[发明专利]一种基于GAN的NDN网络入侵检测方法

说明书

本发明涉及一种基于GAN的NDN网络入侵检测方法，属于计算机与信息科学技术领域。主目的是为了解决NDN网络中，统计方法泛化能力较差以及因恶意流量类样本数据过少，导致针对CPA攻击和IFA攻击的入侵检测困难的问题。本发明首先对从NDN网络路由节点获取的统计信息，使用变分高斯混合模型进行标准化预处理；其次使用基于条件GAN的方法对特定类别的样本进行数据增强，扩充表格型数据样本中恶意样本的数量；然后使用增强后的数据集训练深度神经网络分类器；最后分类器监测经由路由的流量统计信息判别恶意入侵攻击类型。本发明对CPA、IFA攻击监测效果较好。

技术领域

本发明涉及一种基于生成对抗网络(Generative Adversarial Network,GAN)的命名数据网络(Named Data Networking,NDN)入侵检测方法，属于计算机与信息科学技术领域。

背景技术

现有的TCP/IP网络架构以地址为核心，以保护传输路径为中心，越来越无法满足人们在大数据时代对网络数据的安全性、可靠性、高效性需求。为了从根本层面满足新兴的通信需求，面向未来的网络架构受到广泛关注。其中，命名数据网络以数据为中心，将通信的重点从地址转向内容，最有潜力代替TCP/IP网络，成为未来网络的主流架构。

NDN以命名数据为中心，取代IP地址，以数据名进行路由转发，保护数据而不是信道。每个数据包带有数字签名，通过数字签名验证信息，有效保证数据完整性、正确性以及数据来源。数据可在NDN网络中任何节点找到，不需要知道传输双方的地址，双方并不会建立一个直联信道。这种以数据为中心，通过数字签名保护数据的方式，从架构层面解决了信息篡改、信息欺骗等类型的安全问题。NDN网络相比IP架构提升了安全性，但面对互联网复杂的态势，也具有安全攻击隐患。缓存污染攻击(Cache Pollution Attack,CPA)、泛洪攻击(Interest Flooding Attack,IFA)是两类最具代表性的入侵攻击方式。

1.泛洪攻击入侵检测

IFA攻击以NDN路由器为攻击目标，针对某命名空间，短时间内高速发送不存在内容的兴趣包，目的是耗尽路由的缓存和带宽，致使用户难以发送或接受自己所需的数据包。如攻击持续时间较长，整个NDN网络最终崩溃。

IFA发生时，兴趣包数量会急剧增加，被满足的兴趣包数量急剧减少。针对IFA攻击的入侵检测方法是实时监听NDN路由接口，分析周期时间内通过路由的兴趣包数量、数据包数量，以及路由缓存表PIT动态变化指标，使用统计模型评判是否发生泛洪攻击。现有的统计方法泛化能力较差，在突发流量、热点内容情形下，误判率较高。

2.缓存污染攻击入侵检测

CPA攻击以NDN节点的缓存为目标，通过长期低速请求流行度低的内容，使污染内容长期占据网络节点缓存，从而控制网络节点内部缓存，致使合法用户命中率下降，合法内容获取时延增加，降低NDN网络性能。

CPA攻击发生时，NDN网络中低流行的内容会增加。针对CPA攻击的入侵检测方法是监控NDN网络中特定时间段内的不同兴趣包的数量，基于算法规则确定一个阈值，评判是否发生缓存污染攻击。该类方法在生产者与消费者距离较近时表现较好，但在远距的网络环境下，低速的恶意流量占比较少，由于数据不平衡导致监测困难。

综上所述，现有的针对IFA和CPA攻击的NDN网络入侵检测方法，在复杂网络情况下，统计方法泛化能力较差，对突发流量误判率高；缓存污染流量数据不平衡，监测判别困难。所以，本发明提出了一种基于GAN的NDN网络入侵检测方法。

发明内容

本发明的目的是为了解决NDN网络中，统计方法泛化能力较差以及因恶意流量类样本数据过少，导致针对CPA攻击和IFA攻击的入侵检测困难的问题，提出了一种基于GAN的NDN网络入侵检测方法。