信息中心网络安全监控平面：命名数据网络的应用和安全优化

信息中心网络的安全监控平面：命名数据网络的应用引用此版本：玉新阮信息中心网络的安全监控平面：命名数据网络的应用网络和互联网架构[cs.NI]。特鲁瓦理工大学，2018年英语NNT：2018TROY0020。电话：03211282HAL Id：tel-03211282https://theses.hal.science/tel-032112822021年4月28日提交HAL是一个多学科的开放获取档案馆，用于存放和传播科学研究文件，无论它们是否已这些文件可能来自法国或国外的教学和研究机构，或来自公共或私人研究中心。L’archive ouverte pluridisciplinaire这些为了10月10日--法国科学技术协会专业：优化和确保安全现在和将来玉陈阮le 3 juillet 2018信息中心网络的安全监控平面：命名数据网络陪审团M. L. 梅蒂奇医生，ARP INRIA -人类发展报告总统M. P. BAS法国国家科学研究中心研究主任特别报告员M. R. 可格兰会议厅主任Directeur de thèseM. G. 杜瓦扬会议厅主任Directeur de thèseM. C. F. 楚丁教授特别报告员S女士VATON专业IMT -HDR考官i确认这个博士本论文是在法国特鲁瓦科技大学风险管理科学与技术研究所（STMR）的M.Guillaume DOYEN和M.雷米·科格兰。首先，我想对我的上司M。Guillaume DOYEN和M.雷米·科格兰。你是最酷的主管谁是非常负责。而且，你总是愿意推动我超越自己的极限，这样我就可以取得比我更好的结果。但你一直支持我，给我正确的指导。很荣幸能与你们两位共事在此，我向Christian F教授表示衷心的感谢楚丁，M. Patrick BAS、Sandrine VATON和M.感谢卢多维克·马塞洛先生抽出时间来参加我的论文答辩。尊敬的专家们提供的宝贵的重新标记有助于提高这份手稿的质量。我衷心感谢法国国家研究机构（ANR）、DOCTOR项目和UTT的同事在我工作期 间 为 我 提 供 的 资 金 和 我 要 感 谢 ROSAS部 门 的 秘 书 Bernadette ANDRYST 、Véronique BANSE和UTT博士学校的秘书我想对特鲁瓦的所有朋友表示感谢。五年远离家乡，出国留学，读博士。对我来说并不总是容易的，但是，有你们在我身边，他们变得更容易，更快乐。谢谢你们所有人，我们一起吃的饭，我们参加的所有活动，我们玩的所有棋盘游戏，我们一起旅行，以及你们给我的所有支持。最后，也是最重要的一点，我要感谢我的家人：我的爸爸、妈妈、姐姐、哥哥、嫂子和两个可爱的侄女，感谢你们无限的爱和支持。虽然我们只在周末用Skype聊天，但你总是提醒我无论如何都要尽我所能。这是我需要的最珍贵的纪念。没有你们，我玉陈阮iii感谢我的妈妈、爸爸、姐姐、哥哥和侄女们，感谢他们无尽的爱、支持和鼓励。IVv摘要目前的互联网体系结构是为连接远程主机而设计的。但其使用的演变，现在类似于一个全球内容分发平台，破坏了其原始的通信模式。 为了使互联网的体系结构与其使用之间保持一致，已经提出了新的面向内容的网络体系结构，并且这些体系结构现在已经准备好被实现。它们的管理、部署和安全问题现在成为互联网运营商必须解除的锁。在这篇论文中，我们提出了一个安全监控计划命名数据网络（NDN），最先进的架构，也受益于功能的实现。在此背景下，我们描述了最重要的NDN攻击-兴趣泛滥攻击（IFA）和内容中毒攻击（CPA）-在实际部署条件下。这些结果导致了基于微检测器的攻击检测解决方案的发展，利用假设测试理论。该方法允许设计最佳（AUMP）测试，能够通过最大化检测能力提供所需的误报警概率（PFA）我们已经将这些微检测器集成到安全监控计划中，以检测异常变化并通过贝叶斯网络将其关联起来，该网络可以识别影响NDN节点安全的事件。通过对IFA和CPA攻击的仿真和实验验证了该方案的关键词：计算机网络-安全简历L'architecture de l'Internet a été conçue pour connector des hôtes distants.但其使用的演变，显然是为了分发内容而使用了一种世界性的印版，这种印版与最初的通信模式相适应在互联网架构的协调和使用方面，新的东方建筑网络包括一些建议和单元，这些建议和单元在所有的作品中都是存在的Les questions de Escherichia，déploiement et sécurité se posent alors comme des verrous inspirsables à leverpour les opéraquestion de l'Internet.在这方面，我们提出了一项名为数据网络（NDN）的安全监控计划，该计划是关于一个功能性实施的更好的架构。在实际的开发中，我们可以实现NDN的最重要的攻击--兴趣泛滥攻击（IFA）和内容中毒攻击 （ CPA ） 。 Ces résultats ont permis de concevoir des micro-détectile quireposent survi假设检验理论。L’approche permet de concevoir un test optimal (AUMP) capabled’assurer une 我们应将微探测器纳入一项监测计划，该计划旨在通过Bayésien网络对核武器和核材料的变化进行监测，以确定核武器和核材料的安全状况通过对IFA和CPA攻击的模拟和实验验证了该解决方案。Mots clé：RéseauxVII内容鸣谢i图十三表15缩略语列表xx第二十二章列表介绍1上下文1问题陈述2捐款3文件结构41以信息为中心的网络架构-最新技术71.1以信息为中心的网络的动机81.2以信息为中心的网络概述81.3命名数据网络121.4其他以信息为中心的网络架构171.5以信息为中心的网络架构之间的比较。271.6以信息为中心的网络部署状态301.7结论322命名的数据网络安全攻击-最新技术332.1现有的安全调查和建议的分类34vi2.2未决利息表攻击362.3内容存储攻击412.4名称攻击472.5命名数据网络安全攻击502.6结论523NDN55实际部署中的关键攻击特征3.1在实际部署3.2测试床的常见部署563.3兴趣泛滥攻击表征573.4内容中毒攻击特征653.5结论794基于假设检验理论81的微探测器设计4.1假设检验理论824.2兴趣泛滥攻击检测问题844.3已知丢包率854.4未知丢包率924.5从快照测试到顺序检测974.6数字结果984.7结论1065NDN109安全监控飞机的研制5.1NDN110中安全监控平面的动机5.2背景1115.3用于NDN117异常检测的贝叶斯网络分类器5.4数值结果1245.5结论132结论与展望135结论. 135前景137VII一 Résumé de la thèseen français139A.1 导言. 140A.2 以信息为中心和命名的数据网络143A.3 Sécurité de NDN - État deA.4 在第152号决议中执行A.5 Un micro-decteur fondé sur la théorie des testsA.6 Un plan de surveillance pour NDN169A.7 结论和展望177出版物183参考书目185xi图目录1.1NDN路由器1.2DONA1.3PURSUIT中的名称解析和数据路由[2]221.4NetInf的名称解析和数据路由[2]252.1NDN安全攻击342.2NLSR2.3（A）合法数据和两种类型的恶意数据：（B）损坏（C）假数据422.4缓存命中3.1试验台的共同部署3.2与用于HTTP应用的IP栈耦合的NDN的说明性示例593.3入口和出口网关60之间的交互3.4IFA62的双案例拓扑结构和测试床结构3.5Web用户模拟器行为3.6在不同的攻击设置下，3.7内容中毒攻击663.8攻击3.9CPA3.10 攻击率对核心路由器R2（a）（b）（c）和接入路由器缓存的影响R1（d）（e）（f）743.11 浪费在路由器76XII˜3.12 两个第一主分量上的测量投影。784.1ndnSIM99中数据模拟的拓扑结构4.2用MATLAB仿真数据比较了GLRT的理论和经验性能。.............................1004.3基于MATLAB的最优LRT和建议GLRT的经验和理论检测功率函数的比较模拟数据.............................................................................................................1014.4ndnSIM数据上建议GLRT的经验和理论PFA之间的比较。........................ 1014.5不同样本数的拟定GLRT的ROC曲线。..........................................................1024.6理论和经验损失率4.7PFA作为各种检测器配置的阈值τ的函数.......................................................4.8作为平均RL2FA的函数的顺序检测方法的功率（具有最大约束延迟的检测概率）。.............................................................................................................1054.9平均检测延迟作为平均RL2FA的函数。..........................................................1065.1简化传入利息管道（修改自[5]）1225.2传入数据管道（修改自[5]）1235.3所提出的贝叶斯网络分类器5.4NFD日志跟踪示例1265.5内容投毒攻击1265.6正常业务中的说明性度量5.7保证说明性指标的微型探测器的规定PFA1295.8建议的BNC130的学习曲线5.9建议分类器的准确性1315.10 延迟至CPA真阳性1325.11 检测窗口133的效果A.1 Environnement de déploiement des exérimentations decaractérisa-NDNxiiiA.2 NDN耦合IP154的一个示例A.3 Effet deA.4 Topologie étudiée pour CPA157A.5 Projections des mesures sur les deux premiers composants principaux161A.6 Performances GLRT avec les données simulées168A.7 在RL2FA moyen168中创建A.8 Performances du détecteur séquentiel169A.9 巴耶辛提议的网络174A.10 Bayésien提案的相关性176A.11 BNC提案177的性能xv表的列表1.1ICN架构之间的比较（修改自[2]）。 . . . . .282.1NDN攻击概述。 . . . . . . . . . . . . . . . . . . . . . . . . .523.1IFA实验 . . . . . . . . . . . . . . . . . .643.2CPA实验常数。 . . . . . . . . . . . . . . . . . . . . . . . .703.3具有关联指标标签的两个第一主成分的值。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .775.1NDN节点中要监视的指标列表 . . . . . . . . . . . . . 1195.2贝叶斯网络分类器实验常数 . . . . . . . . . . . . 128A.1NDN袭击简历。 . . . . . . . . . . . . . . . . . . . . . . . . 152xvii缩略语列表ANDaNA--一个匿名数据网络应用ANFIS--一个自适应的N-模糊推理系统API应用程序编程接口AR A非数字化R外部作为一个用户，一个渐近一致最优BN贝叶斯网络BNC基础网络分类器CCN内容中心网络DN内容分散网络CLT中心限制理论CPA内容过滤器CPD Concross-ProbabilityD iBractionCPTConcross-P robabilityT ableCS C内容S总金额累积总和DAG定向A循环G-DNS域名服务面向数据的网络体系结构拒绝服务环境网关出口方式当量方程式ETSI欧洲电气标准协会EWMA E指数加权移动平均EU E泌尿系统常见问题解答常见问题FIB转发信息库转发标识符FN转发节点FP 7第七次F射线程序GDSF GreedyDual-SizeF测试GLRT G广义线性比测试