一种联合检测命名数据网络中攻击的方法

兴趣泛洪攻击(interest flooding attack, IFA)和合谋兴趣泛洪攻击(conspiracy interest flooding attack, CIFA)是命名数据网络(named data networking, NDN)面临的典型的安全威胁.针对现有检测方法的检测特征单一因此不能有效地辨别攻击种类以及检测率不够高等问题, 提出一种基于关联规则算法和决策树算法联合检测NDN中攻击的方法.首先, 通过提取NDN路由节点的内容缓存(content cache, CS)中的数据信息挖掘CS中新的检测特征“缓存增长率”, 实验发现“CS数据包增长率”是辨别IFA还是CIFA的有利依据.其次, 使用关联规则算法将新的检测特征与待定兴趣表(pending interest table, PIT)中多个检测特征联合, 寻找各个特征之间的关联性并将其作为决策树的输入.最后, 使用决策树算法检测攻击.该方法使用决策树算法和关联规则算法联合检测NDN中的攻击, 不仅避免了单一特征检测攻击造成的误判并且丰富了决策树的分类属性.分析仿真结果表明该检测方法可以精确地区分并检测IFA和CIFA并且提高了检测率.     

命名数据网络中一种基于节点分类的数据存储策略

缓存是命名数据网络(named data networking, NDN)有别于传统网络最突出的特性之一,NDN中默认所有节点都具有缓存所有经过数据的功能.这种“处处缓存”策略导致网内大量冗余数据的产生,使网内缓存被严重浪费.针对上述问题,首次提出了一种基于节点分类(based on node classification, BNC)的数据存储策略.基于节点位置的不同,将数据返回客户端所经过的节点分为“边缘”类节点与“核心”类节点.当数据经过“核心”类节点时,通过权衡该类节点的位置与数据在不同节点的流行度分布,将数据存储在对其他节点最有利的节点中;当数据经过“边缘”类节点时,通过该数据流行度来选择最有利于客户端的位置.仿真结果表明,提出的策略将有效提高数据命中率,减少数据请求时延和距离.     

内容中心网络数据污染的快速检测机制

内容中心网络通过路由器缓存内容来提高网络的整体性能.为防止被污染的数据在网络中扩散,路由器需要对进入网络的内容进行验证.原始的验证机制需要对内容的数字签名进行非对称密钥解密操作,导致内容验证速度不能满足高速路由器的需求.提出了基于着色的快速内容验证机制,以减少内容验证的计算复杂度,加快内容的检测速度.该机制通过对第1次进入网络的正确内容进行着色操作以保证其正确性.被着色的内容再次进入网络时,路由器可以通过着色信息来快速验证内容的正确性,从而提高路由器的检测速度.     

命名数据网络中的视频传输研究综述

互联网目前已经发展为一个由实时视频和视频点播等内容分发服务主导的网络传统IP网络对于视频分发类任务的支持存在组播的部署复杂且开销大,不能有效利用多路径获取内容、对移动性的支持差和难以同时满足可靠性以及低延时需求等问题命名数据网络(named data networking,NDN)作为新型的下一代互联网体系结构,支持网...     

内容中心网络安全技术研究综述

内容中心网络（Content Centric Networking,CCN）属于信息中心网络的一种,是未来互联网体系架构中极具前景的架构之一,已成为下一代互联网体系的研究热点。内容中心网络中的内容路由、内嵌缓存、接收端驱动传输等新特征,一方面提高了网络中的内容分发效率,另一方面也带来了新的安全挑战。本文在分析CCN工作原理的基础上,介绍了CCN的安全威胁、安全需求以及现有的解决方案,并展望了CCN安全技术研究的方向。首先,详细介绍了CCN的原理和工作流程,对比分析了CCN与TCP/IP网络的区别,并分析了CCN面临的安全威胁及需求。其次,对CCN中隐私保护、泛洪攻击、缓存污染、拥塞控制等技术的研究现状进行归纳、分析、总结,并分析了现有方案的优缺点及不足,进而分析可能的解决方案。最后,对CCN安全技术面临的挑战进行了分析与讨论,并展望了未来的研究方向及发展趋势。通过对已有研究工作进行总结与分析,本文提出了CCN安全技术潜在研究方向与关键问题,为CCN安全后续研究提供有益参考。     

基于内容热度与节点介数的NDN网络缓存策略

缓存技术是数据命名网络（Named data networking,NDN）的关键技术之一. NDN传统的LCE缓存策略会造成较大的冗余. 改进的RCOne策略采用随机放置的方法,没有利用任何内容、节点信息,对网络缓存性能的提升有限. Betw策略只考虑到节点介数,导致高介数节点缓存更替频繁,当节点缓存容量远小于内容总量时,缓存性能下降. 为了解决这些问题,本文提出一种结合内容热度与节点介数的新型缓存策略HotBetw（Hot content placed on node with high Betweenness）,充分利用内容与节点信息选择最佳的位置放置缓存. 仿真实验表明相对于典型NDN缓存策略,HotBetw缓存策略在提高缓存命中率、降低平均跳数方面具有很好的效果.     

A Dataflow-Oriented Programming Interface for Named Data Networking

从除一个地点驱动的模式以外的一个数据驱动的通讯模式继承,命名数据联网(NDN ) 把更好的支持提供给网络层 dataflow。然而,应用程序开发者不得不处理复杂任务,例如数据分割,包确认,和流动控制,由于在网络层上的合适的运输层协议的缺乏。在这研究,我们设计一个 dataflow 面向的编程接口为 NDN 提供运输策略,它极大地在开发应用程序改进效率。这个接口介绍检索策略根据出版模式,基于当前的网络地位和数据产生控制 dataflow 在采用一个适应 ADU pipelining 算法的不同数据评估的二个应用程序数据单位(ADU ) 。接口也提供网络测量策略监视许多影响应用程序表演的批评度量标准。我们由实现流的一个录像验证我们的接口的功能和性能在世界范围的 NDN 试验床上跨越 11 个时区的申请。我们的实验证明接口罐头高效地支持开发高效、驾驶 dataflow 的 NDN 应用程序。     

命名数据网络中的邻居缓存路由策略

命名数据网络(named data network,NDN)是一种以数据为中心的新型网络体系结构。现有NDN网络路由策略未能充分利用路由结点缓存导致转发效率不高。为了在路由决策中充分利用NDN网络中的缓存,提出了一种邻居缓存路由(neighbor cache explore routing,NCE)策略,将路由结点缓存因素引入到路由决策中,并设计了相应的报文格式及路由选择算法。模拟实验结果表明,邻居缓存路由策略在减少网络冗余流量的同时提高了整体网络的性能,验证了NCE策略在NDN网络中的有效性。     

命名数据网络中的一种冗余控制策略

命名数据网络(Named Data Networking, NDN)作为一种新型网络架构,内在地支持多路径转发和网内缓存,使得网络中存在大量冗余数据,会大大增加拥塞可能性。为解决上述问题,以减少兴趣包和数据包的转发数量为出发点,提出了基于扩展链路状态通告(Extended Link State Advertisements, ELSA)的冗余控制算法(ELSA-based Redundant Control, ELSA-RC)。该算法一方面在路由节点新添一个跳数数据库(hopDB)来保存兴趣包的最新跳数,并通过发送ELSA以增强邻居节点的hopDB更新,从而降低兴趣包转发深度;另一方面,基于待定请求表的接口信息和收到的ELSA消息来阻止重复数据包的返回。基于ndnSIM的仿真结果表明：相较传统NDN,采用ELSA-RC后兴趣包和数据包的传输数量分别减少了约15%和26%,平均时延减少了约14%。因此,使用ELSA-RC能显著减少兴趣包和数据包在网络中的无效扩散和重复传输,同时还能降低网络时延,使NDN网络性能得到提高。     

A lightweight mechanism for detection of cache pollution attacks in Named Data Networking

Content-Centric Networking (CCN) is an emerging paradigm being considered as a possible replacement for the current IP-based host-centric Internet infrastructure. In CCN, named content – rather than addressable hosts – becomes a first-class entity. Content is therefore decoupled from its location. This allows, among other things, the implementation of ubiquitous caching.     

内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。     

LDFS:NDN路由器的缓存扩充新方法

现有路由器因其存储容量无法满足命名数据网络(named data networking,NDN)对缓存容量的需求,导致了NDN部署困难。提出了一种软件扩展路由器缓存容量的方法——LDFS(lightweight distributed file system)。LDFS的主要思想是将边缘网络的终端用户和存储服务器作为存储节点,虚拟缓存服务器统一管理存储节点并向客户端提供缓存服务,客户端以库函数的形式向上层应用提供接口。LDFS的主要特点是轻量级客户端和多种存储资源提供存储服务。最后通过实验对系统的性能进行了测量,并验证了轻量级客户端设计的优势。     

软件定义网络中资源消耗型攻击及防御综述

在传统网络中,集成多种网络功能的控制平面和负责转发数据包的数据平面是紧密耦合的,并且通常嵌入在一个专用设备中,这严重限制了网络管理的灵活性和网络服务的创新性。软件定义网络（Software-Defined Networking,SDN）作为一种新型的网络范式,通过将控制平面与数据平面解耦克服了传统网络架构的不足。研究人员凭借全网视图可见性以及对网络设备直接编程的能力提出了诸多SDN应用场景,如数据中心网络、云和广域网。然而SDN带来的灵活性、可管理性以及可编程性等优点是以引入新的安全挑战为代价。本文聚焦SDN网络中的资源消耗型攻击,首先分层整理了SDN网络中的关键资源以及攻击目标,然后对控制平面、控制通道和数据平面存在的多种资源消耗型攻击以及现有防御机制做出了详细的分析和归纳,最后对未来的研究工作进行了展望,并提出了一些潜在的研究方向。     

内容命名网络中一种基于历史访问记录的转发策略的设计与实现

内容命名网络(NDN)作为ICN的实例系统,以其区别于传统IP网络的独特体系结构在近些年受到了研究界的普遍关注,NDN舍弃了IP网络点到点的传输方式,设计了基于内容名字的寻址方式,使得内容的提供者由集中式一点变为分散式的多点,大幅提高了数据信息的利用率。将研究的重点放在NDN路由节点的转发环节,提出并实现了一种新的基于历史访问记录的转发策略HRF,使得数据请求者能够发现本地的邻居节点是否持有请求者所需的内容,从而从本地网络高效快速地获取所需数据,并通过实验验证了HRF策略的可行性和有效性。     

内容中心网中多参数的缓存污染攻击检测算法

针对内容中心网络中的缓存污染攻击检测问题，以单位时间缓存替换率、内容请求平均跳数、节点流量和低流行内容的稳态存储比例4个参数作为攻击下的节点状态参数，根据模糊层次分析法建立了攻击下的模糊层次结构模型，进而确定了攻击对各个状态参数的影响权重并定义了攻击影响度，通过观测攻击影响度并设置判决门限来检测攻击是否发生。仿真结果与性能分析表明，所提检测算法能有效检测Locality-Disruption和False-Locality两类典型的缓存污染攻击，与现有主要检测算法相比，可保证较高的正确检测率和较低的平均检测时延。     

命名数据网络中基于内容类型的隔跳概率缓存机制

网络化缓存是命名数据网络实现对信息的高效获取,有效降低互联网骨干网络流量的关键技术.网络化缓存将缓存作为普适的功能添加到每个网络节点.用户需要获取信息时,缓存有该内容的任意网络节点(例如路由器)接收到用户请求后都可直接向用户返回相应内容,提升用户请求响应效率.然而,命名数据网络采用泛在缓存使得内容发布者到用户的传输路径上的各节点对内容进行重复并无差别缓存,造成数据冗余、内容缓存无差别对待问题.为此,提出一种基于内容类型的隔跳概率缓存机制.首先根据业务特征(例如时延要求、带宽占用)将内容划分为4种类型：动态类、实时类、大数据类、以及小数据类;其次构造隔跳待定缓存策略,将数据存储在非连续的传输节点上,从空间上减少冗余缓存;最后针对不同内容提供差异化缓存服务：无缓存、网络边缘概率缓存、网络次边缘概率缓存、以及网络核心概率缓存策略,从而进一步降低冗余数据,同时提高用户获取内容的效率.实验结果表明,该机制能够减少冗余缓存,降低用户请求内容时延.     

基于动态内容流行度的NDN缓存决策和替换策略研究

命名数据网络(NDN)中的路由器节点具有缓存能力,这就极大地提高了网络中的数据发送与检索效率。然而,由于路由器的缓存能力是有限的,设计有效的缓存策略仍然是一项紧迫的任务。为了解决这个问题,提出了一种动态内容流行度缓存决策和替换策略(DPDR)。DPDR综合考虑内容流行度和缓存能力,利用一个和式增加、积式减少(AIMD)的算法动态调节流行度阈值,并将超过流行度阈值的内容存入缓存空间;同时提出了一个缓存替换算法,综合考虑了缓存空间中内容的流行度和内容最后被访问时间等因素,将替换值最小的内容移出内容缓存。大量仿真结果显示,与其他算法相比,本文所提的算法能够有效提高缓存命中率,缩短平均命中距离和网络吞吐量。     

基于SDN与NDN的卫星网络多约束路由算法

针对NDN卫星网络内容传输时延高、丢包率高且请求命中率低的问题,提出了一种基于SDN与NDN的卫星网络多约束路由算法,并命名为SNMcRA。基于SDN的集中控制与全局视图,通过建立多约束路由模型,将链路多约束信息与蚁群算法相结合以求解满足时延、带宽、丢包率多约束的代价最小路径,由节点在包转发的过程中动态完成转发表FIB和待定请求表PIT的构建。实验结果表明,该算法与DSP算法相比时延降低了35%,带宽利用率提升了29%,丢包率降低了17%,并且在请求命中率方面也具有显著优势。     

An Efficient Scheme to Defend Data-to-Control-Plane Saturation Attacks in Software-Defined Networking

Journal of Computer Science and Technology - Software-defined networking (SDN) decouples the data and control planes. However, attackers can lead catastrophic results to the whole network using...     

基于网络终端支持的NDN移动性管理机制

命名数据网（named data networking,NDN）作为一种新型的互联网架构,旨在应对日益增长的数据流量。基于其消费者驱动的内容检索模型,NDN自然地支持消费者移动性。然而生产者移动性仍然是一个具有挑战性的问题,需要额外的机制来提高生产者移动期间的数据可用性。针对该问题,提出一种可扩展的移动管理机制来支持生产者移动性。该机制利用网络终端在基于名称的NDN转发平面上建立了临时转发路径,并设计了缓存与重传机制支持时延容忍和时延敏感的应用数据流。最后在ndnSIM中建立了一个全面的仿真环境,对所提方案与现有解决方案进行了评估和比较。仿真结果表明,该机制能够充分支持生产者移动性。当速度为30 m/s时,丢包率仅为3.0%,平均传输延时为352.1 ms。此外,支持生产者移动性所需的额外消耗于对于方案相比降低了49.18%。