命名数据网络（Named Data Networking,NDN）作为一种以内容为中心的新型网络架构,通过有状态的转发机制来完成数据的通信,然而,恶意用户产生大量网络流量造成网络资源被滥用、网络性能降低、正常用户的请求得不到满足,这种攻击被称为兴趣泛洪攻击（Interest Flooding Attack,IFA）。在IFA中,恶意用户产生的网络流量不携带任何源信息,而且由于恶意用户行为的多样性导致既有防御策略对网络攻击模式的隐蔽性考虑不足,不能有效地对恶意用户进行限制。本文通过将恶意用户的攻击行为划分为虚假兴趣包可变前缀、虚假兴趣包固定前缀以及真实兴趣包三大类,以网络流量的时间特性为切入点,分析不同攻击行为下的网络流量来判断可能的恶意用户以抵制IFA。本文的主要工作如下:1.基于隐马尔可夫模型和模糊逻辑的虚假兴趣包可变前缀泛洪攻击防御策略在虚假兴趣包可变前缀泛洪攻击中,恶意用户以变换访问前缀的方式隐匿攻击行为。既有的检测方法通过将时间划分为周期,分析用户流量与时间周期之间的对应关系以判断是否为恶意用户;然而既有方法忽略了流量的时序连续性,只使用单一周期内的流量特征来刻画用户行为,这会和正常用户的非故意异常行为造成混淆。结合多个时间周期的用户行为以滑动时间窗口的方式体现时间序列窗口内的用户系列行为,多个时间周期的叠加判断,能够辨识出模糊的用户行为。由于模糊逻辑善于处理界限不清晰的描述,而隐马尔可夫模型适用于处理时间序列,因此本文以滑动窗口的方式,采用结合了模糊逻辑的隐马尔可夫模型来检测恶意用户。仿真结果表明,在树型拓扑和AS775拓扑下,与未考虑时序连续性的防御策略相比,本文提出的防御策略能够使用户请求时延降低了30%、使用户兴趣包满足率更接近于未遭受攻击时的网络表现并且能够减少路由器存储资源的消耗。2.基于长短时记忆网络和注意力机制的虚假兴趣包固定前缀泛洪攻击检测机制在虚假兴趣包固定前缀泛洪攻击中,受NDN缓存策略的影响,网络流量会呈现随时间起伏的波动模式,利用多个时间周期构成的滑动窗口检测攻击会在恶意网络流量只随时间呈现出微小的变化时出现误判,由于长短时记忆网络能够挖掘时间序列的时序关系,而注意力机制能够体现不同时间步的差异性,因此在滑动窗口内可通过结合注意力机制的长短时记忆网络检测攻击,以达到在时间窗口内将微小的变化累计放大,做到在网络流量不确定时检测到恶意网络流量。仿真结果表明,本文所提出的结合注意力机制的长短时记忆网络检测机制准确率优于同样使用了多个时间周期但没有使用注意力机制的长短时记忆网络检测机制,准确率提高了4%;与只使用单个时间周期的支持向量机的检测机制相比,本文的准确率也高于该方法。基于本文检测机制的防御策略与基于Expired-PIT的防御策略相比能够降低路由器的资源消耗、用户的请求时延,提高用户兴趣包满足率。3.基于局部离群因子算法的真实兴趣泛洪攻击防御策略在真实兴趣泛洪攻击中,恶意流量相对于正常流量的变化量很小,隐蔽性更强。因此,在通过网络流量时间窗口检测攻击的基础上,考虑流的空间特性,分解网络流量,把同一时段内的流划分为子流,监测每个子流的变化量以达到对变化的放大效果。由于,既有的检测方法在检测时忽略了子流对网络变化造成的影响,只通过衡量网络流量的变化来检测攻击,当子流有发生变化而网络流量变化不明显时,不能准确地衡量网络流量的变化,而局部离群因子算法能够通过数据的密度挖掘异常数据。因此,本文通过局部离群因子算法来判断时间窗口内的异常网络子流,从而识别出恶意名称前缀信息。仿真结果表明,在树型拓扑和DFN拓扑下,基于局部离群因子算法的检测准确率优于基于基尼不纯度的检测机制,准确率提高了10%,该防御策略能够有效地降低路由器的资源浪费、降低用户的请求时延,同时能够获得更高的用户兴趣包满足率。