V-NDN中PBDA攻擊的檢測與緩解方法的研究*

龐 濱，張 茹，李 茹

內(nèi)蒙古大學(xué) 計算機學(xué)院，呼和浩特 010021

1 引言

對于網(wǎng)絡(luò)資源的消費者來說，人們只關(guān)心如何快速獲取網(wǎng)絡(luò)中的內(nèi)容，而不關(guān)心內(nèi)容的具體位置，傳統(tǒng)的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議（transmission control protocol/Internet protocol，TCP/IP）的網(wǎng)絡(luò)體系結(jié)構(gòu)已經(jīng)滿足不了如今人們對網(wǎng)絡(luò)資源獲取的需求。針對傳統(tǒng)互聯(lián)網(wǎng)存在的問題，以內(nèi)容為中心的網(wǎng)絡(luò)體系架構(gòu)得到了很大的關(guān)注。命名數(shù)據(jù)網(wǎng)絡(luò)（named data networking，NDN）[1]以內(nèi)容為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)是2009年由加州大學(xué)洛杉磯分校的張麗霞和Van Jacobson等人提出的。NDN因其內(nèi)容命名的地理位置無關(guān)性和資源就近滿足的內(nèi)容緩存機制使其更適合部署在車輛自組織網(wǎng)絡(luò)（vehicular Ad-hoc network，VANET）環(huán)境中[2-7]。在NDN架構(gòu)提出不久之后，NDN的提出者張麗霞等人就開始致力于將NDN部署到移動無線環(huán)境的研究，特別是對典型的移動無線環(huán)境VANET投入了更多的關(guān)注。NDN在VANET環(huán)境下的部署成為當(dāng)前網(wǎng)絡(luò)研究的熱點之一[7-16]。

近年來，拒絕服務(wù)攻擊（denial of service，DoS）和分布式拒絕服務(wù)攻擊（distributeddenialofservice，DDoS）變得越來越普遍[17]。在傳統(tǒng)的以主機為中心的TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)每一層中都存在這類攻擊問題。在命名數(shù)據(jù)網(wǎng)絡(luò)中，終端用戶通過發(fā)送興趣請求包請求所需的數(shù)據(jù)，而網(wǎng)絡(luò)唯一地響應(yīng)每個請求，網(wǎng)絡(luò)架構(gòu)的不同有效避免了傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)下的許多分布式拒絕服務(wù)攻擊。但是由于NDN中存在的特有結(jié)構(gòu)待定興趣表（pending interest table，PIT）和內(nèi)容緩存表（content store，CS），以及VANET環(huán)境中節(jié)點移動速度快并且拓撲不斷變化，使得當(dāng)NDN部署到VANET環(huán)境會受到一種新型DDoS攻擊——興趣包漣漪式廣播擴散攻擊（popple broadcast diffusion attack，PBDA）[18]。在文獻[18]中闡述了興趣包漣漪式廣播擴散攻擊的模式，在城市道路環(huán)境下分析了危害的程度，但沒有給出緩解策略。在PBDA中惡意節(jié)點廣播不針對特定前綴的、不可被滿足的、隨機構(gòu)造的興趣包并且以高于正常節(jié)點的發(fā)送頻率發(fā)送，惡意節(jié)點將自己一跳范圍內(nèi)的所有節(jié)點PIT占滿，由于興趣包不能被滿足，一跳范圍內(nèi)的所有節(jié)點繼續(xù)轉(zhuǎn)發(fā)興趣包形成漣漪式攻擊效果，最終將網(wǎng)絡(luò)中節(jié)點的PIT占滿，不能滿足合法用戶的請求最終達到拒絕服務(wù)的目的。而對應(yīng)有線NDN下的類似PBDA的興趣包泛洪攻擊緩解策略主要有：（1）基于興趣包前綴的檢測方法，這類緩解方法主要檢測請求異常的興趣包前綴并告知給下游節(jié)點異常前綴信息；（2）基于節(jié)點端口的檢測方法，這類緩解方法通過端口收發(fā)包比例的變化劇烈程度來檢測是否受到攻擊從而限制端口速率；（3）基于節(jié)點追溯的檢測方法，這類緩解方法主要監(jiān)測PIT的大小，一旦檢測到攻擊反向追溯攻擊路徑找到攻擊源節(jié)點。

然而無線環(huán)境下的興趣包漣漪式廣播擴散攻擊不攻擊特定的內(nèi)容提供者服務(wù)器，而是攻擊惡意節(jié)點可達的所有節(jié)點，因而不存在穩(wěn)定的攻擊目標與攻擊路徑。因此，有線網(wǎng)絡(luò)下的緩解策略在無線網(wǎng)絡(luò)環(huán)境下不成立。而且，由于VANET節(jié)點的快速移動性，造成網(wǎng)絡(luò)拓撲的動態(tài)變化，使得沿著被攻擊的目標節(jié)點反向追溯攻擊路徑找到攻擊源節(jié)點的方式不可行。本文對興趣包漣漪式廣播擴散攻擊提出基于節(jié)點間協(xié)作的緩解策略。節(jié)點通過交換PIT信息得到鄰居節(jié)點的PIT表，并將鄰居節(jié)點同一個檢測周期PIT表項與自身PIT對應(yīng)表項進行比較來丟棄惡意興趣包，從而保證正常的應(yīng)用服務(wù)。

本文的其余部分安排如下：第2章介紹相關(guān)工作；第3章闡述VANET下NDN中基于節(jié)點協(xié)作的檢測機制原理；第4章介紹基于節(jié)點協(xié)作的興趣包漣漪式廣播擴散攻擊的緩解方法和仿真實驗驗證；第5章是結(jié)論。

2 相關(guān)工作

2012年，張麗霞等人發(fā)表了NDN環(huán)境下可能遭受的DoS和DDoS攻擊的綜述[17]，提出了針對NDN架構(gòu)特點的拒絕服務(wù)攻擊主要有兩種，分別是攻擊PIT表的興趣泛洪攻擊和攻擊內(nèi)容緩存CS的內(nèi)容污染攻擊。2013年，張麗霞等人對有線網(wǎng)絡(luò)NDN下攻擊PIT表的興趣泛洪攻擊進行了進一步的分析研究并給出了相應(yīng)的緩解對策[19]。2013年意大利Padua大學(xué)的Compagno等人提出名為Poseidon的緩解興趣泛洪攻擊架構(gòu)，該架構(gòu)可以部署在全網(wǎng)范圍的路由器上；在該架構(gòu)下路由器按接口限制興趣包速率，不區(qū)別正常興趣包和惡意興趣包，因此合法用戶發(fā)送的正常興趣包傳輸速率也將受到限制，合法用戶受攻擊影響較大[20]。2015年法國特魯瓦技術(shù)大學(xué)的Nguyen等人提出一種基于統(tǒng)計假設(shè)檢驗理論的檢測器來檢測興趣泛洪攻擊[21-22]。2016年巴西海軍國防部的Guimar?es等人提出了一種分析模型，該模型用于制定使系統(tǒng)吞吐量達到最大化的函數(shù)，并通過優(yōu)化超時時間，使DoS攻擊影響最小化[23]。2016年中國科學(xué)院大學(xué)的辛永輝等人提出一種基于監(jiān)測內(nèi)容請求異常分布的累積熵興趣泛洪攻擊檢測方案，然后提供相對熵理論的惡意前綴識別方法。在檢測后使用興趣追蹤策略來限制攻擊者[24]。該方案可以減少興趣泛洪攻擊的誤判和保護合法用戶，可避免對正常流量波動的過度反應(yīng)。2016年德國達姆施塔特工業(yè)大學(xué)的Salah等人提出一種通用的針對興趣洪泛攻擊的緩解機制[25]。上述可查到的研究均是在有線網(wǎng)絡(luò)環(huán)境下進行討論的。

因為VANET環(huán)境中節(jié)點移動速度快并且拓撲不斷變化使得惡意節(jié)點攻擊后的位置不會靜止不動，而且正常請求與惡意請求從興趣包格式和請求的內(nèi)容上沒有顯著不同，所以有線下的依靠端口逆向溯源定位可能的攻擊者的緩解方案不適用于無線環(huán)境。

3 VANET下NDN中基于節(jié)點協(xié)作的檢測機制

因為有線網(wǎng)絡(luò)下的緩解策略在無線網(wǎng)絡(luò)環(huán)境下不成立，而且由于VANET節(jié)點的快速移動性，造成網(wǎng)絡(luò)拓撲的動態(tài)變化，使得沿著被攻擊的目標節(jié)點反向追溯攻擊路徑找到攻擊源節(jié)點的方式不可行。于是，在分析了攻擊發(fā)生時各個節(jié)點PIT的變化情況和攻擊目標是網(wǎng)絡(luò)所有節(jié)點這一特殊性，提出了基于節(jié)點間協(xié)作的緩解方法。

既然PBDA這種興趣包泛洪攻擊的目標是NDN中的PIT，這里從惡意節(jié)點發(fā)動攻擊時自身的PIT信息與正常節(jié)點PIT的分析入手，來獲得PIT表項中的差異，進一步獲得緩解攻擊的方法。PIT里主要存放三個信息：收到的未滿足的興趣請求包前綴，收到此前綴請求的一個或多個接口，以及此條請求的超時時間。如果是正常節(jié)點的PIT，則里面的表項應(yīng)該包括自身應(yīng)用產(chǎn)生的興趣請求前綴、本地邏輯接口和超時時間，還有從物理接口收到的外部其他節(jié)點發(fā)送過來的PIT表項，包括其他節(jié)點應(yīng)用產(chǎn)生的興趣請求前綴、接收興趣包的物理接口和超時時間。

惡意攻擊節(jié)點的攻擊速率和攻擊的持續(xù)時間是影響PBDA攻擊效果的重要因素，如果想達到理想攻擊效果，惡意節(jié)點必須要不停地產(chǎn)生不可滿足前綴的興趣請求包，并首先填充自身的PIT，并一直保證PIT滿載才能達到此種效果。攻擊節(jié)點首先是占滿自己的PIT才能將這些請求包發(fā)送出去，因此攻擊節(jié)點在攻擊時PIT表項每一條的惡意請求都是一個不存在的隨機請求前綴和本地應(yīng)用邏輯接口以及超時時間組成的，把自己的PIT占滿，同時也不可能接收其他節(jié)點發(fā)送的興趣請求。而正常節(jié)點的PIT表項，除了有自身應(yīng)用產(chǎn)生的表項，還存在從其他節(jié)點收到的標記為物理接口的興趣請求。同時可以和鄰居節(jié)點交換信息。發(fā)現(xiàn)了惡意攻擊節(jié)點PIT和正常節(jié)點對應(yīng)表項的差別，除了前綴不同，最主要的是興趣請求來源端口的不同，以及是否能接收其他節(jié)點的興趣請求。一個典型的PBDA攻擊環(huán)境如圖1所示。

Fig.1 PIT change graph of nodes under PBDA attack圖1 PBDA攻擊下節(jié)點的PIT變化圖

如圖1所示，攻擊節(jié)點E以及周圍三個正常節(jié)點A、B、C以及一個內(nèi)容提供節(jié)點P。在攻擊開始后不久，攻擊節(jié)點的PIT被自己的惡意興趣請求占滿并一直保持滿載，周圍的正常節(jié)點A和B因為在互相的傳播范圍內(nèi)，因此PIT表除了自己本地應(yīng)用產(chǎn)生的興趣請求，還包含對方的興趣請求和攻擊節(jié)點的惡意請求，節(jié)點C因為和A、B不在傳播范圍內(nèi)，因此只包含自己本地應(yīng)用產(chǎn)生的興趣請求和攻擊節(jié)點的惡意請求。隨著攻擊的持續(xù)，節(jié)點A、B、C的PIT將只剩下自己本地應(yīng)用產(chǎn)生的興趣請求和攻擊節(jié)點的惡意請求。此時A和B的PIT也和C的相似。從圖中可以看出，所有節(jié)點的PIT表項中來自惡意攻擊節(jié)點的興趣包請求表項占了大多數(shù)，有多個副本，除了記錄來源端口的不同，都要占據(jù)PIT最長時間，其他都一致，因此可以通過正常節(jié)點間在PIT未被完全占滿前進行協(xié)作，識別惡意請求進行丟棄，保證正常服務(wù)的影響下降到最小。

4 基于節(jié)點協(xié)作的興趣包漣漪式廣播擴散攻擊的緩解方法實現(xiàn)

從上述原理分析可以看出，如果正常節(jié)點能夠互相交換PIT表信息，并且利用惡意節(jié)點PIT滿載無法響應(yīng)其他節(jié)點請求的特點，設(shè)計一套基于節(jié)點間協(xié)作的PBDA緩解模式。首先正常節(jié)點應(yīng)該設(shè)置PIT表占有率閾值，來保證當(dāng)節(jié)點PIT占用率到達某個門限后觸發(fā)檢測機制，同時保證在攻擊發(fā)動后正常節(jié)點仍保存一部分表項用作互相之間協(xié)作通信。這里設(shè)tk為第k個檢測周期，ri-ex為網(wǎng)絡(luò)中第i個節(jié)點從外部收到的興趣包，PITsize為PIT表大小。

定義檢測閾值為：

在攻擊開始后如果PIT表項增加迅速達到閾值，則啟動節(jié)點間協(xié)作檢測機制?；ハ嘀g發(fā)送PIT表查詢興趣請求包。節(jié)點以廣播的方式向周圍鄰居節(jié)點發(fā)送多個查詢興趣請求包，每個節(jié)點回應(yīng)PIT告知包，包的結(jié)構(gòu)如下所示。

Timestamp Information Signature

告知包內(nèi)含有發(fā)送告知報文節(jié)點的時間戳信息Timestamp，發(fā)送者的簽名Signature和互相交換的信息Information。Information部分里只包含發(fā)送節(jié)點的PIT表里非本地接口的表項信息。

接收到“告知包”處理流程如圖2所示。

節(jié)點從接口接收到一個數(shù)據(jù)包，處理流程如算法1所示。

算法1處理數(shù)據(jù)包算法

有了上述機制后，節(jié)點間可以相互交換PIT表信息，判斷哪些請求可能是惡意請求，并進行下一步處理來緩解PBDA攻擊的影響。

Fig.2 Flow chart of mitigation strategy implementation圖2 緩解策略實施流程圖

4.1 緩解方法設(shè)計與分析

節(jié)點的緩解方法最簡單的就是按照一定規(guī)則丟棄原來PIT表的表項，比如隨機選擇丟棄或選擇PIT表已存在時間最長的，然后將新的表項插入。參考傳統(tǒng)網(wǎng)絡(luò)環(huán)境下基于節(jié)點協(xié)作的DDoS緩解方法[26-29]，本文提出了自己的基于節(jié)點協(xié)作的緩解方法，來判斷惡意請求表項并予以丟棄。具體方法如下：

（1）如果節(jié)點PIT表的占用率大于設(shè)定的閾值，表明有可能附近存在攻擊節(jié)點，此時需要發(fā)送PIT查詢興趣請求給周圍鄰居，等待周圍鄰居響應(yīng)。

（2）如果周圍沒有響應(yīng)，則說明周圍只有攻擊節(jié)點或者是正常的高頻率興趣請求節(jié)點，無法確切判斷，此時緩解方法只能退化成普通的隨機丟棄或選擇PIT表已存在時間最長表項丟棄。

（3）如果有鄰居節(jié)點響應(yīng)返回告知包，此時將告知包的每一條PIT信息和自己的PIT表的信息進行比較。首先剔除掉本節(jié)點發(fā)送給鄰居節(jié)點的表項，剩下的逐一進行比對，如果有相同的，給此興趣請求表項計數(shù)加1。從圖1可以看出，惡意攻擊節(jié)點發(fā)送的興趣請求副本最多，并且正常節(jié)點已經(jīng)排除自己本地接口發(fā)送的請求，因此PIT表中計數(shù)次數(shù)多，駐留時間長的表項是惡意請求的可能性就比較大，而周圍鄰居節(jié)點越多，收到的告知包越多，判斷的準確率就越高。

（4）判斷完成后，可以按照PIT表內(nèi)的計數(shù)次數(shù)從大到小，駐留時間從大到小的順序排序，以次數(shù)為優(yōu)先條件，次數(shù)相同時按駐留時間排序。因為次數(shù)多的是攻擊包的可能性大，按照順序進行刪除，直到PIT表占用率回到閾值以下。

如果攻擊節(jié)點周圍有兩個以上正常節(jié)點可以互相進行上述信息交流，則可以將惡意請求大部分都判斷出來，并丟棄掉，保證NDN網(wǎng)絡(luò)服務(wù)的正常運行，比隨機丟棄或單獨選擇PIT里存在最長時間表項丟棄效果有所提升，保證網(wǎng)絡(luò)的安全運行。

4.2 實驗場景及仿真參數(shù)設(shè)置

為了驗證緩解策略的有效性，在VMware上搭建Ubuntu系統(tǒng)，在Ubuntu系統(tǒng)上搭建Ndnsim仿真環(huán)境，在Ndnsim仿真環(huán)境上實現(xiàn)了基于VANET環(huán)境的NDN網(wǎng)絡(luò)興趣包漣漪式廣播擴散攻擊和緩解策略，通過Ndnsim仿真環(huán)境提供的trace文件獲得仿真結(jié)果。為了看出緩解措施實施前后的PIT表的變化和網(wǎng)絡(luò)服務(wù)質(zhì)量的變化，完全采用了文獻[18]的仿真環(huán)境，整個系統(tǒng)模擬道路如圖3所示。仿真所使用的參數(shù)與文獻[18]完全一致。VANET環(huán)境參數(shù)如表1所示，仿真參數(shù)如表2所示。

Fig.3 System simulation road圖3 系統(tǒng)模擬道路

Table 1 VANET environment parameters table表1 VANET環(huán)境參數(shù)表

Table 2 Experimental parameter table表2 實驗參數(shù)表

4.3 仿真實驗結(jié)果分析

實驗首先選取在802.11p協(xié)議支持的多跳環(huán)境下，固定節(jié)點之間的間距，保證連通狀態(tài)的前提下觀察某正常節(jié)點的PIT表占據(jù)情況和實施緩解策略后PIT表占據(jù)情況，如圖4所示。

Fig.4 PIT analysis before and after mitigation strategy in fixed distance connected states圖4 固定間距連通狀態(tài)下緩解策略實施前后PIT分析

可以看出，攻擊未開始時正常節(jié)點除了自己生成興趣包還轉(zhuǎn)發(fā)它收到的其他節(jié)點的興趣包，但從攻擊開始的100 s后正常節(jié)點的PIT表基本都在接近滿載狀態(tài)，除了本節(jié)點自己產(chǎn)生的興趣包，其他節(jié)點的興趣包已經(jīng)被擠出PIT表，PIT表已經(jīng)被惡意請求所占據(jù)。之后加載緩解方法，設(shè)定PIT占據(jù)率閾值為PIT大小的80%。重復(fù)上述實驗，保證連通狀態(tài)的前提下加載緩解方法后觀察某正常節(jié)點的PIT表占據(jù)情況。

從圖4可以比較看出，未加入緩解措施，攻擊未開始時正常節(jié)點除了自己生成興趣包還轉(zhuǎn)發(fā)它收到的其他節(jié)點的興趣包，但PIT占用率并不是很高，這是因為正常的興趣請求滿足很快，并不會造成PIT空間的大量占用，從攻擊開始的100 s后，正常節(jié)點的PIT表占用率大幅上升，如果不進行緩解，基本都在接近滿載狀態(tài)，除了本節(jié)點自己產(chǎn)生的興趣包。其他空間都會被惡意請求所占據(jù)，其他節(jié)點的正常請求被擠出PIT，更談不上被滿足了，加載了緩解方法后，節(jié)點的PIT占用率超過閾值后，馬上開始互相之間發(fā)送PIT請求興趣包，在收到回應(yīng)的告知包后，按照策略進行處理，從圖中可以看出，惡意請求的數(shù)量下降一部分，不再完全占據(jù)可能的所有PIT表項，更為重要的是，正常請求占據(jù)PIT表項的數(shù)量不會大幅減少。雖然因為攻擊的存在，剛開始正常請求表項數(shù)量下降后，經(jīng)緩解后占據(jù)PIT數(shù)量基本與攻擊前持平，而后期略有增加，意味著被滿足的速率有所放緩，但是相比較無法進入PIT表而不能獲得數(shù)據(jù)請求的資格，已經(jīng)使網(wǎng)絡(luò)服務(wù)的質(zhì)量有了大幅提升。但是此方法是在惡意興趣請求已經(jīng)進入節(jié)點的PIT后才進行判斷是否惡意進行丟棄，因此有一定的滯后性，在面對無孔不入的興趣包漣漪式廣播擴散攻擊PBDA，如果端口不進行限速，仍然會在某些時間點上造成PIT滿載的臨時狀態(tài)，但不會一直滿載下去造成服務(wù)的中斷。

之后加載圖3所示生成的道路軌跡數(shù)據(jù)，在模擬的城市道路上24輛車的密度下，保證車輛基本全連通的情況下，惡意節(jié)點不同數(shù)量對整體系統(tǒng)滿足率的變化情況狀態(tài)。從24個車輛節(jié)點選取3個惡意節(jié)點和多個內(nèi)容提供者節(jié)點，其他為正常節(jié)點。正常節(jié)點一直向內(nèi)容提供者節(jié)點按照正常速率請求數(shù)據(jù)，此興趣請求在內(nèi)容提供節(jié)點存在的情況下一定可以被滿足，為了保證在一定車輛密度下攻擊的持續(xù)性，達到較好的攻擊效果，在經(jīng)過一段模擬時間后，惡意節(jié)點開始以其最大可能速率發(fā)送隨機構(gòu)造的不可滿足的興趣包進行興趣包請求廣播攻擊，達到拒絕正常服務(wù)的攻擊目標。

同樣的環(huán)境下，正常節(jié)點部署基于協(xié)作的緩解措施，經(jīng)過一段時間記錄觀察整個過程整個網(wǎng)絡(luò)的正常請求滿足率的變化情況，并與未采用緩解措施的模擬情況進行比較，如圖5所示。

Fig.5 Satisfaction rate change status in connected state before and after mitigation measures are implemented圖5 緩解措施實施前后連通狀態(tài)下滿足率變化狀態(tài)

從圖5中可以看出，隨著緩解措施的應(yīng)用，如果攻擊節(jié)點周圍有兩個以上正常節(jié)點可以互相進行上述信息交流，則可以將惡意請求大部分都判斷出來，并丟棄掉，緩解效果還是比較明顯，隨著時間推移，滿足率從不到30%逐漸上升到了60%以上，保證NDN網(wǎng)絡(luò)服務(wù)的正常運行，比隨機丟棄或單獨選擇PIT里存在最長時間表項丟棄效果提升明顯。保證了NDN網(wǎng)絡(luò)服務(wù)的基本正常運行。

5 總結(jié)

本文對VANET環(huán)境下NDN中發(fā)現(xiàn)的一種新型的興趣包泛洪攻擊形式——PBDA進行研究，在詳細分析攻擊發(fā)生后惡意攻擊節(jié)點和正常節(jié)點的PIT表項變化，以及NDN的數(shù)據(jù)轉(zhuǎn)發(fā)機制特點的基礎(chǔ)上，根據(jù)惡意請求和正常請求在同一影響范圍內(nèi)副本數(shù)量的不同以及惡意節(jié)點不響應(yīng)正常興趣請求的行為差別，構(gòu)造了鄰居之間互相通過發(fā)送PIT查詢信息請求包和對應(yīng)告知包的機制，通過鄰居節(jié)點間的相互協(xié)作，發(fā)揮節(jié)點間信息共享的優(yōu)勢，排查惡意請求，達到緩解攻擊，保證服務(wù)的目的。并通過仿真實驗對比部署緩解方法前后正常節(jié)點的滿足率，通過對比可以看出，從未實施緩解措施前的不到35%的整體滿足率可以緩解達到整體滿足率60%以上，正常服務(wù)效率大為提高。