本发明涉及内容中心网络兴趣泛洪攻击检测领域,特别是涉及一种内容中心网络兴趣泛洪攻击的检测方法及系统。
背景技术:
::“内容中心网络”(contentcentricnetwork,ccn)是未来互联网极具发展前景的架构之一。ccn对内容进行命名,在网络中通过兴趣包(interest)和数据包(data)来传输信息。其中,兴趣包是用户发起的内容请求包,携带内容名称等信息;数据包携带用户所请求的信息,用来满足兴趣包。不同于传统的tcp/ip网络,ccn以内容名称代替ip地址,作为网络中信息传输的唯一标识,由此消除了传统网络中源地址伪造攻击和针对特定主机的泛洪攻击等安全问题。然而,ccn在解决传统网络安全问题的同时,引入了新的安全威胁,其中以ifa(interestfloodingattack,兴趣泛洪攻击)最为突出。在用户请求的过程中,路由器节点会将未被满足的兴趣包的前缀信息、详细名称信息存储在pit(pendinginteresttable,等待兴趣表)中,待收到对应的data后将此表项内容删除。ifa攻击者利用ccn的这个特点,向网络发起大量恶意兴趣包,从而耗尽路由器的pit资源,导致路由器上的pit无法正常接收用户请求的兴趣包,并进一步导致网络拥塞。根据攻击者发送的恶意兴趣包的不同,可以将ifa分为两种形式:一种是攻击者发送伪造的虚假内容名称的兴趣包;第二种是攻击者请求真实存在但是非流行的内容。以上两类攻击均可对网络造成一定的影响。若攻击者请求真实但非流行的内容,需要提前收集大量不流行的内容且保证低速率攻击,以保证内容不会被中间路由器缓存,由此增加了攻击成本,但攻击效果没有明显提高,因此攻击者更有可能伪造内容名称来向网络发起攻击。因此,本文仅针对虚假内容名称的兴趣泛洪攻击开展研究。目前国内外已有很多学者对内容中心网络中兴趣泛洪攻击的检测方法进行了研究。afanasyeva提出了基于接口公平性的令牌桶机制、基于内容获取成功率的兴趣包接收机制和基于内容获取成功率的反向反馈机制,这三种机制通过将pit使用率、interest满足率和提前设定的这两个指标的阈值进行比较,若pit使用率大于相应的阈值且interest满足率小于相应的阈值,则判定当前网络中存在兴趣泛洪攻击。唐琳对传统ip网络中的令牌桶算法进行改进,将当前端口实际的物理链路容量作为检测攻击的阈值,当超过这个阈值时认为攻击发生。compagnoa基于路由器不同接口计算兴趣包被满足的概率值,作为检测攻击的指标,并通过这个指标的变化来动态调整路由器对应接口的兴趣包准入速率。daih提出一种兴趣包回溯机制,将pit过期条目的数量作为检测的指标,当路由器pit过期条目超过阈值时,即认为当前网络发生兴趣泛洪攻击。wang中提出了一种基于兴趣包限速机制的ifa攻击对抗策略,统计转发表中每个名字前缀对应的超时兴趣包的数量,并与阈值比较,判断是否存在攻击。wang提出了一种协同对抗策略,通过统计网络中pit的占用比和pit的超时比两项指标,从而判断是否存在攻击。唐建强等利用ccn中路由器维持的兴趣包转发状态,根据pit占用率、兴趣包的满足率两个指标来检测兴趣包的泛洪攻击。丁锟提出基于pit占用率、兴趣包未响应率和地域分布率三个指标建立空间向量模型,最后根据综合的向量距离判断是否存在攻击。hanisalah提出了一种中央控制方案,通过在ccn网络中设置一个域控制器,综合统计内容访问信息和兴趣包的转发状态,通过检测网络中pit的利用率和pit的过期率来检测发现网络中分布式低速兴趣泛洪攻击。j.tang和k.wang都提出通过统计网络中pit条目过期的数量,并设置阈值来检测网络中可能的攻击。p.gasti等基于ccn流平衡的原理,利用每个出口pi的数量、入口兴趣包数量、名字空间pi的数量三种指标来综合检测网路中的攻击情况。xiny提出了一种基于熵的检测方法,首先基于累积熵来计算网络包头中某些属性的分布随机性来发现流量异常。游荣同样利用信息熵的理论来表征网络的随机性,以路由器收到的兴趣包名称的概率为基础计算其熵值,从而检测网络中的兴趣包泛洪攻击。另外,发明人张震等在其申请的专利《一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置》中提出一种兴趣洪泛攻击的防御方法。首先根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包名字的熵值,采用累积算法对得到的熵值进行处理,从而根据累积值是否超过预设的攻击检测阈值来判断网络中是否存在攻击;在检测到兴趣泛洪攻击时,则采用相对熵的前缀判别算法对兴趣包的名字的前缀集合进行查找,得到攻击前缀,并根据攻击前缀进行限速处理。通过对国内外研究现状的分析可知,目前对于内容中心网络中的兴趣包泛洪攻击的检测主要分为三类:(1)基于攻击发生后pit状态异常变化的方法;(2)基于ccn数据流的平衡原理的方法;(3)基于网络流量行为特征的方法。其中,基于攻击发生后pit异常状态变化的指标(如pit占用率、兴趣包的满足率、pit过期率等)这类方法,依赖于路由器受到攻击后所表现出来的异常特征,在攻击发生一段时间内,才能统计计算出相应的指标,这样就造成了攻击检测的滞后性和延时性。利用这种方法检测到网络中存在的攻击时,网络本身已经遭受了巨大的攻击,对整个网络的影响较大。基于ccn数据流的平衡原理的检测方法(如根据每个出口发出但还未满足的兴趣包数量、每个入口的兴趣包的数量、每个命名空间的兴趣包数量等),其指标的计算与平均内容包的大小、pit的超时时间以及链路的带宽延迟等相关,所以并不能明显的区分网络中正常的突发流,因为会对合法用户的请求造成误判。在基于网络流量行为特征的方法中,目前的研究主要集中在利用信息熵来衡量整个网络的随机性,从而检测出网络中可能存在的攻击行为。这种方法不需要依赖受攻击后pit状态的异常变化,因此相比于基于攻击发生后pit状态的异常变化的方法,检测时延较低;并且信息熵的计算过程与内容包大小、链路带宽延迟、pit的超时时间无关,因此相比于基于ccn数据流平衡的方法,误报率更小。虽然,相比于前两种方法,利用信息熵来检测ccn中的攻击效果更好,但是在低速率的ifa下,第(1)(2)类方法所采用的指标在最初几个被攻击的路由器上,指标变化并不明显,而对于基于信息熵的检测方法,短时间内用户请求的概率分布也没有发生明显的变化,因此熵值的变化也较小。因此,以上三种方法在低速率ifa下的检测效果都相对较差。技术实现要素:本发明的目的是提供一种内容中心网络中兴趣泛洪攻击的检测方法及系统,能够解决内容中心网络中的兴趣泛洪攻击问题。为实现上述目的,本发明提供了如下方案:一种内容中心网络中兴趣泛洪攻击的检测方法,包括:获取网络中的流量;对所述流量划分时间序列,得到多个时间序列;计算各所述时间序列的赫斯特指数;对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;计算各所述时间序列的信息熵值;对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。可选的,所述对所述流量划分时间序列,得到多个时间序列,具体包括:设置滑动窗口n,并根据所述滑动窗口n的大小将所述网络中的流量进行分段划分。可选的,所述计算各所述时间序列的赫斯特指数,具体包括:获取当前时间序列x;将所述当前时间序列x划分为大小为m的数据块,并计算所述数据块的均值x(m)以及所述均值x(m)序列的方差,设为var(xm);根据所述数据块的均值x(m)以及所述均值x(m)序列的方差,确定所述当前时间序列的赫斯特指数。可选的,所述对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值,具体包括:对所述赫斯特指数采用非参数累积和双边检测算法进行下侧累积,得到当前序列的累积值累积过程通过公式表示;其中,为当前序列赫斯特指数的累积值,为前一个序列赫斯特指数的累积值,zn=hurst-α1+β1,α1为当前序列的前几个序列中赫斯特指数的平均值,hurst为赫斯特指数,β1为常数,用来保证zn在正常情况下为一个正值;根据所有所述时间序列的赫斯特指数的平均值,并将所述平均差值作为非参数累积和双边检测算法下侧累积的判决函数的阈值。可选的,所述计算各所述时间序列的信息熵值,具体包括:获取当前时间序列x中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数;根据所述当前时间序列x中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数,计算当前时间序列x中每一个不同内容名称的兴趣包被请求的概率p(yi);根据所述概率p(yi)采用香农定理公式得到所述序列x的信息熵e(x)。可选的,所述对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值,具体包括:对所述信息熵值采用非参数累积和双边检测算法进行上侧累积,得到当前序列的累积值累积过程通过公式表示;其中,为当前序列信息熵的累积值,为前一个序列信息熵的累积值,mn=entropy-α2-β2,entropy为信息熵值,α2为当前序列的前几个序列信息熵值的平均值,β2为常数,用来保证mn在正常情况下为一个负值;将所述时间序列在正常状态和攻击状态下的信息熵值的平均差值作为非参数累积和双边检测算法下侧累积的判决函数的阈值。可选的,所述根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击,具体包括:将所述赫斯特指数的累积值和所述信息熵值的累积值代入非参数累积和双边检测算法下侧累积的判决函数分别得到判决函数值d1、d2;根据所述判决函数值d1、d2判断当前网络中是否存在兴趣泛洪攻击。可选的,所述根据所述判决函数值d1、d2判断当前网络中是否存在兴趣泛洪攻击,具体包括:判断所述判决函数值d1、d2的值是否均为0;若是,则判定当前网络中未存在兴趣泛洪攻击,继续获取网络中的流量;若否,则判定当前网络中存在兴趣泛洪攻击,进行攻击预警。一种内容中心网络中兴趣泛洪攻击的检测系统,包括:流量获取模块,用于获取网络中的流量;时间序列划分模块,用于对所述流量划分时间序列,得到多个时间序列;赫斯特指数计算模块,用于计算各所述时间序列的赫斯特指数;赫斯特指数的累积值确定模块,用于对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值;信息熵值计算模块,用于计算各所述时间序列的信息熵值;信息熵值的累积值确定模块,用于对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值;判断模块,用于根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。可选的,所述时间序列划分模块,具体包括:时间序列划分单元,用于设置滑动窗口n,并根据所述滑动窗口n的大小将所述网络中的流量进行分段划分。根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明从两个指标入手,一方面,利用自相似性特征对网络流量变化十分敏感的特性,计算内容中心网络中的hurst指数;另一方面,根据网络中收到的兴趣包的内容名称计算信息熵值,以反映用户请求内容的随机性变化。最后综合以上两个方面的指标,采用非参数cusum算法的双边检测方法对两个指标的微小偏移量进行放大累积,并进一步根据预设的阈值判断内容中心网络中是否存在兴趣泛洪攻击,从而解决内容中心网络中的兴趣泛洪攻击问题。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例1内容中心网络中兴趣泛洪攻击的检测方法流程图;图2为本发明实施例2内容中心网络中兴趣泛洪攻击的检测系统结构图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明的目的是提供一种内容中心网络中兴趣泛洪攻击的检测方法及系统,能够解决内容中心网络中的兴趣泛洪攻击问题。为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。图1为本发明实施例1内容中心网络中兴趣泛洪攻击的检测方法流程图。如图1所示,一种内容中心网络中兴趣泛洪攻击的检测方法,包括:步骤101:获取网络中的流量。步骤102:对所述流量划分时间序列,得到多个时间序列,具体包括:设置滑动窗口n,并根据所述滑动窗口n的大小将所述网络中的流量进行分段划分。步骤103:计算各所述时间序列的赫斯特指数,具体包括:获取当前时间序列x;将所述当前时间序列x划分为大小为m的数据块,并计算所述数据块的均值x(m)以及所述均值x(m)序列的方差,设为var(xm);根据所述数据块的均值x(m)以及所述均值x(m)序列的方差,确定所述当前时间序列的赫斯特指数。步骤104:对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值,具体包括:对所述赫斯特指数采用非参数累积和双边检测算法进行下侧累积,得到当前序列的累积值累积过程通过公式表示;其中,为当前序列赫斯特指数的累积值,为前一个序列赫斯特指数的累积值,zn=hurst-α1+β1,α1为当前序列的前几个序列中赫斯特指数的平均值,hurst为赫斯特指数,β1为常数,用来保证zn在正常情况下为一个正值;根据所有所述时间序列的赫斯特指数的平均值,并将所述平均差值作为非参数累积和双边检测算法下侧累积的判决函数的阈值。步骤105:计算各所述时间序列的信息熵值,具体包括:获取当前时间序列x中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数;根据所述当前时间序列x中每一个不同的内容名称的兴趣包被请求的次数以及所述当前时间序列中兴趣包被请求的总次数,计算当前时间序列x中每一个不同内容名称的兴趣包被请求的概率p(yi);根据所述概率p(yi)采用香农定理公式得到所述序列x的信息熵e(x)。步骤106:对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值,具体包括:对所述信息熵值采用非参数累积和双边检测算法进行上侧累积,得到当前序列的累积值累积过程通过公式表示;其中,为当前序列信息熵的累积值,为前一个序列信息熵的累积值,mn=entropy-α2-β2,entropy为信息熵值,α2为当前序列的前几个序列信息熵值的平均值,β2为常数,用来保证mn在正常情况下为一个负值;将所述时间序列在正常状态和攻击状态下的信息熵值的平均差值作为非参数累积和双边检测算法下侧累积的判决函数的阈值。步骤107:根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。具体包括:将所述赫斯特指数的累积值和所述信息熵值的累积值代入非参数累积和双边检测算法下侧累积的判决函数分别得到判决函数值d1、d2,采用两个不同的指标,所以有两个不同的阈值,因此分别带入各自的判决函数,得到不同的判决函数值;根据所述判决函数值d1、d2判断当前网络中是否存在兴趣泛洪攻击,具体包括:判断所述判决函数值d1、d2的值是否均为0;若是,则判定当前网络中未存在兴趣泛洪攻击,继续获取网络中的流量;若否,则判定当前网络中存在兴趣泛洪攻击,进行攻击预警。实施例2:图2为本发明实施例2内容中心网络中兴趣泛洪攻击的检测系统结构图。如图2所示,一种内容中心网络中兴趣泛洪攻击的检测系统,包括:流量获取模块201,用于获取网络中的流量。时间序列划分模块202,用于对所述流量划分时间序列,得到多个时间序列。赫斯特指数计算模块203,用于计算各所述时间序列的赫斯特指数。赫斯特指数的累积值确定模块204,用于对所述赫斯特指数采用非参数累积和双边检测算法进行微小变化量的累积,得到所述赫斯特指数的累积值。信息熵值计算模块205,用于计算各所述时间序列的信息熵值。信息熵值的累积值确定模块206,用于对所述信息熵值采用非参数累积和双边检测算法进行微小变化量的累积,得到所述信息熵值的累积值。判断模块207,用于根据所述赫斯特指数的累积值和所述信息熵值的累积值,判断当前网络中是否存在兴趣泛洪攻击。所述时间序列划分模块202,具体包括:时间序列划分单元,用于设置滑动窗口n,并根据所述滑动窗口n的大小将所述网络中的流量进行分段划分。实施例3:s10,统计网络中的流量。每当收到一个兴趣包时,收集此兴趣包的内容名称、请求次数、当前时间等信息。其中,s10的具体过程如下:s101,扩展路由器pit结构,增加count字段,用以记录在当前的路由器中,该内容名称的兴趣包被请求的次数;s102,每当网络收到一个兴趣包时,记录当前兴趣包的内容名称、count值、当前时间等信息。例如,数据“10027999nanosecondssincestartofsimulation:/root/good/%fe%03:14”表示,在时间为10027999ns时,内容名称为“/root/good/%fe%03”的兴趣包被请求的次数为14。s20,定义滑动窗口值大小,对收集到的网络流量划分时间序列,从而进行流量的分段处理。其中,s20的具体过程如下:s201,设置滑动窗口n,并根据n的大小将收集到的流量进行分段划分,从而方便对每一个时间序列进行指标计算。s30,对划分成的每一个时间序列,分别计算该序列中的hurst指数和信息熵的值。s30的具体过程如下:s301,设当前的序列为x,对序列x中所有收到的兴趣包,根据扩展后pit中的count值,计算每一个兴趣包到达路由器时,请求次数为1的兴趣包数量占当前pit中兴趣包总数量的比值,则x={xk,k=1,2,…,n},其中xk即为上述比值。s302,将序列x划分为每个大小为m的数据块,计算每一个数据块的均值x(m)以及该均值序列的方差,设为var(xm)。s303,更改m的大小,并重复步骤s301、s302。s304,根据计算出来的x(m)和var(xm),以log(m)、log(var(xm))分别为横、纵坐标作图,并根据最小二乘法进行线性拟合,得到斜率k,设参数β=-k,则该序列的hurst指数为hurst=1-β/2。s305,统计当前序列x中每一个不同的内容名称的兴趣包被请求的次数以及该序列中兴趣包被请求的总次数,从而计算当前时间序列x中每一个不同内容名称的兴趣包被请求的概率p(yi)=该内容名称的兴趣包请求的次数/内容请求总次数。s306,根据香农定理,计算该序列x的信息熵e(x),如式(1)所示:例如,连续收到5个兴趣包,对划分的每一个时间序列中x={0.797872,0.830986,0.805556,0.808511,0.702083,0.754837755,0.655368623,0.690353507,0.732228,0.541229946},表示在这连续的10个时间点上,请求次数为1的兴趣包占pit中总的兴趣包数量的比值分别为0.797872,0.830986,0.805556,0.808511,0.702083,0.754837755,0.655368623,0.690353507,0.732228,0.541229946,其累积和y(n)=7.319025831,方差s2(n)=0.07081832568619409,hurst指数为1.27323701281054。例如,连续收到5个兴趣包,时间序列中y={0.1,0.6,0.2,0.1},表示收到的这5个兴趣包共分为四种,分别占的概率值为0.1、0.6、0.2、0.1,根据香农定理计算其信息熵值为1.570950594454669。s40,对hurst指数和信息熵值应用非参数cusum累积的双边检测算法,从而累积两个指标的微小变化量。s40的具体过程如下:s401,对hurst指数应用非参数cusum估计算法的下侧累积,其累积值用表示,其累积过程如式(2)所示:其中,(累计值的初始值为0,因为第一个序列没有前几个序列),为当前序列hurst指数的累积值,为前一个序列hurst指数的累积值,zn=hurst-α+β,α为当前序列的前几个序列中赫斯特指数的平均值,hurst为赫斯特指数,β为常数,用来保证zn在正常情况下为一个正值。s402,模拟用户正常状态和攻击状态下的行为,获取网络流量,并根据s30计算正常状态和攻击状态下的hurst指数值,并将其平均差值作为非参数cusum估计算法下侧累积的判决函数的阈值th1。s403,对信息熵值应用非参数cusum估计算法的上侧累积,其累积值用表示,其累积过程如式(3)所示:其中,为当前序列信息熵的累积值,为前一个序列信息熵的累积值mn=entropy-α-β,entropy为信息熵值,α为当前序列的前几个序列信息熵值的平均值,β为常数,用来保证mn在正常情况下为一个负值。s404,模拟用户正常状态和攻击状态下的行为,获取网络流量,并根据s30计算正常状态和攻击状态下的信息熵值,并将其平均差值作为非参数cusum估计算法上侧累积的判决函数的阈值th2。s405,定义非参数cusum算法的判决函数,如式(4)所示:其中,d(yn)表示判决函数的值,yn为累积值,th为攻击判断的阈值,当对hurst指数应用下侧累积算法时,th=th1;当对信息熵值应用上测累积算法时,th=th2。当累积值yn大于供给判断的阈值时,判决函数值d=1,表示当前网络中存在攻击;否则d=0,表示当前网络中不存在攻击。例如,正常状态下hurst指数和信息熵分别为0.75、7.5,存在兴趣泛洪攻击时,hurst指数和信息熵分别为0.6、9,因此取=0.15、=1.5。s50,根据两个指标的累积和,判断当前网络中是否存在兴趣泛洪攻击。若存在攻击,就进行攻击预警;否则,继续收集网络中的流量进行检测。s50的具体过程如下:s501,将两个指标的累积值代入判别函数,分别得到判别函数值d1、d2;s502,若d1、d2的值均为0,则判定当前网络中未存在兴趣泛洪攻击,继续收集网络流量;否则,判定当前网络中存在兴趣泛洪攻击,进行攻击预警。例如,在t=10027999ns时,获取的两个判决函数值均为0,则认为此时网络中不存在攻击;在t=12027999ns时,获取的两个判决函数值为0、1,则认为此时网络中存在兴趣泛洪攻击。本发明的检测方法基于网络流量自相似性特征和信息熵的内容中心网络中兴趣泛洪攻击的检测方法与检测系统,以解决内容中心网络中的兴趣泛洪攻击问题。已有方法大多数需要依赖攻击发生后,网络路由器所表现出的异常状态,攻击检测的时间较长,具有一定的滞后性与延时性。本发明从两个指标入手,一方面,利用自相似性特征对网络流量变化十分敏感的特性,计算内容中心网络中的hurst指数;另一方面,根据网络中收到的兴趣包的内容名称计算信息熵值,以反映用户请求内容的随机性变化。最后综合以上两个方面的指标,采用非参数cusum算法的双边检测方法对两个指标的微小偏移量进行放大累积,并进一步根据预设的阈值判断内容中心网络中是否存在兴趣泛洪攻击。本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12