一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置与流程

本发明涉及网络安全领域，具体地，涉及一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置。
背景技术：
：TCP/IP网络架构在互联网几十年的发展中表现出了它的实用性，尤其是在面对诸多上、下层的新技术和新应用时显得比较稳定。然而，随着互联网的发展，用户对网络的移动性、内容分发以及安全性等服务的需求不断增长，并逐渐暴露出现有网络对移动性、内容分发以及安全性支持的问题。为了应对这些新型的服务，学术界提出了一种新型的网络架构—内容中心网络(InformationCentricNetwork，ICN)。作为ICN的一个实例化模型，命名数据网络(NamedDataNetworking，NDN)适用于内容分发，并在未来网络架构中极具竞争力。NDN在设计之初已经考虑了安全性的需求，再加上它使用内容取缔了主机标识，可以避免现有网络中多种类型的攻击。NDN网络可以减小当今流行的多种分布式拒绝服务(DistributedDenialofService，DDoS)攻击，例如，带宽耗尽型、反射型攻击以及前缀劫持型黑洞等攻击。然而，NDN网络也引发了新型的NDN特有的DDoS攻击，叫做兴趣包洪泛攻击(InterestFloodingAttacks，IFA)。由于在NDN网络中，兴趣包在得到数据包满足之前会被记录在中间路由器的待定兴趣表(PendingInterestTable，PIT)中，攻击者可以发送大量虚假的兴趣包来耗尽中间路由器的存储资源。这种攻击的发起者不需要知道整个内容的分布，却能严重的影响NDN网络的性能。因此，如何有效的抵御IFA攻击值得我们高度重视。NDN网络中现有的IFA缓解方法主要是基于PIT异常状态的统计(以下简称PIT-based方法)，例如，流平衡的破坏(NDN网络中一个兴趣包至多对应一个数据包)、兴趣包的满足率或者PIT条目的超时速率等。图1是IFA攻击的示意图。如图1所示，假设每个路由器的PIT最多能容纳4个兴趣包记录，合法用户和攻击者都可以向内容源发出兴趣包请求(攻击者发出的恶意兴趣包在内容源处一般没有对应的数据)。当合法用户发出的4个兴趣包和攻击者-2发出的恶意兴趣包同时到达路由器节点D时，D会丢弃一个兴趣包，同样，对于路由器节点F和G，受到攻击者-1和攻击者-3的影响，也会分别丢弃一个兴趣包。最坏的情况下，合法用户发出的兴趣包最终只有一个到达内容源，内容源返回一个正常的数据包，这样合法用户就会受到严重影响。采用基于PIT异常状态统计的IFA缓解方法，以PIT条目超时速率(单位时间内PIT条目的超时个数)为例，假设超时速率值为3，路由器节点G由于转发了3个恶意兴趣包最先达到设定的超时速率，发出IFA攻击预警，然后根据超时的PIT条目判定超时前缀，然后对包含该前缀的兴趣包进行处理。PIT-based方法主要依赖于PIT异常状态的统计，而导致PIT异常的因素比较多，例如，正常的网络波动、网络拥塞、链路失效以及受到攻击等等，仅仅从PIT的异常统计很难判定网络是否遭受攻击，更不用说如何防御攻击。如果对攻击产生误报，将正常用户的请求也视为攻击请求而采取限制措施，会对用户造成不可估量的损失。此外，如果仅在检测到攻击的节点对恶意兴趣包做限制，对整个下游网络也会造成很大影响。技术实现要素：本发明的目的是提供一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置。其中，所述方法基于累积熵对IFA攻击进行检测，在成功检测出IFA攻击后，采用基于相对熵的前缀判定方法，结合兴趣包回溯机制进行IFA攻击的防御，不仅提高了IFA检测的准确性，而且还保证了防御措施的有效性。为了实现上述目的，本发明提供一种内容中心网络中兴趣包洪泛攻击的防御方法。所述方法包括：根据预设的窗口统计所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值；采用累积和算法对统计得到的熵值进行处理，得到所述熵值在不同时刻的累计值；判断所述累计值是否小于预设的攻击检测阈值，若否，则检测到所述兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对所述兴趣包的名字的前缀集合进行查找，得到攻击前缀；根据所述攻击前缀生成携带有所述攻击前缀的数据包，并根据所述路由器的待定兴趣表中记录的具有所述攻击前缀的兴趣包的路由信息将所述数据包发送至攻击者所在的接入路由器，以使得所述接入路由器根据所述数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现所述兴趣包洪泛攻击的防御。可选地，所述根据预设的窗口统计所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值，包括：根据以下公式(1)统计得到所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值：H=-Σimpi·log2pi---(1)]]>其中，m表示预设窗口内兴趣包的m种名字，pi表示m种名字中任意一种名字i的出现概率，H表示所述熵值。可选地，所述采用累积和算法对统计得到的熵值进行处理，得到所述熵值在不同时刻的累计值，包括：根据以下公式(2)得到所述熵值在不同时刻的累计值：yn=(yn-1+Zn)+,n>0yn=0,n=0---(2)]]>其中，yn表示所述熵值在n时刻的累计值，yn-1表示所述熵值在n-1时刻的累计值，Zn＝Xn-θ，Xn表示在时刻n统计得到的熵值，θ表示E(Xn)的上界，E(Xn)表示在给定Δt时间内统计得到的熵值序列{Xn}的熵均值，对于x>0，x+＝x，否则x+＝0。可选地，所述判断所述累计值是否小于预设的攻击检测阈值，包括：根据以下公式(3)判断所述累计值是否小于预设的攻击检测阈值：dN(yn)=0,yn<Th1,yn≥Th---(3)]]>其中，yn表示所述熵值在n时刻的累计值，dN(yn)表示在时刻n对yn的检测函数值，Th表示所述预设的攻击检测阈值，若dN(yn)＝0，则表示所述熵值在n时刻的累计值yn小于所述预设的攻击检测阈值Th，没有检测到所述兴趣包洪泛攻击；若dN(yn)＝1，则表示所述熵值在n时刻的累计值yn不小于所述预设的攻击检测阈值Th，检测到所述兴趣包洪泛攻击。可选地，所述采用基于相对熵的前缀判定算法对所述兴趣包的名字的前缀集合进行查找，得到攻击前缀，包括：设置所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击之前的前缀分布为分布P，且所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击时的前缀分布为分布Q；根据所述分布P和所述分布Q计算得到所述分布P和所述分布Q的相对熵KLD；将所述前缀集合中前缀的前缀分布P替换为前缀分布Q，得到所述前缀集合的新的前缀分布P’，并计算新的前缀分布P’与所述分布Q的相对熵KLD_i，以计算相对熵KLD_i与相对熵KLD的差值，并将该差值添加到集合KLDSet中，直到遍历所述前缀集合中的每一前缀；查找所述集合KLDSet中的最大值对应的索引，并根据所述索引得到攻击前缀。可选地，所述方法还包括：查找所述集合KLDSet中前L个较大值分别对应的索引，并根据所述索引分别得到对应的攻击前缀。相应地，本发明还提供一种内容中心网络中兴趣包洪泛攻击的防御装置。所述装置包括：统计单元，用于根据预设的窗口统计所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值；处理单元，用于采用累积和算法对统计得到的熵值进行处理，得到所述熵值在不同时刻的累计值；判断单元，用于判断所述累计值是否小于预设的攻击检测阈值，若否，则检测到所述兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对所述兴趣包的名字的前缀集合进行查找，得到攻击前缀；发送单元，用于根据所述攻击前缀生成携带有所述攻击前缀的数据包，并根据所述路由器的待定兴趣表中记录的具有所述攻击前缀的兴趣包的路由信息将所述数据包发送至攻击者所在的接入路由器，以使得所述接入路由器根据所述数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现所述兴趣包洪泛攻击的防御。可选地，所述处理单元，具体用于：根据以下公式(2)得到所述熵值在不同时刻的累计值：yn=(yn-1+Zn)+,n>0yn=0,n=0---(2)]]>其中，yn表示所述熵值在n时刻的累计值，yn-1表示所述熵值在n-1时刻的累计值，Zn＝Xn-θ，Xn表示在时刻n统计得到的熵值，θ表示E(Xn)的上界，E(Xn)表示在给定Δt时间内统计得到的熵值序列{Xn}的熵均值，对于x>0，x+＝x，否则x+＝0。可选地，所述判断单元，具体用于：根据以下公式(3)判断所述累计值是否小于预设的攻击检测阈值：dN(yn)=0,yn<Th1,yn≥Th---(3)]]>其中，yn表示所述熵值在n时刻的累计值，dN(yn)表示在时刻n对yn的检测函数值，Th表示所述预设的攻击检测阈值，若dN(yn)＝0，则表示所述熵值在n时刻的累计值yn小于所述预设的攻击检测阈值Th，没有检测到所述兴趣包洪泛攻击；若dN(yn)＝1，则表示所述熵值在n时刻的累计值yn不小于所述预设的攻击检测阈值Th，检测到所述兴趣包洪泛攻击。可选地，所述判断单元，还用于：设置所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击之前的前缀分布为分布P，且所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击时的前缀分布为分布Q；根据所述分布P和所述分布Q计算得到所述分布P和所述分布Q的相对熵KLD；将所述前缀集合中前缀的前缀分布P替换为前缀分布Q，得到所述前缀集合的新的前缀分布P’，并计算新的前缀分布P’与所述分布Q的相对熵KLD_i，以计算相对熵KLD_i与相对熵KLD的差值，并将该差值添加到集合KLDSet中，直到遍历所述前缀集合中的每一前缀；查找所述集合KLDSet中的最大值对应的索引，并根据所述索引得到攻击前缀。由上述技术方案可知，根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值，然后，采用累积和算法对统计得到的熵值进行处理，得到熵值在不同时刻的累计值；并判断累计值是否小于预设的攻击检测阈值，若否，则检测到兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对兴趣包的名字的前缀集合进行查找，得到攻击前缀；最后，根据攻击前缀生成携带有攻击前缀的数据包，并根据路由器的待定兴趣表中记录的具有攻击前缀的兴趣包的路由信息将数据包发送至攻击者所在的接入路由器，以使得接入路由器根据数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现兴趣包洪泛攻击的防御，不仅能够提高IFA检测的准确性，减少误报情况的发生，而且在检测到攻击后能够及时地提供有效的防御措施，减少IFA对网络带来的影响，保证网络能为用户提供正常的服务。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。图1是IFA攻击的示意图；图2是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法的流程图；图3是本发明一实施例提供的IFA防御措施的示意图；图4是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法的仿真拓扑图；图5是采用PIT-based方法和本发明提供的方法在检测IFA攻击时的对比示意图；图6是采用PIT-based方法和本发明提供的方法在防御IFA攻击时的对比示意图；图7是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图2是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法的流程图。如图2所示，本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法包括：在步骤S101中，根据预设的窗口统计所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值。具体地，该步骤包括：根据以下公式(1)统计得到所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值：H=-Σimpi·log2pi---(1)]]>其中，m表示预设窗口内兴趣包的m种名字，pi表示m种名字中任意一种名字i的出现概率，H表示所述熵值。其中，熵在通信领域又被称为信息熵，用来表示事件的随机性。假定合法用户在一段时间内对内容的请求服从固定的分布(例如，zipf分布)，申请人采用上述方法来统计路由器节点收到的兴趣包的名字的随机性。具体地，该步骤利用正常情况下用户请求的分布比较稳定这一特性，由此在路由器上对请求分布的熵值属性进行统计检测。对于内容中心网络中的路由器，每秒会接收到大量的兴趣包，可以事先设定一个窗口W，对接收到的兴趣包进行滑动计算，这样就可以得到不同时刻的统计熵值。由于网络是动态变化的，统计的熵值也会在一个稳定的范围内浮动，我们可以简单的设置一个阈值来检测IFA攻击。但是，即便是正常网络也会有瞬时大幅的波动，为了保证检测的可靠性，申请人将采用基于累积和的算法对统计熵值进行处理。接着，在步骤S102中，采用累积和算法对统计得到的熵值进行处理，得到所述熵值在不同时刻的累计值。具体地，该步骤包括：根据以下公式(2)得到所述熵值在不同时刻的累计值：yn=(yn-1+Zn)+,n>0yn=0,n=0---(2)]]>其中，yn表示所述熵值在n时刻的累计值，yn-1表示所述熵值在n-1时刻的累计值，Zn＝Xn-θ，Xn表示在时刻n统计得到的熵值，θ表示E(Xn)的上界，E(Xn)表示在给定Δt时间内统计得到的熵值序列{Xn}的熵均值，对于x>0，x+＝x，否则x+＝0。更为具体地，累积和算法是变点检测的一个实例化算法，具有较低的时延和较高的检测准确度。申请人采用该算法对统计的熵值进行处理。在实际应用中，具体方法如下：首先申请人定义Xn表示在时刻n统计的熵值，给定Δt时间内统计的熵值序列为{Xn}，E(Xn)表示在给定Δt时间内统计得到的熵值序列{Xn}的熵均值，用θ表示E(Xn)的上界。构造序列Zn＝Xn-θ，网络正常情况下该序列的均值为负。根据以上公式(2)定义yn。这样yn就可以表示Zn正值的累加。引入θ值也是为了将正常情况下的累计值归零，避免正常波动随时间的累积。更为具体地，当攻击发起后，统计熵值Xn会迅速增加并超过θ，致使Zn变为正值，yn不断累加，最终达到攻击检测阈值，而当网络发生短时大幅波动时，也会发生Xn会迅速增加并超过θ，致使Zn变为正值，yn不断累加。然而，随着波动的消退，在yn没达到设定的攻击阈值时就会叠加上负值的Zn，逐渐被拉回0值。因此，可以很好的避免正常的网络波动。紧接着，在步骤S103中，判断所述累计值是否小于预设的攻击检测阈值。具体地，该步骤包括：根据以下公式(3)判断所述累计值是否小于预设的攻击检测阈值：dN(yn)=0,yn<Th1,yn≥Th---(3)]]>其中，yn表示所述熵值在n时刻的累计值，dN(yn)表示在时刻n对yn的检测函数值，Th表示所述预设的攻击检测阈值，若dN(yn)＝0，则表示所述熵值在n时刻的累计值yn小于所述预设的攻击检测阈值Th，没有检测到所述兴趣包洪泛攻击；若dN(yn)＝1，则表示所述熵值在n时刻的累计值yn不小于所述预设的攻击检测阈值Th，检测到所述兴趣包洪泛攻击。PIT-based方法容易导致攻击的误判，为了解决该问题，可以采用上述方法步骤S101-S103，选择对路由器接收到的兴趣包的名字进行熵统计，然后对统计的熵值进行累积和算法，当累积值达到设定的检测攻击阈值后，可以认为检测到IFA攻击。其中，上述方法步骤S101-S103在具体的实施方式中可以概括为基于累积熵的IFA攻击检测方法。通过该方法，路由器能够及时地检测出存在的IFA攻击，同时可以避免对合法用户请求的误判，也可以避免网络正常波动对攻击检测的影响。然后，在步骤S104中，在判断所述累计值不小于预设的攻击检测阈值的情况下，则检测到所述兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对所述兴趣包的名字的前缀集合进行查找，得到攻击前缀。具体地，该步骤包括：设置所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击之前的前缀分布为分布P，且所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击时的前缀分布为分布Q；根据所述分布P和所述分布Q计算得到所述分布P和所述分布Q的相对熵KLD；将所述前缀集合中前缀的前缀分布P替换为前缀分布Q，得到所述前缀集合的新的前缀分布P’，并计算新的前缀分布P’与所述分布Q的相对熵KLD_i，以计算相对熵KLD_i与相对熵KLD的差值，并将该差值添加到集合KLDSet中，直到遍历所述前缀集合中的每一前缀；查找所述集合KLDSet中的最大值对应的索引，并根据所述索引得到攻击前缀。该步骤在IFA攻击预警之后，能够以最大概率找出攻击前缀，从而方便采取防范措施。其中，相对熵又被称为KL距离，用来表示同一个变量两种分布之间的差异。对于同一变量的两种分布P和Q，它们的相对熵定义为:D(P||Q)=Σi∈IP(i)·logP(i)Q(i)---(4)]]>其中，i是变量总空间I中的一个元素。在上述定义中，需要约定0·log(0/0)＝0，0·log(0/q)＝0，以及0·log(p/0)＝∞，即对于元素i，如果P(i)>0并且Q(i)＝0，D(p||q)＝∞，相对熵具有非负性，仅当P和Q同分布时，D(P||Q)＝0；P和Q的差别越大，D(P||Q)的值也越大。更为具体地，假定路由器记录的兴趣包的名字前缀的两个分布分别为P和Q，当检测到IFA攻击时，不妨设此时的前缀分布为P，而稍前一段时间的前缀分布Q，则P和Q是相同名字前缀的两个不同分布(由于检测具有一定的延迟性，出现第一个攻击兴趣包就检测到难度太大)。具体算法如下：输入：前缀集合PrefixSet；攻击检测时刻前缀分布P；攻击检测时刻之前的前缀分布Q。输出：攻击前缀prefix。相关程序如下：1.初始化KLDSet＝NULL2.KLD＝D(P||Q)3.foreachi∈PrefixSetdo4.P‘＝P5.P’(i)＝Q(i)6.KLD_i＝D(P’||Q)7.ΔD＝|KLD_i-KLD|8.将ΔD加入KLDSet9.endfor10.找出KLDSet中最大值对应的索引k11.Prefix＝PrefixSet(k)具体来说：1、计算P和Q的相对熵记录为KLD；2、对于前缀集合中的每个前缀i，将P(i)替换为Q(i)得到P’，计算P’和Q的相对熵记为KLD_i，并计算KLD_i与KLD差值的大小，添加到集合KLDSet中，直至遍历前缀集合中所有前缀；3、找出集合KLDSet中的最大值对应的索引k，攻击前缀为PrefixSet(k)。由于可能有多种前缀攻击，必要时取前L个较大值对应的索引，分别找出对应的前缀。优选地，所述方法还包括：查找所述集合KLDSet中前L个较大值分别对应的索引，并根据所述索引分别得到对应的攻击前缀。最后，在步骤S105中，根据所述攻击前缀生成携带有所述攻击前缀的数据包，并根据所述路由器的待定兴趣表中记录的具有所述攻击前缀的兴趣包的路由信息将所述数据包发送至攻击者所在的接入路由器，以使得所述接入路由器根据所述数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现所述兴趣包洪泛攻击的防御。由于NDN网络是一种完全对等的网络，中心化的控制显得不太实用，同时也增加了被攻击的危险，为此申请人采用分布式的防御方法。当IFA攻击发起并在某个路由器上检测出来后，该路由器会执行基于相对熵的前缀判定算法，找出攻击前缀。由于转发路由器都会在PIT中记录转发过但还未满足而且未超时的兴趣包(也就是具有攻击前缀的兴趣包)，路由器通过构造一种特定格式的数据包携带上述攻击前缀很容易沿着反向路径回传给攻击者所在的接入路由器。接入路由器在接收到所述数据包后对数据包做特定格式的检查。在数据包的格式符合要求的情况下，接入路由器提取出数据包携带的攻击前缀，对后续接收的兴趣包请求进行相应的限入处理。图3是本发明一实施例提供的IFA防御措施的示意图。如图3所示，假设路由器I检测到兴趣包洪泛攻击，并判定出攻击前缀，通过构造特殊的数据包，将攻击前缀传给接入路由器B、C和H，由接入路由器对后续接收的兴趣包请求进行相应的限入处理。为验证本发明技术方案的具体效果，在具体的实施方式中通过仿真进行说明。图4是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法的仿真拓扑图。如图4所示，合法用户由路由器R1可以在内容源中请求前缀为“/root/good”的内容，而攻击者由路由器R2、R3以及R4可以发出恶意兴趣包在内容源中请求前缀为“/root/evil”的内容，但是由于内容源没有对应“/root/evil”前缀的内容，便不会做任何响应。合法用户发出兴趣包请求的速率为200个/秒，攻击者发出兴趣包请求的速率为20个/秒，设置检测攻击阈值为100，为与PIT-based方法作对比，PIT超时速率阈值设置为40个/秒。整体仿真时间为0～300秒，攻击持续时间为200～250秒。图5是采用PIT-based方法和本发明提供的方法在检测IFA攻击时的对比示意图。如图5所示，当采用PIT-based方法时，路由器R1和R6的PIT超时速率(PITexpirationrate)均达到了设置的阈值40，即这两个路由器都检测到了兴趣包洪泛攻击。但是，由图4可知，路由器R1接入的只有合法用户，而并没有攻击者，由此采用PIT-based方法产生了误判。当采用本发明提供的基于累积熵的IFA攻击检测方法时，只有路由器R1检测到了IFA攻击。需要说明的是，图5是以路由器R1和R6为例进行对比的。图6是采用PIT-based方法和本发明提供的方法在防御IFA攻击时的对比示意图。如图6所示，给出了整体仿真时间0～300秒中150～300秒之间路由器R1、R2、R5和R6的PIT大小变化。其中，实线(‘RL’)表示PIT-based方法，虚线(‘CE’)表示本发明提供的内容中心网络中兴趣包洪泛攻击的防御方法。由图可以看出，使用PIT-based方法时，接入合法用户的路由器R1对接收到的兴趣包采取了限入措施，导致转发的兴趣包数量减少，PIT大小急剧下降，同样，对于接入攻击者的路由器R2也采取了相应的限入措施，PIT大小也出现下降。然而，对于本发明提供的方法，路由器R1正常转发接收到合法用户的兴趣包请求，PIT大小保持不变，而路由器R2则对接收到的攻击兴趣包做了限入策略，PIT大小出现下降。对应的PIT大小变化也可以在路由器R5和路由器R6上得到验证。与现有技术相比，本实施例在IFA攻击检测和防御的同时，综合考虑多种可能导致误报的因素，并指出现有技术中在检测攻击的时候容易发生误判以及对合法用户采取误处理情况。本实施例利用正常情况下用户兴趣包请求的分布比较稳定这一特性，由此在路由器上对兴趣包请求分布的熵值属性进行统计检测。在检测到攻击后，通过相对熵来计算可能的攻击前缀，然后通过构造数据包将判定出的攻击前缀信息传递给攻击者所在的接入路由器，从根本上限制了攻击兴趣包对网络的威胁，保证了正常的网络服务。对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。图7是本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御装置的结构示意图。如图7所示，本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御装置包括：统计单元201，用于根据预设的窗口统计所述内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值；处理单元202，用于采用累积和算法对统计得到的熵值进行处理，得到所述熵值在不同时刻的累计值；判断单元203，用于判断所述累计值是否小于预设的攻击检测阈值，若否，则检测到所述兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对所述兴趣包的名字的前缀集合进行查找，得到攻击前缀；发送单元204，用于根据所述攻击前缀生成携带有所述攻击前缀的数据包，并根据所述路由器的待定兴趣表中记录的具有所述攻击前缀的兴趣包的路由信息将所述数据包发送至攻击者所在的接入路由器，以使得所述接入路由器根据所述数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现所述兴趣包洪泛攻击的防御。在本发明一可选实施方式中，所述处理单元202，具体用于：根据以下公式(2)得到所述熵值在不同时刻的累计值：yn=(yn-1+Zn)+,n>0yn=0,n=0---(2)]]>其中，yn表示所述熵值在n时刻的累计值，yn-1表示所述熵值在n-1时刻的累计值，Zn＝Xn-θ，Xn表示在时刻n统计得到的熵值，θ表示E(Xn)的上界，E(Xn)表示在给定Δt时间内统计得到的熵值序列{Xn}的熵均值，对于x>0，x+＝x，否则x+＝0。在本发明一可选实施方式中，所述判断单元203，具体用于：根据以下公式(3)判断所述累计值是否小于预设的攻击检测阈值：dN(yn)=0,yn<Th1,yn≥Th---(3)]]>其中，yn表示所述熵值在n时刻的累计值，dN(yn)表示在时刻n对yn的检测函数值，Th表示所述预设的攻击检测阈值，若dN(yn)＝0，则表示所述熵值在n时刻的累计值yn小于所述预设的攻击检测阈值Th，没有检测到所述兴趣包洪泛攻击；若dN(yn)＝1，则表示所述熵值在n时刻的累计值yn不小于所述预设的攻击检测阈值Th，检测到所述兴趣包洪泛攻击。在本发明一可选实施方式中，所述判断单元203，还用于：设置所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击之前的前缀分布为分布P，且所述前缀集合中每一前缀在检测到所述兴趣包洪泛攻击时的前缀分布为分布Q；根据所述分布P和所述分布Q计算得到所述分布P和所述分布Q的相对熵KLD；将所述前缀集合中前缀的前缀分布P替换为前缀分布Q，得到所述前缀集合的新的前缀分布P’，并计算新的前缀分布P’与所述分布Q的相对熵KLD_i，以计算相对熵KLD_i与相对熵KLD的差值，并将该差值添加到集合KLDSet中，直到遍历所述前缀集合中的每一前缀；查找所述集合KLDSet中的最大值对应的索引，并根据所述索引得到攻击前缀。对于本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御装置中还涉及的具体细节已在本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御方法中作了详细的描述，在此不再赘述。对于本发明一实施例提供的内容中心网络中兴趣包洪泛攻击的防御装置可设置于内容中心网络的路由器中。本实施例根据预设的窗口统计内容中心网络中路由器在不同时刻接收到的兴趣包的名字的熵值，然后，采用累积和算法对统计得到的熵值进行处理，得到熵值在不同时刻的累计值；并判断累计值是否小于预设的攻击检测阈值，若否，则检测到兴趣包洪泛攻击，并采用基于相对熵的前缀判定算法对兴趣包的名字的前缀集合进行查找，得到攻击前缀；最后，根据攻击前缀生成携带有攻击前缀的数据包，并根据路由器的待定兴趣表中记录的具有攻击前缀的兴趣包的路由信息将数据包发送至攻击者所在的接入路由器，以使得接入路由器根据数据包携带的攻击前缀对接收的兴趣包进行相应的限入处理，从而实现兴趣包洪泛攻击的防御，不仅能够提高IFA检测的准确性，减少误报情况的发生，而且在检测到攻击后能够及时地提供有效的防御措施，减少IFA对网络带来的影响，保证网络能为用户提供正常的服务。应当注意的是，在本发明的系统的各个部件中，根据其要实现的功能而对其中的部件进行了逻辑划分，但是，本发明不受限于此，可以根据需要对各个部件进行重新划分或者组合，例如，可以将一些部件组合为单个部件，或者可以将一些部件进一步分解为更多的子部件。本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。以上实施方式仅适于说明本发明，而并非对本发明的限制，有关
技术领域：
的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。当前第1页1 2 3