概率駐留于緩存中，將會(huì)導(dǎo)致總的未命中概率降低；當(dāng)污染內(nèi)容數(shù)量較多時(shí)，會(huì)產(chǎn)生更多的緩存替換，導(dǎo)致總未命中概率升高。圖1(b)為正常內(nèi)容未命中概率，正常請(qǐng)求的未命中概率隨攻擊強(qiáng)度的增加始終遞增。對(duì)比圖1(a)和1(b)，由于攻擊請(qǐng)求的存在，總未命中概率與正常請(qǐng)求未命中概率的變化趨勢(shì)并不一致。

圖1 攻擊對(duì)未命中概率的影響

CCN中未命中的interest packet會(huì)向內(nèi)容提供者處轉(zhuǎn)發(fā)，當(dāng)內(nèi)容數(shù)據(jù)返回時(shí)緩存節(jié)點(diǎn)則在本地保留一份緩存副本，可以認(rèn)為在穩(wěn)態(tài)條件下節(jié)點(diǎn)的緩存空間已滿(mǎn)，此時(shí)每有一次未命中必定會(huì)對(duì)應(yīng)發(fā)生一次緩存替換。因此，緩存替換率即等價(jià)于單位時(shí)間內(nèi)節(jié)點(diǎn)未命中的請(qǐng)求流。圖2給出了節(jié)點(diǎn)單位時(shí)間緩存替換率隨攻擊強(qiáng)度的變化，各曲線(xiàn)從下到上分別為，通過(guò)對(duì)比圖2(a)與2(b)可以看出，隨著攻擊強(qiáng)度的增加，正常內(nèi)容替換率與總替換率主要呈遞增的變化趨勢(shì)，但是 2組曲線(xiàn)簇的不同密集程度反映出正常內(nèi)容替換率隨攻擊強(qiáng)度與污染內(nèi)容數(shù)量的增加迅速上升，而總替換率變化卻略為平緩。

圖2 攻擊對(duì)單位時(shí)間緩存替換率的影響

總而言之，當(dāng)節(jié)點(diǎn)遭受緩存污染攻擊時(shí)，不同的攻擊能夠?qū)?jié)點(diǎn)參數(shù)產(chǎn)生完全不同的影響。因此，在設(shè)計(jì)攻擊檢測(cè)算法時(shí)，需要重點(diǎn)考慮如何選擇節(jié)點(diǎn)參數(shù)進(jìn)行觀(guān)測(cè)。

4 基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)算法

通過(guò)分析節(jié)點(diǎn)參數(shù)變化，本節(jié)設(shè)計(jì)了基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)算法，其特點(diǎn)在于并不嚴(yán)格限定具體算法內(nèi)容，而是首先給出基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則。在此原則之上，通過(guò)選擇觀(guān)測(cè)參數(shù)以及攻擊判斷標(biāo)準(zhǔn)得到實(shí)例化的算法。相比于傳統(tǒng)檢測(cè)算法的設(shè)計(jì)，這種設(shè)計(jì)方式不但可以更加清晰地體現(xiàn)算法設(shè)計(jì)的邏輯流程，同時(shí)能夠在不影響運(yùn)行的情況下隨時(shí)對(duì)算法進(jìn)行調(diào)整，符合未來(lái)網(wǎng)絡(luò)靈活可變的設(shè)計(jì)需求[3]。

4.1 基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則

由于受攻擊者自身才能準(zhǔn)確檢測(cè)到攻擊的存在[17]，從理論上來(lái)說(shuō)，正常請(qǐng)求的未命中概率能夠最準(zhǔn)確反映攻擊是否發(fā)生，但是對(duì)于緩存節(jié)點(diǎn)而言，其無(wú)法直接判斷究竟哪一部分請(qǐng)求屬于正常請(qǐng)求，因而無(wú)法直接檢測(cè)正常請(qǐng)求流的未命中概率以及正常內(nèi)容在緩存中的狀態(tài)，只能根據(jù)某些間接的手段來(lái)反映是否遭到攻擊。為了尋找這些“間接手段”，基于第 3節(jié)中的模型，將節(jié)點(diǎn)各相關(guān)參數(shù)劃分為以下2類(lèi)。

1) 可觀(guān)測(cè)參數(shù)：可以由緩存節(jié)點(diǎn)直接進(jìn)行觀(guān)察，能夠直觀(guān)反映節(jié)點(diǎn)的運(yùn)行狀態(tài)，例如節(jié)點(diǎn)上所有內(nèi)容的到達(dá)率。

2) 不可觀(guān)測(cè)參數(shù)：僅在模型計(jì)算中有所體現(xiàn)，而無(wú)法由緩存節(jié)點(diǎn)進(jìn)行觀(guān)測(cè)，例如正常請(qǐng)求或攻擊請(qǐng)求的命中概率。

表1列舉了緩存節(jié)點(diǎn)上的各項(xiàng)重要參數(shù)以及可觀(guān)測(cè)性（僅限3.2節(jié)中模型所涉及的參數(shù)，在其他場(chǎng)景下仍有待補(bǔ)充）。

表1 緩存節(jié)點(diǎn)v各項(xiàng)參數(shù)可觀(guān)測(cè)性

由表1可以發(fā)現(xiàn)，不可觀(guān)測(cè)參數(shù)同攻擊的特征直接關(guān)聯(lián)但卻無(wú)法觀(guān)測(cè)，而可觀(guān)測(cè)參數(shù)卻不能直接反映攻擊是否發(fā)生。

因此，進(jìn)行攻擊檢測(cè)所要做的就是根據(jù)緩存節(jié)點(diǎn)上可觀(guān)測(cè)參數(shù)的變化來(lái)間接判斷不可觀(guān)測(cè)參數(shù)的變化。通過(guò)對(duì)前文的節(jié)點(diǎn)狀態(tài)模型進(jìn)行分析可知，這2類(lèi)參數(shù)之間存在相互關(guān)聯(lián)的關(guān)系，這便為攻擊檢測(cè)提供了理論依據(jù)。據(jù)此提出基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則，主要包括以下幾個(gè)方面。

1) 分析攻擊的特點(diǎn)以及攻擊可能產(chǎn)生的效果。

2) 選擇合適的觀(guān)測(cè)參數(shù)，分析其與攻擊之間的關(guān)系，并據(jù)此設(shè)置攻擊判斷標(biāo)準(zhǔn)。

3) 若在第2)步中選取表1中第7項(xiàng)r作為檢測(cè)對(duì)象，那么又可分為多種情況，因?yàn)閞可以看作一組參數(shù)，通過(guò)不同的篩選方式在 ri中選擇所需要的值便能進(jìn)一步構(gòu)造不同的判斷方法。

4) 對(duì)觀(guān)測(cè)參數(shù)的變化情況進(jìn)行檢測(cè)，通過(guò)與攻擊判斷標(biāo)準(zhǔn)的對(duì)比來(lái)判定攻擊。

5) 算法實(shí)例化，根據(jù)選定的觀(guān)測(cè)參數(shù)以及判斷標(biāo)準(zhǔn)得到具體的算法實(shí)例。

與文獻(xiàn)[7,8]中的設(shè)計(jì)方法進(jìn)行對(duì)比，文獻(xiàn)[7]以請(qǐng)求概率作為判斷依據(jù)，根據(jù)請(qǐng)求概率的總變化量來(lái)檢測(cè)攻擊；文獻(xiàn)[8]通過(guò)一系列矩陣操作在所有到達(dá)的請(qǐng)求中篩選出“冷門(mén)請(qǐng)求”，而后根據(jù)其變化來(lái)檢測(cè)低強(qiáng)度的攻擊。二者的設(shè)計(jì)方法與本節(jié)提出的設(shè)計(jì)原則有一定相通之處，這也說(shuō)明了該檢測(cè)原則的合理性。

4.2 檢測(cè)算法實(shí)例化

4.1節(jié)中列舉了受攻擊節(jié)點(diǎn)的幾類(lèi)可觀(guān)測(cè)參數(shù)，根據(jù)模型分析，Pmiss和Pmiss,n之間并不成正比例關(guān)系，難以直接反映攻擊。因此，分別選擇單位時(shí)間緩存替換率m或請(qǐng)求到達(dá)率 ri作為觀(guān)測(cè)參數(shù)，以其變化量是否超過(guò)設(shè)定的閾值為判斷標(biāo)準(zhǔn)，給出基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)算法實(shí)例化設(shè)計(jì)。

1) 攻擊檢測(cè)以一定周期進(jìn)行循環(huán)，在周期T中抽取時(shí)長(zhǎng)Δt，統(tǒng)計(jì)觀(guān)測(cè)參數(shù)x在本周期的抽樣值x(T)，其中，x=m或，m和ri分別為單位時(shí)間緩存替換率和每類(lèi)請(qǐng)求的到達(dá)率。

2) 由式(6)計(jì)算檢測(cè)結(jié)果，即觀(guān)測(cè)參數(shù)抽樣值相比上周期的變化量，并按照式(7)取為所有中最大值，用來(lái)表示請(qǐng)求到達(dá)率變化最大者。

3) 根據(jù)δx在n個(gè)周期內(nèi)變化的標(biāo)準(zhǔn)差設(shè)置閾值τ，如式(8)所示，其中，τmax表示可接受的最大閾值。若δx在某周期內(nèi)的變化超過(guò)閾值τ，則判定攻擊發(fā)生。

給出攻擊檢測(cè)算法如下。

輸入 time_interval：當(dāng)前時(shí)間

t：周期時(shí)長(zhǎng)

Δt ：采樣時(shí)長(zhǎng)

輸出 result_of_detection：是否發(fā)生攻擊

可以看出，該算法設(shè)計(jì)思路重點(diǎn)在于“選擇”而不是“設(shè)計(jì)”，即在什么場(chǎng)景下選擇什么樣的檢測(cè)方法更加合適。因此，實(shí)際操作時(shí)應(yīng)重點(diǎn)分析不同算法在不同場(chǎng)景下的適用性，而不是討論相同場(chǎng)景下同一類(lèi)算法的優(yōu)劣。

5 仿真與性能分析

實(shí)際中可能存在模式繁多的緩存污染攻擊，由于篇幅的限制，很難對(duì)所有的攻擊模式進(jìn)行遍歷。為了能夠較全面地檢驗(yàn)算法的性能，依據(jù)污染內(nèi)容數(shù)量的多少和攻擊強(qiáng)度的大小，將緩存污染攻擊分為5類(lèi)，通過(guò)對(duì)每一類(lèi)設(shè)定具有代表性的參數(shù)，得到典型的檢測(cè)效果，用以反映對(duì)不同特征攻擊的檢測(cè)性能。

由于當(dāng)前 CCN仍然處于理論研究和實(shí)驗(yàn)驗(yàn)證階段，缺乏實(shí)際的網(wǎng)絡(luò)運(yùn)營(yíng)數(shù)據(jù)。在不失一般性的前提下，這里按照獨(dú)立參考模型生成請(qǐng)求序列。設(shè)置正常內(nèi)容總數(shù)正常請(qǐng)求依照 Zipf規(guī)律發(fā)送（α=1.2）[11]，interest packet發(fā)送頻率為1 000個(gè)/秒，節(jié)點(diǎn)緩存空間大小V=500，一個(gè)周期的時(shí)間設(shè)置為60 s，檢測(cè)算法的參數(shù)統(tǒng)計(jì)范圍為10周期，對(duì)節(jié)點(diǎn)的攻擊從第 20周期開(kāi)始，通過(guò)改變污染內(nèi)容數(shù)量L和攻擊強(qiáng)度η設(shè)定5類(lèi)攻擊模式。

文獻(xiàn)[17]提出了一種檢測(cè)機(jī)制 LWM (light weight mechanism)，其所觀(guān)測(cè)的參數(shù)是所有請(qǐng)求概率變化量的總和，通過(guò)檢測(cè)參數(shù)突變來(lái)判斷攻擊是否發(fā)生，檢測(cè)效果與污染內(nèi)容數(shù)量無(wú)關(guān)，只與攻擊強(qiáng)度成正比。文獻(xiàn)[7]提出CUSUM算法，將節(jié)點(diǎn)可能緩存的所有內(nèi)容映射到一個(gè)矩陣中，通過(guò)異或的操作篩選出其中的非流行內(nèi)容，而后通過(guò)矩陣秩（rank）的變化來(lái)判斷攻擊，此處使用100×100的矩陣記錄節(jié)點(diǎn)可能存儲(chǔ)的非流行內(nèi)容，以該矩陣的秩作為觀(guān)測(cè)參數(shù)，秩越大表示對(duì)冷門(mén)資源的請(qǐng)求越多，即受到攻擊的可能越大。將4.2節(jié)中的2種實(shí)例化檢測(cè)算法記為單位時(shí)間緩存替換率檢測(cè)和請(qǐng)求到達(dá)率檢測(cè)，連同 LWM以及CUSUM共4種檢測(cè)算法分別對(duì)上述5類(lèi)攻擊進(jìn)行檢測(cè)。

圖3給出了 4種算法針對(duì)輕量攻擊的檢測(cè)情況，以檢測(cè)結(jié)果的歸一化數(shù)值（即歸一化δ值，定義為來(lái)衡量檢測(cè)的效果，其大于0表示可檢測(cè)到攻擊，值越大表示檢測(cè)效果越好。由于輕量攻擊特征不明顯，同時(shí)對(duì)網(wǎng)絡(luò)的影響很小，通過(guò)檢測(cè)參數(shù)變化的方式難以進(jìn)行識(shí)別，只有根據(jù)請(qǐng)求到達(dá)率檢測(cè)可以實(shí)現(xiàn)歸一化δ值大于 0，但其最大值僅為0.10?？傮w來(lái)看檢測(cè)效果均較差。

圖4給出了4種算法針對(duì)集中式攻擊檢測(cè)結(jié)果的歸一化數(shù)值，由于請(qǐng)求到達(dá)率檢測(cè)選取的觀(guān)測(cè)參數(shù)為請(qǐng)求率變化的最大值，對(duì)于集中式攻擊十分敏感，其歸一化δ值可以高達(dá)8。該類(lèi)攻擊強(qiáng)度較大，LWM 也可取得較好的檢測(cè)效果，歸一化δ值為2.05。單位時(shí)間替換率檢測(cè)的歸一化δ值為 0.15，CUSUM則無(wú)法進(jìn)行檢測(cè)。前3種檢測(cè)算法均基于歷史統(tǒng)計(jì)判斷攻擊，當(dāng)攻擊持續(xù)時(shí)，舊的統(tǒng)計(jì)數(shù)據(jù)逐漸被替換，導(dǎo)致曲線(xiàn)呈下降趨勢(shì)。

圖3 針對(duì)輕量攻擊（第一類(lèi)攻擊）的檢查結(jié)果

圖4 針對(duì)集中式攻擊（第二類(lèi)攻擊）的檢查結(jié)果

圖5給出了4種算法針對(duì)分散式輕量攻擊檢測(cè)結(jié)果的歸一化數(shù)值，CUMSUM 算法通過(guò)映射的方式對(duì)所有冷門(mén)請(qǐng)求進(jìn)行統(tǒng)計(jì)，冷門(mén)請(qǐng)求越多則檢測(cè)效果越好，歸一化δ值可達(dá)2.80，另外算法中將變化的參照量以及閾值設(shè)置為固定值，而不是基于歷史統(tǒng)計(jì)數(shù)據(jù)得出，所以檢測(cè)曲線(xiàn)并不會(huì)因統(tǒng)計(jì)數(shù)據(jù)的變化而下降。對(duì)于其他3種算法而言，由于該類(lèi)攻擊強(qiáng)度較低，單獨(dú)針對(duì)每份污染內(nèi)容的請(qǐng)求到達(dá)率均極低，難以實(shí)現(xiàn)有效檢測(cè)。

圖6給出了4種算法針對(duì)分散式攻擊檢測(cè)結(jié)果的歸一化數(shù)值，該類(lèi)攻擊特征最為明顯，導(dǎo)致網(wǎng)絡(luò)狀態(tài)的變化最大，因此各算法均對(duì)其有一定效果。其中，LWM 算法效果最好，歸一化δ值為 2.01。單位時(shí)間緩存替換率檢測(cè)效果次之，歸一化δ值為1.30。另外2種檢測(cè)算法效果較差，但也可實(shí)現(xiàn)歸一化δ值大于0。

圖5 針對(duì)分散式輕量攻擊（第三類(lèi)攻擊）的檢查結(jié)果

圖6 針對(duì)分散式攻擊的檢查結(jié)果

圖7給出了4種算法針對(duì)中量攻擊檢測(cè)結(jié)果的歸一化數(shù)值，由于中量攻擊狀態(tài)介于上述4種之間，因此各類(lèi)檢測(cè)算法均對(duì)其有一定效果，但總體來(lái)說(shuō)檢測(cè)效果并不好。其中，LWM 算法檢測(cè)所得歸一化δ值最高，但僅為 0.6，因此并沒(méi)有一種算法能夠特別有效地針對(duì)此類(lèi)攻擊。

圖7 針對(duì)中量攻擊的檢查結(jié)果

表2列出各算法檢測(cè)結(jié)果的歸一化數(shù)值，反映了上述4種檢測(cè)算法適用范圍各不相同。LWM的檢測(cè)范圍最廣，可以檢測(cè)第二、四、五類(lèi)攻擊，但由于網(wǎng)絡(luò)中正常請(qǐng)求的實(shí)時(shí)變化對(duì)其觀(guān)測(cè)參數(shù)的影響較大，實(shí)際應(yīng)用中誤判的概率也較大；基于單位時(shí)間替換率的檢測(cè)算法適用范圍與LWM類(lèi)似，雖然結(jié)果的歸一化值較小，但由于其觀(guān)測(cè)參數(shù)較單一，誤判率相比LWM較小。其余2種應(yīng)對(duì)面稍窄，請(qǐng)求到達(dá)率檢測(cè)方法對(duì)于第二類(lèi)攻擊最敏感，歸一化δ值可高達(dá)8.00，同時(shí)對(duì)第五類(lèi)攻擊也有一定效果；而CUSUM算法僅僅適用于檢測(cè)第三類(lèi)攻擊。綜合4種檢測(cè)方法，可以對(duì)第二、三、四類(lèi)攻擊進(jìn)行有效檢測(cè)，而對(duì)第五類(lèi)攻擊的檢測(cè)效果均較為一般。第一類(lèi)攻擊雖然難以檢測(cè)，但可以被文獻(xiàn)[9]提出的cache shield所攔截。總之，不同的檢測(cè)算法對(duì)于不同攻擊的檢測(cè)效果不同，本文提出的2種檢測(cè)算法實(shí)例能夠與現(xiàn)有的檢測(cè)算法進(jìn)行互補(bǔ)，在實(shí)際應(yīng)用中還需根據(jù)情況進(jìn)行具體設(shè)計(jì)，此外由于第5類(lèi)攻擊特征不明顯，導(dǎo)致各類(lèi)算法對(duì)其檢測(cè)效果較為一般，也應(yīng)對(duì)其多加考慮。

表2 檢測(cè)結(jié)果的歸一化數(shù)值

6 結(jié)束語(yǔ)

本文對(duì) CCN中的緩存污染攻擊進(jìn)行研究，指出了傳統(tǒng)模糊式的攻擊分類(lèi)方式并不能準(zhǔn)確描述CCN緩存污染攻擊的狀態(tài)，進(jìn)而導(dǎo)致了攻擊檢測(cè)算法無(wú)法實(shí)現(xiàn)全面的檢測(cè)與防護(hù)。為此，本文對(duì)CCN中的緩存污染攻擊重新進(jìn)行定量描述，以污染內(nèi)容數(shù)量、分布狀態(tài)、攻擊強(qiáng)度這3個(gè)參數(shù)描述攻擊的特征，建立攻擊下的節(jié)點(diǎn)緩存狀態(tài)模型分析不同攻擊對(duì)節(jié)點(diǎn)的影響。提出了基于節(jié)點(diǎn)狀態(tài)模型的攻擊檢測(cè)原則，并分別以單位時(shí)間緩存替換率和請(qǐng)求到達(dá)率作為觀(guān)測(cè)參數(shù)進(jìn)行算法實(shí)例化。仿真結(jié)果表明，本文設(shè)計(jì)的2種檢測(cè)算法實(shí)例能夠與現(xiàn)有的檢測(cè)算法進(jìn)行有效互補(bǔ)，在實(shí)際的應(yīng)用中還需結(jié)合不同檢測(cè)算法的適用范圍進(jìn)行權(quán)衡決策。下一步的工作包括建立多節(jié)點(diǎn)網(wǎng)絡(luò)模型，并考慮攻擊請(qǐng)求的相關(guān)性和多樣的分布狀態(tài)，進(jìn)一步驗(yàn)證算法的適用性。

[1] XYLOMENOS G, VERVERIDIS C, SIRIS V, et al. A survey of information-centric networking research[J]. IEEE Communications Surveys amp; Tutorials, 2014, 16: 1024-1049.

[2] JACOBSON V, SMETTERS D K, THORNTON J D, et al. Networking named content[J]. Communications of the ACM, 2012, 55(1):117-124.

[3] 蘭巨龍, 程?hào)|年, 胡宇翔. 可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究[J].通信學(xué)報(bào), 2014, 35(1): 128-139.LAN J L, CHENG D N, HU Y X. Research on reconfigurable information communication based network architecture[J]. Journal on Communications, 2014, 35(1): 128-139.

[4] ACS G, CONTI M, GASTI P, et al. Cache privacy in named-data networking[C]//IEEE International Conference on Distributed Computing Systems. Philadelphia, USA, 2013: 41-51.

[5] CHAABANE A, DE CRISTOFARO E, KAAFAR M A, et al. Privacy in content-oriented networking: threats and countermeasures[J]. ACM SIGCOMM Computer Communication Review, 2013, 43(3): 25-33.

[6] LAUINGER T. Security amp; scalability of content-centric networking[D]. TU Darmstadt, 2010.

[7] CONTI M, GASTI P, TEOLI M. A lightweight mechanism for detection of cache pollution attacks in named data networking[J]. Computer Networks, 2013, 57(16): 3178-3191.

[8] PARK H, WIDJAJA I, LEE H. Detection of cache pollution attacks using randomness checks[C]//IEEE International Conference on Communications (ICC). Ottawa, 2012: 1096-1100.

[9] XIE M, WIDJAJA I, WANG H. Enhancing cache robustness for content-centric networking[C]// IEEE INFOCOM Annual IEEE International Conference on Computer Communications. Orlando, 2012: 2426-2434.

[10] SANDBERG A, EKL?V D, HAGERSTEN E. Reducing cache pollution through detection and elimination of non-temporal memory accesses[C]//2010 ACM/IEEE International Conference for High Performance Computing, Networking, Storage and Analysis. Washington DC: IEEE Computer Society, 2010: 1-11.

[11] KIM Y, YEOM I. Performance analysis of in-network caching for content-centric networking[J]. Computer Networks, 2013, 57(13):2465-2482.

[12] DAN A, TOWSLEY D. An approximate analysis of the LRU and FIFO buffer replacement schemes[M]. New York, USA: ACM Publisher, 1990: 143-152.

[13] CHAI W K, HE D, PSARAS I, et al. Cache “l(fā)ess for more” in information-centric networks[C]//IFIP Networking. Prague, Czech,2012: 27-40.

[14] ROSENSWEIG E J, KUROSE J, TOWSLEY D. Approximate models for general cache networks[C]// IEEE INFOCOM 2010. San Diego,2010: 1-9.

[15] DENG L, GAO Y, CHEN Y, et al. Pollution attacks and defenses for Internet caching systems[J]. Computer Networks, 2008, 52(5):935-956.

[16] MOHAISEN A, ZHANG X W, SCHUCHARD M, et al. Protecting access privacy of cached contents in information centric networks[C]//ACM SIGSAC Symposium on Information, Computer and Communications Security. Hangzhou, China, 2013: 173-178.

[17] AFANASYEV A, MAHADEVAN P, MOISEENKO I, et al. Interest flooding attack and countermeasures in named data networking[C]//IFIP Networking Conference. New York, 2013: 1-9.

Detection algorithm for cache pollution attacks based on node state model in content centric networking

TANG Hong-bo, ZHENG Lin-hao, GE Guo-dong, YUAN Quan
(National Digital Switching System Engineeringamp; Technological Ramp;D Center, Zhengzhou 450002, China )

Aiming at cache pollution attacks in content centric networking, the attacks were quantitatively described by three parameters, namely number of pollution contents, distribution of attack requests and attack intensity, then the cache state model of node under attack was built. Benefited from the analysis of key parameters of cache node, the attack detection principle based on node state model was put forward, correspondingly, two attack detection algorithms were instantiated with the observation parameters of cache replacement ratio and request arrival rate. The simulation results show that proposed algorithm can obtain good detection performance under each decentralized attack and centralized attack.

content centric networking, cache pollution attacks, cache state model, attack detection

s: The National Key Basic Research and Development Programs of China (973 Program) (No.2012CB315901),The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No. 61521003), The National High-Tech Research and Development Program of China (863 Program) (No.2014AA01A701)

TP393

A

10.11959/j.issn.1000-436x.2016172

2015-07-21；

2016-06-29

國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助項(xiàng)目（No.2012CB315901）；國(guó)家自然科學(xué)基金創(chuàng)新群體（No.61521003）；國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2014AA01A701）

湯紅波（1968-），男，湖北孝感人，國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授，主要研究方向?yàn)橐苿?dòng)通信網(wǎng)絡(luò)與安全、未來(lái)網(wǎng)絡(luò)體系結(jié)構(gòu)、內(nèi)容中心網(wǎng)絡(luò)。

鄭林浩（1991-），男，河南輝縣人，國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向?yàn)閮?nèi)容中心網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。

葛國(guó)棟（1985-），男，陜西咸陽(yáng)人，國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心工程師，主要研究方向?yàn)槲磥?lái)網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)安全。

袁泉（1991-），男，山東青島人，國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向?yàn)槲磥?lái)網(wǎng)絡(luò)體系結(jié)構(gòu)、移動(dòng)通信。