本發(fā)明屬于信息中心網(wǎng)絡(luò)的洪泛攻擊緩解技術(shù)領(lǐng)域，具體涉及一種基于信譽度與基尼雜質(zhì)的洪泛攻擊緩解方法。本發(fā)明提出的緩解手段部署在邊緣路由器，通過限制惡意數(shù)據(jù)，能夠?qū)⒑榉汗粼谠搭^被緩解，減少攻擊對核心網(wǎng)絡(luò)的影響；在內(nèi)容名稱方面，提出全名稱前綴的概念，降低了字典樹的空間開銷，減少方法的空間復(fù)雜度；在惡意前綴識別方面，本發(fā)明提出了基尼雜質(zhì)與全名稱前綴組合識別方法，基于統(tǒng)計學(xué)理論基尼雜質(zhì)和路由器的PIT結(jié)構(gòu)，實現(xiàn)了惡意內(nèi)容名稱的識別；在正常用戶的數(shù)據(jù)傳輸方面。本發(fā)明可以適應(yīng)更加復(fù)雜的網(wǎng)絡(luò)環(huán)境，能夠在攻擊者發(fā)出洪泛攻擊的情況下定位受攻擊的端口，在緩解洪泛攻擊的情況下盡最大努力不影響正常的用戶。

技術(shù)領(lǐng)域

本發(fā)明屬于信息中心網(wǎng)絡(luò)的洪泛攻擊緩解技術(shù)領(lǐng)域，具體涉及一種基于信譽度與基尼雜質(zhì)的洪泛攻擊緩解方法。

背景技術(shù)

信息中心網(wǎng)絡(luò)徹底改變了傳統(tǒng)的TCP/IP網(wǎng)絡(luò)架構(gòu)，在網(wǎng)絡(luò)架構(gòu)中不存在IP地址的概念，內(nèi)容作為網(wǎng)絡(luò)的核心。信息中心網(wǎng)絡(luò)的數(shù)據(jù)包與TCP/IP網(wǎng)絡(luò)中也不相同，信息中心網(wǎng)絡(luò)中的數(shù)據(jù)包分為興趣包和數(shù)據(jù)包，興趣包是內(nèi)容需求者構(gòu)建并且發(fā)出，數(shù)據(jù)包是傳輸?shù)膬?nèi)容需求數(shù)據(jù)。當用戶發(fā)送的興趣包到達路由器的時候，信息中心網(wǎng)絡(luò)先查詢路由器的CS表。請求成功則返回內(nèi)容從接入口。請求失敗則查詢PIT，如果匹配成功則將端口記錄到PIT表中，如果匹配失敗則在PIT表中建立記錄并且去查詢FIB表。

洪泛攻擊作為傳統(tǒng)TCP/IP模型最常見的攻擊模式，對于網(wǎng)絡(luò)情況以及網(wǎng)絡(luò)資源產(chǎn)生很大的影響。在信息中心網(wǎng)絡(luò)中，洪泛攻擊也為破壞最嚴重的攻擊形式之一。洪泛攻擊作為最常見的攻擊方式，對于信息中心網(wǎng)絡(luò)的路由器節(jié)點的PIT產(chǎn)生非常大的影響。當攻擊者發(fā)動攻擊時，會發(fā)送大量不存在的內(nèi)容名稱的興趣包。正如上述信息中心網(wǎng)絡(luò)路由器流程所述，信息中心網(wǎng)絡(luò)首先會在PIT表中存儲大量不存在的內(nèi)容名稱前綴的條目，PIT條目耗盡導(dǎo)致正常的用戶不能成功的轉(zhuǎn)發(fā)興趣包，導(dǎo)致合法用戶的請求不能及時的得到響應(yīng)。PIT表目錄存在超時機制，超時機制能夠在PIT條目超過過期時間進行釋放，但是僅僅依靠超時機制仍然不能夠及時的處理大量的惡意興趣包。所以在檢測出節(jié)點存在洪泛攻擊的前提下，對攻擊能否做出及時有效的應(yīng)對方法為影響網(wǎng)絡(luò)狀況的關(guān)鍵。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供用于信息中心網(wǎng)絡(luò)的能夠在攻擊者發(fā)出洪泛攻擊的情況下定位受攻擊的端口，并在緩解洪泛攻擊的情況下盡量不影響正常的用戶的一種基于信譽度與基尼雜質(zhì)的洪泛攻擊緩解方法。

本發(fā)明的目的通過如下技術(shù)方案來實現(xiàn)：包括以下步驟：

步驟1：查詢當前收到興趣包的路由器節(jié)點的端口號；

步驟2：根據(jù)端口信譽表查詢端口歷史信譽值；

步驟3：根據(jù)端口號查詢PIT表中相應(yīng)端口的PIT條目數(shù)量；

步驟4：根據(jù)端口i在時間t中全部收到的興趣包數(shù)I(i,t)以及端口的PIT條目數(shù)量計算端口的信譽值R(i,t)；

R(i,t)＝αR(i,t-1)+(1-α)(D(i,t)/I(i,t))

其中，D(i,t)為端口i在時間t中收到的數(shù)據(jù)包數(shù)量；α為歷史信譽度比值，α＝R(i,t-1)/R(i,t-2)；

步驟5：判斷端口的信譽值是否小于閾值T；若端口的信譽值不小于閾值T，則將其記錄到端口信譽表；若端口的信譽值小于閾值T，則當前存在大量惡意前綴的風(fēng)險，執(zhí)行步驟6；

步驟6：統(tǒng)計當前的興趣包對應(yīng)端口的PIT中的全名稱前綴；

步驟7：統(tǒng)計端口中在全名稱前綴下的內(nèi)容名稱前綴的數(shù)量，即內(nèi)容名稱前綴聚合成全名稱前綴的數(shù)量；

步驟8：計算閾值TP，TP為全名稱前綴最多數(shù)量的百分之八十；

步驟9：遍歷端口對應(yīng)的全名稱前綴，將大于閾值的潛在攻擊內(nèi)容名稱前綴加入到緩沖隊列List；