1、之前提出的兴趣包洪泛攻击缓解策略存在下面的缺陷:
(1)攻击检测比较困难,且并不精确,特别是对于分布式低速率兴趣洪泛攻击,因为可观察到的流量相对较小。与此相反,由于存在大量的攻击流量,靠近目标检测的路由器可能不能承受大量的攻击流量。
(2)由于不能区分合法包和恶意包,合法的请求也可能受到影响。
(3)每个路由器都需要执行攻击检测和缓解,路由器之间的协作需要较高的通信开销。
2、本文改写了CoMon框架,这是一个用于协调NDN中与缓存相关的策略的框架。
3、兴趣包洪泛攻击的缓解机制有以下5点原则:
(1)对于低速率分布式兴趣包洪泛攻击,不能够在单独的节点上自动检测,而是基于包传输和转发状态的汇聚信息。
(2)兴趣包洪泛攻击的检测和缓解应该在尽早执行,在恶意兴趣包消耗过多资源之前执行。
(3)重复的攻击检测和对于攻击的过度反应应该被避免。
(4)该机制应该能够区分合法兴趣包和恶意兴趣包,以避免损害合法流量。
(5)协同机制的开销应该较低。
4、网络中共有3个角色:域控制器(Domain Controller, DC)、NDN路由器(NRs)、监控路由器(Monitoring Routers, MRs)。
域控制器控制监控路由器监控网络内NDN路由器每个接口PIT条目的超时数目,以找出恶意接口和恶意包的名字前缀。监控路由器周期性地报告他们观察到的结果的汇总信息给域控制器,而域控制器返回给监控路由器整个域内正在进行的攻击的汇总信息。该套机制可用来缓解可能的兴趣包洪泛攻击。
为了避免重复检测,监控路由器不检测之前被另一个监控路由器检测过的兴趣包。一旦一个兴趣包被监控路由器第一次捕获到,这个路由器即将兴趣包中增加一位,叫做“Checked”,设置为1。为了避免过度反应,每个兴趣包仅在第一次遇到监控路由器时决定是否做出反应。
606
