【NDN安全】Coordination Supports Security: A New Defence Mechanism Against Interest Flooding in NDN 学习笔记

1、之前提出的兴趣包洪泛攻击缓解策略存在下面的缺陷:

     (1)攻击检测比较困难,且并不精确,特别是对于分布式低速率兴趣洪泛攻击,因为可观察到的流量相对较小。与此相反,由于存在大量的攻击流量,靠近目标检测的路由器可能不能承受大量的攻击流量。

     (2)由于不能区分合法包和恶意包,合法的请求也可能受到影响。

     (3)每个路由器都需要执行攻击检测和缓解,路由器之间的协作需要较高的通信开销。

2、本文改写了CoMon框架,这是一个用于协调NDN中与缓存相关的策略的框架。

3、兴趣包洪泛攻击的缓解机制有以下5点原则:

     (1)对于低速率分布式兴趣包洪泛攻击,不能够在单独的节点上自动检测,而是基于包传输和转发状态的汇聚信息。

     (2)兴趣包洪泛攻击的检测和缓解应该在尽早执行,在恶意兴趣包消耗过多资源之前执行。

     (3)重复的攻击检测和对于攻击的过度反应应该被避免。

     (4)该机制应该能够区分合法兴趣包和恶意兴趣包,以避免损害合法流量。

     (5)协同机制的开销应该较低。

4、网络中共有3个角色:域控制器(Domain Controller, DC)、NDN路由器(NRs)、监控路由器(Monitoring Routers, MRs)。

      域控制器控制监控路由器监控网络内NDN路由器每个接口PIT条目的超时数目,以找出恶意接口和恶意包的名字前缀。监控路由器周期性地报告他们观察到的结果的汇总信息给域控制器,而域控制器返回给监控路由器整个域内正在进行的攻击的汇总信息。该套机制可用来缓解可能的兴趣包洪泛攻击。

      为了避免重复检测,监控路由器不检测之前被另一个监控路由器检测过的兴趣包。一旦一个兴趣包被监控路由器第一次捕获到,这个路由器即将兴趣包中增加一位,叫做“Checked”,设置为1。为了避免过度反应,每个兴趣包仅在第一次遇到监控路由器时决定是否做出反应。


已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页