利用適應性驗證減緩資料命名網路之內容汙染研究

全文

(1)國立臺灣師範大學資訊工程研究所碩士論文. 指導教授：陳伶志博士. 利用適應性驗證減緩資料命名網路之內容汙染研究 Mitigating Content Poisoning by Adaptive Content Verification in Named Data Networking. 研究生：胡展榮撰中華民國. 一百零五年. 六月.

(2) 摘. 要. 資料命名網路 (Named Data Networking, NDN)被視為下一個世代的網路架構候選人之一，憑藉著本身的基礎架構設計，資料命名網路可以解決一些目前以 IP 為基底的網際網路所遇到的難題以及限制，並且能夠增加資料的存取效率以及網路頻寬使用率，然而，即便資料命名網路可以應付目前網際網路所遇到的困境，但是新的攻擊型態也會針對資料命名網路的架構設計而隨之產生，像是內容汙染攻擊，就是針對資料命名網路的基礎架構設計而出現的攻擊方式。在此篇論文中，我們提出了一種新穎的方法，藉由路由器跟資料要求者合作的方式，來共同抵禦內容汙染的攻擊，並且會根據目前網路中受到的攻擊情況強弱來採取不同的應對方式，而這種應對方式我們稱之為適應性驗證 (Adaptive Content Verification, ACV)，藉由適應性驗證，我們可以避免帶給路由器過多的負擔或者是使得資料要求者獲取太多的受到汙染的內容，同時，我們也可以有效地減緩內容汙染的攻擊。. 關鍵字：資料命名網路 (Named Data Networking, NDN)、內容汙染（Content Poisoning）、汙染攻擊 II.

(3) 目錄摘要 ............................................................. Ⅱ 圖表目錄 ........................................................... Ⅴ 第一章. 緒論 ........................................................ 1. 第二章. 背景以及相關研究 ........................................... 5. 2.1. 資料命名網路總覽 ............................................. 5. 2.2. 相關研究 ..................................................... 9. 第三章. 問題定義 .................................................. 13. 第四章. 方法：適應性驗證 .......................................... 15. 4.1. 基本概念 .................................................... 15. 4.2. 主要流程 .................................................... 17. 4.3. 動態機率 .................................................... 19. 第五章. 實驗及分析 ................................................ 23. 5.1. 尋找較好的 α................................................ 23. 5.2. 位於不同 hop 的路由器所產生之驗證次數 ........................ 28. 5.3. 與固定機率的比較 ............................................ 32. 5.4. 隨機 Topology................................................ 38. III.

(4) 第六章. 結論及未來 ................................................ 41. 參考文獻.......................................................... 43. IV.

(5) 圖表目錄圖 1：NDN 封包種類 ................................................... 6 圖 2：NDN 路由器的封包處理流程 ....................................... 8 圖 3：適應性驗證中資料要求者端流程圖................................ 18 圖 4：適應性驗證中路由器端流程圖.................................... 19 圖 5：𝐶𝑖,𝑗 變化流程圖 ................................................. 21 圖 6：XC topologies................................................. 26 圖 7：攻擊者個數為 1 且 cache size 為 1000，持續性攻擊下(a)LR (b)VR ... 27 圖 8：攻擊者個數為 2 且 cache size 為 1000，持續性攻擊下(a)LR (b)VR ... 27 圖 9：攻擊者個數為 2 且 cache size 為 100，持續性攻擊下(a)LR (b)VR .... 27 圖 10：攻擊者個數為 2 且 cache size 為 1000，週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) (a)LR (b)VR .................... 28 圖 11：群聚的攻擊者................................................. 30 圖 12：分散的攻擊者................................................. 31 圖 13：持續性攻擊下 VR，Others C/S = 1 以及 Others C/S = 10 重疊於接近 0 處 (a)群聚的攻擊者 (b)分散的攻擊者 ................................. 31 圖 14：週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 且 cache size 為 1000 之 VR，Others C/S = 1 以及 Others C/S = 10 重疊於接近 0 處 (a)群聚的攻擊者 (b)分散的攻擊者 ............................. 32 V.

(6) 圖 15：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之 LR................................. 34 圖 16：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之 1 to M 驗證總數 .................... 34 圖 17：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之全部路由器驗證總數 ................. 34 圖 18：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之其他路由器驗證總數 ................. 35 圖 19：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之 LR................................ 36 圖 20：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之 1 to M 驗證總數 ................... 36 圖 21：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之全部路由器驗證總數 ................ 37 圖 22：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之其他路由器驗證總數 ................ 37 圖 23：隨機 topology 持續性攻擊之 (a)LR (b)VR........................ 39 圖 24：隨機 topology 週期性攻擊之 (a)LR (b)全部路由器總驗證次數...... 40. VI.

(7) 表 1：尋找較佳 α 之環境參數設定..................................... 26 表 2：ACV 與固定機率之環境參數表 .................................... 38. VII.

(8) 第一章緒論. 資料命名網路 (Named Data Networking, NDN) [1] [2]是一個目前正在持續研究發展中的網路架構，同時被視為下一世代網際網路的候選人之一。資料命名網路的基本概念始於資訊集中網路(Information-Centric Network, ICN) [3]，並且由資料集中網路(Content-Centric Network, CCN) [4]進一步發展所產生，與目前以 IP 為基底的網際網路不同的是，資料命名網路主要的焦點在於我們所需要的資料本身是”什麼”而不再是我們需要到”哪裡”索取資料。在資料命名網路中，當使用者想要索取資料 A 的時候，只需要送出附帶資料 A 名稱的資料要求封包 (Interest)，則任何擁有資料 A 的節點都可以回傳資料 A 給該使用者。再者，資料命名網路中資料傳遞是以 pull-based model 為基準，也就是說，只有當使用者主動要求資料的時候，資料提供者才能將資料回傳給該使用者，未經要求的資料是不能由資料提供者主動傳送的，像是現今網際網路的電子郵件，許多使用者經常會收到的未曾訂閱過的垃圾廣告信件，如果是在資料命名網路中，使用者就不會收到這些未曾要求過的垃圾廣告信件。除此之外，在資料命名網路的架構裡，路由器擁有內建的 cache 功能，會 cache 曾經轉送過的資料，如此一來，可以增加資料的可獲得性以及頻寬的使用率。然而，在任何人都可以成為資料提供者的情況下，雖然可以提高資料的可獲得性以及減少伺服器周圍的網路阻塞情形，但是卻同時提供了惡意使用者另 1.

(9) 一種攻擊的方式：假設惡意使用者聲稱自己是資料提供者，使得許多資料要求封包傳遞到該惡意使用者處，但是該惡意使用者所提供的資料卻是偽造的資料，那麼就會使得資料要求者無法順利地獲取想要的資料，於是我們稱此種情形為資料要求者受到”內容汙染”攻擊。內容汙染攻擊影響並非只有資料要求者，同時連路由器也會蒙受其害。對資料要求者而言，會收到大量的偽造資料，使得資料要求者必須花費更多的時間以及資源才能取得他所想要的資料；對於路由器而言，由於資料命名網路中的路由器具有 cache 資料的功能，所以當內容汙染攻擊發生時，路由器就很有可能將偽造資料存放於 cache 中，進而使得偽造資料的可獲得性增加，間接導致內容汙染攻擊的惡化。再者，由於 cache 的空間是有限的，當 cache 的空間額滿時，路由器可能為了 cache 偽造資料然後把存在於 cache 中的正確資料丟棄，如此一來，不僅多了一個分享偽造資料的節點，同時也降低該筆正確資料的可獲得性。然而，為了減緩內容汙染攻擊所帶來的影響，我們可以從資料的簽章驗證下手。由於在資料命名網路中，攻擊者通常會竄改資料內容但是卻沿用舊有的簽章，所以驗證資料裡的簽章可以得知資料的完整性以及真偽：如果資料的內容與簽章的驗證結果不符，代表資料的內容是有問題的；反之，則是非受到私自竄改過的正確資料。於是，在得知資料的真偽之後，就可以將偽造的資料丟棄，避免偽造資料流通於網路中。 2.

(10) 雖然藉由資料簽章驗證的方式，我們能夠找出偽造資料並且加以丟棄，但是，在何處驗證資料中的簽章就成了減緩內容汙染攻擊的一大關鍵；如果由路由器來驗證資料裡的簽章，雖然可以減少資料要求者收到的偽造資料，但是路由器需要額外的時間來處理簽章的驗證，因此會使得整體網路的資料傳輸速度下降。再者，如果網路受到的內容汙染攻擊很微弱，那麼大部分的簽章驗證就會耗費正確的資料上，相當於白做工 (因為我們驗證簽章的目的在於要找出偽造的資料)。另一方面，如果是由資料要求者來負責資料簽章的驗證，雖然路由器不用耗費額外的時間於資料簽章的驗證，但是路由器的 cache 卻會將轉送過的偽造資料儲存起來，並且成為提供偽造資料的節點，使得內容汙染攻擊惡化。同時，當資料要求者發現是偽造資料時，就將該筆偽造資料排除後再重新索取一次，因此，會讓資料要求者需要花更多的時間去索取正確的資料，並且浪費了網路的傳輸資源。在這篇論文當中，我們做出了以下幾點貢獻： 1.. 我們提出了一個名為適應性驗證 (Adaptive Content Verification, ACV)的方法，此方法可以配合網路狀態改變而進行調整的方法來抵禦內容汙染攻擊所造成的危害。. 2.. 我們利用 ndnSIM[5][6]實際操作模擬了一連串的實驗，以找出在我們所提出的方法 (ACV)中較佳的參數設定。 3.

(11) 3.. 最後，我們證明我們所提出的方法 (ACV)確實能配合網路狀態變化而調整，並且有效地減緩內容汙染攻擊的影響。此篇論文其餘的部分主要為：章節二介紹資料命名網路的部分背景知識以. 及在現今的網際網路跟資料集中網路 (Content Centric Network, CCN)中不同的汙染攻擊方式以及目前常見的解決方法，章節三呈現內容汙染攻擊的問題敘述，章節四詳細介紹我們所提出的方法：適應性驗證 (Adaptive Content Verification, ACV)，章節五討論我們的實驗結果，而章節六對於整篇論文給予結論以及未來期許能完成的工作。. 4.

(12) 第二章. 背景以及相關研究. 在介紹我們所提出的方法之前，我們會對於資料命名網路的內部架構做一些簡單的解說，並且介紹現今網際網路以及資料命名網路中比較常見的汙染攻擊種類和目前所提出的解決辦法。. 2.1 資料命名網路總覽資料命名網路是目前正在發展中的新一代網路架構，與現今以 IP 為基底的網際網路不同的是，在資料命名網路中，資料要求者在乎的是”資料本身”，而不再是資料所在的”位置”。然而，如果不知道資料位在何處，光是知道資料為何，資料要求者要如何索取想要的資料呢？在資料命名網路的設計中，主要會有兩種封包，分別是資料要求封包 (Interest)以及資料封包 (Data) (圖 1)，每一個資料要求封包都可以索取到一個資料封包，他們之間是利用名字來作為聯繫，當資料要求者想要索取資料 A 的時候，資料要求者會發出附帶著資料 A 名稱的資料要求封包，接著任何有資料 A 的節點，都可以成為提供資料 A 的節點 (資料提供者)，於是當資料提供者收到資料要求封包時，會傳送附帶資料 A 名稱的資料封包作為回覆。此時，假使資料提供者同時也是資料 A 的生產者，那麼資料生產者就必須對於資料 A 的內容進行數位簽證進而產生數位簽章 (signature)，並且將簽章夾帶在資料封包中， 5.

(13) 同時提供相關資訊，以便於收受者進行簽章驗證。當資料要求者獲取資料 A 時，就可以藉由驗證簽章的方式來確認資料 A 的正確性以及完整性，如果簽章驗證後發現資料有問題，那麼資料要求者會再一次發送資料要求封包，不過此次會將有問題的資料名稱放入 Selectors 中的 exclude filter，用來排除此份有問題的資料，如此可以確保當下一個資料 A 回傳到資料要求者時，不會是上一份資料要求者已經收到過的問題封包，透過這樣的方式，資料要求者最終可以取得所想要的資料 A。. 圖 1：NDN 封包種類. 此外，在資料命名網路中，路由器的設定也有了些許的改變，主要由三個部件所組成，分別是： 1. Content Store (CS) －路由器中內建的 cache，會 cache 路由器曾經幫忙轉送過的資料封包，並且根據 cache 中的 replacement algorithm 來決定資料的丟棄. 6.

(14) 保留，同時，作為一個資料的貯存所，可以使得路由器成為資料提供者，增加資料的可獲得性。 2. Pending Interest Table (PIT) －紀錄路由器曾經轉送過但尚未收到回覆的資料要求封包，擁有相同名稱的資料要求封包會被整合成同一筆紀錄，並且儲存資料要求封包是從哪些介面進入；當資料封包抵達時，藉由之前儲存的紀錄得知資料封包應該回傳的介面。 3. Forwarding Information Base (FIB) －功能類似以 IP 為基底的網際網路中的 routing table，決定封包的傳遞方向。與 routing table 最大不同的是，FIB 只負責決定資料要求封包應該傳向何處，對於資料封包傳送方向並不會做任何的決定。當路由器收到附帶名稱 A 的資料要求封包時，會先檢查 CS 是否有名稱為 A 資料可以回應，如果有，就回傳資料 A；否則，路由器會接著尋找 PIT 中的紀錄，確認之前是否已經傳送過同樣名稱為 A 的資料要求封包，若是已經傳送過同樣名稱為 A 的資料要求封包，表示先前資料 A 已有被要求過，於是只要等待資料 A 的回傳即可，不需要再次要求資料 A，接著會把此資料要求封包的進入介面記錄下來；但如果在 PIT 中找不到名稱為 A 的紀錄，就表示先前沒有傳送過同樣名稱為 A 的資料要求封包，則路由器會利用 FIB 來決定此資料要求封包要往哪傳送。當附帶名稱 A 的資料封包到達路由器後，路由器會尋找 PIT 中是否有曾經 7.

(15) 要求過資料 A 的紀錄，如果有，就會根據 PIT 中所記錄的進入介面，將資料 A 從這些介面傳送出去，並且將資料 A 儲存於 CS 中；然而，若是在 PIT 中找不到曾經要求過資料 A 的紀錄，則路由器就會丟棄該筆資料封包。(圖 2). 圖 2：NDN 路由器的封包處理流程. 擁有了這三個部件，路由器所扮演的腳色就不再只是幫助轉送封包而已，除了 CS 可以使得路由器變成資料貯存所，進而成為許多資料的提供者，增加資料的可獲得性。PIT 的設置大幅地減少了重複要求的資料要求封包充塞於網路中，因此減少了資料提供者收取到的資料要求封包，使得資料提供者需要回覆的資料封包也會減少，再者，PIT 輕易地實現了資料封包的 multicast 功能，資料封包會根據 PIT 記錄中的進入介面回傳到下游的資料要求者，如此一來，不僅避免了網路阻塞和伺服器過於忙碌的情形，也可以讓網路頻寬的使用更有效率。 8.

(16) 2.2 相關研究汙染攻擊的議題存在於現今以 IP 為基底的網際網路當中已經有相當長的一段時間，而且汙染攻擊的方式還分成了許多種，比較常見的像是：DNS spoofing [7][8]、P2P poisoning [9]以及 web caching poisoning [10]等，由於不是新的議題，所以也有許多人針對這些污染攻擊提出了應對的方式。像是對於 DNS spoofing，[11] [12]都有發展應對的方法，[11]提出了 DNS guard 來應對，針對 DNS spoofing 攻擊的特性，設計 embedding cookies 放在 NS name 中，如果攻擊者不知道該 cookies 的話，就無法成功的攻擊 DNS server；而 DNSSEC [12]則是利用數位簽章的方式來確保 DNS 回應的有效性，確認該回應的有效性之後才會接受回傳的結果，藉此來抵禦 DNS spoofing 攻擊。 [9]利用了 P2P 實際操作了 DoS 的攻擊，強調 P2P 汙染攻擊的嚴重性，而在 [13]不僅對於 P2P poisoning 有詳細的介紹，同時也提出了解決之道；此外，[10] 針對 web cache poisoning 有初步的介紹，[14]則是對於不同 web cache poisoning 的攻擊方式有詳細的探討，並且利用實驗測量了各種攻擊的影響；[15]更是集大成，對於各式的 cache pollution attacks 都詳加介紹，以及對於這些攻擊分別提出解決方法。除了上述幾種針對性的解決方法，關於這些在以 IP 為基底網際網路中的汙染攻擊，有個最直觀的共同簡易解決方式，就是藉由找出偽造資料中資料來源者的 IP 位址，進一步得知攻擊者所在的位置，接著對於該 IP 位址所提供的資料 9.

(17) 加以阻絕，如此一來就可以減緩汙染攻擊，進而避免偽造資料影響到使用者。資料集中網路 (Content Centric Network, CCN) [4]是資料命名網路的前身，因此在資料集中網路裡會產生的問題，也經常會出現在資料命名網路上。然而，相較於現今的網際網路，資料集中網路是一個仍在發展研發中的網路型態，即便是發展中的網路，也有許多關於安全性議題的研究，[16] [17] [18] [19] 是介紹針對 PIT 設計的架構，因而產生出來的 DoS 攻擊，並且提出不同的應變方法來應付之；[20] [21] [22] [23]則是對於 CCN 中的隱私部分提出了潛藏的危機，藉由路由器中 cache 所儲存資料的公開性，外加利用 CCN 資料封包裡所隱含的訊息，攻擊者可以藉此取得使用者相關的部分資料，其中[21]發展出 ANDaNA 來防止攻擊者可以從資料中進一步取得與使用者的聯繫。 CS 使得增進了資料可獲得姓，然而卻也同時成為了攻擊目標之一，[24] [25]中就提到，針對 cache 攻擊而去破壞 cache locality，使得 cache 的存在毫無幫助，無法發揮增加資料分享率的功能，並且[24]建構了 cacheshield，專門對抗這種攻擊。而[26]則是對於在 NDN 中可能出現的 DoS 攻擊做了一分簡易的介紹，並且提出初步的抵禦方法，除了上述幾種攻擊，這其中還包含了內容汙染攻擊。在資料集中網路中所發現的汙染攻擊，以內容汙染攻擊較為人熟知，但是，跟現今以 IP 為基底的網際網路不同的是，資料集中網路裡並沒有 IP 位址可以讓我們追蹤偽造資料的來源處，因此我們無法找到攻擊者的所在源頭，進一 10.

(18) 步對其所提供的偽造資料加以隔絕。但是，由於在資料集中網路中，每個資料生產者必須對於自己所產生的資料內容簽署數位簽章，以確保資料的完整性以及正確性，所以當面臨到內容汙染攻擊的時候，我們可以藉由資料中的簽章驗證來確認資料是否被他人竄改過。目前，在資料集中網路中主要有兩種方式來抵禦內容汙染攻擊，[26] [27]主要提出的觀點是利用路由器來負責進行資料裡的簽章驗證，由於資料一定會經由路由器幫忙轉送，所以在轉送的同時，路由器可以順勢對於資料進行簽章驗證，然後針對簽章驗證結果與內容不符的資料加以丟棄，如此一來可以避免偽造資料流通到資料要求者端。然而，讓路由器負責簽章的驗證，會讓路由器耗費太多額外的時間，使得整體網路傳輸速度降低，等同是增加路由器的負擔以換取減緩汙染攻擊的影響。不過[28]認為路由器不需要承受這種額外負擔，因為當資料要求者收到資料封包時，一定會對該資料進行簽章驗證，以確認得到的資料是否有被他人竄改過。於是[28]提出，將資料中的簽章驗證只由資料要求者來進行，如果資料內容與進行驗證的簽章不符，表示該資料可能是被他人竄改而有問題的，此時資料要求者會再次發出資料要求封包，但是此次會將有問題的資料名稱夾帶於資料要求封包中的 exclude filter 裡面，這樣的做法可以讓資料要求者不會再次得到此筆有問題的資料封包，同時路由器可以藉由 exclude filter 對 cache 的內容進行排序，進而抵禦類內容汙染攻擊。但是，如果路由器不進行資料簽章驗證，路由 11.

(19) 器便無法知道資料的真偽，因此也不能適時地丟棄偽造資料，如此會導致路由器偽造資料，使得路由器 cache 的空間浪費於偽造資料上。上述兩個方法都各有其缺點，並且都將簽章驗證的事項全部交付給其中一方 (路由器或資料要求者)，相當於 blind solution，不僅放大了單一一方負責驗證時的缺點，同時也未提出如何配合網路中攻擊者的行為來進行抵抗內容汙染攻擊的調整。於是我們提出了一個名為適應性驗證 (Adaptive Content Verification, ACV)的解決方法，不但可以有效地抵禦內容汙染攻擊，並且因應網路中受到攻擊的強弱來調整防禦的機制，最終達到利用較少的負擔換取較好的抵禦效果。. 12.

(20) 第三章問題定義. 此章節會描述在資料命名網路中發生了內容汙染攻擊時，資料生產者、資料要求者以及路由器分別所扮演的腳色和行為，並且會沿用於此篇論文的剩餘部分。 . 資料生產者：收到資料要求封包時，會生產相對應的資料封包並且將該資料封包作為回覆，而在內容汙染攻擊中，主要可分為以下兩種資料生產者： . 惡意資料生產者－也就是引發內容污染的攻擊者。宣稱能夠產生所有 prefix 相對應的資料，對於所收到的資料要求封包，會生產偽造的資料內容並且附上數位簽章 (此簽章可為他人生產的有效簽章，亦可是惡意資料生產者所製造的無效簽章)，再傳送給資料要求者，意即提供偽造的資料封包。. . 合法資料生產者－當收到資料要求封包時，會先檢查所收到資料要求封包的 prefix，確認是否本身有提供的相對應的資料，確定有提供之後，就產生相對應的正確資料內容，接著對其資料內容進行數位簽署並且附上簽署後的合法有效簽章，接著再回傳給資料要求者；若是沒有提供相對應的資料封包，將會直接丟棄該資料要求封包。換言之，就是提供正確資料封包的資料生產者。 13.

(21) . 資料要求者－發出資料要求封包以索取資料，當收到的資料後，會先確認該筆資料是否之前有發出要求過，如果有，就會對其進行簽章驗證以確認資料的正確性與完整性；假使是未曾要求過的資料，則會直接丟棄。再者，如果在資料封包 (不論是正確資料或者是偽造資料)到達前，計時器先逾時了，則資料要求者會再次要求該筆資料。此外，並不會幫忙轉送任何資料要求/資料封包。. . 路由器－幫忙轉送資料要求/資料封包，並且當路由器 i 幫忙轉送資料封包時，路由器 i 會有獨立的驗證機率𝑃i (𝑃i 跟路由器 i 的介面數目的多寡無關)來決定是否要驗證此資料的簽章，之後會將通過驗證或者決定不驗證的資料儲存於路由器內建的 cache 中。. 此外，在此篇論文中，我們假設資料要求者以及路由器不會協助惡意資料生產者 (意即攻擊者)實施內容汙染攻擊。. 14.

(22) 第四章方法：適應性驗證. 不論是把資料中的簽章驗證只由資料要求者來進行，或者是讓路由器主要負責驗證資料裡的簽章，都各有所利弊。再者，由於網路狀態瞬息萬變，攻擊者的攻擊行為也難以預測，因此，如果不配合網路狀態以及攻擊者的行為來做調整，進而抵禦內容汙染攻擊，很可能使得抵禦方法反而成了攻擊者的攻擊目標，因此我們提出了一個讓資料要求者與路由器互相合作，並且會適應網路中狀態的變化以及隨著攻擊者的行為不同而有所因應措施的方法，我們稱之為適應性驗證 (Adaptive Content Verification, ACV)。在本章節中，一開始會介紹我們的方法－適應性驗證的基本概念，接著呈現出適應性驗證如何運作的主要流程，最後對於流程中的各個部分詳細解說。. 4.1 基本概念首先，為了減少全由單一方面 (路由器或資料要求者)主要負責簽章驗證時所會產生的缺失，我們使路由器和資料要求者都會進行資料的簽章驗證。其次，為了配合網路中狀態改變以及攻擊者行為的變化而採取不同因應措施，於是，我們把路由器 i 的隨機驗證機率𝑃i 設定成會隨著網路狀態的不同而進行變動。以下將講述讓𝑃i 隨著網路狀態變化而改變的基本想法：當網路中偽造資料比較多的時候，為了避免資料要求者收到太多的偽造資 15.

(23) 料，所以我們傾向讓大部分的資料在路由器幫忙轉送時，就先進行簽章驗證，之後再傳給資料要求者。這樣可以使得大部分的偽造資料在傳送的路途中就被過濾掉，而減緩了資料要求者受到的內容汙染攻擊。再者，對於路由器以及整體網路而言，由於偽造資料在路由器轉送時就被發現然後丟棄，因此不會繼續往下傳送而消耗了網路的傳輸資源，同時也不會佔據路由器中 cache 的空間，並且，路由器所花費額外的簽章驗證時間，也可以有效地找出網路中流傳的偽造資料，而不是將大部分的時間都花在驗證正確資料上。另一方面，如果網路中正確資料越多時，我們偏向於只讓路由器負責轉送資料而較少驗證資料內容中的簽章。如此一來，會使得大部分的資料直到資料要求者收到時才進行簽章驗證，不但可以讓路由器不需要花費太多額外的時間在正確資料的簽章驗證上，進而影響網路中資料傳輸速度，同時，由於網路中正確資料佔的比例較多，因此即便大部分的資料是傳遞到資料要求者時才進行簽章驗證來判別真偽，也不會使得資料要求者收到過多的偽造資料，更不會讓內容汙染攻擊有所成效。簡言之，如果網路中的偽造資料越多時，路由器 i 就會越頻繁地去驗證幫忙轉送的資料簽章，所以需要提高路由器 i 本身驗證資料簽章的機率𝑃i ；反之，當網路中正確的資料越多時，路由器就傾向於不去驗證所傳送資料內容的簽章，因此路由器 i 會降低驗證資料簽章的機率𝑃i 。如此不僅僅可以減少路由器於內容污染攻擊微弱時所產生過多的額外負擔，同時也可以在攻擊猛烈時有效地降低 16.

(24) 內容汙染攻擊的影響。. 4.2 主要流程為了使得路由器 i 可以配合網路中資料真偽多寡的變化，來進行驗證機率𝑃i 的調整，所以我們利用資料要求者會在收到偽造資料後再次要求資料，以及路由器會幫忙轉送資料要求封包的特點，讓資料要求者藉此將網路中資料真偽的狀態回報給路由器 i，然後路由器 i 再統整所收到的回報結果來對於驗證機率𝑃i 進行配合網路狀態的調整，由於是資料要求者與路由器互相配合，因此我們將主要的運作流程分為兩個部分，分別是： 1) 資料要求者端－收到之前所要求的資料 A 時，會先對資料 A 進行數位簽章的驗證，如果驗證後確認資料 A 是偽造的，則資料要求者會向上游的路由器再次發出對資料 A 的資料要求封包，但是此次會夾帶著對於先前收到的偽造資料 A 的抱怨，如此一來，不僅可以避免再次收到該偽造資料 A，同時也可以藉由抱怨向路由器反映目前網路中偽造資料的多寡；反之，若是驗證後發現資料 A 的內容正確無誤，那麼資料要求者將不會進行任何回報，並且繼續進行原本行程中的工作。(圖 3). 17.

(25) 圖 3：適應性驗證中資料要求者端流程圖. 2) 路由器端－當路由器 i 收到封包時，會先判斷該封包是資料要求封包或者是資料封包，如果是資料要求封包，則進一步判斷此資料要求封包是否夾帶著資料要求者的抱怨，有的話，收集統計抱怨數做為調整𝑃i 的基準，沒有的話，就往下傳送，藉由著資料要求封包中夾帶抱怨的比例，路由器間接地知道資料要求者收到資料的情形，進一步地從中推斷出目前網路中偽造資料的多寡，並且利用推斷出來的結果來調整𝑃i ，使得𝑃i 可以因應攻擊者的不同行為；倘若是資料封包，則路由器 i 會藉由動態機率取得驗證機率𝑃i ，然後利用𝑃i 決定是否要對該資料封包進行簽章驗證，如果不驗證，就往下傳送；若是決定要驗證，則根據驗證結果決定下一步：1) 資料通過簽章驗證：此資料為正確資料，於是往下傳送。2) 資料於簽章驗證失敗：該筆資料是偽造 18.

(26) 資料，立即丟棄。 (圖 4). 圖 4：適應性驗證中路由器端流程圖. 4.3 動態機率在此節中，我們將詳細介紹路由器如何利用資料要求者所回報的抱怨來得知目前網路中偽造資料的多寡，從而進一步調整各路由器的驗證機率，以因應網路的狀態，達成避免路由器額外的負擔以及有效地抵禦內容汙染攻擊。首先，我們定義了以下數個變數作為之後的使用： -. 𝑉𝑖,𝑗 ：路由器 i 在時間區段𝑡𝑗 中所驗證出來的偽造資料總數. -. 𝐶𝑖,𝑗 ：路由器 i 在時間區段𝑡𝑗 中所收到的抱怨總數. -. 𝐷𝑖,𝑗 ：路由器 i 在時間區段𝑡𝑗 中所收到的相異資料總數. -. 𝐹𝑖,𝑗：路由器 i 在時間區段𝑡𝑗 中的偽造比率 (Fake rate)，我們定義𝐹𝑖,𝑗 = 19. 𝑉𝑖,𝑗 +𝐶𝑖,𝑗 𝐷𝑖,𝑗. ，.

(27) 意即路由器 i 在時間區段𝑡𝑗 中所收到的資料中偽造資料 (使用者的抱怨以及路由器驗證得知)所占的比率。 -. 𝑃𝑖,𝑗 ：路由器 i 在時間區段𝑡𝑗 中的驗證機率. -. 𝑡𝑗 ：我們使用 jumping window 設定𝑡𝑗 (1 秒)，並且調整以上各個變數路由器 i 可以利用𝑉𝑖,𝑗 以及𝐶𝑖,𝑗 來得知目前網路中偽造資料的多寡，每當路由. 器 i 隨機驗證並且發現偽造資料時，𝑉𝑖,𝑗 就會加一；而路由器 i 收到使用者的抱怨時，會將𝐶𝑖,𝑗 加一，𝑉𝑖,𝑗 以及𝐶𝑖,𝑗 相加起來，就是在這個時間區段𝑡𝑗 中路由器所收到偽造資料總數，然後將𝑉𝑖,𝑗 +𝐶𝑖,𝑗 除以路由器所收到的相異資料總數𝐷𝑖,𝑗 可以得到𝐹𝑖,𝑗 ，於是藉由𝐹𝑖,𝑗 路由器 i 就可以知道目前網路中偽造資料充斥的程度，然後再對𝑃𝑖,𝑗 來進行配合網路狀態的調整。然而，關於使用者的抱怨，假如路由器 i 收到一份對於資料 A 的抱怨，但是路由器 i 卻未曾幫忙轉送過資料 A，此時路由器 i 卻依然接受此筆對於資料 A 的抱怨 (也就是將𝐶𝑖,𝑗 加一)，這樣將會使得路由器 i 的𝐹𝑖,𝑗 上升，導致路由器 i 認為網路中偽造資料佔了多數，進而提高本身的驗證機率P𝑖,𝑗 。如此一來會使得路由器 i 平白增添額外的負擔。因此為了避免類似的事情發生，我們利用的 NDN 路由器內建 cache 的機制，來幫助我們判斷路由器 i 是否曾經轉送過被抱怨的資料，於是我們有了以下的機制：當路由器 i 收到對於資料 A 的抱怨時，路由器 i 會先去 Content Store 檢查是否有 cache 資料 A，如果沒有，則表示路由器 i 未曾幫忙轉送過資料 A，於是路由 20.

(28) 器 i 不會對𝐶𝑖,𝑗 做任何動作；然而，若是資料 A 存在於 Content Store 裡面，代表路由器 i 曾經幫忙轉送過被抱怨的對象－資料 A，此時我們會再去檢查 Pending Interest Table (PIT)，判斷之前是否已經有收到過同樣對於資料 A 的抱怨，如果是第一次收到對於資料 A 的抱怨，路由器 i 才會對𝐶𝑖,𝑗 做加一的動作；但倘若 PIT 內已經有對於資料 A 的抱怨了，表示之前已經有人發出對於資料 A 的抱怨，那麼路由器 i 就不會改變𝐶𝑖,𝑗，意即對於同一筆資料的抱怨，路由器 i 只會統計一次。 (圖 5). 圖 5：𝐶𝑖,𝑗 變化流程圖. 這樣的設計可以避免下游過多的路由器負擔過大，因為負責下游較多的路由器通常會收到比較多的使用者抱怨，假如每一筆對於同樣資料的抱怨我們都去計算，這樣一來會使得下游較多的路由器大幅地增加驗證機率，進而使得該路由器背負的過多的額外負擔，相對於下游較少的路由器，這是不公平的，所以我們讓路由器對於同一筆資料的抱怨只會進行統計計算一次。當路由器 i 利用上述的方式收集計算出𝐶𝑖,𝑗 之後，就可以進而得知𝐹𝑖,𝑗 的數值， 21.

(29) 藉由𝐹𝑖,𝑗 路由器 i 能夠得知目前網路中偽造資料充斥的程度，於是我們將𝐹𝑖,𝑗 當作下一個時間區段𝑡𝑗+1 網路中偽造資料可能存在的比例，並且，路由器 i 於下一個時間區段的驗證機率𝑃𝑖,𝑗+1必須要是該比例的 α 倍 (α > 1)，如此一來於理論上才能將下一個時間區段𝑡𝑗+1 的偽造資料盡可能地全部都找出來，於是我們讓 𝑃𝑖,𝑗+1 = α𝐹𝑖,𝑗. (1). 其中𝑃𝑚𝑖𝑛 ≤ 𝑃𝑖,𝑗+1 ≤ 𝑃𝑚𝑎𝑥 ，並且 α > 1, 𝑃𝑚𝑖𝑛 ≥ 0, 𝑃𝑚𝑎𝑥 ≤ 1，此外𝑃𝑚𝑖𝑛 , 𝑃𝑚𝑎𝑥 和 α 都是常數，𝑃𝑚𝑎𝑥 以及𝑃𝑚𝑖𝑛 的設立都是由使用者決定，𝑃𝑚𝑎𝑥 主要是讓使用者於網路受到猛烈的內容汙染攻擊時，可以設立臨界值而避免其路由器花費在資料簽章的驗證時間過多，而使得路由器負擔過大；𝑃𝑚𝑖𝑛 則是在網路受到微弱的內容汙染攻擊時，使用者可以限制其路由器會有最低限度地進行資料的簽章驗證，而不會完全取消防禦機制，以免突然其來的內容汙染攻擊來臨時，資料要求者不會收到龐大的偽造資料。此外，因為越靠近攻擊者的路由器將會轉送許多的偽造資料，所以會使得有越多的偽造資料 cache 在路由器的 CS 中，因此，當路由器收到針對攻擊者所散布資料之抱怨時，𝐶𝑖,𝑗 就會隨之增長；再者，由於轉送的偽造資料多，也會比較容易驗證出偽造資料，進而導致𝑉𝑖,𝑗 上升得較快。當𝐶𝑖,𝑗 與𝑉𝑖,𝑗 上升時，就會連帶影響 𝐹𝑖,𝑗 的增長，最後影響𝑃𝑖,𝑗+1 的增幅，使得靠近攻擊者的路由器會有較高的𝑃𝑖,𝑗+1，就能夠使得偽造資料在越靠近攻擊者的路由器就先被檢驗出來，而減少偽造資料影響整個網路的情形。 22.

(30) 第五章實驗及分析. ndnSIM[5][6]是一個將資料命名網路實作於 NS-3[28]模組上的模擬器，為了要測量我們所提出的方法－適應性驗證 (Adaptive Content Verification)，我們利用了 ndnSIM 進行了一連串的模擬實驗，並且利用下列兩個量值來評量適應性驗證的成效。 1.. Legitimate Ratio (LR)：資料要求者所收到的資料中，正確資料所佔的比例。此量值越高表示減緩內容汙染攻擊的成效越好。. 2.. Verification Rate (VR)：路由器平均每秒的驗證簽章次數。也就是路由器為了驗證資料中簽章而產生的額外負擔，此量值越小代表路由器為了驗證資料中簽章所產生的額外負擔越少。. 此章節剩餘部分將描述模擬情境以及實驗，並且對於實驗結果進行分析。. 5.1 尋找較好的 α 當網路的狀態確定之後，路由器 i 的驗證機率𝑃𝑖 將會受到α很大的影響，因此我們希望可以找出較好的α以避免讓路由器承受過多的額外負擔，同時也可以有效地抵禦內容汙染攻擊。我們利用 XC topologies (圖 6)來進行尋找較好α的實驗，我們分別針對 4 個α值做了 3 種不同變因的實驗，表 1 呈現出實驗的基本設定，接著分別對不 23.

(31) 同攻擊者個數(1 個跟 2 個)，不同 cache size(=100 以及=1000)，以及不同的攻擊型態 (持續性攻擊和周期性攻擊：從 200 秒開始，持續攻擊 100 秒後停止攻擊 100 秒，如此重複)來進行實驗並分析。從圖 7(a),(b)以及圖 8(a),(b)可以看出，不論攻擊者個數的多寡，α = 2 時會有最差的抵禦內容汙染攻擊的效果，同時會造成路由器最多的每秒驗證次數，以及，α = 3 時會產生次差的抵禦攻擊效果並且導致次多的路由器額外負擔。當α ≥ 4 的時候，我們會發現，減緩內容汙染攻擊的成效會達到最好，並且擁有最少的路由器每秒驗證次數。同樣的情形，我們也可以藉由圖 8(a),(b)和圖 9(a),(b)發現，不論 cache size 的大小變化，α ≥ 4 的時候所產生的抵抗攻擊效果會是最好，同時也可以得到最少的路由器每秒驗證次數。根據我們的觀察發現，當α < 4 的時候，路由器的驗證機率上升得較慢，所以會使得攻擊開始時有較多的偽造資料流通於網路中，進而使得資料要求者受到較多的攻擊，因此 LR 會比較低，之後資料要求者會再次重新要求資料，導致不同的資料要求者所要求的資料次序有所差異，減少了同時要求相同資料的情形，使得路由器轉送的資料封包變多，所以 VR 也跟著上升(路由器收到同一筆資料的要求，轉送之後也只會得到回覆一份資料封包；若收到要求兩份資料要求，則路由器接著也會收到兩份資料封包)。最後，從圖 10(a)可以看出，當網路的攻擊者由停止攻擊轉變為開始攻擊時 (例如 400 秒、600 秒、800 秒、1000 秒)， LR 會明顯的下降，這是因為對適應 24.

(32) 性驗證而言，前一段時間是沒有任何攻擊的，因此抵禦攻擊的機制並不會啟動，直到攻擊發生後，適應性驗證需要一段時間來擷取網路狀態的資訊，接著才會因應網路的變化而抵禦攻擊，然而，當適應性驗證開始發揮效用時，LR 就會慢慢向上攀爬，表示受到內容汙染攻擊的影響已經被減緩。再來，由圖 10(b)能夠發現，當網路中的污染攻擊停止時，適應性驗證會因應網路的狀態而適度地減少路由器的負擔。再者，圖 10(a),(b)表現出，不論網路中的攻擊發生或者是停止，α ≥ 4 都可以產生最高 LR 以及最少的路由器每秒驗證次數，因此，根據此實驗結果，我們選擇 α = 4 作為剩餘部分的實驗參數設定。. 25.

(33) 圖 6：XC topologies 變數 𝑷𝒎𝒂𝒙. 1. 𝑷𝒎𝒊𝒏. 0. α. 2,3,4,5. Forwarding Strategy. Broadcast. 資料要求頻率 (interests/s). 100. 網路暖機時間. 前 200 秒. 表 1：尋找較佳 α 之環境參數設定. 26.

(34) (a). (b). 圖 7：攻擊者個數為 1 且 cache size 為 1000，持續性攻擊下 (a)LR (b)VR. (a). (b). 圖 8：攻擊者個數為 2 且 cache size 為 1000，持續性攻擊下 (a)LR (b)VR. (a). (b). 圖 9：攻擊者個數為 2 且 cache size 為 100，持續性攻擊下 (a)LR (b)VR. 27.

(35) (a). (b) 圖 10：攻擊者個數為 2 且 cache size 為 1000，週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) (a)LR (b)VR. 5.2 位於不同 hop 的路由器所產生之驗證次數此節我們針對靠近攻擊者與遠離攻擊者的路由器所產生的驗證次數來進行分析，在此實驗中，我們使用了兩個不同的情境來做為實驗的設計，圖 11 為攻擊者 (P2,P3,P4)群聚於 topology 中某一區域的情境，圖 12 是攻擊者 (P2,P3,P4)分散於 topology 四周的情境。在圖 11 以及圖 12 中，P1 都扮演著合法生產者的腳色，實驗的基本變數設定如表 1，只是 α 設定為１， 28.

(36) 接著我們對於不同 cache size，以及不同的攻擊型態 (持續性攻擊與周期性攻擊：從 200 秒開始，持續攻擊 100 秒後停止攻擊 100 秒，如此重複)進行實驗。在此實驗中，我們主要觀察最靠近攻擊者的路由器 (One hop to Malicious producer, 1 to M,意即圖 11 中的 R1、圖 12 中的 R1,R7 和 R4)，跟其他的路由器 (Others)來分析比對。圖 12(a),(b)中，我們在不同的情境中利用了相異的 cache size(=1000 跟=100)來做比較(C/S 代表 cache size 除以資料要求頻率)，在圖 12(a)中我們可以得知，cache size 越小時，會在最靠近攻擊者的路由器都有越多的每秒驗證次數，再者，我們發現，不論 cache size 的大小變化，在最靠近攻擊者的路由器中所產生的每秒驗證次數，是遠大於其他路由器的每秒驗證次數。類似的情形也可以在圖 12(b)裡發現，這表示攻擊者不論是分散或群聚，都會使得大部分的資料驗證發生於最靠近攻擊者的路由器處。接著，由圖 13(a),(b)我們可以看出，在不同的攻擊情境下，持續性攻擊與周期性攻擊都會使得最靠近攻擊者的路由器產生遠高於其他路由器的平均每秒驗證次數，這表示，不論攻擊者是群聚或者是散佈於四周，持續性攻擊以及周期性攻擊都會使得大部分的驗證產生於最靠近攻擊者的路由器處，並且，當攻擊停止時，適應性驗證可以適時地減少路由器額外的負擔。 29.

(37) 因此，由以上兩組實驗我們可以得知，適應性驗證會將抵禦攻擊的驗證大部分耗費在最靠近攻擊者的路由器上，如此一來可以盡早地偵測並且丟棄偽造的資料，避免偽造資料廣泛地流傳於網路中，進而影響到更多的資料要求者。再者，我們依舊可以從週期性攻擊的情境中發現，適應性驗證能夠有效地減少路由器在網路中汙染攻擊減弱時所產生的額外負擔。. 圖 11：群聚的攻擊者. 30.

(38) 圖 12：分散的攻擊者. (a). (b). 圖 13：持續性攻擊下 VR，Others C/S = 1 以及 Others C/S = 10 重疊於接近 0 處 (a) 群聚的攻擊者 (b)分散的攻擊者. 31.

(39) (a). (b) 圖 14：週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 且 cache size 為 1000 之 VR，Others C/S = 1 以及 Others C/S = 10 重疊於接近 0 處 (a)群聚的攻擊者 (b)分散的攻擊者. 5.3 與固定機率的比較當我們知道適應性驗證會使得簽章驗證大部分發生於最靠近攻擊者的路由器後，我們進一步地對於相同情境與實驗設定下，適應性驗證與[24]所提出的固定機率驗證相比，是否會有更佳的效果感到好奇，於是我們根據表 2 的設定並且於周期性攻擊下實作了適應性驗證、固定機率(P=1)與固定機率(P=0.5)這三組 32.

(40) 實驗。首先，從圖 15 我們可以得知，適應性驗證抵禦內容汙染攻擊的成效相當於固定機率(P=1)，同時比固定機率(P=0.5)好上許多，然而，當攻擊者再次攻擊時 (例如 400 秒、600 秒、800 秒、1000 秒)，適應性驗證的 LR 會有些許的下降，而固定機率(P=1)卻不會受影響，這是因為適應性驗證需要時間來因應網路狀態變化而調整，因此在攻擊再次發生時，並沒有防禦機制的啟動，會使得資料要求者受到攻擊，進而導致 LR 下降，但是固定機率(P=1)卻因為一直都維持著每個資料封包都驗證的情況下，所以資料要求者不會受到攻擊的影響。再來從圖 16 中我們會發現，雖然適應性驗證會在最靠近攻擊者的路由器產生比固定機率(P=1)以及固定機率(P=0.5)多的驗證次數，主要是因為適應性驗證需要時間去取得網路狀態的資訊後，才會進一步的啟動抵禦機制，因此當攻擊剛發生時，資料要求者會受到汙染攻擊的影響，進而重新要求資料，而這些資料要求封包也會傳遞給其他的攻擊者，使得這些攻擊者發送封包，導致最靠近攻擊者的路由器收到許多攻擊者的資料封包，因此發生更多的簽章驗證。但是在圖 17 中表示，適應性驗證所產生的總驗證次數是遠小於固定機率 (P=1)，甚至跟固定機率(P=0.5)所產生的總驗證次數差不多，會造成這樣的情況我們可以由圖 18 發現端倪，在適應性驗證中，其他路由器在抵禦內容汙染時所產生的驗證次數幾乎趨近於 0，這樣的現象導致適應性驗證在總驗證次數上遠遠小於固定機率(P=1)並且可以逼近固定機率(P=0.5)的總驗證次數。 33.

(41) 圖 15：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之 LR. 圖 16：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之 1 to M 驗證總數. 圖 17：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之全部路由器驗證總數 34.

(42) 圖 18：群聚攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複) 與固定機率的比較之其他路由器驗證總數. 類似的情形我們也可以從圖 19 中發現，於圖 19 中，適應性驗證減緩內容汙染攻擊的成效可以說幾乎跟固定機率(P=1)是一樣的，但是，當攻擊者再次攻擊時(例如 400 秒、600 秒、800 秒、1000 秒)，適應性驗證的 LR 可以看出些微的下降，而固定機率(P=1)卻不會受影響，這是因為適應性驗證需要時間來因應網路狀態變化而調整，因此在攻擊再次發生時，並沒有防禦機制的啟動，會使得資料要求者受到攻擊，進而導致 LR 下降，然而固定機率(P=1)卻因為一直都維持著每個資料封包都驗證的情況下，所以資料要求者不會受到攻擊影響。接著，從圖 20、21 中可以知道，雖然適應性驗證在最靠近攻擊者的路由器中會產生較多的驗證次數，但是，適應性驗證的總驗證次數是三組設定中最少的，意即適應性驗證可以用遠小於固定機率(P=1)的驗證次數換取跟固定機率一樣有效地抵禦汙染攻擊的成果，同時圖 23 也告訴我們，會造成這樣差距的原因是適應性驗證在其他路由器所產生的驗證次數遠小於固定機率所會製造的驗證 35.

(43) 次數。最後，從圖 17 以及圖 21 我們會發現一件事，適應性驗證在汙染攻擊停止時所產生的驗證次數是非常少的，也就是說適應性驗證能到及時發現網路狀態的改變，進而減少對路由器產生的負擔，這也是適應性驗證能夠產生較少總驗證次數的關鍵之一。. 圖 19：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之 LR. 圖 20：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之 1 to M 驗證總數. 36.

(44) 圖 21：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之全部路由器驗證總數. 圖 22：分散的攻擊者中週期性攻擊下(從 200 秒開始，每攻擊 100 秒後停止 100 秒，如此重複)，與固定機率的比較之其他路由器驗證總數. 37.

(45) 方法. ACV. 固定機率. 𝑷𝒎𝒂𝒙. 1. 1. 𝑷𝒎𝒊𝒏. 0. 0. α. 4. 4. ACV. 固定機率. Forwarding Strategy. Broadcast. Broadcast. 資料要求頻率 (interests/s). 100. 100. Cache Size. 1000. 1000. 網路暖機時間. 前 200 秒. 前 200 秒. 表 2：ACV 與固定機率之環境參數表. 5.4. 隨機 Topology. 最後，我們利用 Brite topology generator[30]所產生的隨機 topology 來進行實驗，我們產生了包含 40 個點、頻寬固定為 100Mbps 並且每個點都至少有兩個連結的 topology，其中隨機選取 25 個路由器、10 個資料要求者以及 5 個資料生產者(其中合法資料生者者個數為 1)，我們根據表 2 來設計此實驗並且比較了適應性驗證、固定機率(P=1)以及固定機率(P=0.5)的差異，也針對不同的攻擊型態做比較(持續性攻擊以及周期性攻擊：從 200 秒開始，持續攻擊 100 秒後停止攻擊 100 秒，如此重複)。由圖 23(a)可以看出，適應性驗證可以達到相當於固定機率(P=1)的抵禦內容 38.

(46) 汙染的成效，再者，從圖 23(b)中我們會發現，適應性驗證所產生的每秒驗證次數是比固定機率(P=1)來得要小，也就是適應性驗證可以耗費較少的路由器負擔換取相當於固定機率(P=1)的抵禦攻擊成效。此外，圖 23(a)會造成固定機率 (P=1)無法使得 LR 達到 1 的原因是：隨機產生的 topology 以及隨機選取的資料生產者，可能會使得惡意資料生產者直接與資料要求者連結，如此一來，就無法藉由路由器幫忙丟棄偽造資料，所以會使得 LR 無法達到 1。接著，在圖 24(a)中，我們可以看出，適應性驗證依舊能夠達到與固定機率 (P=1)類似的減緩內容汙染攻擊的效果；而圖 24(b)指出，適應性驗證所產生的總驗證次數不僅遠小於固定機率(P=1)，甚至與固定機率(P=0.5)相差不遠，並且在攻擊停止時，適應性驗證能夠恰當地減少路由器的驗證簽章所產生的負擔，圖 24(a),(b)說明了適應性驗證能夠只耗費固定機率(P=0.5)的驗證次數就達到固定機率(P=1)抵禦汙染攻擊的成效。. (a). (b). 圖 23：隨機 topology 持續性攻擊之 (a)LR (b)VR. 39.

(47) (a). (b) 圖 24：隨機 topology 週期性攻擊之 (a)LR (b)全部路由器總驗證次數. 40.

(48) 第六章結論及未來. 在此篇論文中我們提出了適應性驗證，是一個在資料命名網路中，能夠有效地減緩內容汙染攻擊的方法。此外，此方法不再將簽章驗證交由路由器或者是資料要求者其中一方負責，而是讓雙方都會(視網路情況)進行一定程度的簽章驗證來共同抵禦內容汙染攻擊，同時，利用資料要求者回報自身受到攻擊的程度，使得路由器能夠根據此回報了解網路狀態的變化和攻擊者行為的改變，接著採取不同抵抗攻擊的措施，避免增加路由器過多的負擔。我們利用 ndnSIM 針對我們提出的方法做了一連串的實驗，首先，我們為了找出在適應性驗證中較好的參數，我們做了一系列的實驗，最終分析並得到成效較佳的參數數值，然後用此參數作為往後實驗的設定。而在其他的實驗中，適應性驗證充分地展現出在不同的 topology 下以及不同的 cache size 情況下，都可以有效地抵禦內容汙染攻擊，並且可以在 early stage 就偵測並丟棄偽造的資料，以免偽造資料廣泛的流通於網路中，進而影響更多的資料要求者，使得資料要求者需要耗費更多的時間去索取資料，因此，可以說是降低了資料要求者的 computation overhead。此外，從我們的實驗結果也可以得知，在不同的情境下，也就是當網路狀態有所改變或者攻擊者行為變動時，適應性驗證能夠適時地配合網路狀況，根據遭受攻擊的程度，來調整防禦機制，不僅僅能夠有效地減緩內容汙染攻擊， 41.

(49) 更可以避免路由器產生過多的額外負擔，同時，當偽造資料會被路由器先辨別出並丟棄時，路由器也就省去了需要 cache 該偽造資料的空間，這樣一來，可謂是減少了路由器的 storage overhead。然而，適應性驗證雖然可以配合網路狀態改變而調整，但是需要耗費些許時間去取得網路狀態的資訊，因此當網路中受到突如其來的攻擊時，適應性驗證無法瞬間做到抵禦攻擊的機制，使得使用者會受到猛烈的攻擊，直到適應性驗證取得網路狀態資訊後並且加以調整，才能減緩汙染攻擊的影響。雖然我們提出了有效抵禦內容汙染攻擊的方法，以及利用 ndnSIM 做了許多的模擬實驗來驗證並測量我們的方法，然而在真實的網路環境中，有更多的變數存在著，並且攻擊者的行為會更難以預測。因此，在未來我們將會嘗試著利用 Named Data Networking Forwarding Daemon (NFD)[31]於真實世界的網路中實際地操作並測量我們所提出的方法，並且，我們會嘗試著利用不同的方法來使得適應性驗證能夠應對突如其來的攻擊，以避免突如其來的汙染攻擊能夠成功地影響使用者。. 42.

(50) 參考文獻 [1] Lixia Zhang, Alexander Afanasyev, Jeffrey Burke, Van Jacobson, kc claffy, Patrick Crowley, Christos Papadopoulos, Lan Wang and Beichuan Zhang, "Named data networking (ndn) project," Technical Report NDN-0001, Xerox Palo Alto Research Center-PARC, 2010. [2] Jacobson Van, Diana K. Smetters, James D. Thornton, Michael F. Plass, Nicholas H. Briggs and Rebecca L. Braynard, "Networking named content," ACM International Conference on Emerging Networking Experiments and Technologies, 2009. [3] Bengt Ahlgren, Christian Dannewitz, Claudio Imbrenda, Dirk Kutscher, and Börje Ohlman, “A survey of information-centric networking,” IEEE Communications Magazine, vol. 50, no. 7, pp. 26-36, 2012. [4] “Content centric networking (CCNx) project,” http://www.ccnx.org. [5] Afanasyev Alexander, Ilya Moiseenko, and Lixia Zhang, "ndnSIM: NDN simulator for NS-3," Technical Report NDN-002, University of California, Los Angeles, 2012. [6] Spyridon Mastorakis, Alexander Afanasyev, Ilya Moiseenko and Lixia Zhang, “ndnSIM 2.0: A new version of the NDN simulator for NS-3,” NDN, Technical Report NDN-0028, University of California, Los Angeles, 2015 [7] Klein Amit, "BIND 8 DNS cache poisoning," 2007. [8] Antonio Lioy, Fabio Maino, Marius Marian, Daniele Mazzocchi, "DNS security," Terena Networking Conference, 2000. [9] Naoum Naoumov and Keith Ross, “Exploiting p2p systems for ddos attacks,” ACM International Conference on Scalable Information Systems, 2006. [10] Klein Amit, "Web cache poisoning attacks," Encyclopedia of Cryptography and Security, Springer US, pp. 1373-1373, 2011 [11] Guo Fanglu, Jiawu Chen, and Tzi-cker Chiueh, "Spoof detection for preventing dos attacks against dns servers," IEEE International Conference on Distributed Computing Systems, 2006. [12] R. Arends, R. Austein, M. Larson, D. Massey, and S. Rose, “RFC 4033: DNS security introduction and requirements,” 2005. [13] Jian Liang, Naoum Naoumova and Keith W. Ross, “The Index Poisoning Attack in P2P File Sharing Systems,” IEEE International Conference on Computer Communications (infocom’06), 2006. [14] Matthias Vallentin and Yahel Ben-David, “Persistent browser cache poisoning,” 2010. 43.

(51) [15] Yan Gao, Leiwen Deng, Aleksandar Kuzmanovic and Yan Chen, “Internet cache pollution attacks and countermeasures,” IEEE International Conference on Network Protocols, 2006. [16] Alberto Compagno, Mauro Conti, Paolo Gasti and Gene Tsudik, “Poseidon: Mitigating interest flooding DDoS attacks in named data networking.”, IEEE Conference on Local Computer Networks, 2013. [17] Alexander Afanasyev, Priya Mahadevan, Ilya Moiseenko, Ersin Uzun and Lixia Zhang, “Interest flooding attack and countermeasures in Named Data Networking,” IFIP Networking Conference, 2013. [18] Alberto Compagno, Mauro Conti, Paolo Gasti and Gene Tsudik, “NDN interest flooding attacks and countermeasures,” Annual Computer Security Applications [19]. [20]. [21] [22]. [23] [24]. [25]. [26]. Conference, 2012. Seungoh Choi, Kwangsoo Kim, Seongmin Kim and Byeong-hee Roh, "Threat of DoS by interest flooding attack in content-centric networking." The International Conference on Information Networking, 2013. Somaya Arianfar, Teemu Koponen, Barath Raghavan and Scott Shenker, “On preserving privacy in content-oriented networks,” ACM SIGCOMM Workshop on Information-Centric Networking, 2011. Steven DiBenedetto, Paolo Gasti, Gene Tsudik and Ersin Uzun, “ANDaNA: Anonymous named data networking application.” NDSS, 2011. Gergely Acs, Mauro Conti, Paolo Gasti, Cesar Ghali and Gene Tsudik, "Cache privacy in named-data networking," IEEE International Conference on Distributed Computing Systems, 2013. Smetters Diana and Van Jacobson, “Securing network content,” Technical report, PARC, 2009. Mengjun Xie, Indra Widjaja and Haining Wang, "Enhancing cache robustness for content-centric networking," IEEE International Conference on Computer Communications (infocom’12), 2012. Mauro Conti, Paolo Gasti and Marco Teoli, "A lightweight mechanism for detection of cache pollution attacks in Named Data Networking," Computer Networks vol. 57, issue.16, pp. 3178-3191, 2013. Paolo Gasti, Gene Tsudik, Ersin Uzun and Lixia Zhang, "DoS and DDoS in. named data networking," IEEE International Conference on Computer Communication and Networks , 2013. [27] Igor Ribeiro, Antonio Rocha, Celio Albuquerque and Flavio Guimaraes, “On the possibility of mitigating content pollution in content-centric networking,” IEEE Conference on Local Computer Networks, 2014. [28] Cesar Ghali, Gene Tsudik and Ersin Uzun, “Needle in a haystack: Mitigating 44.

(52) content poisoning in named-data networking,” NDSS Workshop on Security of Emerging Networking Technologies, 2014. [29] “NS-3 Simulator,” http://www.nsnam.org/ [30] Alberto Medina, Anukool Lakhina, Ibrahim Matta and John Byers, “BRITE: An approach to universal topology generation,” IEEE International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems, 2001 [31] “Named Data Networking Forwarding Daemon,” http://nameddata.net/doc/NFD/current/. 45.

(53)