摘 要:
隨著網(wǎng)絡(luò)的發(fā)展,傳輸控制協(xié)議/網(wǎng)際協(xié)議(Transmission Control Protocol/Internet Protocol,TCP/IP)架構(gòu)已經(jīng)不能適應(yīng)現(xiàn)實(shí)的通信需求,存在諸多弊端。命名數(shù)據(jù)網(wǎng)絡(luò)(Named Data Network,NDN)在內(nèi)容分發(fā)、移動(dòng)性支持以及內(nèi)生安全等方面具有獨(dú)特優(yōu)勢(shì),成為未來(lái)網(wǎng)絡(luò)架構(gòu)方案中極具代表性的一種。NDN網(wǎng)絡(luò)避免了IP架構(gòu)中的一系列問(wèn)題,但也帶來(lái)了新的安全隱患,如興趣包泛洪攻擊、緩存污染攻擊等。針對(duì)主流攻擊方式的特點(diǎn),從攻擊檢測(cè)角度出發(fā),剖析現(xiàn)有方案,總結(jié)不同檢測(cè)方案采用的策略類(lèi)型及其各自的優(yōu)缺點(diǎn),并展望其發(fā)展前景。
00
引 言
現(xiàn)代互聯(lián)網(wǎng)核心需求已向數(shù)據(jù)共享轉(zhuǎn)變,致使傳輸控制協(xié)議/網(wǎng)際協(xié)議(Transmission Control Protocol/Internet Protocol,TCP/IP)網(wǎng)絡(luò)由于種種缺點(diǎn)已經(jīng)不適應(yīng)這種轉(zhuǎn)變趨勢(shì)。為了滿(mǎn)足需求的轉(zhuǎn)變,迫切需要改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。
命名數(shù)據(jù)網(wǎng)絡(luò)(Named Data Network,NDN)由于理念先進(jìn)、方案可行、社區(qū)活躍,從眾多“革命式”的網(wǎng)絡(luò)架構(gòu)中脫穎而出,成為一種主流網(wǎng)絡(luò)架構(gòu)。它獨(dú)特的安全機(jī)制克服了現(xiàn)有IP網(wǎng)絡(luò)的安全缺陷,但也面臨著許多新的安全挑戰(zhàn)。現(xiàn)階段針對(duì)命名數(shù)據(jù)網(wǎng)絡(luò)的攻擊手段層出不窮,如興趣包泛洪攻擊(Interest Flooding Attack,IFA)、緩存污染攻擊等。如何快速準(zhǔn)確地檢測(cè)相關(guān)的攻擊手段,以支撐后續(xù)的防御方案制定,是學(xué)術(shù)界研究的一個(gè)重點(diǎn)方向。
本文闡述NDN相比IP網(wǎng)絡(luò)的優(yōu)勢(shì),分析其面臨的安全威脅,闡述兩種典型的網(wǎng)絡(luò)攻擊方式,并分析相應(yīng)的攻擊檢測(cè)技術(shù)及其存在的優(yōu)缺點(diǎn),探討其未來(lái)可能的發(fā)展方向。
01
NDN安全優(yōu)勢(shì)及面臨的威脅
NDN網(wǎng)絡(luò)顛覆了IP網(wǎng)絡(luò)架構(gòu),將網(wǎng)絡(luò)的核心從主機(jī)地址轉(zhuǎn)變?yōu)閿?shù)據(jù)內(nèi)容。此外,獨(dú)特的內(nèi)生安全技術(shù)有效解決了現(xiàn)有IP網(wǎng)絡(luò)中的一系列問(wèn)題,但也面臨著許多新的挑戰(zhàn)。
現(xiàn)有IP網(wǎng)絡(luò)中面臨的主流攻擊方式有拒絕服務(wù)/分布式拒絕服務(wù)攻擊(Denial of Service/Distributed Denial of Service,DoS/DDoS)、嗅探(Snooping)攻擊、篡改(Modification)攻擊、數(shù)據(jù)流分析(Traffic Analysis)攻擊、偽裝(Masquerading)攻擊、重放(Replay)攻擊以及抵賴(lài)(Repudiation)攻擊。不同的攻擊方式對(duì)信息的影響不同,如表1所示。
表1 不同攻擊方式對(duì)安全的影響
嗅探攻擊、數(shù)據(jù)流分析攻擊影響信息的機(jī)密性,未經(jīng)授權(quán)的用戶(hù)能夠輕易訪問(wèn)網(wǎng)絡(luò)中的消息。重放攻擊、抵賴(lài)攻擊影響信息的完整性,無(wú)法保證數(shù)據(jù)的準(zhǔn)確性和可靠性。篡改攻擊、偽裝攻擊會(huì)影響數(shù)據(jù)的機(jī)密性和完整性。拒絕服務(wù)攻擊通過(guò)多種攻擊方式,使得目標(biāo)服務(wù)或者主機(jī)直接癱瘓,影響信息的可用性。
NDN網(wǎng)絡(luò)架構(gòu)確保了完整性和機(jī)密性,避免了IP網(wǎng)絡(luò)中存在的主流攻擊行為。生產(chǎn)者對(duì)內(nèi)容的簽名認(rèn)證保證了數(shù)據(jù)的完整性。假設(shè)中間節(jié)點(diǎn)截獲數(shù)據(jù),對(duì)其進(jìn)行嗅探,由于數(shù)據(jù)經(jīng)過(guò)加密,攻擊者并不能解析出真正的數(shù)據(jù)內(nèi)容。如果攻擊者對(duì)數(shù)據(jù)做了篡改,由于數(shù)字簽名的存在,消費(fèi)者在接收到數(shù)據(jù)包后驗(yàn)證不通過(guò),則會(huì)丟棄篡改的報(bào)文,因此篡改攻擊不能生效。偽裝攻擊的基礎(chǔ)是IP地址。NDN網(wǎng)絡(luò)并不通過(guò)IP地址進(jìn)行路由通信。NDN架構(gòu)由于興趣包Nonce字段和待轉(zhuǎn)發(fā)興趣表(Pending Interest Table,PIT)表項(xiàng)的存在,能夠?qū)崿F(xiàn)流量聚合,避免重放攻擊帶來(lái)的威脅。簽名能夠保證數(shù)據(jù)的不可抵賴(lài)。拒絕服務(wù)攻擊由于主要攻擊信息的可用性,因此在NDN中仍舊存在拒絕服務(wù)攻擊的威脅,但是攻擊方式產(chǎn)生了變化。
NDN創(chuàng)新性的架構(gòu)能夠避免現(xiàn)有IP網(wǎng)絡(luò)中面臨的一系列安全問(wèn)題,如重放攻擊、數(shù)據(jù)篡改等,也存在新的安全威脅。目前,針對(duì)NDN網(wǎng)絡(luò)的一系列攻擊方式不斷更新,主流的攻擊方式有興趣包泛洪攻擊和緩存污染攻擊。興趣包泛洪攻擊和緩存污染攻擊已經(jīng)成為NDN實(shí)際部署中的巨大阻礙。如何檢測(cè)上述攻擊行為是成功防范攻擊的重要前提。如表2所示,IFA攻擊主要發(fā)起者為消費(fèi)者應(yīng)用,而緩存污染攻擊(Cache Pollution Attack,CPA)的攻擊發(fā)起需要多方配合。下面結(jié)合實(shí)例說(shuō)明具體攻擊方式和現(xiàn)有的檢測(cè)手段。
表2 主流攻擊方式及其特性
02
主流攻擊方式的檢測(cè)技術(shù)研究
2.1 興趣包泛洪攻擊
興趣包泛洪攻擊的主要目標(biāo)是網(wǎng)絡(luò)中的路由節(jié)點(diǎn)。攻擊者構(gòu)造大量的興趣包消耗網(wǎng)絡(luò)鏈路帶寬源,導(dǎo)致PIT表項(xiàng)溢出,影響網(wǎng)絡(luò)中的消費(fèi)者應(yīng)用、生產(chǎn)者應(yīng)用以及路由節(jié)點(diǎn),最終阻礙數(shù)據(jù)的正常獲取。
如圖1所示,攻擊者通過(guò)向網(wǎng)絡(luò)中不斷發(fā)送興趣包,使得邊緣路由節(jié)點(diǎn)過(guò)載,丟棄用戶(hù)發(fā)出的興趣包和服務(wù)端返回的數(shù)據(jù)包,最終阻礙了用戶(hù)正常獲取數(shù)據(jù)。
圖1 興趣包泛洪攻擊
GASTI指出DND中同樣存在DoS攻擊,為興趣包泛洪攻擊。作者將DND中的興趣包泛洪攻擊方式分為3種,分別為請(qǐng)求大量已存在或者靜態(tài)的內(nèi)容(Pre-existing/Static Prefix Interest Flooding Attack,pIFA/sIFA)、請(qǐng)求大量不存在的內(nèi)容(No-existing Prefix Interest Flooding Attack,nIFA)和請(qǐng)求大量動(dòng)態(tài)生成的內(nèi)容(dynamic Prefix Interest Flooding Attack,dIFA)。對(duì)于第1種攻擊方式,由于NDN路由節(jié)點(diǎn)中緩存(Content Storage,CS)的存在,攻擊者發(fā)送的重復(fù)興趣包會(huì)在邊緣節(jié)點(diǎn)得到滿(mǎn)足,不會(huì)對(duì)網(wǎng)絡(luò)中心造成巨大影響。第2種攻擊方式會(huì)請(qǐng)求大量不流行的內(nèi)容,使得整個(gè)NDN網(wǎng)絡(luò)無(wú)法發(fā)揮緩存優(yōu)勢(shì),導(dǎo)致正常的興趣請(qǐng)求會(huì)表現(xiàn)出較大的延遲。第3種攻擊方式會(huì)請(qǐng)求大量不存在內(nèi)容,會(huì)使路由節(jié)點(diǎn)中PIT表被大量不存在內(nèi)容占用,使得正常的請(qǐng)求不能夠得到滿(mǎn)足。這種攻擊方式是3種攻擊方式中最嚴(yán)重的。GASTI提出了一種嘗試性的對(duì)策來(lái)檢測(cè)興趣泛濫攻擊,但是缺乏具體的方法論述。
SIGNORELLO在上述基礎(chǔ)上發(fā)展了bIFA和cIFA兩種新式的攻擊方式。bIFA攻擊中請(qǐng)求的數(shù)據(jù)包混合了存在的內(nèi)容和不存在的內(nèi)容,模糊了攻擊源真實(shí)性,使得針對(duì)內(nèi)容存在性的單一檢測(cè)體系失效。cIFA攻擊方式主要請(qǐng)求的是不存在的內(nèi)容,但是內(nèi)容的命名前綴是可變的,掩飾了攻擊源的攻擊意圖。
上述主流攻擊方式中:靜態(tài)前綴易于檢測(cè),對(duì)網(wǎng)絡(luò)影響較小;動(dòng)態(tài)前綴對(duì)網(wǎng)絡(luò)影響較大,尤其是混合前綴攻擊很難發(fā)現(xiàn),對(duì)網(wǎng)絡(luò)危害性大。綜上所述,興趣包泛洪攻擊作為拒絕服務(wù)攻擊在NDN中的現(xiàn)實(shí)體現(xiàn),與IP網(wǎng)絡(luò)中一樣,深度威脅著網(wǎng)絡(luò)安全。
2.1.1 興趣包泛洪攻擊檢測(cè)方法
針對(duì)IFA攻擊,AFANASYEV從統(tǒng)計(jì)模型出發(fā),提出了3種算法。首先提出了基于接口公平性的令牌桶算法,原理與經(jīng)典的令牌算法類(lèi)似,不同之處在于出接口可用的令牌平均分配在入接口上,限制了每個(gè)接口可轉(zhuǎn)發(fā)的興趣包數(shù)量。其次,提出了一種基于興趣包滿(mǎn)足率的決策算法,以興趣包滿(mǎn)足率為基礎(chǔ)產(chǎn)生一個(gè)隨機(jī)數(shù),由此決定是否接收此興趣包。最后,提出了基于興趣包滿(mǎn)足率的回退算法,在每個(gè)接口上都對(duì)興趣包滿(mǎn)足率進(jìn)行限制,然后向全網(wǎng)傳播。此方法改進(jìn)了每個(gè)接口的統(tǒng)計(jì)數(shù)據(jù),提升了全網(wǎng)興趣包滿(mǎn)足率,從而間接緩解了興趣包泛洪攻擊帶來(lái)的危害。但是,這3種方法在對(duì)接口進(jìn)行限制時(shí)均使用的是概率算法,導(dǎo)致合法的興趣請(qǐng)求很大概率上被忽視。
DAI為PIT表設(shè)定一個(gè)閾值,僅通過(guò)檢測(cè)PIT大小是否超過(guò)閾值來(lái)判斷興趣包泛洪攻擊是否發(fā)生。當(dāng)超出閾值時(shí),合法用戶(hù)的請(qǐng)求將會(huì)被判定成泛洪攻擊。這種檢測(cè)方式過(guò)于簡(jiǎn)單,缺乏細(xì)粒度的思考。
COMPAGNO提出了一種名為Poseidon的方法。Poseidon為兩個(gè)參數(shù)設(shè)定閾值,一是傳入興趣包和傳出數(shù)據(jù)包的比率,二是每個(gè)接口的PIT空間。在某個(gè)接口上如果檢測(cè)到兩者均超出閾值,那么就判定此接口受到攻擊。與DAI相比,COMPAGNO在此基礎(chǔ)上考慮興趣包滿(mǎn)足率,而與AFANASYEV相比加入了對(duì)PIT大小的考慮,在誤檢測(cè)率上相比兩者都低。
TANG將檢測(cè)分為粗檢測(cè)階段和精準(zhǔn)識(shí)別階段。它為接口定義了一個(gè)相對(duì)強(qiáng)度指數(shù)(Relative Strength Index,RSI),并預(yù)先設(shè)定了一個(gè)閾值。如果相對(duì)強(qiáng)度指數(shù)高于閾值,則表示某一時(shí)段不斷接收興趣包,返回?cái)?shù)據(jù)包較少,是受到興趣包泛洪攻擊的顯著體現(xiàn),由此進(jìn)入精準(zhǔn)識(shí)別階段。在精準(zhǔn)識(shí)別階段,路由器計(jì)算超時(shí)前綴的超時(shí)率。如果超時(shí)率超過(guò)設(shè)定的閾值,那么表示此前綴的興趣包為異常興趣包,很有可能是攻擊者發(fā)起的攻擊。此方法在接口檢測(cè)的基礎(chǔ)上進(jìn)一步檢測(cè)命名前綴,實(shí)現(xiàn)了細(xì)粒度攻擊檢測(cè),但是并沒(méi)有考慮到PIT大小。
WANG提出了基于前綴超時(shí)的PIT禁用策略(Disabling PIT Exhaustion,DPE)。每個(gè)路由節(jié)點(diǎn)通過(guò)一個(gè)m-list表記錄每種命名前綴過(guò)期的數(shù)目,并設(shè)定一個(gè)閾值。如果超過(guò)閾值,則將此前綴指定為惡意前綴,在后續(xù)接收到此前綴的興趣包時(shí)不再緩存在PIT表中,而是直接轉(zhuǎn)發(fā)至下游節(jié)點(diǎn)。此種方法對(duì)cIFA的效果顯著,但是同樣前綴的合法興趣包可能會(huì)被誤判,直接判定為攻擊行為。
之后,WANG又提出了一種基于模糊測(cè)試的方法。每個(gè)路由器定期監(jiān)測(cè)PIT占用率(PIT Occupancy Radio,POR)和PIT超時(shí)率(PIT Expired Radio,PER)。POR是給定時(shí)間間隔內(nèi)當(dāng)前PIT條目數(shù)與最大PIT條目數(shù)之比。PER是給定時(shí)間間隔內(nèi)過(guò)期PIT條目數(shù)與未決PIT條目總數(shù)的比率。POR和PER都充當(dāng)模糊變量。檢測(cè)機(jī)制使用它們來(lái)檢測(cè)興趣泛濫攻擊。當(dāng)模糊變量之一變高時(shí),檢測(cè)到攻擊。其中,PIT表項(xiàng)過(guò)多或PIT表項(xiàng)過(guò)期的前綴可被視為惡意前綴。本文中檢測(cè)基于POR,當(dāng)興趣包到達(dá)率增加時(shí),POR會(huì)增加。但是,有時(shí)POR也會(huì)由于合法的流量突發(fā)而增加,可能會(huì)導(dǎo)致誤報(bào)。由于這種方法基于PIT超時(shí)率,因此對(duì)聚合興趣包泛洪攻擊無(wú)效。COMPAGNO等人的方法優(yōu)于這種方法。
KARAMI提出了一種基于多目標(biāo)優(yōu)化的徑向基神經(jīng)網(wǎng)絡(luò)(Radial Basis Function-Particle Swarm Optimization,RBF-PSO)方法來(lái)檢測(cè)興趣包泛洪攻擊,能夠很好地檢測(cè)針對(duì)已存在命名前綴的攻擊、隨機(jī)前綴以及前綴劫持攻擊。RBF-PSO中選用12個(gè)特征值作為RBF神經(jīng)網(wǎng)絡(luò)的輸入層,使用NSGA-Ⅱ多目標(biāo)遺傳算法選擇優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)基函數(shù)中心,并利用粒子群優(yōu)化算法(Particle Swarm Optimization,PSO)優(yōu)化RBF的輸出權(quán)值,訓(xùn)練得到神經(jīng)網(wǎng)絡(luò)用于檢測(cè)興趣包泛洪攻擊。但是,此方法并沒(méi)有闡述12個(gè)特征值的選取理由。此外,神經(jīng)網(wǎng)絡(luò)的訓(xùn)練使用固定拓?fù)涞牧髁繑?shù)據(jù),導(dǎo)致RBF-PSO方法依賴(lài)于網(wǎng)絡(luò)拓?fù)洹2煌耐負(fù)洳⒉荒苁褂猛环N分類(lèi)器進(jìn)行檢測(cè)。
TAN提出了一種基于廣義似然比檢驗(yàn)算法(Generalized-Likelihood Ratio Test,GLRT)的興趣包泛洪攻擊檢測(cè)方法,以期望的告警概率為參數(shù),計(jì)算檢測(cè)閾值。
VASSILAKIS將焦點(diǎn)集中于邊緣路由器,計(jì)算單位時(shí)間內(nèi)過(guò)期PIT條目數(shù)來(lái)檢測(cè)惡意消費(fèi)者。
XIN提出了一種基于非參數(shù)化遞歸算法(Cumulative Sum,CUSUM)的方法來(lái)檢測(cè)接口上興趣包命名前綴的熵平均值。如果熵超過(guò)預(yù)定義的閾值,則檢測(cè)到攻擊。檢測(cè)到攻擊后,利用相對(duì)熵來(lái)識(shí)別惡意命名前綴。文中的策略通過(guò)命名前綴的變化,觀察是否遭受到攻擊,因此這種方法無(wú)法檢測(cè)cIFA。
DING分析了興趣包泛洪攻擊的3個(gè)特性,即分布式攻擊、高請(qǐng)求頻率以及請(qǐng)求不存在的內(nèi)容。這3種特性在網(wǎng)絡(luò)中的具象為命名前綴的PIT占用率、PIT超時(shí)率和潛在攻擊率(Potential Attack Radio,PAR)。同時(shí),將路由器劃分為“正常”“風(fēng)險(xiǎn)”“未知”3個(gè)狀態(tài),狀態(tài)值由3種特性的具象的平方和的平方根確定。據(jù)此開(kāi)發(fā)了一種馬爾科夫模型,用以檢測(cè)是否有攻擊存在。這種方法比WANG提出的方法性能要好,因?yàn)槌薖OR和PER之外,還將PAR作為參數(shù)。
SALAH提出了一種集中控制的檢測(cè)方法,通過(guò)NDN路由器(NDN Router,NR)收集基本數(shù)據(jù),通過(guò)監(jiān)控路由器(Monitor Router,MR)收集相關(guān)信息,計(jì)算得到PIT利用率(PIT Used Radio,PUR)和PIT到期率(PIT Expired Radio,PER)。當(dāng)PUR超過(guò)預(yù)定義的閾值且PER的值為正時(shí),則檢測(cè)到攻擊。檢測(cè)后,過(guò)期的命名前綴被MR視為是惡意的。但是,過(guò)多的信息交互會(huì)產(chǎn)生更多的開(kāi)銷(xiāo)。
XIN提出了一種基于小波分析的聚合興趣泛洪攻擊檢測(cè)方法。與其他流量相比,聚合興趣泛洪攻擊對(duì)應(yīng)的流量的功率譜密度較低,所以利用子帶的平均攻擊強(qiáng)度來(lái)檢測(cè)攻擊,并通過(guò)實(shí)驗(yàn)選擇檢測(cè)閾值。
KUMAR選取6個(gè)參數(shù)通過(guò)不同的機(jī)器學(xué)習(xí)方法來(lái)檢測(cè)興趣包泛洪攻擊,并實(shí)驗(yàn)比較了不同的機(jī)器學(xué)習(xí)方法,結(jié)果顯示模擬和實(shí)現(xiàn)的興趣泛洪攻擊檢測(cè)的準(zhǔn)確性幾乎相同。
ZH給出了一種基于基尼不純度(Gini Impurity,GI)的興趣泛洪攻擊檢測(cè)方法。路由器計(jì)算特定時(shí)間段內(nèi)觀察到的一組命名空間的GI。當(dāng)GI的相對(duì)變化超過(guò)一定的閾值時(shí),會(huì)檢測(cè)到攻擊。檢測(cè)到攻擊后,通過(guò)用新集合中相同名稱(chēng)空間的概率替換舊集合中每個(gè)名稱(chēng)空間的概率,同時(shí)計(jì)算這兩個(gè)集合之間的差異。如果差異為負(fù),則認(rèn)為前綴是惡意的。因此,這種方法檢測(cè)cIFA是可行的,因?yàn)樵赾IFA中攻擊者攻擊多個(gè)目標(biāo)前綴時(shí)命名前綴的GI會(huì)保持不變。
2.1.2 小 結(jié)
上述的各檢測(cè)方法可分為3類(lèi),分別為基于統(tǒng)計(jì)模型、基于概率模型和其他方法。相關(guān)分類(lèi)以及特點(diǎn)如表3所示。
表3 興趣包泛洪攻擊檢測(cè)方法的對(duì)比
從檢測(cè)模型分類(lèi)來(lái)看,基于統(tǒng)計(jì)模型的方法最多的是基于閾值的檢測(cè),其次是基于模糊測(cè)試和假設(shè)檢驗(yàn)的測(cè)試。基于概率模型的方法有基于馬爾科夫模型的檢測(cè)和基于熵的檢測(cè)。其他方法則有小波分析和機(jī)器學(xué)習(xí)。
從檢測(cè)的攻擊類(lèi)型來(lái)看,主要關(guān)注的是pIFA和dIFA,其他類(lèi)型的攻擊沒(méi)有必要進(jìn)行深入研究。對(duì)于cIFA和bIFA,大多數(shù)方法沒(méi)有很好的策略進(jìn)行檢測(cè),所以對(duì)cIFA和bIFA的檢測(cè)是未來(lái)值得關(guān)注的重點(diǎn)之一。
從檢測(cè)的粒度來(lái)看,主要分為路由節(jié)點(diǎn)、接口、命名前綴以及PIT條目。所有的檢測(cè)方法應(yīng)該關(guān)注細(xì)粒度的檢測(cè),以精確識(shí)別攻擊者的意圖,從而采取針對(duì)性的策略。
此外,IFA攻擊檢測(cè)應(yīng)該能夠較快速檢測(cè)出各種攻擊行為,同時(shí)占用較低的計(jì)算存儲(chǔ)性能。
2.2 緩存污染攻擊
緩存污染攻擊的主要目標(biāo)是邊緣路由節(jié)點(diǎn)的CS表。增大數(shù)據(jù)獲取時(shí)延的攻擊方式分為破壞內(nèi)容分布特性攻擊(Locality Disruption Attack,LDA)和偽造內(nèi)容分布特性攻擊(False Locality Attack,F(xiàn)LA)兩種。LDA和FLA的攻擊看似相似,實(shí)際上攻擊方式不相同。LDA是通過(guò)請(qǐng)求不流行內(nèi)容,耗用緩存資源。正常用戶(hù)在請(qǐng)求流行內(nèi)容時(shí),由于邊緣NDN節(jié)點(diǎn)CS資源被不流行內(nèi)容占用,所以緩存命中率會(huì)明顯下降。FLA的攻擊目的是偽造高熱度內(nèi)容,欺騙NDN路由節(jié)點(diǎn),取代CS中真實(shí)的流行內(nèi)容,使得偽熱度內(nèi)容在網(wǎng)絡(luò)中長(zhǎng)期駐留,如圖2所示。
圖2 緩存污染攻擊
污染目標(biāo)數(shù)據(jù)的攻擊方式有對(duì)已有內(nèi)容的污染和對(duì)未來(lái)將要請(qǐng)求內(nèi)容的污染兩種。對(duì)已有內(nèi)容的污染是指攻擊者通過(guò)控制全網(wǎng)拓?fù)渲心骋宦酚晒?jié)點(diǎn),在消費(fèi)者發(fā)送興趣請(qǐng)求時(shí)返回偽造的錯(cuò)誤內(nèi)容,致使沿途的路由節(jié)點(diǎn)緩存已污染的錯(cuò)誤內(nèi)容。這樣后續(xù)用戶(hù)在請(qǐng)求時(shí),會(huì)直接接收到錯(cuò)誤內(nèi)容。對(duì)未來(lái)將要請(qǐng)求內(nèi)容的污染是指假設(shè)攻擊者預(yù)測(cè)到某個(gè)特殊的內(nèi)容在未來(lái)某個(gè)時(shí)間段會(huì)被請(qǐng)求,則可以通過(guò)已攻破的一臺(tái)消費(fèi)者主機(jī)提前請(qǐng)求此內(nèi)容,同時(shí)控制一個(gè)內(nèi)容服務(wù)器返回污染的內(nèi)容,將污染的內(nèi)容提前緩存在拓?fù)渲械穆酚晒?jié)點(diǎn),之后當(dāng)消費(fèi)者在請(qǐng)求此內(nèi)容時(shí)會(huì)直接接收到被污染的內(nèi)容。
2.2.1 緩存污染攻擊檢測(cè)方法
針對(duì)緩存污染攻擊(Cache Pollution Attack,CPA)攻擊,XIE提出了一種緩解緩存污染攻擊的方法,稱(chēng)為緩存屏蔽。在這種方法中,CS存儲(chǔ)內(nèi)容包括名稱(chēng)、頻率以及實(shí)際內(nèi)容的占位符。當(dāng)路由器第一次收到內(nèi)容時(shí),它的占位符存儲(chǔ)在CS中,計(jì)數(shù)器最初設(shè)置為0。如果路由器接收到占位符已存儲(chǔ)在CS中的內(nèi)容,則計(jì)算屏蔽函數(shù),并決定是否緩存數(shù)據(jù)。如果緩存內(nèi)容,則路由器用實(shí)際內(nèi)容替換內(nèi)容占位符,否則計(jì)數(shù)器增加。這種方法具有很高的空間和時(shí)間復(fù)雜度,因?yàn)槁酚善魇褂妙~外的空間來(lái)存儲(chǔ)名稱(chēng)占位符,且每當(dāng)它接收到內(nèi)容時(shí)都會(huì)使用額外的CPU周期來(lái)計(jì)算屏蔽功能。此外,作者沒(méi)有討論如何在同一個(gè)CS中實(shí)現(xiàn)內(nèi)容緩存和內(nèi)容占位符。
CONTI提出了一種檢測(cè)LDA和LFA的方法。該方法由兩個(gè)階段組成,即學(xué)習(xí)階段和檢測(cè)階段。在學(xué)習(xí)階段,緩存算法通過(guò)隨機(jī)抽樣選擇內(nèi)容的ID來(lái)創(chuàng)建一個(gè)集合。路由器跟蹤屬于集合的內(nèi)容,以計(jì)算用于檢測(cè)攻擊的閾值。在檢測(cè)階段,路由器計(jì)算測(cè)量的可變性。如果大于閾值,則表明有攻擊。此方法相比XIE的優(yōu)點(diǎn)在于對(duì)內(nèi)容進(jìn)行隨機(jī)抽樣,帶來(lái)的結(jié)果就是低內(nèi)存占用和低計(jì)算開(kāi)銷(xiāo)。該方法的效果很大程度上取決于集合的選擇。
XU假設(shè)了這樣的攻擊場(chǎng)景,即攻擊者為少量不受歡迎的命名前綴請(qǐng)求大量興趣包,提出了一種能夠檢測(cè)此種攻擊場(chǎng)景的方法,包括流量監(jiān)控和識(shí)別兩個(gè)階段。在流量監(jiān)控階段,路由器使用輕量級(jí)基數(shù)估計(jì)算法(Lightweight Flajolet Martin,LFM)監(jiān)控具有公共命名空間的不同興趣包,并使用蒙特卡羅假設(shè)檢驗(yàn)計(jì)算閾值。在識(shí)別階段,路由器定期監(jiān)控流量并計(jì)算結(jié)果。如果超過(guò)閾值,則標(biāo)識(shí)正在受到攻擊。這種方法具有相對(duì)較低的內(nèi)存占用和計(jì)算開(kāi)銷(xiāo),但是只適用于特定的攻擊場(chǎng)景,不能抵抗FLA攻擊。
GUO分析在常規(guī)網(wǎng)絡(luò)狀況下同一內(nèi)容的請(qǐng)求者應(yīng)該來(lái)自于不同的網(wǎng)絡(luò)域,并基于此前提提出了基于路徑多樣性的檢測(cè)方法。NDN骨干路由器為CS中的每個(gè)內(nèi)容維護(hù)兩條信息,即內(nèi)容被命中的次數(shù)和名為PathTracker的數(shù)據(jù)結(jié)構(gòu)(存儲(chǔ)請(qǐng)求的興趣包來(lái)源的路徑數(shù)量)。根據(jù)命中次數(shù),利用伯努利分布計(jì)算不同路徑的預(yù)期數(shù),再利用不同路徑的預(yù)期數(shù)和命中數(shù)計(jì)算閾值,利用不同路徑的實(shí)際數(shù)和命中數(shù)計(jì)算比較值。如果結(jié)果大于閾值,則表明受到了攻擊。
SALAH將節(jié)點(diǎn)分為3類(lèi),即ISP控制器(ISP Controller,IC)、監(jiān)控節(jié)點(diǎn)(Monitoring Node,MN)和NDN節(jié)點(diǎn)(NDN Node,NN)。MN周期性地向IC發(fā)送他們觀察到的內(nèi)容列表和請(qǐng)求內(nèi)容的時(shí)間,然后IC會(huì)根據(jù)它們的流行度形成一個(gè)命名前綴白名單,并將白名單的內(nèi)容分發(fā)給MN,指示緩存名單中的內(nèi)容,主要通知NN緩存不在NN關(guān)聯(lián)的MR的白名單中的內(nèi)容。這種方法確保流行數(shù)據(jù)始終緩存在網(wǎng)絡(luò)中,減少了互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Provider,ISP)數(shù)據(jù)請(qǐng)求的數(shù)量。此方法通過(guò)集中控制全網(wǎng)緩存空間資源,將流行的內(nèi)容始終緩存在網(wǎng)內(nèi),提升了NDN網(wǎng)絡(luò)內(nèi)容分發(fā)的性能,但沒(méi)有明確闡述對(duì)內(nèi)容分發(fā)的技術(shù)。
ZHANG提出了一種基于內(nèi)容位置的緩存污染攻擊檢測(cè)和緩解方法。使用每個(gè)前綴的變異系數(shù)(Coefficient Of Variation,COV)和流行度兩個(gè)參數(shù)來(lái)決定是否緩存。當(dāng)路由器收到興趣包時(shí),路由器會(huì)更新其數(shù)據(jù)集,其中包含前綴、傳入接口和頻率等信息,用于計(jì)算COV。前綴的流行度是為其請(qǐng)求興趣包的次數(shù)。當(dāng)路由器收到數(shù)據(jù)包時(shí),路由器會(huì)根據(jù)流行度和COV的值決定是否緩存數(shù)據(jù)包。
PARK提出了一種利用請(qǐng)求熵檢測(cè)低速率LDA攻擊的方法。路由器將每個(gè)內(nèi)容對(duì)象的名稱(chēng)映射到二進(jìn)制矩陣,矩陣的索引表示在對(duì)名稱(chēng)進(jìn)行散列并使用兩個(gè)不同的正整數(shù)對(duì)結(jié)果取模后獲得的值。如果對(duì)象存在一個(gè)特定的映射,則對(duì)應(yīng)的值設(shè)置為1,否則設(shè)置為0。應(yīng)用高斯消元后,矩陣的秩值用于檢測(cè)請(qǐng)求隨機(jī)行為的變化。指數(shù)加權(quán)平均用于平滑秩值隨時(shí)間的變化,當(dāng)秩超過(guò)預(yù)定義的閾值時(shí),會(huì)檢測(cè)到攻擊。但是,這種方法將消耗路由節(jié)點(diǎn)巨大的計(jì)算資源。
KARAMI提出了基于自適應(yīng)神經(jīng)模糊推理系統(tǒng)(Adaptive Network Based Fuzzy Inference Systems,ANFIS)的緩存替換策略。它使用神經(jīng)模糊網(wǎng)絡(luò)計(jì)算數(shù)據(jù)包的優(yōu)度值,通過(guò)收集每個(gè)數(shù)據(jù)包的統(tǒng)計(jì)信息,將信息通過(guò)模糊神經(jīng)網(wǎng)絡(luò)細(xì)化優(yōu)度值,將其用于緩存替換。ANFIS可以應(yīng)對(duì)大多數(shù)攻擊,但由于方法獨(dú)立運(yùn)行于路由器,路由節(jié)點(diǎn)之間并無(wú)信息交互,因此有預(yù)謀的攻擊者可以利用特定的策略攻擊邊緣路由節(jié)點(diǎn),導(dǎo)致路由節(jié)點(diǎn)反而會(huì)不斷緩存攻擊者請(qǐng)求的內(nèi)容,導(dǎo)致產(chǎn)生緩存污染攻擊。
2.2.2 小 結(jié)
對(duì)緩存污染攻擊的檢測(cè)方法同樣可分為3類(lèi),分別為基于統(tǒng)計(jì)模型的方法、基于概率模型的方法以及其他方法,相關(guān)分類(lèi)和特點(diǎn)如表4所示。
表4 緩存污染攻擊檢測(cè)方法的對(duì)比
從檢測(cè)的模型分類(lèi)來(lái)看,基于統(tǒng)計(jì)模型的方法占優(yōu)勢(shì),基本都是采用基于閾值的檢測(cè)方法、基于熵的檢測(cè)方法,少數(shù)是基于機(jī)器學(xué)習(xí)的方法。
從檢測(cè)的攻擊類(lèi)型來(lái)看,緩存污染的檢測(cè)中,LDA相比FLA更容易檢測(cè)。基于本地流行度的檢測(cè)方案并不能應(yīng)對(duì)FLA攻擊。大多數(shù)緩存污染攻擊的檢測(cè)方法都是基于閾值的策略,而閾值是根據(jù)路由器接收到的內(nèi)容數(shù)據(jù)包計(jì)算而來(lái)的。如果內(nèi)容流行度不高,則并不會(huì)緩存,所以FLA相比LDA更難檢測(cè)。
03
展 望
NDN是一個(gè)開(kāi)放的網(wǎng)絡(luò)架構(gòu),使得NDN攻擊的檢測(cè)更具挑戰(zhàn)性。根據(jù)本文的分析,未來(lái)的研究主要集中在以下方向。
(1)對(duì)于興趣包泛洪攻擊的檢測(cè),不同的攻擊場(chǎng)景應(yīng)該不局限于一種方法。單一方法應(yīng)對(duì)所有的攻擊是不現(xiàn)實(shí)的,但是可以用可擴(kuò)展的框架來(lái)囊括對(duì)所有攻擊的檢測(cè),甚至新的攻擊方式。
(2)在興趣包泛洪攻擊檢測(cè)的粒度方面,應(yīng)該遵循細(xì)粒度的原則,精準(zhǔn)識(shí)別攻擊針對(duì)的路由接口和命名前綴。
(3)對(duì)于緩存污染攻擊,應(yīng)該著重對(duì)FLA攻擊方式進(jìn)行進(jìn)一步深入研究,綜合考慮局部流行度和全局流行度,因?yàn)镕LA可以影響局部流行度,依據(jù)局部流行度的策略可能會(huì)失效。
(4)對(duì)于興趣包泛洪攻擊和緩存污染攻擊的檢測(cè),應(yīng)該保持較低的內(nèi)存占用和較少的計(jì)算開(kāi)銷(xiāo)。
(5)機(jī)器學(xué)習(xí)方法用于攻擊檢測(cè),值得進(jìn)一步探索。在固定網(wǎng)系中,使用機(jī)器學(xué)習(xí)的方式進(jìn)行檢測(cè),即使依賴(lài)海量數(shù)據(jù)采集和大型計(jì)算資源消耗也能夠?qū)崿F(xiàn),因?yàn)楹笈_(tái)能夠提供強(qiáng)有力的算力、帶寬等資源支撐。但是,在分布式移動(dòng)網(wǎng)絡(luò)中,資源有限,基于機(jī)器學(xué)習(xí)的檢測(cè)方法面臨困境,所以NDN應(yīng)用于分布式移動(dòng)網(wǎng)絡(luò),如小型無(wú)人機(jī)自組網(wǎng)。它的相關(guān)的檢測(cè)技術(shù)值得進(jìn)一步關(guān)注。
04
結(jié) 語(yǔ)
DND突破了原有IP架構(gòu)的限制,是下一代互聯(lián)網(wǎng)主流的架構(gòu)之一。但是,NDN面臨著新的安全隱患,如興趣包泛洪攻擊和緩存污染攻擊。本文重點(diǎn)介紹這兩種攻擊方式,論述攻擊檢測(cè)手段,討論不同手段的方法、檢測(cè)對(duì)象以及有效性,最后強(qiáng)調(diào)了未來(lái)研究可能的方向,以便后續(xù)人員研究借鑒。
