文件: 使用名称和流过滤器防止NDN中的信息泄漏

警告：链接这份文件是长期工作的结果，得到了答辩小组的批准，并提供给整个更广泛的大学社区。它受作者的知识产权保护。 这意味着在使用本文件时有义务引用和引用另一方面，任何伪造、剽窃、非法复制的行为都将受到刑事起诉。联系方式：ddoc-theses-contact@univ-lorraine.fr知识产权法。第122条。4.知识产权法。条款L 335.2- L335.10http://www.cfcopies.com/V2/leg/leg_droi.phphttp://www.culture.gouv.fr/culture/infos-pratiques/droits/protection.htmIAEM洛林海岸学校使用名称和流过滤器防止NDN中的信息泄漏（防止由于名称和流过滤器而导致的NDN中的信息泄漏他们是2018年10月17日公开发布并提交洛林联合王国与另一个联合王国（提及计算机）由近藤大志陪审团组成报告员：山本美纪长谷川彻关西大学大坂大学检查员：Giovanna CarofiglioHouda Labiod伊莎贝尔·克里森特西尔万·康塔索-维维亚思科系统杰出工程师/高级总监巴黎电信技术学院教授洛林大学教授洛林大学教授InviTes：朝美秀树大坂府大学教授ATR首席执行官框架：奥利维尔·佩兰托马斯·西尔弗斯顿洛林大学教授芝浦理工洛林计算机科学及其应用研究实验室-UMR 7503使用thesul类进行布局我确认文件首先，我想向我的主管奥利维尔·佩兰表达我深深的感谢在我攻读博士学位期间，他一直支持和鼓励我。我还要感谢联合顾问托马斯·西尔弗斯顿给了我在法国学习的机会我永远不会忘记这段经历，它将激励我未来的生活。作为我的导师和共同顾问，我想向国际高级电信研究所的Tohru Asami和大坂府大学的Hideki Tode表示衷心的感谢我真的很感激，在我的博士研究期间，我们一直在进行深入的研究讨论，尽管我们在法国和日本之间有很长的距离。他们的指导帮助我完成了我的研究并写了这篇论文，我无法想象没有他们我会完成我的博士研究。我还要衷心感谢我的论文评审团：山本三木、长谷川彻、乔凡娜·卡罗菲吉利奥、乌达·拉比奥德、伊莎贝尔·克里斯门特和西尔万·康塔索-维维亚。他们的洞察力这些评论从不同的角度扩展了我的研究。我特别感谢RESIST团队的成员，感谢他们营造了愉快的工作氛围。特别是，我想表达我对伊莎贝尔·克里斯门特和蒂博·乔莱兹的感谢。在我的困难时期，他们真诚的支持激励我努力工作。很高兴见到博士项目的成员：Bertrand Mathieu，洛朗·莫雷尔、埃德加多·蒙特斯·德·奥卡、维萨姆·马卢利和纪尧姆·迪恩。这是我第一次作为成员之一进行如此大的项目。这段经历将帮助我在不久的将来自己创造另一个大项目。我非常感谢我的支持者鼓励我出国留学：NS Solutions Corporation的Osamu Dairiki和Isao Nakaguchi，三菱化学控 股 公 司 的 Kazuo Iwano ， 以 及 日本商业系统公司的 HiroshiTakayanagi、Kazuya Makita、Takeshi Shimizu、Satoshi Hirose、Naotaka Hashimoto、Eduardo Gonzalez和Chihiro Nakamoto没有他们的帮助和建议，我不可能决定在法国完成我的博士研究。我想特别感谢我最亲密的朋友：Abdulqawi Saif、Anastasia Tsukanova、Benjamin Elizalde、Charles Dumenil、Eleonora Carocci、Elian Aubry、Eric Biagioli、Evangelia Tsiontsiou、GiuliaDe Santis、Guilherme Alves、宋海川、Hatice Calik、石川弘明、黄龙迈、Ioannis Kokkinis、Iordan Iordanov 、 Jonas Martínez 、 Khadija Musayeva 、 山 本 光 平 、 雷 莫 、 MagdalenaKrzaczkowska、Maria Kouroutzi、Marianna Grigoriou、Marjan Bozorg、Maxime Compastié、高美惠、藤田美子、Messaoud Aouadj、松木茂、莫哈米德·伊萨、小场成美、井上夏树、保罗·皮加托、Seny Diatta、Shuguo Zhuo、Shumpei Iwao、Shuo Jin、Takeshi Nagasu、Tan Nguyen、Tatiana Makhalova 、 Tayeb Oulad Kouider 、 To-momi Shibuta 、 Vassilis Vassiliades 、 VitalisNtombrougidis、Wazen Shbair、泽维尔·马夏尔和齐亚·阿尔博齐。最后，我要感谢我的家人多年来的鼓励：Hiroshi、Kaoru和Ayaka。ii.iii.为了纪念我的父亲近藤宏1955年5月20日2018年11月5日四v摘要近年来，命名数据网络（NDN）已经成为最有前途的未来网络架构之一。为了在互联网规模上被采用，NDN需要解决当前互联网的固有问题。由于企业的信息泄露是互联网上的一个大问题，在完全用NDN取代互联网之前评估风险是非常关键的，本文调查了导致信息泄露的新的安全威胁是否会在NDN中发生。假设（i）一台计算机位于基于NDN架构的企业网络中，（ii）该计算机已经被可疑媒体（如恶意电子邮件）危害，以及（iii）该公司安装了连接到基于NDN的未来互联网的防火墙，本论文将重点关注受损计算机（即，恶意软件）试图将泄漏的数据发送给外部攻击者。NDN基本上是一种基于为了检索内容，消费者首先将兴趣发送到NDN网络，然后从产生者或中间NDN节点获得相应的数据换句话说，除非他们收到感兴趣的数据包，否则他们无法发送数据。因此，作为减轻数据中信息泄漏的一种简单方法，企业网络防火墙可以仔细检查要发布的数据，并在网络中的内部员工（即，白名单）。在这种情况下，所有可公开访问的内容都在防火墙上。但是，防火墙无法管理外部内容的命名策略，并且NDN转发节点无法验证名称实际存在的位置。这会导致恶意软件以兴趣名称隐藏客户信息等信息，并将其发送给外部攻击者，从而导致信息通过兴趣泄漏的风险恶意软件可以假装访问外部内容，因此防火墙很难检测到信息泄漏攻击。本文认为，通过对NDN感兴趣的信息泄漏攻击应该是协议级的主要安全攻击之一，开发这种攻击的检测方法非常重要。本文的贡献是五倍。首先，本文提出了一种通过数据和对NDN的兴趣进行信息泄漏攻击的方法。本文通过兴趣深度来研究一个，并且，作为攻击者隐藏恶意活动的更高级的攻击，本文提出了一个隐写嵌入的兴趣名称来有效地执行信息泄漏。据作者所知，这是第一次研究NDN中的其次，为了解决信息泄露攻击，本文提出了一个NDN防火墙，它可以监控和处理来自白名单和黑名单消费者的NDN流量。为了设计防火墙，本文关注两个要求：（i）设计一个独立于NDN转发守护程序（NFD）的NDN防火墙，以确定如何转发感兴趣的内容;（ii）执行白名单和黑名单中的名称或名称前缀的快速查找通过使用cuckoo过滤器（其是一种概率过滤器），所提出的NDN防火墙根据可动态更新的列表中的名称或名称前缀提供感兴趣的数据包过滤。在满足要求和提供功能的同时，防火墙实现了高性能。防火墙的吞吐量降低仅为0.912%至2.34%，这在企业网络中是可以接受的。六··第三，本文提出了一个NDN名称过滤器，用于将感兴趣的名称分类为合法或不合法。由于NDN尚未大规模部署，因此不存在关于NDN流量的数据集。假设未来的NDN命名策略很有可能成为当前统一资源定位符（URL）命名策略的自然演变，本文使用了基于Web爬虫收集的URL的内容名称通过使用搜索引擎信息并将名称数据集应用于隔离林，本文构建了NDN名称过滤器。本文评估了名称过滤器的性能，并表明所提出的名称过滤器可以极大地限制每个兴趣的信息泄漏吞吐量，并且恶意软件必须发送比不使用过滤器多137倍的兴趣数据包来泄漏信息名称过滤器可以降低每个兴趣的吞吐量，但为了提高此攻击的速度，恶意软件可以在短时间内发送大量兴趣。此外，恶意软件甚至可以利用名称中的显式有效负载（如Internet中的HTTP POST消息），这超出了建议的名称过滤器的范围，并可以通过采用更长的有效负载来增加信息泄漏的吞吐量。这是名称筛选器的限制为了将流量从消费者账户转移到NDN防火墙，本文提出了一种在NDN防火墙监控的NDN流量。本文首先介绍了NDN流的概念，并对其进行了严格的规范，这在NDN研究中还没有得到标准化本文提出了一种在当前互联网上生成从HTTP流数据集模拟导出的NDN流数据集的方法，因为没有关于NDN流量的数据集。第五，为了处理NDN名称过滤器的回调，本文提出了一个NDN流过滤器来将流分类为合法或不合法。 通过将获得的NDN流数据集应用于支持向量机（LVM），本文构建了一个针对信息泄漏攻击的NDN流过滤器，性能评估表明，流过滤器阻塞的信息泄漏吞吐量为1. 3210−2到6。47 仅窒息的10-2次按名称筛选器。因此，流过滤器补充了名称过滤器，并大大抑制了信息泄漏的吞吐量。关键词：命名数据网络、信息泄漏、防火墙、名称过滤器、流过滤器vii摘要近年来，命名数据网络（然而，为了在互联网范围内采用由于跨公司边界的信息泄漏是最大的问题之一，即使在互联网上也是如此，而且在用类似NDN的网络取代互联网之前，降低所涉及的风险是很重要的，因此本文研究了NDN在面对允许信息泄漏的威胁时的潜在鲁棒假设（i）位于基于NDN架构的企业网络上的计算机，（ii）该计算机已经被可疑的攻击媒介（如恶意电子邮件）危害，以及（iii）该公司安装了连接到NDN的防火墙，本文将重点关注受感染（如恶意软件）的计算机试图向公司外部的攻击者泄露数据的NDN体系结构是基于"拉"的体系结构为了能够检索内容，消费者首先将兴趣发送到NDN网络，然后从换句话说，节点不能发送任何数据，除非它接收到感因此，限制信息通过数据泄漏的一种天真的方法是在公司网络上安装防火墙，该防火墙可以仔细检查要发布的数据，并最终将其输出到公司网络的外围（因此，在这种情况下，所有可公开访问的内容都在防火墙上。但是，防火墙无法处理基于外部内容的策略，并且NDN传输节点不会检查名称是否确实存在这导致了信息泄漏的风险，通过产生一个利益，隐藏信息，如机密客户数据的利益的名义，恶意软件可以假装访问外部内容，因此防火墙很难检测到攻击和信息泄漏。本文认为，这种类型因此，对这篇论文的贡献有五篇。首先，本文提出了一个通过数据和对NDN网络的兴趣进行信息泄漏攻击的模型本文对这一机制进行了详细的研究，并作为一种允许据作者所知，这是第一次研究NDN中的信息泄漏攻击其次，为了解决信息泄漏攻击，本文提出了一种基于白名单和黑名单的NDN防火墙，用于监控和处理来自消费者的NDN流量。为了设计防火墙，本文通过使用布谷鸟过滤器，所提出的NDN防火墙提供了对感兴趣的数据包的过滤，这些数据包可以根据名称或名称前缀动态更新。八··可用。防火墙的有效实施是可用的，并且它实现了高性能。具体而言，防火墙的吞吐量降低仅为0.912%至2.34%，这在企业网络中是可以接受的第三，本文提出了一个NDN名称过滤器，用于在感兴趣的数据包中将名称分类为合法或异常。由于迄今为止很少有NDN网络被大规模部署，因此还没有关于NDN流量的假设未来的NDN命名策略可能类似于为当前互联网开发的统一资源定位符（URL），或者是后者的演变，本文使用基于Web爬虫收集的URL的利用现有的信息，并将命名数据集应用对名称过滤器的性能进行了评估，结果表明，所提出的过滤器可以显著降低每个兴趣的泄漏率，并且恶意软件必须发送比不使用过滤器时多137倍的兴趣数据包来泄漏泄漏信息此外，名称过滤器可能会降低每个兴趣的吞吐量，但为了提高此攻击的速度，恶意软件可能会在很短的时间内发送许多兴趣恶意软件甚至可以利用名称中的显式内容（如HTTP POST请求），使建议的名称过滤器无效，并可能增加信息泄漏的吞吐量。为了考虑到消费者NDN防火墙的流量，本文提出了一个在NDN防火墙上监控的NDN流首先，我们提出了NDN流的概念，并对其进行了精确的指定。然后，我们提出了一种用于生成NDN流数据集的方法，该NDN流数据集是从来自因特网的HTTP流数据集模拟导出的，因为不存在关于NDN流量的数据集。最后，为了解决NDN名称过滤器的缺点，本文提出了一种NDN流过滤器，用于将流分类为合法流或非合法流。基于之前生成的NDN流数据集，提出了一种针对信息泄漏攻击的NDN流过滤器 通过对获得的数据集应用支持向量机（Support Vector Machine），我们创建了一个降低信息泄漏风险的过滤器，性能评估表明，通过流过滤器的信息泄漏率在1. 32 10−2至6。47仅通过名称过滤器的流量的10−2因此，我们提出了一个有效的体系结构，该体系结构基于由名称过滤器补充的流过滤器，从而降低了信息泄漏的风险。关键词：命名数据网络，信息泄漏，防火墙，名称过滤器，流过滤器九内容。图13列表表列表xv词汇表171一般介绍11.1背景：从互联网到NDN11.2问题声明：NDN2中的信息泄露1.3论文陈述31.4论文组织52相关工作和动机72.1导言72.2互联网概述92.3互联网安全威胁102.4Internet中的名称漏洞112.4.1恶意URL122.4.2DGA122.4.3DNS隧道132.5NDN14概述2.5.1数据包格式142.5.2架构152.5.3命名策略162.6NDN安全威胁172.6.1感兴趣的洪水攻击172.6.2内容中毒攻击182.7NDN18中的名称漏洞2.7.1邪恶的名字192.7.2NPGA19八2.7.3名称隧道192.7.4NDN研究领域是否讨论了从互联网继承到NDN的名称漏洞？......................... 212.8机器学习概述212.9摘要233NDN25中的信息泄露攻击模型3.1引言253.2NDN25中的信息泄露攻击3.2.1通过数据进行信息泄露攻击263.2.2通过Interest27进行信息泄露攻击3.3讨论293.4摘要304NDN防火墙334.1导言334.2NDN防火墙34的建议4.2.1IP和NDN防火墙4.2.2用例344.2.3体系结构和实施364.3NDN防火墙管理384.3.1NDN防火墙启动命令384.3.2NDN防火墙在线命令394.4实验404.4.1实验设置404.4.2结果414.5讨论414.6摘要435NDN名称过滤器455.1导言455.2生成恶意NDN名称的恶意软件的属性5.3建议的NDN名称过滤器475.3.1通过数据防止信息泄露攻击的名称过滤器475.3.2通过Interest48防止信息泄露攻击的名称过滤器5.4NDN名称数据集及其统计数据5.4.1NDN名称数据集495.4.2统计数字505.5实验......................................................................................................................................... 57九O5.5.1实验设置575.5.2结果625.6讨论715.7摘要726在防火墙75中监控NDN流6.1导言756.2从HTTP到NDN的转换流程766.3NDN流数据集及其统计数据由当前互联网中的HTTP流6.3.1HTTP流数据集796.3.2NDN流数据集816.3.3统计816.4摘要867NDN流量过滤器897.1导言897.2生成恶意NDN流的恶意软件属性907.3NDN流量过滤器90的建议7.4实验917.4.1实验设置917.4.2结果927.5讨论977.6摘要988总结论998.1成就1008.2未来工作101附录103NDN名称过滤器的性能（RP= 0.05，0.1，0.3）103法语论文摘要1111一般介绍1111.1从互联网到NDN1111.2NDN 112中的信息泄漏1.3论文113的陈述十一内容。xii1.4论文的组织1152一般结论1152.1捐款1162.2前景118出版物列表121参考书目123xiii图列表1.1五项贡献的高层次概念32.1互联网上基于HTTP的内容访问.............................................................................................92.2SSL协议概述[26]。................................................................................................................ 102.3记录层的分组格式[26]。.......................................................................................................102.4无效的网络内缓存。............................................................................................................. 112.5无效的流量监视。................................................................................................................. 112.6DNS隧道概述.........................................................................................................................132.7关于兴趣和数据的NDN数据包格式。................................................................................142.8NDN体系结构概述[5]。........................................................................................................152.9待处理利息表（PIT）。....................................................................................................... 162.10 基于URL的NDN名称。........................................................................................................172.11 分类示例................................................................................................................................. 222.12 群集示例................................................................................................................................. 233.1通过数据进行信息泄露攻击................................................................................................. 263.2单向兴趣。............................................................................................................................. 273.3兴趣/数据。...........................................................................................................................273.41对1和1对N攻击模型（即，恶意软件到攻击者和N个bot。........................................... 283.5通过隐写嵌入式兴趣名称进行信息泄漏攻击。..........................................................................293.6将泄露的数据从恶意软件传输到攻击者............................................................................. 304.1NDN防火墙案例的高级概念................................................................................................354.2通过白名单和黑名单进行访问控制。................................................................................. 364.3到NDN防火墙的通信通道....................................................................................................364.4NDN防火墙中感兴趣的数据包处理4.5两种拓扑结构（带FW和带FW）。..................................................................................... 404.6四个场景进行实验。............................................................................................................. 414.7名称由NDNperf消费者生成.................................................................................................414.8NDNperf消费者的吞吐量.....................................................................................................425.1FQDN排名与名称数量。......................................................................................................505.2路径51中斜杠字符数的CDF5.3问题52中相等字符数的CDF5.4路径52长度的CDF5.5名称长度分量的CDF535.6查询长度的CDF53内容。xiv5.7路径55中字母的平均频率xiv图列表5.8路径55中其他可打印字符的平均频率5.9查询中字母的平均频率565.10 查询57中其他可打印字符的平均频率5.11 使用两个名称过滤器检查NDN感兴趣的名称的流程........................................................585.12 创建恶意名称的流程。......................................................................................................... 595.13 创建仅利用路径的恶意名称的流程。................................................................................. 665.14 使用两个名称过滤器的实际误报率..................................................................................... 716.1HTTP流。...............................................................................................................................766.2NDN流。................................................................................................................................766.3将HTTP转换为NDN流。.....................................................................................................776.4将HTTP流聚合到NDN流。.................................................................................................786.5截断的有效负载。................................................................................................................. 806.6通过isomap可视化................................................................................................................ 826.7NDN子流中排序的兴趣数的CDF........................................................................................836.8一个NDN子流中感兴趣的有效负载的数据大小的CDF[字节]。.....................................846.9时间间隔的CDF [秒]。在图6.9b中，图表"显性利息+显性有效载荷利息（无异常）：6月13日至14日"几乎完全覆盖了图表......................................................................................................................................... 856.10 CDF是考虑HTTP流聚合到NDN流的时间间隔[sec]。.....................................................877.1数据集创建以构建NDN流过滤器。....................................................................................917.21对1和1对N攻击模型中的最大信息泄漏吞吐量。............................................................ 957.31对1和1对N攻击模型中的最大信息泄漏吞吐量根据禁止有效载荷利益。..................................................................................................... 967.4按名称和流过滤器阻塞的最大信息泄漏吞吐量禁止有效负载利益下的名称和流过滤器，以及仅按名称过滤器。................................. 977.5离群值和内在值的四个指标。............................................................................................. 981五项贡献的描述。.......................................................................................................................113xvOOOOOO表列表2.1互联网中继承NDN的名称漏洞203.1通过Interest27进行信息泄露攻击的分类4.1IP和NDN防火墙的5.1生成嵌入式隐写术的恶意软件名称47的属性5.2从NDN名称49中提取的功能5.3名称数据集摘要505.4计算百分位数545.5字母和其他印刷品平均频率的余弦相似性保护者和攻击者名称数据集之间的字符5.6创建恶意名称的N/、N=、LPath和LP的阈值.....................................................................5.7从路径和查询中收集的令牌数615.8针对恶意名称的NDN名称过滤器（RP）的性能5.9针对恶意名称的NDN名称过滤器（RP）的性能5.10 针对恶意名称的NDN名称过滤器（RP）的性能= 0.01）。 . . . ... ...63= 0.2）. . . . ... ... 64= 0.4）. . . . ... ... 655.11 仅利用路径创建恶意名称的N/P和LP阈值 . ... ...665.12 NDN名称过滤器针对仅利用路径的恶意名称的性能（RP= 0.01）..........................................................................................................685.13 NDN名称过滤器针对仅利用路径的恶意名称的性能（RP= 0.2）............................................................................................................695.14 NDN名称过滤器针对仅利用路径的恶意名称的性能（RP= 0.4）............................................................................................................706.1HTTP和NDN流特性之间的786.2HTTP流数据集816.3NDN流数据集816.4合法和异常NDN流数据集7.1生成恶意NDN流的恶意软件7.2从NDN consumer92的流窗口中提取的功能7.3窗口T和偏移量m92的参数设置7.4NDN流过滤器的性能（基于6月8日至9日的数据集）（P）、回忆（R）和F1测试组得分937.5执行最大信息泄漏吞吐量947.6在禁令下执行最大信息泄漏吞吐量的机器人数量-有效载荷权益95