1.一种基于密度聚类的信息中心网络缓存污染攻击检测与防御方法,其特征在于,包括以下步骤:
步骤1:在当前统计周期结束后,节点计算已结束的统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔;
步骤2:利用kann-dbscan算法将统计周期内收到的每个请求内容对象的请求比率和平均请求时间间隔进行聚类,分成不同的集群,获得准确聚类后的簇数并收集流行内容集合的请求内容及其数量;
步骤3:判断是否出现缓存污染攻击,以及出现的缓存污染攻击的类型;
若聚类后的簇数为1,即流行集合的内容请求和非流行集合的内容请求混合为一个集合,则判断出现了破坏内容分布特性攻击lda;
若聚类后的簇数为2,且出现了非流行内容集合的数量突然下降,而流行内容集合的数量却突然增加的情况,则判断出现了伪造内容分布特性攻击fla;
步骤4:针对缓存污染攻击采取防御策略;
若当前缓存污染攻击类型为破坏内容分布特性攻击lda,则节点采用cacheshield防御策略,统计请求内容的请求次数,计算请求内容的存储概率,阻止非流行内容存储到节点的缓存空间中;
若当前缓存污染攻击类型为伪造内容分布特性攻击fla,则节点获取从非流行内容集合中转移到流行内容集合中的内容名称,将这些内容名称添加到节点设置的黑名单中,此后当该节点接收到数据包时,将该数据包的内容名称与黑名单中的恶意内容名称进行前缀匹配,匹配成功后节点不再缓存该数据包;若节点是核心路由节点,则节点还需要设置数据包的通知字段通知边缘路由器对恶意内容进行限速,然后转发数据包;若节点是边缘路由器,当边缘路由器节点收到一个带通知标识的数据包时,将数据包的名称标识添加到限速名单中,再转发数据包;当边缘路由器节点接收到一个兴趣包时,将该兴趣包的内容名称与限速名单中的内容名称进行前缀匹配,若匹配成功则对兴趣包实行限速机制。