一種聯合檢測命名數據網絡中攻擊的方法

吳志軍 張入丹 岳 猛

(中國民航大學電子信息與自動化學院 天津 300300)

(zjwu@cauc.edu.cn)

命名數據網絡(named data networking， NDN)是信息中心網絡的實例與未來Internet體系結構研究的熱點[1-2].與TCPIP的細腰結構不同，NDN將網絡實體從主機轉換為命名的內容.在NDN中，消費者請求驅動了2種類型的傳輸包(興趣包和數據包)的交換.消費者將所請求數據內容的名稱放入興趣包并將它發送到整個網絡，當有生產者或者中間路由器可以滿足所請求的興趣包時，返回一個相應的數據包給消費者[3].每個NDN節點都包含3個數據表：內容緩存(content store， CS)、待定興趣表(pending interest table， PIT)和轉發信息表(for-warding information base， FIB)[1].用戶請求數據的轉發過程如圖1所示[1].

NDN網絡中，消費者通過發送特定名稱的興趣包來請求數據包，生產者再根據興趣包的傳播路徑返回一個數據包.這種去IP地址的傳播方式直接消除了IP源地址欺騙等攻擊，并且解決了IP地址數資源不足的問題.但也引發了一系列問題，如興趣泛洪攻擊(interest flooding attack， IFA)和合謀興趣泛洪攻擊(conspiracy interest flooding attack， CIFA).IFA是一種路由相關攻擊，它類似于分布式拒絕服務攻擊(distributed denial of service attack, DDoS)中的資源耗盡型攻擊[4].發生IFA時，攻擊者通過發送大量惡意興趣包請求不存在的內容攻擊網絡，消耗中間路由節點的PIT資源，阻塞網絡鏈路.由于每個節點可以接收的興趣包請求有限，所以合法用戶請求的興趣包會被丟棄或優先級會降低[5].CIFA的攻擊目的與IFA相同，但是攻擊形式不同.CIFA是一種周期性的脈沖攻擊，它的平均速率很低甚至低于正常網絡流量的速率所以不易被檢測到，它類似于低速率拒絕服務攻擊[6](low-rate denial-of-service attack， LDoS).與IFA中攻擊者單方面大規模發起攻擊不同，為了更長時間占用PIT，CIFA中的合謀者會在一段時間后回復攻擊者請求的非法內容.這種合謀的攻擊方式不但占用了路由資源，而且避免了非法興趣包條目因為超過PIT生存時間而被檢測.隱蔽性較高的CIFA會使網絡長時間受到更大危害.

Fig. 1 Forwarding process of NDN node圖1 NDN節點轉發過程

本文的創新點有2個：

1) 提出使用關聯規則聯合多個特征，分析異常特征指標之間關聯性的方法.常用的檢測特征有興趣包滿意度、PIT占用率和丟包率.現有檢測方法僅使用其中1個特征檢測攻擊，且這些特征異常時并不能完全證明存在攻擊，尤其是檢測CIFA這種隱藏性較高的攻擊(在第3節分析具體原因).針對檢測特征單一的問題，本文通過提取發生攻擊時PIT和CS中的數據信息，挖掘新的檢測特征“CS異常偏離率”.關聯規則常被用于數據挖掘，它的作用是發現事物之間的關聯性.為了提高檢測攻擊的準確性，本文使用關聯規則關聯新特征與已知特征，增加了檢測依據.若特征之間關聯性較強則有很大的概率說明發生了攻擊.

2) 提出基于關聯規則Apriori算法和決策樹算法的聯合檢測NDN中攻擊的方法.針對現有方法檢測率不高且不能判斷是IFA還是CIFA的問題，本文提出一種更細粒度的檢測方法.在利用關聯規則挖掘多個檢測特征之間的關聯性基礎上，采用決策樹ID3算法對Apriori算法產生的規則進行分類，得到訓練集建立檢測攻擊的模型；使用關聯規則算法不僅可以聯合多個特征增加檢測依據，且將它輸出的多條規則作為決策樹的輸入可以增加決策樹的分類屬性.通過決策樹算法的分類結果判斷是何種攻擊，以減小誤判對合法興趣包的有效傳輸造成的影響.通過實驗對比我們發現，本文所提出的算法會更有效地檢測攻擊并判斷攻擊類型.且具有復雜度較低、實時性高的優點.

1 相關工作

目前檢測NDN攻擊的研究已經取得一些成果.文獻[7]提出Interest Traceback方法，當PIT大小超過設定的閾值或警告率時使用回溯法追蹤攻擊者.文獻[8]中Compagno的團隊提出一種減輕興趣泛洪攻擊的方法，即Poseidon方案.此方法根據興趣包滿意度和PIT占用率來判斷不同接口是否存在興趣泛洪攻擊.當檢測到攻擊時，限制興趣包的轉發速率.文獻[7-8]利用NDN網絡本身具有的流平衡特性實現對網絡流量的控制，但是在監測網絡流量時僅關注了PIT中的特性且檢測時的閾值設定不確定.防御措施雖然達到了阻止IFA的目的，但是大大影響了正常用戶的請求.

為避免合法興趣包被誤判，文獻[9]中用累積熵和相對熵檢測攻擊.通過計算網絡中興趣包中一些特定屬性(興趣包名稱前綴等)的分布隨機性來發現異常流量，使用相對熵理論識別惡意前綴，再對有非法前綴的興趣包采取回溯措施找到攻擊源.該方案在面對惡意攻擊者發送的較為復雜的惡意前綴時，其基于相對熵的惡意前綴識別能力將會產生很大的限制，尤其是面對CIFA這種隱藏性較高的攻擊時，該方案檢測率較低.

在文獻[10-12]中，Salah等人提出使用中央控制器的潛在機制從全局的角度監控網絡檢測一種更復雜的IFA攻擊.該方案通過中央控制器從全局視圖時刻關注網絡的變化趨勢，并且與網絡中的每個節點交換信息并做出決策.但在這種全局監控的模式下，單個路由器很難依靠自身檢測攻擊.文獻[13]中用一種基于隱馬爾可夫(HMM)模型的計費獎勵機制來對抗興趣泛洪攻擊.該方法通過建立興趣包的滿意度和消費者狀態之間的模型，通過HMM來定期預測消費者的狀態.以上檢測方案在面對CIFA時，惡意消費者發送的興趣包也會收到數據包的回復，導致機制在最初的預測階段發生誤判，所以均無法區分IFA和CIFA.

崔建等人[14]研究關聯規則算法與決策樹的結合，利用不同時期的數據集建立了新的決策樹算法，在使用決策樹算法處理分類問題的同時又使用關聯規則并行處理進行剪枝，使決策樹具備良好的伸縮性及可調整性.在實際情況中，可能會有多個特征的變化表明路由器已經受到攻擊，僅根據單一指標的異常變化可能會造成誤判，所部署的策略反而使合法用戶受到不公平的限制.本文針對現有檢測和防御方法的不足之處，通過大量實驗對比挖掘新的特征，提出使用關聯規則和決策樹聯合多個特征檢測攻擊的新方法，更加準確地檢測NDN中的攻擊區分IFA和CIFA，提高了檢測效率.

2 檢測攻擊的特征

目前的檢測方法存在一些待解決的問題.通過總結，現有檢測方案主要分為3類：1)檢測時只關注PIT中的數據信息和興趣包滿意度[15]；2)識別興趣包的名稱空間，找到惡意前綴名稱或者跟蹤其傳播接口來追蹤攻擊者[16-17]；3)在下游節點部署防御措施限制轉發速率以減輕興趣泛洪攻擊[18].這3類方法的缺陷在于檢測特征單一，不能分辨是何種攻擊且存在誤判.針對上述問題，本文通過分析發生攻擊時CS和PIT中的數據信息，挖掘新特征增加判斷依據，更加細粒度地檢測攻攻擊.

本文所需提取PIT和CS中的數據信息以及相關特征的計算關系和表示方法如表1所示.首先，在真實的大型網絡拓撲中模擬攻擊場景，通過大量實驗從路由節點中提取PIT和CS中的數據包和興趣包的信息.其次計算興趣包滿意度、PIT占用率和丟包率.最后，通過分析CS中數據包的信息挖掘出新特征“CS異常偏離率”，提高了檢測攻擊準確性.

Table 1 Data Information Extraction and Eigenvalue Calculation

2.1 興趣包滿意度

興趣包滿意度即NDN路由節點所發出的興趣包被滿足的程度.滿意度過低有3種情況：1)IFA攻擊導致PIT中存在大量非法興趣條目，只有合法興趣包被所請求的數據包回復；2)在較小時間段內合法用戶請求的數據量過大，興趣包可能因為請求超時被丟棄而得不到回復；3)發生了CIFA攻擊.本文從PIT中提取相關數據信息，計算NDN路由器每個接口的滿意度，計算公式為

(1)

2.2 PIT占用率

PIT占用率描述的是PIT被占用的程度.當PIT占用率過高時有2種情況：1)發生IFA攻擊時PIT被合法和非法興趣包名稱共同占用；2)短時間內發送大量合法興趣包請求使PIT占用率高，但只有很小一段時間此指標的值會過高.本文中NDN路由節點rj的PIT占用率公式為

(2)

其中，Op(rj,tk)為第k秒時路由器rj的PIT占用率.分子為第k秒路由器rj中興趣包的個數，分母為PIT容量.網絡流量正常情況下PIT占用率的值幾乎為0，PIT被占滿時值幾乎為1.

2.3 丟包率

PIT中的興趣條目過了生存時間時會被丟棄.導致丟包率過高可能有3種情況：1)攻擊者發送大量非法興趣包，超過PIT的生存時間時這些非法興趣包會被丟棄；2)鏈路擁塞.合法請求因不能及時收到生產者回復的數據包而被丟棄；3)合法興趣請求過多導致鏈路擁塞或生存時間超時.NDN路由節點的丟包率計算公式為

(3)

Dr(rj,tk)是路由節點rj在第k秒的丟包率，分子是節點rj在第k秒丟棄興趣包的數量，分母是節點rj在第k秒傳入興趣包的數量.

2.4 CS異常偏離率

CS異常偏離率描述的是發生攻擊時CS中數據包的增長量對比正常網絡流量下CS中數據包的增長量的偏離程度.通過模擬正常網絡場景和攻擊場景后，發現CS中數據包的數量呈現異常增長原因有：1)興趣泛洪攻擊時，PIT中有大量非法興趣包，所以生產者發送回來的合法數據包非常少；2)當發生CIFA時，為了占用網絡資源，合謀的生產者會發回大量數據包回復攻擊者發出的合謀興趣包.NDN路由節點rj的CS緩存異常偏離率的表達式為

(4)

Cun(rj，tk)為路由節點rj在第k秒的緩存異常偏離率.在分式中，分子為發生攻擊時每秒CS中數據包的增長個數，分母為正常發包情況下CS中數據包增長個數，其比值表示CS數據包增長率，通常值為1.減去1取絕對值即為異常偏離率.通過實驗對比發現，發生IFA攻擊時CS異常偏離率<1,發生CIFA時的值會>1.綜上所述，CS緩存異常偏離率這個特征不僅可以作為是否發生IFA和CIFA的依據，而且還可以辨別發生的哪種攻擊.

本文模擬了正常網絡流量和IFA攻擊流量下的CS緩存異常偏離率，如圖2所示.選取網關節點和骨干節點并對比CS中數據包的數量增長情況.由圖2對比發現，正常發送興趣包時(持續100 s)CS中數據包的數量均勻增長.當發起攻擊時(20～80 s結束)，由于沒有數據包回復，所以CS中包的數量增長減緩，而在前沒有攻擊時，2條線擬合.

Fig. 2 Number of packets in CS(IFA)圖2 CS中數據包個數(IFA)

發起不同程度的CIFA，觀察CS中數據包的增長趨勢，如圖3所示.合謀攻擊者脈沖式發起攻擊，隨著攻擊速率變大，合法數據包和合謀生產者回復的數據包都會緩存在CS中，所以CS中數據包呈階梯式增長.圖3中Good表示合法用戶的發包速率，Bad表示合謀攻擊者的發包速率.

Fig. 3 Number of packets in CS(CIFA)圖3 CS中數據包個數(CIFA)

Fig. 4 CS packet growth rate comparison圖4 CS數據包增長率對比

本文分別發起IFA和CIFA，觀察CS數據包增長率，如圖4所示.選取拓撲中的同一個點，可以觀察到當發起IFA(20～80 s)時CS中數據包的增長速率明顯降低(<1).但是當發起不同程度的CIFA攻擊時，數據包增長速率也呈脈沖式變化且隨著攻擊強度變大這種現象越明顯，這是因為CIFA中攻擊者以脈沖方式發起攻擊，所以合謀者回復的數據包也會突然在某段時間內占據CS.以上實驗證明此特征作為檢測攻擊的依據十分有效.

3 關聯規則與決策樹聯合檢測NDN攻擊

在特征關聯過程中，本文采用關聯規則的Apriori算法將興趣包滿意度、PIT占用率、丟包率和CS異常偏離率等4個特征進行聯合，并找出它們之間的關聯特性；根據輸出特征之間的關聯規則初步判斷是否發生攻擊.使用關聯規則算法的優點是整合大量特征數據，聯合多個特征找到特征之間的關聯性，是檢測攻擊的基礎.特征之間的關聯性越高，發生攻擊的可能性越大.但是僅憑多條關聯規則算法輸出的規則并不能判斷是否發生攻擊，也不能分辨是何種攻擊，所以需要使用決策樹分類.首先將輸出的多條規則和CS數據包增長率作為決策樹的特征，生成訓練集.其次確定每個葉子節點的屬性，構造決策樹模型并檢測攻擊.這種先使用關聯規則進行預處理再用決策樹檢測攻擊的方法彌補了關聯規則的不足，關聯規則算法輸出的多條規則增加了決策樹的檢測特征.這2種算法的結合可以對攻擊進行分類，避免了誤判并提高了檢測率.本文的算法流程圖如圖5所示：

Fig. 5 Algorithm flow chart圖5 算法流程圖

3.1 關聯規則Apriori算法

Apriori算法常被用于數據挖掘，它是關聯規則算法中一種挖掘布爾關聯規則的頻繁項集算法，是一個基本算法[19].關聯規則的作用找出數據集中的頻繁項集，分析特征之間的關聯性.處理PIT和CS中獲取到的數據信息計算4個特征，劃分4組特征，再構造布爾型數據集以便作為關聯規則Apriori算法輸入.在關聯規則算法中，首先找到符合支持度標準的頻繁項集，其次找到最大個數的頻繁項集[20].如何劃分數據集是保證用關聯規則聯合4個特征檢測攻擊的關鍵.使用關聯規則的具體步驟為：

1) 提取PIT和CS中的數據信息，計算特征值，找出時間T內4個特征的最大值和最小值，并求最大值、最小值之差，將差值分為N份，每個特征的劃分如表2所示.

2) 劃分特征后，構造Apriori算法所需要的布爾型數據集.布爾數據集的構造如表3所示.TID表示條目，是劃分的區間個數1～N.(10)表示是否落在劃分的間隔內.當計算的各個特征落在所劃分的間隔內時則為“1”,否則為“0”.當滿意度的值越小即對應TID編號越大，則表明攻擊可能越嚴重.對于其余3個特征，其值越大即對應TID編號越小，則表明攻擊越嚴重.

Table 2 Feature Division表2 特征劃分

Table 3 Boolean Data Set D表3 布爾型數據集D

3) 在關聯規則中，若項集的支持度大于最小支持度，那么此項集就是頻繁項集.在Apriori算法中，首先找出所有的由最小支持度決定的頻繁項集.支持度即幾個數據關聯出現的概率.4個特征的支持度計算為

(5)

根據置信度和頻繁項集找出強關聯規則.置信度體現了一個數據出現后另一個數據出現的概率，即數據的條件概率.如4個特征Sa，Op，Dr，Cun中Sa對于Op，Dr，Cun的置信度為

Co(Sa?OpDrCun)=P(Sa|OpDrCun)=
P(SaOpDrCun)P(OpDrCun).

(6)

最后計算提升度，提升度表示含有Y的條件下，同時含有X的概率，與X總體發生的概率之比，它體現了各個特征之間的關聯關系.所以根據提升度可以從強關聯規則中篩選出有效的強關聯規則.為了生成所有頻集，使用迭代方法以此類推，直到無法再找到頻繁項集為止.此時對應的頻繁項集的集合即為Apriori算法的輸出結果.算法1是關聯規則的偽代碼，首先輸入構造的數據集D，再根據最小支持度找到頻繁項集，將產生的候選項集進行篩選剪枝最后得到特征之間的關聯性.

算法1.關聯規則Apriori算法.

輸入：布爾型數據集D、最小支持度min_support及相關參數；

輸出：特征之間的最大頻繁n項集Gn.

① 掃描數據集D產生1-頻繁項集G1；

② for (n=2;Gn-1≠null;n++) do

③ 產生候選并剪枝,即Cn=Gn-1；

④ for掃描D進行候選計數do

⑤ 返回候選項集中不小于最小支持度的項集;

⑥ end for

⑦ end for

⑧ 返回Gn；

⑨ 得到特征之間的關聯規則.

3.2 決策樹ID3算法檢測攻擊

使用決策樹進行分類檢測，不僅可以更準確地檢測攻擊還可以判斷攻擊類別.本文采用目前常用的ID3決策樹算法，它的優點是理論清晰且學習能力較強.ID3算法的核心是：為了在每個非葉子節點進行測試時可以獲得有關被測試記錄最大的類別信息，所以用信息增益(information gain)作為決策樹各級節點上選擇屬性的標準[20].具體算法的步驟為：

1) 將Apriori算法輸出的各個特征之間的關聯規則和CS中數據包增長率作為訓練集樣本的特征，計算特征集合中信息增益最大的屬性作為決策樹的節點.決策樹中計算信息增益首先要知道信息熵.事件的不確定性越大，它的熵就越大.訓練樣本集X的信息熵定義為

(7)

pk表示樣本集合中發生事件k的概率，即樣本k所占比例，n表示樣本個數.條件熵為

(8)

Xi表示根據節點的屬性A劃分X后的第i個子集，其中|Xi|(i=1,2,…,m)為樣本子集Xi中包含的樣本數，|X|為樣本集X包含的樣本數.信息增益為

Gain(X,A)=E(X)-EA(X),

(9)

在選擇節點時選擇信息增益最大(信息不確定性減少的程度最大)的樣本.

2) 由該屬性的不同取值建立分支，再對各個分支采用步驟1建立決策樹節點的分支.

3) 遞歸調用步驟1，2直到所有子集僅包含同一個類別為止，最終得到決策樹模型.

通過訓練集得到決策樹模型后即可輸入測試集檢測是否有攻擊，并對攻擊進行分類.實驗流程如圖6所示:

Fig. 6 Flow chart of experiment圖6 實驗流程圖

4 實驗仿真及結果與分析

本文實驗在開源的ndnSIM平臺上進行.ndnSIM是基于NS-3的網絡模擬器，它可以實現NDN架構并運行各種大型和小型網絡拓撲、模擬實驗場景.在ndnSIM平臺上實現關聯規則Apriori算法和決策樹的ID3算法.本實驗在大規模和小規模拓撲中模擬不同強度的IFA攻擊和CIFA.最終證明本文所提方法提高了檢測率，還可以檢測到是IFA還是CIFA.通過對比分析發現本文的檢測方法有很好的檢測效果.

4.1 實驗環境

本文使用的實驗平臺為基于NS-3的開源模擬器ndnSIM1.0.本文所使用的小型二叉樹拓撲(binary)如圖7所示，使用的大型拓撲(ISP)如圖8所示.

Fig. 7 Small binary tree topology圖7 小型二叉樹拓撲

Fig. 8 ISP large topology圖8 ISP大型拓撲

圖8所示的大型ISP拓撲是基于Rocketfuel中Telstra拓撲結構的修改版本[21].拓撲節點由用戶節點、與用戶直節點接相連的網關節點和骨干節點組成.由IFA的攻擊原理可知，IFA中不存在合謀者，所以當模擬IFA時不使用圖7拓撲中的合謀攻擊者節點，只存在生產者節點回復合法興趣請求.根據隱蔽性高的CIFA的攻擊原理可知，CIFA的合謀者會回復攻擊者發送的非法興趣包，因此，在模擬CIFA時圖7中的合謀者和生產者分別回復非法和合法的興趣請求.

合法用戶以恒定速率發送興趣包，發包時間間隔隨機，為用戶提供近似于真實網絡流量的模擬場景.每個合法用戶請求的內容分布都滿足Zipf-Mandelbort分布，每個攻擊者分布遵循均勻分布[22].實驗環境參數設置如表4所示:

Table 4 Experimental Parameters表4 實驗參數

大拓撲中，IFA惡意節點所占所有用戶節點的百分比約為40%，模擬CIFA時逐漸增加攻擊者的攻擊強度，每次實驗隨機選擇攻擊節點.小拓撲中模擬CIFA和IFA時從16個葉子節點中隨機選取4個節點作為攻擊者，其余為合法用戶.CIFA一個周期的攻擊示意圖如圖9所示:

Fig. 9 Schematic diagram of CIFA attack cycle圖9 CIFA攻擊周期示意圖

4.2 特征值提取及分析

為了證明4個特征可以有效檢測攻擊，在大型ISP拓撲和小型二叉樹中進行實驗，每次實驗持續100 s.模擬2種攻擊，IFA和CIFA的模擬時間均為100 s，在20～80 s發起攻擊，前20 s和后20 s正常發包.每種攻擊模擬10次，模擬結束后提取表1所列出的PIT和CS中的數據信息，計算每次實驗的4個特征的值(每秒計算1次)，將10次實驗的計算結果求和取平均值.

4.2.1 ISP大型拓撲中模擬IFA

Fig. 10 IFA interest satisfaction(ISP)圖10 IFA興趣包滿意度(ISP)

為了分析大拓撲下IFA攻擊對整個網絡不同節點的危害程度以及發生攻擊時各個特征的變化特點，從下游節點(用戶節點、網關節點)和上游節點(骨干節點)中分別隨機選取1個節點進行觀察.在大型ISP拓撲中模擬10次IFA，模擬結束后提取PIT和CS中的數據信息，按照式(1)～(4)分別計算興趣包滿意度、PIT占用率、丟包率、CS緩存異常偏離率.求和取平均后的實驗結果分別如圖10～13所示：

Fig.11 IFA PIT occupancy(ISP)圖11 IFA PIT占用率(ISP)

Fig. 12 IFA drop rate(ISP)圖12 IFA丟包率(ISP)

Fig. 13 IFA CS abnormal deviation rate(ISP)圖13 IFA CS異常偏離率(ISP)

從4個特征的直觀圖中可觀察到，在發起攻擊期間(20～80 s)，PIT滿意度、PIT占用率、丟包率、CS異常偏離率均會發生異常變化.如圖10所示，未發生攻擊時各個節點的滿意度幾乎為1.從第20 s發起攻擊時，骨干節點的滿意度下降了一半，而用戶節點和網關節點的滿意度幾乎為0.如圖12～13所示，攻擊產生時骨干節點的丟包率和CS緩存偏離率變化幅度小.圖10～13中不同節點的特征變化曲線均說明相比于骨干節點，網關節點和用戶節點受到IFA攻擊時各個特征值的變化更明顯，攻擊對上游節點的危害更小.這是由于骨干節點上匯聚了來自多個下游節點的流量(合法流量和非法流量都有)，而靠近下游的節點匯聚的流量少，所以特征值變化幅度小.綜上，本文所選取的4個特征均可以作為檢測攻擊的依據，并且選取下游節點的特征會使更準確地檢測攻擊.

4.2.2 ISP大型拓撲中模擬CIFA

為了觀察不同攻擊強度下各個特征的變化特點，合法用戶的發包速率不變(每秒發100個興趣包)，調整攻擊者的發包速率，發起不同程度的CIFA(不同程度的攻擊分別模擬10次).在大型ISP拓撲中模擬CIFA，提取PIT和CS中的數據信息，根據式(1)～(4)計算4個特征值.求和取平均值后畫出直觀圖觀察4組特征.如圖14～17所示.圖中Bad表示攻擊者發包速率，Good表示合法用戶的發包速率.CIFA中攻擊者發起周期性脈沖攻擊，從4個特征的直觀圖中可以看到在攻擊期間4組特征值均呈現脈沖式變化，且攻擊者發包速率越高，特征值的異常變化越明顯.

Fig. 14 CIFA interest satisfaction(ISP)圖14 CIFA興趣包滿意度(ISP)

Fig. 15 CIFA PIT occupancy(ISP)圖15 CIFA PIT占用率(ISP)

Fig. 16 CIFA drop rate(ISP)圖16 CIFA丟包率(ISP)

Fig. 17 CIFA CS abnormal deviation rate(ISP)圖17 CIFA CS異常偏離率(ISP)

4.2.3 二叉樹小型拓撲中模擬IFA

為了觀察IFA攻擊對小型網絡拓撲中不同節點的危害程度.在二叉樹中模擬10次IFA，隨機選取1個骨干節點和1個網關節點，提取這2個節點PIT和CS中的數據信息.按照式(1)～(4)分別計算PIT滿意度、PIT占用率、丟包率、CS異常偏離率.

Fig. 18 IFA interest satisfaction(binary tree)圖18 IFA興趣包滿意度(二叉樹)

各個特征值的直觀圖如圖18～21所示：

Fig. 19 IFA PIT occupancy(binary tree)圖19 IFA PIT占用率(二叉樹)

Fig. 20 IFA drop rate(binary tree)圖20 IFA丟包率(二叉樹)

Fig. 21 IFA CS abnormal deviation rate(binary tree)圖21 IFA CS異常偏離率(二叉樹)

由圖18～21可觀察到，未發生攻擊時各個特征值均處于正常狀態，但是在發起IFA攻擊時，圖18～21中的特征曲線均會發生異常變化.如圖18所示，網關節點的興趣滿意度幾乎從1降到0，骨干節點的興趣滿意度下降了0.3左右.如圖19～21所示，與正常網絡流量情況相比，發生攻擊后網關節點的PIT占用率、丟包率和CS異常偏離率的值都發生了明顯變化，且骨干節點比網關節點的特征值變化幅度更大.實驗表明，與大拓撲相同,二叉樹小拓撲中攻擊對網關節點(即下游節點)的危害更大.

4.2.4 二叉樹小型拓撲中模擬CIFA

在小型二叉樹拓撲中模擬CIFA，為了發起不同程度的CIFA(分別模擬10次).提取網關節點(cgw-8)PIT和CS中的數據信息，根據式(1)～(4)計算4個特征值.求和取平均值后畫出直觀圖觀察4組特征.如圖22～25所示:

Fig. 22 CIFA interest satisfaction(binary tree)圖22 CIFA興趣包滿意度(二叉樹)

Fig. 24 CIFA drop rate(binary tree)圖24 CIFA丟包率(二叉樹)

Fig. 25 CIFA CS abnormal deviation rate(binary tree)圖25 CIFA CS異常偏離率(二叉樹)

與大拓撲模擬CIFA的特征圖14～17對比發現，二叉樹小拓撲下CIFA的特征值脈沖式變換更加明顯，這是因為小拓撲中攻擊流量在各個節點更加聚集.對比各個特征在不同攻擊強度下特征值的變化可知,隨著攻擊強度變高,特征值變化幅度變大.

本節通過對比大型拓撲和小型拓撲下IFA和CIFA攻擊時4個特征變化，觀察到無論發生何種攻擊，各個特征均會發生變化.實驗結果證明將這4個特征作為檢測攻擊的指標十分有效.

4.3 關聯規則和決策樹聯合檢測結果及性能評估

本節將評估本文算法的性能.首先，為了生成輸入關聯規則的布爾數據集D需要計算相關特征值.其次，將布爾數據集輸入關聯規則，得到各個特征之間的關聯性.最后對輸出的關聯規則進行預處理生成訓練集，建立決策樹模型，檢測NDN中的攻擊.

4.3.1 關聯規則

在大型和小型網絡拓撲中分別模擬10次IFA,CIFA和正常網絡流量，每次模擬持續時間為100 s.CIFA和IFA在20～80 s之間有攻擊.提取PIT,CS中數據信息，每2 s計算1次興趣包滿意度、PIT占用率、丟包率、CS異常偏離率、CS數據包增長率.首先按照表2劃分特征值，其次按照表3構造布爾型數據集，最后使用Apriori算法計算特征之間的關聯規則.通過統計，輸出關聯規則有50種類型，如圖26所示.

Fig. 26 Statistical diagram of association rules classification圖26 關聯規則分類統計圖

4.3.2 決策樹檢測攻擊

由圖26關聯規則分類統計圖可知，輸出的關聯規則有50種類型，加上CS數據包增長率，共構成51個特征.

預處理51個特征數據，構造輸入決策樹的訓練集.生成決策樹模型后，再輸入測試數據集進行測試.數據集包括大型和小型拓撲各420組，共840組數據，其中，大拓撲和小拓撲下的正常流量，IFA與CIFA分別有140組數據.

輸入決策樹的數據集用特征向量V=(V1,V2,…,V51)表示，其中V1表示CS數據包的增長率，V2至V51表示關聯規則輸出的50種關聯規則.從大拓撲的420組測試數據集中隨機抽取12個分類結果如表5所示:

Table 5 Decision Tree ID3 Algorithm Classification andExtraction(ISP)

對決策樹ID3算法輸出的840組分類結果進行統計，分類統計結果如表6所示.表6中ISP表示大拓撲，Small表示小型二叉樹拓撲.測試結果為不同拓撲下不同攻擊相對應的結果，將測試結果和正確分類結果求差即為誤報數(false positives).

Table 6 Decision Tree Classification Results for Different Topologies

為了更直觀地分析決策樹ID3算法檢測攻擊的效果，統計量化2種拓撲下的分類結果，并與基于小波分析檢測法、基于滿意度回推方法進行比較.比較的指標有檢測率和誤警率，3種方法的性能對比結果如表7所示：

Table 7 Comparison of Detection Performance ofDifferent Methods

通過對比檢測率和誤警率可得到的結論是：1)基于小波分析法檢測CIFA的檢測率高于檢測IFA檢測率，說明前者的效果更好，同時檢測IFA的誤警率較高.2)基于滿意度回推算法檢測CIFA的檢測率在大拓撲和小拓撲下都較低，但誤警率高，且它更易檢測IFA，這是因為CIFA隱蔽性好所以極難被檢測到.3)本文通過實驗分析CS中數據包的增長趨勢，發現CS緩存增長率可以明顯辨別IFA和CIFA.使用關聯規則和決策樹聯合檢測攻擊的算法，使小拓撲下CIFA的檢測率達到了95.1%，IFA的檢測率達到了93.7%；大拓撲下CIFA的檢測率達到了94.4%，IFA的檢測率達到92.3%.本文的方法檢測這2種攻擊的誤警率都較低，小拓撲下IFA和CIFA的誤警率分別是3.9%和6.0%，大拓撲下的誤警率分別是6.0%和6.7%.本文算法檢測CIFA的檢測率更高，但大拓撲和小拓撲下CIFA誤警率稍高于IFA的誤警率.分析對比大拓撲和小拓撲下攻擊的檢測率可知，相比于其他2種檢測方法本文算法的檢測率明顯提升，誤警率也有所降低.綜上所述，本文所提的檢測攻擊方法提高了攻擊的檢測率，并且可以辨別攻擊種類.

5 結論及展望

本文通過實驗分析CS中的數據包信息，挖掘了判斷攻擊的新特征.針對NDN中的攻擊，提出一種基于關聯規則和決策樹的聯合檢測方法.通過實驗對比以及性能分析可知該方法提高了檢測率并且區分是何種攻擊.將方法部署在網關節點中，通過Apriori算法找到網絡中的流量特征信息的關聯性，進行預處理后構造輸入決策樹的訓練集構建決策樹模型增加了決策樹算法的分類屬性，最終通過決策樹判斷是否有攻擊以及產生攻擊的原因.通過大量實驗和性能對比發現本文具有較好的檢測效果.但是本文所提方法計算量較大，檢測攻擊有一定延時.針對本文方法的不足之處，在未來的工作中我們旨在研究如何降低算法的時間復雜度，更快、更準確檢測攻擊，并找到對于不同攻擊的防御措施，更加有效地防御IFA和CIFA.