【NDN安全】Poseidon: Mitigating Interest Flooding DDoS Attacks in Named Data Networking 学习笔记

      1、在t=1s时，消费者突然短暂地发送30个兴趣包，每2ms一个，从1.2s开始，正常消费者每10.7ms发送一个兴趣包，虚假兴趣包每1.337ms生成一个。路由器的PIT表大小为120KB，兴趣包超时时间设置为4s。

      2、兴趣包洪泛攻击的检测阶段：有两个参数，ω(r_i^j,t_k)和ρ(r_i^j,t_k)。ω(r_i^j,t_k)=时间间隔t_k内从接口r_i^j接收到的兴趣包/时间间隔t_k内从接口r_i^j接收到的数据包，代表兴趣包的满足率。ρ(r_i^j,t_k)为PIT中在时间间隔t_k内从接口r_i^j接收到的未满足的兴趣包的多少，即PIT中一段时间内从该接口接收到的兴趣包的多少。ω(r_i^j,t_k)有阈值Ω(r_i^j)，ρ(r_i^j,t_k)有阈值P(r_i^j)。当某时刻检测到兴趣包满足率低于阈值，从接口接收到的兴趣包数量高于阈值时，即可认为检测到了攻击。

      3、该检测方法可以排除两种正常请求：

      （1）在一个相对短的时间段内，如果路由器不能满足进来的兴趣包，即PIT中可能存在大量的未满足兴趣包，则ρ(r_i^j,t_k)可能超过阈值，但ω(r_i^j,t_k)可能不会。

      （2）当路由器接收到一些短暂的突发兴趣包时，ω(r_i^j,t_k)可能超过阈值，而ρ(r_i^j,t_k)不会。

      只有当ω(r_i^j,t_k)和ρ(r_i^j,t_k)都超过阈值，才可判断路由器受到攻击。

      4、兴趣包洪泛攻击的缓解阶段：当路由器检测出受到攻击，即向下游节点发送告知包（alert message），告知包是未经请求的内容包，用于传达正在进行的兴趣包洪泛攻击的信息。使用内容包有两个原因：（1）攻击期间，下一跳的PIT可能已满，无法接收兴趣包，而可以接收内容包；（2）内容包可以签名，而兴趣包不可以，这可以防止伪造的告知包。告知包允许在离目的受害者很远的地方就可以检测出兴趣包洪泛攻击。

      5、评估实验：设置Ω(r_i^j)=3，P(r_i^j)=1/8 PIT Size。缩减比例因子为s=2，等待时间wait_time=60ms。