趙雪峰　王興偉　易波　黃敏

摘? ?要：為了解決命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）中由興趣洪泛攻擊（Interest Flooding Attack，IFA）導(dǎo)致的資源浪費(fèi)和服務(wù)安全等問(wèn)題，文章根據(jù)IFA發(fā)生時(shí)NDN網(wǎng)絡(luò)流量的特征提出了針對(duì)分布式低速率攻擊的基于節(jié)點(diǎn)的檢測(cè)與防御機(jī)制，將其部署在可能受攻擊影響最大的網(wǎng)絡(luò)中心節(jié)點(diǎn)。首先設(shè)計(jì)了異常檢測(cè)觸發(fā)機(jī)制以減少傳統(tǒng)周期性檢測(cè)帶來(lái)的資源浪費(fèi);其次攻擊檢測(cè)部分通過(guò)選取重要特征屬性、計(jì)算信息熵以及利用K均值聚類(lèi)算法訓(xùn)練好的模型檢測(cè)異常點(diǎn)，避免了攻擊檢測(cè)的滯后性;最后通過(guò)概率替換的方法和“緩解-阻斷”的方式對(duì)IFA進(jìn)行防御，準(zhǔn)確識(shí)別并刪除惡意興趣請(qǐng)求，快速恢復(fù)被攻擊節(jié)點(diǎn)的服務(wù)功能，并從源頭阻斷后續(xù)IFA攻擊。

關(guān)鍵詞：命名數(shù)據(jù)網(wǎng)絡(luò);興趣洪泛攻擊;信息熵;K均值聚類(lèi)

中圖分類(lèi)號(hào)：TP393.0? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In order to solve the problems of resource waste and service security caused by Interest Flooding Attack （IFA） in Named Data Networking （NDN）， this paper proposes a node-based detection and defense mechanism of distributed low-rate attacks based on the characteristics of NDN network traffic when IFA occurs， and deploys it in the network center node which may be most affected by attack. Firstly， the anomaly detection trigger mechanism is designed to reduce the waste of resources caused by traditional periodic detection. Secondly， the attack detection part includes selecting the important feature attributes， calculating the information entropy and using the K-means clustering algorithm to detect the abnormal points， which avoids the lag of the attack detection. Finally， the method of probability substitution and the "mitigation-blocking" are used to defend the IFA， it identifies and deletes the malicious interest requests accurately， restores the service function of the attacked node quickly， and blocks the follow-up IFA attacks from the source.

Key words： named data network; interest flooding attack; information entropy; K-means clustering

1 引言

隨著互聯(lián)網(wǎng)用戶和數(shù)據(jù)的爆炸式增長(zhǎng)以及互聯(lián)網(wǎng)主要職能的轉(zhuǎn)變[1]，以內(nèi)容為中心的網(wǎng)絡(luò)應(yīng)用逐漸增多[2]，相對(duì)于信息的存儲(chǔ)位置而言，用戶更加關(guān)心信息的內(nèi)容本身[3]。與此同時(shí)，命名數(shù)據(jù)網(wǎng)絡(luò)（Named Data Networking，NDN）架構(gòu)的成熟，使得基于NDN的各項(xiàng)研究也不斷地引起大家的廣泛關(guān)注。在安全方面，其屏蔽了傳統(tǒng)網(wǎng)絡(luò)下的拒絕服務(wù)攻擊（Denial of Service， DoS）的同時(shí)，卻引入了新型的安全問(wèn)題興趣洪泛攻擊[5]，其是針對(duì)NDN中包轉(zhuǎn)發(fā)機(jī)制存在的安全漏洞進(jìn)行攻擊。

目前，關(guān)于興趣洪泛攻擊（Interest Flooding Attack，IFA）的檢測(cè)與防御問(wèn)題已經(jīng)引起學(xué)術(shù)界的廣泛關(guān)注，陸續(xù)出現(xiàn)了相關(guān)的解決方案，但是在準(zhǔn)確識(shí)別，快速防御等方面仍有待改進(jìn)。首先，當(dāng)前研究中大多數(shù)對(duì)IFA的檢測(cè)主要是基于路由器節(jié)點(diǎn)的PIT異常狀態(tài)進(jìn)行統(tǒng)計(jì)分析判斷，該類(lèi)檢測(cè)方案具有滯后性。其次，目前的方案可能容易對(duì)正常流量波動(dòng)過(guò)度反應(yīng)，比如當(dāng)有突發(fā)的正常流量時(shí)，也會(huì)對(duì)PIT表的統(tǒng)計(jì)特征造成影響。再者，目前幾乎所有的方案都是針對(duì)網(wǎng)絡(luò)中所有的節(jié)點(diǎn)進(jìn)行檢測(cè)，不具有針對(duì)性，檢測(cè)粒度有待優(yōu)化?；谏鲜鲈颍琁FA的應(yīng)對(duì)機(jī)制仍具有進(jìn)一步研究的意義。

此外，目前的方案中很少研究如何準(zhǔn)確識(shí)別惡意興趣請(qǐng)求，這在后續(xù)的防御效果中有著至關(guān)重要的作用，精確的識(shí)別可在一定程度上減少對(duì)正常突發(fā)流量的誤判以及更好的進(jìn)行攻擊防御，這一部分也迫切需要進(jìn)行進(jìn)一步的研究。

針對(duì)目前IFA攻擊面臨的問(wèn)題挑戰(zhàn)[6]以及一些解決方案所存在的如檢測(cè)滯后性、檢測(cè)粒度不具有針對(duì)性、資源浪費(fèi)等問(wèn)題，本文選擇分布式低速率攻擊，在網(wǎng)絡(luò)中心節(jié)點(diǎn)設(shè)計(jì)并部署了一種基于節(jié)點(diǎn)的檢測(cè)與防御機(jī)制，減少了周期性檢測(cè)帶來(lái)的資源浪費(fèi)問(wèn)題，避免了滯后性問(wèn)題，并且能夠準(zhǔn)確識(shí)別惡意興趣請(qǐng)求，從源頭阻斷IFA攻擊，以快速恢復(fù)被攻擊節(jié)點(diǎn)的服務(wù)功能。具體研究工作主要包括設(shè)計(jì)了以下機(jī)制：異常檢測(cè)觸發(fā)機(jī)制、基于信息熵和K均值聚類(lèi)的攻擊檢測(cè)機(jī)制、基于概率替換的惡意興趣請(qǐng)求識(shí)別機(jī)制、“緩解-阻斷”防御機(jī)制，并對(duì)所提機(jī)制進(jìn)行仿真實(shí)現(xiàn)以及性能評(píng)價(jià)。

2 興趣洪泛攻擊原理

NDN中的興趣包基于內(nèi)容名稱(chēng)前綴進(jìn)行路由，并通過(guò)內(nèi)容名稱(chēng)獲取數(shù)據(jù)，因此攻擊者無(wú)法輕易地直接針對(duì)特定中間節(jié)點(diǎn)或者終端發(fā)起攻擊。但是，攻擊者可以針對(duì)特定的命名空間發(fā)起攻擊，在興趣包尋路過(guò)程中造成網(wǎng)絡(luò)中間節(jié)點(diǎn)拒絕服務(wù)[7]。IFA正是一種針對(duì)特定命名空間發(fā)起攻擊的方式。

IFA基本工作原理如圖1所示。如果內(nèi)容提供者是“/Root/good”命名空間的獨(dú)占所有者，則路由器B和內(nèi)容提供者都將收到“/Root/good/ ...”的所有興趣，且無(wú)法被網(wǎng)內(nèi)緩存滿足。大量此類(lèi)惡意興趣通過(guò)造成網(wǎng)絡(luò)擁塞或耗盡路由器節(jié)點(diǎn)上的資源造成合法興趣請(qǐng)求和數(shù)據(jù)包丟包，從而破壞網(wǎng)絡(luò)整體的服務(wù)質(zhì)量。而且，由于NDN中的興趣包既不攜帶源地址也不需進(jìn)行簽名認(rèn)證，很難立刻確定攻擊源并采取相應(yīng)的應(yīng)對(duì)措施，因此會(huì)對(duì)網(wǎng)絡(luò)造成非常大的攻擊力和破壞力[8]。

IFA將會(huì)造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降甚至是網(wǎng)絡(luò)服務(wù)癱瘓，其有兩種主要原因。第一，與傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)包類(lèi)似，NDN中的興趣包也會(huì)消耗一部分網(wǎng)絡(luò)容量。因?yàn)镹DN中的路由基于名稱(chēng)前綴，通過(guò)針對(duì)一個(gè)特定的命名空間可將大量攻擊流量集中在網(wǎng)絡(luò)的某些段中，大量惡意興趣包可能會(huì)導(dǎo)致?lián)砣?dǎo)致合法興趣包被丟棄，影響網(wǎng)絡(luò)服務(wù)性能。第二，由于NDN路由器維護(hù)每個(gè)轉(zhuǎn)發(fā)興趣的每個(gè)數(shù)據(jù)包狀態(tài)，即其存儲(chǔ)在未決興趣請(qǐng)求表（Pending Interesting Table，PIT）中的信息，過(guò)多的惡意興趣請(qǐng)求可能造成節(jié)點(diǎn)的內(nèi)存被耗盡，從而使得該節(jié)點(diǎn)無(wú)法繼續(xù)為傳入的興趣請(qǐng)求創(chuàng)建新的PIT條目，導(dǎo)致合法興趣包被丟棄，影響為合法用戶提供網(wǎng)絡(luò)服務(wù)。

3 基于節(jié)點(diǎn)的攻擊檢測(cè)與防御機(jī)制

本文基于節(jié)點(diǎn)的IFA攻擊檢測(cè)與防御機(jī)制主要是針對(duì)分布式低速率的興趣洪泛攻擊情形。在這種攻擊情形下，由于流量的匯聚，靠近內(nèi)容提供者或者中心位置的網(wǎng)絡(luò)節(jié)點(diǎn)的PIT條目數(shù)增長(zhǎng)迅速，最先使得PIT緩存溢出，從而造成中心節(jié)點(diǎn)拒絕服務(wù)，造成合法興趣請(qǐng)求丟包，影響巨大。

本節(jié)首先分別介紹了該機(jī)制包含的四大模塊即異常檢測(cè)觸發(fā)、基于信息熵和K-means聚類(lèi)算法的攻擊檢測(cè)、惡意興趣請(qǐng)求的識(shí)別以及攻擊防御。該方案的具體實(shí)現(xiàn)過(guò)程有四個(gè)步驟。

（1） 首先通過(guò)監(jiān)控PIT的占用率來(lái)觸發(fā)攻擊檢測(cè)。

（2） 一旦IFA檢測(cè)觸發(fā)，則計(jì)算PIT屬性內(nèi)容名稱(chēng)前綴、入口編號(hào)和興趣請(qǐng)求條目的被訪問(wèn)頻次的信息熵值，輸入到已經(jīng)訓(xùn)練好的分類(lèi)器中，進(jìn)行異常點(diǎn)識(shí)別。

（3） 利用概率替換方法識(shí)別出具體的惡意興趣請(qǐng)求前綴，通過(guò)分析攻擊流量的特征篩選特征屬性的值，識(shí)別出具體的惡意興趣請(qǐng)求條目。

（4） 當(dāng)檢測(cè)出具體條目后，立即刪除并生成與其具有相同內(nèi)容名稱(chēng)的報(bào)警數(shù)據(jù)包，該報(bào)警數(shù)據(jù)包將回溯到攻擊者終端，沿路限制接口速率阻斷攻擊。

本文根據(jù)NDN中包處理機(jī)制，結(jié)合本文提出的方案，設(shè)計(jì)了基于節(jié)點(diǎn)的IFA檢測(cè)與防御機(jī)制下的包處理流程。

3.1 異常檢測(cè)觸發(fā)機(jī)制

為了避免現(xiàn)有方案中周期性收集PIT表項(xiàng)時(shí)間間隔太短和太長(zhǎng)帶來(lái)的大量計(jì)算資源消耗和檢測(cè)滯后問(wèn)題，在對(duì)PIT表項(xiàng)進(jìn)行收集并檢測(cè)之前應(yīng)添加異常檢測(cè)觸發(fā)機(jī)制，當(dāng)滿足檢測(cè)觸發(fā)條件時(shí)才收集PIT條目進(jìn)行分析檢測(cè)。而且，這種觸發(fā)機(jī)制應(yīng)該滿足易檢測(cè)并且容易實(shí)施的條件，盡量減少路由器節(jié)點(diǎn)的負(fù)擔(dān)。

IFA最顯著的影響就是占用路由器節(jié)點(diǎn)大量的PIT緩存資源，造成PIT溢出，此觀點(diǎn)已有多篇文獻(xiàn)指出并驗(yàn)證，故本文采用PIT條目占用率作為異常觸發(fā)的指標(biāo)，PIT占用率的計(jì)算如公式（1）所示。其中表示PIT條目的占用率，用于表示其閾值。表示PIT現(xiàn)有的PIT條目數(shù)，表示PIT中可緩存的條目總數(shù)。

（1）

3.2基于信息熵和K-means聚類(lèi)的攻擊檢測(cè)機(jī)制

本節(jié)詳細(xì)介紹了基于節(jié)點(diǎn)流量統(tǒng)計(jì)的IFA攻擊檢測(cè)機(jī)制的設(shè)計(jì)。首先，分析了特征選擇、信息熵的引入和計(jì)算。其次，通過(guò)實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了引入信息熵進(jìn)行處理的合理性和可行性，并且利用K-means算法對(duì)原始數(shù)據(jù)進(jìn)行多次迭代訓(xùn)練，得到攻擊檢測(cè)的分類(lèi)器模型。最后，將進(jìn)行多組實(shí)驗(yàn)對(duì)比得到的分類(lèi)器模型進(jìn)行檢驗(yàn)和分析，并且對(duì)基于信息熵和K-means聚類(lèi)算法的IFA檢測(cè)方案的優(yōu)勢(shì)、缺陷以及產(chǎn)生的原因進(jìn)行分析與說(shuō)明。

（1）特征屬性選擇

IFA發(fā)生時(shí)，惡意興趣請(qǐng)求填滿PIT，此時(shí)，PIT中的條目分布必然呈現(xiàn)出異常狀態(tài)，因此本文涉及的屬性主要指PIT表項(xiàng)中的各屬性值。PIT是用于記錄已從該節(jié)點(diǎn)轉(zhuǎn)發(fā)出去但還未獲得數(shù)據(jù)響應(yīng)的興趣包的入口接口等屬性的集合。

由于針對(duì)不存在的內(nèi)容進(jìn)行攻擊時(shí)，攻擊者可利用完全偽造的內(nèi)容名稱(chēng)，也可利用前綴合法后綴隨機(jī)的內(nèi)容名稱(chēng)，這將導(dǎo)致PIT中內(nèi)容名稱(chēng)項(xiàng)的隨機(jī)性增加。與此同時(shí)，惡意興趣請(qǐng)求大都來(lái)源于特定的某些端口，使得PIT中各條目的入口分布變得集中。再者，PIT中興趣請(qǐng)求條目的匹配次數(shù)幾乎都為1，因?yàn)楣舭l(fā)生時(shí)，PIT中充斥大量的惡意興趣請(qǐng)求，根據(jù)惡意興趣請(qǐng)求的唯一性，該請(qǐng)求條目大多只被訪問(wèn)并匹配一次。綜上所述，本文選擇內(nèi)容名稱(chēng)、入口以及PIT條目的匹配次數(shù)三個(gè)屬性作為后文聚類(lèi)分析的特征屬性。

（2）信息熵的計(jì)算

本文的聚類(lèi)算法主要是分析IFA發(fā)生前和發(fā)生后PIT條目各屬性的變化趨勢(shì)，而非PIT條目各屬性的內(nèi)容值。本文引入已被廣泛應(yīng)用在異常檢測(cè)[9-12]的信息熵表征流量變化趨勢(shì)，這有利于從根本上反應(yīng)IFA對(duì)網(wǎng)絡(luò)的影響。而且，本文所采用的K-means算法更適用于數(shù)值型數(shù)據(jù)，引入信息熵將各類(lèi)型數(shù)據(jù)轉(zhuǎn)化為數(shù)值型，這有利于提升IFA檢測(cè)的準(zhǔn)確率，下文首先對(duì)信息熵計(jì)算進(jìn)行介紹，然后從信息熵的角度，通過(guò)實(shí)驗(yàn)數(shù)據(jù)分析以上三個(gè)屬性在攻擊前后的熵值變化情況，以論證方案的可行性。

給定一個(gè)集合X=（X1， X2，… XN），表示采集的PIT中各個(gè)特征屬性下的內(nèi)容數(shù)據(jù)的集合。每個(gè)屬性中包含個(gè)類(lèi)，表示屬性中類(lèi)的概率，其中，，， 則信息熵的定義如公式（2）所示。本文實(shí)驗(yàn)中，每100條PIT條目計(jì)算一次熵值。

（2）

以上三個(gè)特征屬性即內(nèi)容名稱(chēng)、入口以及PIT條目的匹配次數(shù)的信息熵計(jì)算如公式（2）所示，其中概率計(jì)算公式如式（3）所示，表示PIT中一組興趣請(qǐng)求條目的總數(shù)，本文將該值設(shè)為100， 表示具有某相同特征屬性的興趣請(qǐng)求條目的數(shù)量。

（3）

內(nèi)容名稱(chēng)前綴屬性：IFA發(fā)生前，因?yàn)镻IT中內(nèi)容名稱(chēng)前綴分布相對(duì)均勻，隨機(jī)性較高，熵值較高。當(dāng)IFA發(fā)生時(shí)，攻擊者短時(shí)間內(nèi)發(fā)送大量?jī)?nèi)容名稱(chēng)前綴相同且后綴為隨機(jī)產(chǎn)生的字符串的惡意興趣請(qǐng)求。惡意興趣請(qǐng)求的注入使得內(nèi)容名稱(chēng)前綴的分布突然變得集中，不確定性下降，相應(yīng)地信息熵急劇下降。此外，如果攻擊者發(fā)送大量含有完全偽造的內(nèi)容名稱(chēng)的惡意興趣請(qǐng)求時(shí)，此時(shí)的內(nèi)容名稱(chēng)前綴分布更加隨機(jī)。相比攻擊前來(lái)說(shuō)，不確定性上升，相應(yīng)地信息熵將急速上升。也就是說(shuō)，不論以任何一種方式發(fā)起攻擊，熵值的突變是必然的，而本文所需要的也只是熵值突變帶來(lái)的差異而不是依賴具體的熵值大小。因此，不論熵值急速上升亦或是下降本文的方案均可適用。

如圖2所示，為內(nèi)容名稱(chēng)前綴信息熵的變化。圖中0-100s以及200-300s沒(méi)有攻擊，200-300s發(fā)起興趣洪泛攻擊，惡意Interest的內(nèi)容名稱(chēng)采用的是內(nèi)容名稱(chēng)前綴合法而后綴為偽造的隨機(jī)字符串。由圖1可知，在100-200s之間發(fā)生攻擊時(shí)，PIT內(nèi)容名稱(chēng)前綴的熵值的確迅速降低，而且，在攻擊期間都維持在較低值。

入口屬性：當(dāng)IFA攻擊發(fā)生時(shí)，對(duì)于每個(gè)節(jié)點(diǎn)而言，如果假設(shè)接口一定，惡意興趣請(qǐng)求的入口id一致，此時(shí)入口的隨機(jī)性較低，信息熵值較低;如果假設(shè)接口數(shù)量不一定，即發(fā)生攻擊后，惡意興趣請(qǐng)求可能來(lái)自多個(gè)全新的接口，入口屬性的隨機(jī)性較高，信息熵值增大。本文更多關(guān)注的是熵值變化引起的熵值檢測(cè)點(diǎn)之間的差異性，而非依賴具體的信息熵值的大小。此外，本文假設(shè)對(duì)每個(gè)內(nèi)容名稱(chēng)前綴所采取的轉(zhuǎn)發(fā)和路由策略一致，則出口和入口屬性值的分布一致，熵值變化一致，所以，本文只討論入口屬性的熵值變化。

如圖3所示，在接口數(shù)量不一定的情況下，IFA攻擊前后入口屬性信息熵值的變化情況由圖可得，在100-200s期間發(fā)生IFA攻擊時(shí)，信息熵值直線上升，并且，在攻擊期間，熵值一直處于較高水平。

匹配次數(shù)屬性：由于惡意興趣請(qǐng)求是唯一的，故惡意興趣請(qǐng)求記錄在PIT條目后將只被訪問(wèn)一次，而合法的興趣請(qǐng)求條目可能被不同的合法用戶多次訪問(wèn)。因此，當(dāng)發(fā)生攻擊時(shí)，大量惡意興趣請(qǐng)求條目緩存在PIT中，導(dǎo)致大多是PIT條目的匹配次數(shù)屬性值為1，這將導(dǎo)致匹配次數(shù)屬性值隨機(jī)性會(huì)迅速下降，信息熵值也因此迅速減小，并且，在攻擊期間信息熵值一直維持在較低水平。

如圖4所示，為PIT中匹配次數(shù)屬性的信息熵值的變化趨勢(shì)。當(dāng)發(fā)生IFA攻擊時(shí)，熵值迅速下降，在100-200s攻擊期間，熵值維持在較低值。

綜上，可分別計(jì)算出一段時(shí)間內(nèi)三個(gè)屬性的信息熵值、和，表示為點(diǎn)，下一步的K-means聚類(lèi)檢測(cè)分析將針對(duì)這些熵值點(diǎn)進(jìn)行異常檢測(cè)分析。

（3）K-means聚類(lèi)檢測(cè)分析

本文實(shí)驗(yàn)?zāi)M了300s，其中100-200s為攻擊發(fā)生時(shí)間。首先收集了各個(gè)特征屬性下的PIT條目，然后對(duì)每100條條目進(jìn)行信息熵的計(jì)算，生成一系列熵值點(diǎn) ，由于在發(fā)生攻擊時(shí)，三個(gè)屬性的信息熵值均發(fā)生明顯變化，通過(guò)三個(gè)特征屬性的相互作用，發(fā)生攻擊時(shí)和沒(méi)有攻擊時(shí)的熵值點(diǎn)差異較大。經(jīng)過(guò)信息熵值處理的原始數(shù)據(jù)可明顯分為兩類(lèi)，數(shù)據(jù)簇呈凸型分布且距離特征明顯，非常符合K-means應(yīng)用條件。

基于K-means聚類(lèi)檢測(cè)的原理是通過(guò)對(duì)原始數(shù)據(jù)進(jìn)行訓(xùn)練得到分類(lèi)器。在實(shí)際檢測(cè)中，當(dāng)異常檢測(cè)觸發(fā)后，收集PIT表項(xiàng)，計(jì)算熵值點(diǎn)并輸入到分類(lèi)器模型中進(jìn)行異常檢測(cè)。在訓(xùn)練與檢測(cè)時(shí)，通過(guò)歐幾里得距離判斷熵值點(diǎn)之間的相似性。假設(shè)被檢測(cè)點(diǎn)為 ，簇心為 ，則可通過(guò)兩點(diǎn)之間的歐幾里得距離判定點(diǎn) 是否歸為點(diǎn) 所在的簇，歐幾里得計(jì)算如公式（4）所示。為了訓(xùn)練得到可靠的分類(lèi)器模型，本文收集Node1上的流量數(shù)據(jù)迭代1000次進(jìn)行K-means聚類(lèi)。

（4）

通過(guò)分析攻擊前后PIT屬性值的變化規(guī)律，對(duì)PIT條目進(jìn)行信息熵值的處理以及利用K-means對(duì)數(shù)據(jù)進(jìn)行熵值聚類(lèi)的效果較為理想，雖然仍然存在一些離散點(diǎn)，但是離散點(diǎn)數(shù)量很小，這些離散點(diǎn)的存在可能是因?yàn)樵诠羟捌赑IT屬性值的分布特征不明顯或者某一時(shí)刻惡意請(qǐng)求超時(shí)刪除所致。

此外，為驗(yàn)證模型的可靠性和應(yīng)用廣泛性，本文進(jìn)行了兩組對(duì)比實(shí)驗(yàn)。對(duì)比實(shí)驗(yàn)一：調(diào)整攻擊者和消費(fèi)者的發(fā)送速率且仍在Node1上部署檢測(cè)方案。對(duì)比實(shí)驗(yàn)二：在不同節(jié)點(diǎn)上（本文實(shí)驗(yàn)采用圖6拓?fù)渲泄?jié)點(diǎn)Node3中的流量數(shù)據(jù)）部署檢測(cè)方案。每組對(duì)比實(shí)驗(yàn)分別進(jìn)行10次實(shí)驗(yàn)，統(tǒng)計(jì)兩組不同方式下的攻擊檢測(cè)準(zhǔn)確率，檢測(cè)結(jié)果如圖5所示。其中，對(duì)比實(shí)驗(yàn)1的結(jié)果如圖中上方曲線所示，對(duì)于同一個(gè)節(jié)點(diǎn)，改變攻擊速率，利用得到的模型進(jìn)行攻擊檢測(cè)，效果較好，根據(jù)MCR參數(shù)統(tǒng)計(jì)，檢測(cè)準(zhǔn)確率基本分布在99%左右;對(duì)比實(shí)驗(yàn)2的結(jié)果如圖中下方曲線所示，攻擊檢測(cè)的準(zhǔn)確率較低，檢測(cè)準(zhǔn)確率主要分布在72%左右。

為了尋找上述結(jié)果產(chǎn)生的原因，本文多次收集了Node3上的流量數(shù)據(jù)進(jìn)行分析并訓(xùn)練得到分類(lèi)器模型。分析發(fā)現(xiàn)不同節(jié)點(diǎn)上的熵值變化一致，均可根據(jù)熵值差異在該節(jié)點(diǎn)高準(zhǔn)確率的檢測(cè)出IFA，但是，同樣地，該分類(lèi)器模型并不適用于Node1。根據(jù)Node1和Node3中統(tǒng)計(jì)的熵值的分析得出造成上述結(jié)果的原因：雖然相對(duì)于一類(lèi)節(jié)點(diǎn)而言，攻擊前后熵值變化明顯，但是每一個(gè)PIT特征屬性下的類(lèi)別多樣性不同（如：中心節(jié)點(diǎn)內(nèi)容名稱(chēng)前綴的類(lèi)別可能較多，而邊緣節(jié)點(diǎn)的內(nèi)容名稱(chēng)前綴的類(lèi)別可能就較少）造成了信息熵值量級(jí)的不同。但是，這也是由于實(shí)驗(yàn)規(guī)模的限制造成了節(jié)點(diǎn)之間的差異性，在真實(shí)網(wǎng)路環(huán)境中，隨著網(wǎng)絡(luò)規(guī)模的增大，流量數(shù)據(jù)的多樣性增加，這種差異性將會(huì)減小。

3.3 惡意興趣請(qǐng)求識(shí)別機(jī)制

需要注意的是，為了針對(duì)特定命名空間發(fā)起有效的攻擊，攻擊者發(fā)布的興趣請(qǐng)求需滿足兩個(gè)條件。

一是發(fā)起的興趣請(qǐng)求應(yīng)盡可能地傳遞給生產(chǎn)者，而不是被網(wǎng)內(nèi)緩存滿足。這要求興趣請(qǐng)求不能被中間路由器的網(wǎng)內(nèi)緩存滿足，因?yàn)槿绻d趣請(qǐng)求可以從中間路由器的內(nèi)容存儲(chǔ)區(qū)滿足，則被請(qǐng)求的內(nèi)容從中間路由器返回給請(qǐng)求者，興趣包將不向上游轉(zhuǎn)發(fā)興趣請(qǐng)求，無(wú)法發(fā)生IFA。

二是保證每個(gè)惡意興趣請(qǐng)求都能創(chuàng)建一條新的PIT條目，并保證其以盡可能長(zhǎng)的時(shí)間存儲(chǔ)在中間節(jié)點(diǎn)的PIT中。這要求每個(gè)惡意興趣包請(qǐng)求唯一的且相互不同的內(nèi)容信息，否則所有請(qǐng)求相同內(nèi)容的興趣請(qǐng)求將在節(jié)點(diǎn)被聚合成一個(gè)PIT條目，無(wú)法發(fā)生IFA。

考慮到以上必須滿足的條件，攻擊者必須請(qǐng)求流行度較低的（即未在路由器中緩存）或不存在的唯一內(nèi)容，這兩種情形的實(shí)現(xiàn)難易程度不同，前者維持一段持續(xù)的大規(guī)模IFA攻擊難于實(shí)現(xiàn)，故本文專(zhuān)注于第二種影響范圍廣且易于發(fā)起的IFA攻擊模式，并且選擇內(nèi)容名稱(chēng)前綴合法而后綴隨機(jī)的形式進(jìn)行攻擊實(shí)現(xiàn)，因?yàn)樗粌H最大化了攻擊的影響，而且易于發(fā)起并廣泛適用于針對(duì)所有命名空間的攻擊。

以下將針對(duì)檢測(cè)到的IFA進(jìn)行惡意興趣請(qǐng)求識(shí)別，首先基于信息熵識(shí)別出惡意的興趣請(qǐng)求前綴，然后從中進(jìn)一步的識(shí)別惡意請(qǐng)求條目。

（1）識(shí)別惡意興趣請(qǐng)求前綴

一旦基于信息熵的檢測(cè)機(jī)制檢測(cè)到IFA，將觸發(fā)基于信息熵的惡意興趣請(qǐng)求識(shí)別過(guò)程以保護(hù)合法流量不受影響，因此，本文NDN路由器記錄幾個(gè)連續(xù)時(shí)間間隔的興趣請(qǐng)求前綴分布，以便分析識(shí)別惡意興趣請(qǐng)求前綴。當(dāng)觸發(fā)惡意興趣請(qǐng)求識(shí)別機(jī)制時(shí)，分別在集合S1和S2中記錄檢測(cè)到攻擊時(shí)和攻擊發(fā)生之前PIT中的興趣前綴。計(jì)算S1和S2中每個(gè)興趣前綴i的概率，分別表示為P1（i）和P2（i）。首先利用P2（i）計(jì)算H（S2）。然后，對(duì)于S2中的每個(gè)興趣前綴i，通過(guò)用P1（i）代替其概率P2（i），得到新的概率分布P2，從而得到新的信息熵表示為Hi（S2）。之后，使用公式（5）來(lái)計(jì)算興趣請(qǐng)求內(nèi)容名稱(chēng)前綴i引起的信息熵變化。

（5）

通過(guò)迭代每個(gè)前綴，可以獲得一系列的 。由于惡意興趣請(qǐng)求前綴的注入使得S2中原始前綴的分布更加集中，因此加入了新前綴的原始集合的信息熵值將會(huì)變小。綜上所述，使得 成立的前綴被認(rèn)為是惡意前綴。

（2）識(shí)別惡意興趣請(qǐng)求條目

為了后續(xù)攻擊防御時(shí)生成偽造的報(bào)警數(shù)據(jù)包Data，需知道惡意興趣請(qǐng)求的內(nèi)容名稱(chēng)。但是，當(dāng)檢測(cè)出惡意興趣請(qǐng)求前綴后并不能確定惡意興趣請(qǐng)求條目，因?yàn)楸疚牡腎FA場(chǎng)景是利用合法的興趣請(qǐng)求前綴和偽造的隨機(jī)后綴字符串發(fā)起攻擊，所以在檢測(cè)出的惡意興趣請(qǐng)求前綴中可能混合了合法的興趣請(qǐng)求，因此，為了避免對(duì)合法興趣請(qǐng)求的過(guò)度防御，必須篩除合法的興趣請(qǐng)求。因此，我們必須在識(shí)別出的惡意前綴的基礎(chǔ)上做進(jìn)一步的篩選。

據(jù)此，本文同樣利用PIT條目屬性的分布特征來(lái)解決這一問(wèn)題。惡意興趣請(qǐng)求條目的匹配次數(shù)屬性均為1，而合法興趣請(qǐng)求因?yàn)榭赡苡胁煌脩粽?qǐng)求相同的內(nèi)容，該值可能不為1。根據(jù)這一特性，本文通過(guò)篩選匹配次數(shù)的值來(lái)排除大部分的合法興趣請(qǐng)求，即若PIT條目的匹配次數(shù)為1，則為惡意興趣請(qǐng)求，否則為合法興趣請(qǐng)求。在此，需要提到的是對(duì)于一些冷門(mén)或者一次性的內(nèi)容如郵件，雖然其匹配次數(shù)屬性也為1，但對(duì)于不帶惡意前綴的條目則在第一步驟可能就被篩選過(guò)了，不會(huì)進(jìn)入此步。對(duì)于此種特殊情況，也可能會(huì)存在部分誤判。

3.4 基于節(jié)點(diǎn)的攻擊防御機(jī)制

基于節(jié)點(diǎn)的IFA防御機(jī)制的主要思想“緩解-阻斷”。其中，緩解的主要目的是當(dāng)發(fā)生IFA后，及時(shí)識(shí)別出惡意興趣請(qǐng)求條目并刪除，以迅速恢復(fù)網(wǎng)絡(luò)中的節(jié)點(diǎn)功能，阻斷的主要目的是切斷攻擊源，從根本上阻斷后續(xù)攻擊，其通過(guò)偽造報(bào)警包回溯攻擊者實(shí)現(xiàn)。

根據(jù)NDN中對(duì)稱(chēng)路由的特性，偽造的報(bào)警包會(huì)按照惡意興趣請(qǐng)求的路徑原路返回，追溯到攻擊者。當(dāng)偽造的Data到達(dá)中間路由器時(shí)，將刪除PIT中與其匹配的大量惡意請(qǐng)求，及時(shí)恢復(fù)網(wǎng)絡(luò)功能。同時(shí)，根據(jù)傳統(tǒng)網(wǎng)絡(luò)中擁塞控制的思想，調(diào)整出口的速率，限制惡意興趣請(qǐng)求繼續(xù)轉(zhuǎn)發(fā)擴(kuò)散。

當(dāng)定位到具體的被攻擊接口后，引入傳統(tǒng)TCP/IP網(wǎng)絡(luò)中控制網(wǎng)絡(luò)擁塞的加性增乘性減（Additive Increase Multiplicative Decrease，AIMD）思想進(jìn)行接口速率限制。假設(shè)路由器節(jié)點(diǎn)i的接口j的初始速率為，當(dāng)檢測(cè)到攻擊時(shí)，將接口接收速率迅速減少為1，然后如公式（6）的上半部分所示，隨著時(shí)間的推移，接口的速率按指數(shù)規(guī)律增長(zhǎng)即速度值依次為1、2、4、8等。當(dāng)速率達(dá)到初始速率的一半時(shí)，如公式（6）的下半部分所示，接口的接收速率按“加性”增長(zhǎng)進(jìn)行加一操作，直至接口的速率恢復(fù)到初始速率。

（6）

3.5 算法描述

由于在NDN中，只支持興趣包和數(shù)據(jù)包兩類(lèi)報(bào)文，數(shù)據(jù)的傳送過(guò)程首先由消費(fèi)者發(fā)送興趣包，然后數(shù)據(jù)包沿著相反的方向、相同的路徑返回，其轉(zhuǎn)發(fā)機(jī)制相對(duì)IP網(wǎng)絡(luò)是智能轉(zhuǎn)發(fā)，弱化了路由作用。

因此本文將所提出的基于節(jié)點(diǎn)的攻擊檢測(cè)和防御方案應(yīng)用在NDN中智能的包轉(zhuǎn)發(fā)機(jī)制上，設(shè)計(jì)了基于節(jié)點(diǎn)的IFA檢測(cè)與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過(guò)程。該過(guò)程涉及到對(duì)合法興趣包、惡意興趣包、合法數(shù)據(jù)包以及報(bào)警數(shù)據(jù)包的處理，在對(duì)各個(gè)包的處理過(guò)程中包含了本文基于節(jié)點(diǎn)的攻擊檢測(cè)與防御機(jī)制的具體策略。算法3.1為在包轉(zhuǎn)發(fā)和處理過(guò)程中基于節(jié)點(diǎn)的攻擊檢測(cè)機(jī)制，包含了異常觸發(fā)機(jī)制、攻擊檢測(cè)機(jī)制、惡意興趣請(qǐng)求識(shí)別機(jī)制，算法3.2為基于節(jié)點(diǎn)的攻擊防御機(jī)制。

基于節(jié)點(diǎn)的IFA檢測(cè)與防御機(jī)制下的包轉(zhuǎn)發(fā)和處理過(guò)程如下：

（1）節(jié)點(diǎn)判斷接收?qǐng)?bào)文并判斷是否是興趣請(qǐng)求包。若是，則轉(zhuǎn)向?qū)εd趣包的處理。即首先查看CS表中是否有對(duì)應(yīng)的內(nèi)容信息，若存在，則興趣包是合法的，直接將內(nèi)容信息返回給消費(fèi)者;若不存在，則查PIT中是否有與之相對(duì)應(yīng)的條目，若有，則需要將入口添加到對(duì)應(yīng)的PIT條目的入口列表中，防止興趣包的重復(fù)發(fā)送，否則插入新PIT條目，并更新PIT占用率。當(dāng)PIT占用率 超過(guò)閾值時(shí)，執(zhí)行攻擊檢測(cè)機(jī)制，包括數(shù)據(jù)篩選、信息熵的計(jì)算、以及異常點(diǎn)的判斷。如果通過(guò)分類(lèi)器模型檢測(cè)到異常點(diǎn)，則進(jìn)一步執(zhí)行惡意興趣請(qǐng)求前綴的識(shí)別并篩選出惡意PIT請(qǐng)求條目，從而執(zhí)行算法3.2的攻擊防御策略。

（2）若不是，則轉(zhuǎn)向?qū)?shù)據(jù)包的處理，即接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表，若在PIT中未找到匹配的條目，則將數(shù)據(jù)包作為重復(fù)數(shù)據(jù)包而丟棄。如果匹配條目中列出了多個(gè)接口，首先判斷是否是用于攻擊防御的偽造的數(shù)據(jù)包，若不是，則作為合法的數(shù)據(jù)包進(jìn)行處理，若是，則轉(zhuǎn)向步驟（3）對(duì)偽造的報(bào)警數(shù)據(jù)包的處理。

（3）由于偽造的報(bào)警數(shù)據(jù)包的內(nèi)容名稱(chēng)字段和惡意興趣請(qǐng)求的內(nèi)容名稱(chēng)相同，則將其作為惡意興趣包按照算法3.2進(jìn)行處理。

算法3.1 基于節(jié)點(diǎn)的攻擊檢測(cè)算法

輸入： 節(jié)點(diǎn)接收的報(bào)文 msg ;

輸出： 得到統(tǒng)計(jì)信息， 如PIT條目中出/入興趣包、出/入數(shù)據(jù)包、丟棄的興趣包數(shù)量;

1. 初始化Ρ;? ? // Ρ為閾值

2. IF msg 是興趣請(qǐng)求包 THEN

3. ? ? IF CS表中存在對(duì)應(yīng)的內(nèi)容信息

4. ? ? 興趣包合法，直接將內(nèi)容信息返回給消費(fèi)者;

5. ? ? ELSE

6. ? ? IF 查找PIT中有對(duì)應(yīng)的條目? ?THEN

7. ? ? ? ?將入口添加到對(duì)應(yīng)的PIT條目的入口列表中;

8. ? ? ELSE

9. ? ? ? 插入新PIT條目;

10. ? ? ? 根據(jù)公式（1）計(jì)算并更新PIT占用率ρ;

11. ? ? ? IF ρ>Р THEN? ?//PIT占用率超過(guò)閾值

12. ? ? ? ?篩選PIT條目的特征屬性數(shù)據(jù);

13. ? ? ? ? 根據(jù)公式（2）（3）計(jì)算信息熵記為 （x1，y1，z1）;

14. ? ? ? ? 輸入（x1，y1，z1） 到訓(xùn)練好的用于異常點(diǎn)檢測(cè)的? ? ?分類(lèi)器中;

15. ? ? ? ? IF （x1，y1，z1） 屬于異常點(diǎn) THEN

16. ? ? ? ? 得到，并據(jù)公式（2）計(jì)算熵值 ? ? ? ，;

17. ? ? ? ? ?;

18. ? ? ? ? ? IF? ?THEN

19. ? ? ? ? ? ? ? 得到惡意前綴i ;

20. ? ? ? ? ? ? ? IF 前綴i 的PIT條目的匹配次數(shù)屬性? ? ? ? ? ? ? ? ?為1? THEN

21. ? ? ? ? ? ? ? ?識(shí)別為惡意興趣請(qǐng)求;

22. ? ? ? ? ? ? ? ?惡意興趣請(qǐng)求條目作為輸入執(zhí)行算 ? ? ? 法3.2;

23. ? ? ? ? ? ? END IF

24. ? ? ? ? ? ?END IF

25. ? ? ? ? ? END IF

26. ? ? ? ? END IF

27. ? ? ? END IF

28. ? ? END IF

29. ELSE IF msg 是合法數(shù)據(jù)包THEN

30. ? ? 接收該數(shù)據(jù)包的數(shù)據(jù)并查找PIT表;

31. ? ? IF PIT中有請(qǐng)求該數(shù)據(jù)的興趣請(qǐng)求 THEN

32. ? ? ? ? CS 中緩存數(shù)據(jù)信息;

33. ? ? ? ? 找到PIT中對(duì)應(yīng)的興趣請(qǐng)求入口，將數(shù)據(jù)從該 ? ? ? ? 接口轉(zhuǎn)發(fā)給消費(fèi)者;

34. ? ? ELSE

35. ? ? ? ? 丟棄數(shù)據(jù)包;

36. ? ? END IF

37. END IF

38. ELSE IF msg 是報(bào)警數(shù)據(jù)包

39. ? ? 提取報(bào)警數(shù)據(jù)包的內(nèi)容名稱(chēng);

40. ? ? FOR PIT中的每個(gè)條目 Do

41. ? ? ? IF 報(bào)警數(shù)據(jù)包的內(nèi)容名稱(chēng)匹配用于攻擊防御 ? ? ? ? ? ? ? ? ? ? ?的偽造數(shù)據(jù)包的內(nèi)容名稱(chēng) THEN

42. ? ? ? ? 報(bào)警數(shù)據(jù)包的條目信息作為輸入執(zhí)行算法3.2;

43. ? ? ? END IF

44. ? ? END FOR

45. END IF

算法3.2 基于節(jié)點(diǎn)的攻擊防御算法

輸入：惡意興趣請(qǐng)求條目的信息;

1. 初始化 Δt， Flag[];? //Δt表示執(zhí)行限速策略時(shí)速率的調(diào)整周期，F(xiàn)lag[]用于標(biāo)記接口是否正處于防御狀態(tài)

2. 獲取惡意興趣請(qǐng)求的內(nèi)容名稱(chēng)以作為報(bào)警數(shù)據(jù)包的內(nèi)容名稱(chēng)字段;

3. 獲取惡意興趣請(qǐng)求條目入口列表中的入口編號(hào)i;

4. 向接口 i 返回報(bào)警數(shù)據(jù)包回溯攻擊者;

5. IF? THEN? //不在防御狀態(tài)，執(zhí)行限速策略

6. ;

7. ? ? 將接口速度迅速減為1

8. ? ? FOR 每個(gè)調(diào)整周期 Δt? Do

9. ? ? ? ? IF? < THEN

10. ? ? ? ? ? ? ?;

11. ? ? ? ? ELSE IF

12. ? ? ? ? ? ? ;

13. ? ? ? ? ELSE

14. ? ? ? ? ? ? ?;//正處于限速，不做處理

15. ? ? ? ? ? ? ?break;

16. ? ? ? ? END IF

17. ? ? ?END FOR

18. END IF

19. 刪除惡意興趣請(qǐng)求條目

4 性能評(píng)價(jià)

本文對(duì)基于節(jié)點(diǎn)的攻擊檢測(cè)與防御機(jī)制進(jìn)行了仿真實(shí)驗(yàn)和性能評(píng)價(jià)。先介紹了實(shí)驗(yàn)的仿真環(huán)境，包括實(shí)驗(yàn)平臺(tái)、興趣洪泛攻擊場(chǎng)景以及實(shí)驗(yàn)拓?fù)?其次給出評(píng)價(jià)指標(biāo)的定義，并借此驗(yàn)證本文設(shè)計(jì)方案的有效性;最后與現(xiàn)有IFA攻擊應(yīng)對(duì)方案進(jìn)行比較分析，驗(yàn)證了本文方案的優(yōu)勢(shì)。

4.1 仿真環(huán)境

由于命名數(shù)據(jù)網(wǎng)絡(luò)還處于探索和研究階段，目前還未正式投入使用，因此本文所提出的方案目前只能在模擬環(huán)境中實(shí)現(xiàn)。本文的網(wǎng)絡(luò)模擬主要基于ndnSIM平臺(tái)，采用版本ndnSIM2.1，運(yùn)行在ubuntu14.04之上。

為了模擬影響范圍較廣而且最易實(shí)現(xiàn)的IFA，本文通過(guò)合法的內(nèi)容名稱(chēng)前綴和偽造的后綴來(lái)偽造惡意興趣請(qǐng)求的內(nèi)容名稱(chēng)，從而發(fā)起攻擊，模擬IFA場(chǎng)景。

本文實(shí)驗(yàn)采用的拓?fù)錇樾∫?guī)模二叉樹(shù)拓?fù)?，如圖6所示，其中深色用戶表示攻擊者，本文在不同位置總共設(shè)置三個(gè)攻擊者，可用于模擬分布式低速率的IFA攻擊，淺色用戶表示合法用戶。此外，拓?fù)鋱D中還包括一個(gè)內(nèi)容提供者以及7個(gè)內(nèi)容路由器。在路由器節(jié)點(diǎn)中，在中心節(jié)點(diǎn)Node1處部署本文設(shè)計(jì)的IFA攻擊的檢測(cè)與防御機(jī)制，使其解決的是IFAs攻擊影響最嚴(yán)重的情況。

4.2 有效性分析

本文根據(jù)有無(wú)攻擊以及有無(wú)防御策略劃分了三種情景，并從PIT占用率、合法興趣請(qǐng)求滿足率以及合法興趣請(qǐng)求丟包率三個(gè)指標(biāo)分析本文方案的有效性。

（1）評(píng)價(jià)指標(biāo)

1）PIT占用率

PIT占用率可從根本上反應(yīng)IFA攻擊對(duì)節(jié)點(diǎn)的影響程度.計(jì)算公式如式（7），其中表示PIT條目的占用率，表示PIT中可緩存的條目總數(shù)，表示節(jié)點(diǎn)中PIT當(dāng)前緩存的PIT條目數(shù)。

（7）

2）合法興趣請(qǐng)求滿足率

合法興趣請(qǐng)求滿足率可表征當(dāng)前節(jié)點(diǎn)對(duì)用戶請(qǐng)求的響應(yīng)能力。計(jì)算公式如式（8）所示，表示節(jié)點(diǎn)收到的合法興趣請(qǐng)求總數(shù)，表示節(jié)點(diǎn)收到的合法數(shù)據(jù)包總數(shù)。

（8）

3）丟包率分析

合法興趣請(qǐng)求丟包率可反映當(dāng)前節(jié)點(diǎn)的狀態(tài)，其計(jì)算公式如式（9）所示。其中，表示節(jié)點(diǎn)收到的合法興趣請(qǐng)求總數(shù)，表示節(jié)點(diǎn)丟棄的合法興趣請(qǐng)求總數(shù)。

（9）

（2）性能評(píng)價(jià)

1）PIT占用率

如圖7所示Node1的PIT占用率變化趨勢(shì)。由藍(lán)色曲線變化趨勢(shì)可知，當(dāng)沒(méi)有攻擊發(fā)生時(shí)，PIT條目占用率基本維持在15%左右。NDN中興趣請(qǐng)求內(nèi)容名稱(chēng)的聚合機(jī)制、數(shù)據(jù)包返回后合法興趣請(qǐng)求條目將被刪除的機(jī)制以及超時(shí)機(jī)制等因素都將使PIT的緩存將維持一個(gè)穩(wěn)定的值域內(nèi)，而且該值不會(huì)過(guò)高，屬于正常現(xiàn)象。由紅色曲線變化趨勢(shì)可知，當(dāng)在100s發(fā)起分布式低速率的IFA時(shí)，PIT的占用率幾乎呈直線迅速上升平均達(dá)到100%。當(dāng)200s停止攻擊時(shí)，PIT占用率將快速恢復(fù)常態(tài)，這是因?yàn)镻IT條目超時(shí)會(huì)自動(dòng)刪除，也體現(xiàn)了NDN中節(jié)點(diǎn)的自恢復(fù)能力。由圖中綠色曲線變化趨勢(shì)可知：當(dāng)安裝了本文的防御方案之后，即使發(fā)生攻擊，在PIT緩存未溢出時(shí)便迅速下降至20%，這避免了PIT因?yàn)榫彺嬉绯龆鴣G棄合法用戶的興趣請(qǐng)求包而無(wú)法提供正常服務(wù)。由此可見(jiàn)，本文基于節(jié)點(diǎn)的策略是有效的。

[6] 李楊，辛永輝，韓言妮等.內(nèi)容中心網(wǎng)絡(luò)中DoS攻擊問(wèn)題綜述[J].信息安全學(xué)報(bào)，2016，2（1）：91-108.

[7] Pang B， Li R， Zhang X， et al. Research on Interest Flooding Attack Analysis in Conspiracy with Content Providers[C]. The 7th IEEE International Conference on Electronics Information and Emergency Communication （ICEIEC）. Macau， China： 2017. 543-547.

[8] Choi S， Kim K， Roh B H， et al. Threat of DoS by Interest Flooding Attack in Content- centric Networking[C]. The International Conference on Information Networking. Bangkok， Thailand： 2013. 315-319.

[9] Lee W， Xiang D. Information-theoretic Measures for Anomaly Detection[C]. IEEE Symposium on Security and Privacy. Oakland， USA： 2001. 130-143.

[10] Yuan Z， Zhang X， Feng S. Hybrid Data-driven Outlier Detection Based on Neighborhood Information Entropy and its Developmental Measures [J]. Expert Systems with Applications， 2018， 112： 243-257.

[11] Chen Z， Yeo C K， Lee B S， et al. Power Spectrum Entropy Based Detection and Mitigation of Low-rate DoS Attacks [J]. Computer Networks， 2018， 136： 80-94.

[12] Koay A， Chen A， Welch I， et al. A New Multi Classifier System Using Entropy-based Features in DDoS Attack Detection[C]. IEEE International Conference on Information Networking （ICOIN）. Chiang Mai， Thailand： 2018. 162-167

作者簡(jiǎn)介：

趙雪峰（1996-），女，漢族，新疆哈密人，東北大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域： 軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。

王興偉（1968-）， 男，漢族，內(nèi)蒙包頭人，東北大學(xué)，博士，教授;主要研究和關(guān)注領(lǐng)域：未來(lái)互聯(lián)網(wǎng)、云計(jì)算、網(wǎng)絡(luò)空間安全。

易波（1988-），男，漢族，湖北天門(mén)人，東北大學(xué)，博士，講師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)功能虛擬化和服務(wù)鏈。

黃敏（1968-），女，漢族，遼寧沈陽(yáng)人，東北大學(xué)，博士，教授;主要研究方向和關(guān)注領(lǐng)域：智能算法設(shè)計(jì)與優(yōu)化、調(diào)度理論與方法。