摘要：随着信息技术的飞速发展和新型网络应用的不断涌现,互联网的通信模式已经由以主机网络地址为中心的互联互通,逐渐演变为以内容为中心的信息共享,这催生了内容中心网络架构的兴起。内容中心网络直接依据内容的名字完成信息的分发和获取,网络中传输的兴趣包/数据包不携带用户的位置或身份信息,具有一定的安全优势。然而,内容中心网络仍难免遭受某些网络攻击的侵害,例如,以易于发动且危害巨大而著称的兴趣包泛洪攻击。本文围绕兴趣包泛洪攻击的两种不同类型——主流的虚假兴趣包泛洪攻击(Interest Flooding Attack with Fake Interests,IFA-F)和非主流的真实兴趣包泛洪攻击(Interest Flooding Attack with Real Interests,IFA-R),研究相应的对抗策略。论文主要工作和创新点如下：1)提出了IFA-F攻击危害分析理论模型。本文采用兴趣包拒绝概率表征IFA-F攻击导致的网络危害程度,推导了IFA-F攻击时单路由器和小型网络拓扑的兴趣包拒绝概率。基于此模型,本文从理论上分析了内容中心网络内容流行度分布、路由器缓存空间大小、路由器待定兴趣表大小及其条目生存时间等关键参数对IFA-F攻击所造成兴趣包拒绝概率的影响,并进行了相应的仿真验证。模型分析和仿真结果表明,IFA-F攻击导致网络兴趣包拒绝概率显著增大,降低了网络性能；网络中访问高流行度内容的兴趣包拒绝概率较低；增大路由器缓存空间或待定兴趣表容量,降低待定兴趣表条目的生存时间,均可降低IFA-F攻击时网络的兴趣包拒绝概率。2)本文首次提出了一种可行的IFA-F攻击探测和抑制实现方法——基于限速机制的恶意兴趣包路由器对抗策略。该对策充分利用内容中心网络路由器待定兴趣表记录兴趣包状态的特征,基于路由器待定兴趣表条目的超时情况统计IFA-F恶意兴趣包名字前缀,并通过动态调整恶意名字前缀对应的兴趣包准入速率,减轻IFA-F攻击对路由器内存资源的恶意消耗程度。性能评估结果表明,恶意兴趣包路由器对抗策略可以通过探测IFA-F恶意兴趣包的名字前缀信息,有效抑制恶意兴趣包的准入速率,从而使得路由器在遭受IFA-F攻击时仍保持基本的兴趣包转发能力。3)为实现细粒度的IFA-F攻击探测和抑制方案,本文提出了基于模糊逻辑和路由器协作的恶意兴趣包协同对抗策略。该对策在路由器上监测待定兴趣表使用率以及条目超时比率,并基于模糊逻辑综合判别IFA-F攻击的存在性,以实现对IFA-F攻击的探测功能；同时,通过路由器协作机制,将预警消息从探测到IFA-F攻击的路由器反馈至网络的接入路由器,最终在接入路由器处阻断恶意兴趣包,达到抑制IFA-F攻击危害的效果。基于真实网络拓扑和用户行为模型的仿真表明,恶意兴趣包协同对抗策略减轻了IFA-F攻击对路由器内存资源的恶意消耗,提高了合法兴趣包的内容获取成功率,并降低了兴趣包的内容获取时延。4)在分析内容中心网络现有典型兴趣包转发策略安全性的基础上,本文首次提出了一种对抗IFA-F攻击的兴趣包／数据包安全转发策略。该策略引入一种新的基于包标记技术、不依赖于待定兴趣表的兴趣包/数据包转发机制,将IFA-F恶意兴趣包从路由器待定兴趣表中彻底解耦合,并以较小的网络带宽消耗,从本质上切断了IFA-F恶意兴趣包对路由器待定兴趣表内存资源的消耗。仿真结果表明,相比基于限速机制的IFA-F攻击对抗方法,本文提出的兴趣包／数据包安全转发策略可以明显减小路由器内存资源消耗量,提高内容中心网络的IFA-F攻击对抗能力。5)针对非主流类型的真实兴趣包泛洪攻击——IFA-R攻击,本文提出了一种双阈值]IFA-R攻击探测方法。该方法基于探测周期内的路由器待定兴趣表超时条目数量阈值以及网络接口数据流量阈值,推断可能存在的网络流量异常,以探测IFA-R攻击的存在。仿真结果表明,双阈值IFA-R攻击探测方法在短时间内即可探测到IFA-R攻击,并成功识别出恶意兴趣包流经的路由器接口或对应网络链路。