彭勃

摘要：將Granger因果關(guān)系檢驗法應(yīng)用于SNMP變量選擇，給出了與ARP攻擊相關(guān)的SNMP變量集，提出了一個ARP攻擊檢測架構(gòu)，實驗結(jié)果表明C4.5具有較好的攻擊檢測性能，適合用于ARP攻擊檢測。

關(guān)鍵詞：ARP攻擊；簡單網(wǎng)絡(luò)管理協(xié)議；入侵檢測

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2014）04-0700-03

隨著互聯(lián)網(wǎng)的普及，電子商務(wù)以及在線購物呈逐年穩(wěn)步增長態(tài)勢。對于一個安全的電子商務(wù)環(huán)境來說，網(wǎng)絡(luò)安全是其重要基石，直接影響消費者在線購物的用戶體驗。

當(dāng)今各種高性能交換機在局域網(wǎng)構(gòu)建中普及的同時也產(chǎn)生了大量網(wǎng)絡(luò)入侵技術(shù)和嗅探工具。ARP[1]欺騙攻擊抓住了協(xié)議設(shè)計的缺陷，欺騙受害主機，劫持其傳輸?shù)臄?shù)據(jù)包以嗅探重要信息或在受害主機中嵌入惡意代碼。這些嚴(yán)重威脅網(wǎng)絡(luò)安全的“中間人”攻擊體現(xiàn)在電子商務(wù)中的場景是，當(dāng)消費者完成一筆在線交易需要輸入諸如賬戶密碼和信用卡號等信息時，攻擊者往往篡改受害者瀏覽網(wǎng)頁，并重定向為惡意網(wǎng)站，亦或嵌入諸如木馬、后門、網(wǎng)絡(luò)蠕蟲等惡意病毒代碼，從而獲取受害者機密信息造成資金損失。該文提出基于一個基于SNMP[2]流量信息進行數(shù)據(jù)挖掘的ARP攻擊檢測系統(tǒng)，以期檢測出網(wǎng)絡(luò)中異常流量從而構(gòu)建一個更加安全的電子商務(wù)生態(tài)系統(tǒng)。

1 ARP欺騙攻擊

以太網(wǎng)中每臺主機都擁有個自的MAC（Media Access Control）地址，當(dāng)一個主機向另一個主機發(fā)送數(shù)據(jù)時均以MAC地址作為身份標(biāo)識。作為工作在數(shù)據(jù)鏈路層的ARP協(xié)議，其任務(wù)是將主機的IP地址解析為MAC地址。當(dāng)它在局域網(wǎng)中廣播ARP請求包時，與地址對應(yīng)的主機在以單播方式返回的ARP應(yīng)答數(shù)據(jù)包中存入其MAC地址，由于ARP協(xié)議是無狀態(tài)的協(xié)議（沒有TCP的三次握手過程），設(shè)計之初也是基于相互信任，即每臺主機的緩存表不需對返回的地址進行認(rèn)證鑒別就可動態(tài)更新將其存入本機的ARP緩存表，緩存數(shù)據(jù)遭到損壞的過程也被稱為緩存污染，這給了ARP攻擊以可乘之機。

ARP欺騙攻擊的過程是：攻擊者將其他受害主機的IP地址與攻擊者自身的MAC地址綁定，向受害主機之一發(fā)送ARP欺騙應(yīng)答，受害主機無回憶是否確實發(fā)送過請求，就收下應(yīng)答信息并按照攻擊者ARP欺騙內(nèi)容直接更新自身的ARP緩存表。這導(dǎo)致原本由受害主機發(fā)送的數(shù)據(jù)包被轉(zhuǎn)移分流至攻擊者。當(dāng)攻擊者大量發(fā)送這些欺騙數(shù)據(jù)包時，便形成了ARP攻擊。具體情形是：攻擊者存儲了大量受害主機的數(shù)據(jù)包以便日后分析、嗅探受害者的重要信息；導(dǎo)致拒絕服務(wù)，阻斷受害主機與其他主機的聯(lián)系；重定向受害主機原先合法網(wǎng)站的URL；甚至實時修改數(shù)據(jù)包內(nèi)容為欺詐信息等。

2 Granger因果關(guān)系檢驗法

SNMP MIB變量選擇也可歸結(jié)為屬性特征約簡問題，即在大量的SNMP MIB組中選擇與異常流量正相關(guān)的SNMP變量。

1969年Granger[3]從預(yù)測的角度給出因果關(guān)系定義：如果u有助于預(yù)測（或解釋）y，那么u是y的Granger原因。設(shè)p為滯后長度，根據(jù)文獻[4]比較自回歸模型殘差和自回歸移動平均模型的殘差，則有如下非限制方程：

零假設(shè)的檢驗是通過對以下約束方程參數(shù)的估算來進行：

檢驗統(tǒng)計量g服從F（a，b）分布，若大于指定的臨界值（置信度），則拒絕零假設(shè)。其中F（a，b）是具有兩個參數(shù)a和b的Fisher的F分布。綜上所述，較高的g值表示u較強地因果關(guān)系于y。在傳統(tǒng)意義上，對于輸入輸出序偶（ui，y），如果g1>g2，則意味著u1比u2更強因果關(guān)系于y。

3 分類算法

C4.5[5]按照分而治之的策略構(gòu)建決策樹。對于一個給定訓(xùn)練樣本集，C4.5對每個輸入屬性計算其信息增益，選擇信息增益比例最大的屬性作為決策樹的分裂屬性（分裂結(jié)點），然后用該結(jié)點的不同取值建立決策樹的分支結(jié)點，再對各分支的子集遞歸調(diào)用該方法建立決策樹節(jié)點的分支，直到所有子集僅包含同一類別的數(shù)據(jù)為止，最后得到一棵決策樹可用來對新樣本進行分類。類似于其他決策樹歸納技術(shù)，C4.5比較流行的部分原因在于其并不復(fù)雜的樹構(gòu)建過程以及結(jié)果的可解釋性和可驗證性。

支持向量機[6]（Support Vector Machine，SVM）基于統(tǒng)計理論的結(jié)構(gòu)化風(fēng)險最小原理。SVM基于一個向量空間，它可以最大邊界找到最有能力區(qū)分正訓(xùn)練樣本和負(fù)訓(xùn)練樣本的決策平面。線性SVM的決策邊界可寫成如下形式：

向量[x]表示擬分類的樣本屬性向量，向量[w]和常數(shù)b由線性可分訓(xùn)練數(shù)據(jù)集學(xué)習(xí)而得到。設(shè)D={（yi，[x]i）}為訓(xùn)練樣本集，yi∈{±1}是[x]i所屬的類別（+1表示正樣本，-1表示負(fù)樣本），SVM算法就是尋找滿足下列條件的向量[w]和常數(shù)b并使[w]最小化的過程。

線性不可分的問題也可通過引入軟邊界超平面或?qū)⒃紨?shù)據(jù)映射到更高維空間來解決，這樣訓(xùn)練樣本在新的空間又可線性可分。

樸素貝葉斯分類器[7]基于以下貝葉斯理論：

P（X）表示隨機變量X的概率，P（X|H）是給定H條件下隨機變量X的概率。對于每一個變量，分別計算其條件概率。對于所有的H，P（X）總是固定的常數(shù)，先驗概率P（H）可通過計算訓(xùn)練集中屬于每個類的訓(xùn)練記錄所占比例很容易地估計。對類條件概率P（X|H）的估計則由樸素貝葉斯分類器完成。

對于所有的C，P（X）是固定的，因此只要找出使分子最大的類即可。對于網(wǎng)絡(luò)流量數(shù)據(jù)，該文按連續(xù)屬性處理所有SNMP變量，這些預(yù)測變量服從高斯分布。

4 評估指標(biāo)與實驗結(jié)果

4.1 SNMP變量數(shù)據(jù)集

實驗數(shù)據(jù)來源于某校網(wǎng)絡(luò)中心核心交換機一周的監(jiān)控記錄數(shù)據(jù)，采用基于深度數(shù)據(jù)包探測法先行對訓(xùn)練數(shù)據(jù)進行類標(biāo)注。Weka[8]是一個基于Java的開源數(shù)據(jù)挖掘工具。該文分類檢測算法均已在Weka機器學(xué)習(xí)平臺上實現(xiàn)。

MIB中管理的SNMP變量約有100多個，這些變量被分為10組，分別是：system組、interfaces組、at組、ip組、icmp組、tcp組等。根據(jù)領(lǐng)域知識選擇interfaces組中22個變量，采用GCT工具分別計算變量的g值并排序，采用前6個變量作為檢測算法約簡后的輸入特征集，如表1所示。

4.2 ARP攻擊檢測架構(gòu)

為了比較上述三種算法的性能，搭建了一個攻擊檢測架構(gòu)，如圖1所示，分為三部分：SNMP流量特征統(tǒng)計計算；機器學(xué)習(xí)構(gòu)建分類模型；攻擊類型檢測結(jié)果輸出。

首先SNMP Agent從被監(jiān)控網(wǎng)絡(luò)獲取混合了正常的流與攻擊流的各種網(wǎng)絡(luò)流量統(tǒng)計值，由數(shù)據(jù)預(yù)處理模塊處理成標(biāo)準(zhǔn)格式信息并對訓(xùn)練數(shù)據(jù)預(yù)標(biāo)注類型，存入統(tǒng)計信息庫。SNMP變量選擇模塊去除不相關(guān)或與類識別關(guān)聯(lián)程度較低的變量，這個精簡后的特征子集輸入構(gòu)建分類模型模塊，使用十折交叉評估法訓(xùn)練分類器，提高其分類精度，最后得到的分類器用于攻擊檢測模塊，輸出攻擊類型結(jié)果。

4.3 評估指標(biāo)與實驗結(jié)果

二元分類問題的混淆矩陣如表2所示。

實驗結(jié)果表明C4.5準(zhǔn)確率較高，而SVM雖具有較低的誤警率，但是SVM的丟失率最高，對ARP攻擊類別不敏感，NaiveBayes整體性能不太理想，這是因為它基于概率計算，前提要求條件獨立，而本文選擇的6個SNMP變量并非條件獨立。

5 結(jié)束語

本文將Granger因果關(guān)系檢驗法應(yīng)用于SNMP變量選擇，給出了可用于檢測ARP攻擊的相關(guān)SNMP變量集，提出了一個ARP攻擊檢測架構(gòu)，實驗結(jié)果表明C4.5具有較好的檢測性能，適合用于ARP攻擊檢測。未來的工作是在多域的網(wǎng)絡(luò)環(huán)境中尋找提高分類器適應(yīng)性的方法。

參考文獻：

[1] 石利平.ARP欺騙研究綜述[J].計算機與現(xiàn)代化，2011（6）：193-198.

[2] 武孟軍.精通SNMP[M].北京：人民郵電出版社，2010：58-113.

[3] 陳雄兵，張宗成.再議Granger因果檢驗[J].數(shù)量經(jīng)濟技術(shù)經(jīng)濟研究，2008（1）：154-160.

[4] Hamilton J D.Time Series Analysis[M].Princeton University Press，1994：129-247.

[5] 徐鵬，林森.基于C4.5決策樹的流量分類方法[J].軟件學(xué)報，2009，20（10）：2692-2704.

[6] Moore A W，Zuev D.Internet Traffic Classification Using Bayesian Analysis Techniques[C]//Proceedings of ACM Intl Conf. on Measurement and Modeling of Computer Systems（SIGMETRICS）.NewYork：ACM，2005：50-60.

[7] 張學(xué)工.關(guān)于統(tǒng)計學(xué)習(xí)理論與支持向量機[J].自動化學(xué)報，2000，26（1）：32-42.

[8] Waikato Environment for Knowledge Analysis（WEKA）3.6， [EB/OL].[2013-10-21].http：//www.cs.waikato.ac.nz/ml/weak/index.html.