【NDN安全】Coordination Supports Security: A New Defence Mechanism Against Interest Flooding in NDN 学习笔记

1、之前提出的兴趣包洪泛攻击缓解策略存在下面的缺陷：

     （1）攻击检测比较困难，且并不精确，特别是对于分布式低速率兴趣洪泛攻击，因为可观察到的流量相对较小。与此相反，由于存在大量的攻击流量，靠近目标检测的路由器可能不能承受大量的攻击流量。

     （2）由于不能区分合法包和恶意包，合法的请求也可能受到影响。

     （3）每个路由器都需要执行攻击检测和缓解，路由器之间的协作需要较高的通信开销。

2、本文改写了CoMon框架，这是一个用于协调NDN中与缓存相关的策略的框架。

3、兴趣包洪泛攻击的缓解机制有以下5点原则：

     （1）对于低速率分布式兴趣包洪泛攻击，不能够在单独的节点上自动检测，而是基于包传输和转发状态的汇聚信息。

     （2）兴趣包洪泛攻击的检测和缓解应该在尽早执行，在恶意兴趣包消耗过多资源之前执行。

     （3）重复的攻击检测和对于攻击的过度反应应该被避免。

     （4）该机制应该能够区分合法兴趣包和恶意兴趣包，以避免损害合法流量。

     （5）协同机制的开销应该较低。

4、网络中共有3个角色：域控制器（Domain Controller, DC）、NDN路由器（NRs）、监控路由器（Monitoring Routers, MRs）。

      域控制器控制监控路由器监控网络内NDN路由器每个接口PIT条目的超时数目，以找出恶意接口和恶意包的名字前缀。监控路由器周期性地报告他们观察到的结果的汇总信息给域控制器，而域控制器返回给监控路由器整个域内正在进行的攻击的汇总信息。该套机制可用来缓解可能的兴趣包洪泛攻击。

      为了避免重复检测，监控路由器不检测之前被另一个监控路由器检测过的兴趣包。一旦一个兴趣包被监控路由器第一次捕获到，这个路由器即将兴趣包中增加一位，叫做“Checked”，设置为1。为了避免过度反应，每个兴趣包仅在第一次遇到监控路由器时决定是否做出反应。