趙樺箏　黃元浦　孫嶺新　杜昊　郭凱文

摘? ?要：機器學習算法是當前檢測網(wǎng)絡(luò)入侵的主要方法。然而，現(xiàn)有入侵檢測方法提取攻擊報文特征的維度較小，導致檢測精度偏低。針對該問題，文章提出了面向DDoS入侵檢測的報文特征提取方法（DDoS Message Feature Extraction，DMFE）。該方法在分析DDoS攻擊過程的基礎(chǔ)上，根據(jù)報文協(xié)議將DDoS攻擊分為五類，并針對不同的類型提取其特征向量，增加了攻擊報文特征的維度與表達能力，有利于提升入侵檢測算法的精度。模擬實驗結(jié)果表明，DMFE與現(xiàn)有的其他特征提取方法相比，能夠有效地提高基于神經(jīng)網(wǎng)絡(luò)、K-近鄰等入侵檢測方法的精度。此外，DMFE受分類算法種類影響弱，可以適用于多種機器學習算法并取得了幾乎相同的效率。

關(guān)鍵詞：網(wǎng)絡(luò)安全;特征提取;數(shù)據(jù)挖掘;機器學習;分布式拒絕服務(wù)攻擊

中圖分類號： TP393.08? ? ? ? ? 文獻標識碼：A

Abstract： Machine learning algorithms have been widely used in the field of network intrusion detection. However， existing intrusion detection methods extract attack message features with small dimensions， resulting in low detection accuracy. Contrapose to the above problem， a DDoS intrusion detection - oriented message feature extraction method （DMFE） is proposed. Based on the analysis of DDoS attack process， this method divides DDoS attack into five categories according to the message protocol， and extracts its feature vectors according to different types， which increases the feature dimension of attack message， improves the feature expression ability， and is conducive to improving the accuracy of intrusion detection algorithm. Simulation results indicate that compared with other feature extraction methods， DMFE feature extraction method can effectively improve the accuracy of intrusion detection methods based on neural network， k-nearest neighbor etc. In addition， due to the weak influence of classification algorithm， DMFE can be applied to a variety of machine learning algorithms and achieve almost the same efficiency.

Key words： internet security; feature extraction; data mining; machine learning; distributed denial of service

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間規(guī)模正不斷擴大，隨之而來的網(wǎng)絡(luò)安全威脅也日益增多。在全球，每年因大型網(wǎng)絡(luò)攻擊造成的經(jīng)濟損失，甚至可與災難性自然災害帶來的損失相當[1]。但現(xiàn)有的網(wǎng)絡(luò)安全防護方法難以有效地應對當前多樣化的網(wǎng)絡(luò)攻擊方式，使得一系列網(wǎng)絡(luò)安全事件頻發(fā)。例如，在2019年2月5日至3月1日，美國UAlbany大學至少遭受了17次DDoS攻擊;2月初，菲律賓全國記者聯(lián)盟的網(wǎng)站受到DDoS（Distributed Denial of Service）攻擊，最高流量為468 GB/s，致使該網(wǎng)站被迫關(guān)閉了數(shù)小時。

本文通過分析DDoS攻擊過程，將基于報文協(xié)議的攻擊分為了欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊、連接耗盡攻擊五大類。在此基礎(chǔ)上對各種攻擊類型報文的特點進行深入剖析，設(shè)計并實現(xiàn)了各種攻擊類型報文特征向量提取方法（DMFE）。該方法實現(xiàn)了網(wǎng)絡(luò)中報文的實時采集與檢測，最大可能地在攻擊初期就檢測到攻擊特征，避免后續(xù)可能遭受的攻擊，降低損失，為高效解決DDoS攻擊問題提供了新的方案。

2 相關(guān)工作

目前，學術(shù)界對于DDoS攻擊問題的研究，采用了多樣性的攻擊檢測方法，然而對于特征向量提取方法的研究有待加深。

梅夢喆在SDN環(huán)境下對DDoS攻擊檢測和防護進行了研究[2]，源IP、數(shù)據(jù)包大小等參數(shù)作為特征向量，采用了多位條件熵進行DDoS攻擊檢測。這種方法對網(wǎng)絡(luò)層的DDoS攻擊有較好作用，但難以有效應對應用層的DDoS攻擊。

孫正君在SDN環(huán)境下采用了深度學習混合模型對DDoS攻擊進行了檢測和防御[3]，將流表的多個屬性交由深度學習模型自動獲取，且手動構(gòu)建了流表平均數(shù)據(jù)包量、不同端口增長速率等特征向量，可獲得較高的檢測率。該方法的弊端在于特征數(shù)量的增加無疑加重了服務(wù)器的負擔，在未受到攻擊時也會耗費服務(wù)器的載荷。

3 DDoS攻擊報文分類

為了從大量混雜的數(shù)據(jù)報文中準確捕捉到攻擊報文，本文基于攻擊過程，結(jié)合協(xié)議本身特性[4]，設(shè)計了新的特征值提取方案。針對不同的攻擊類別提取不同的特征值，實現(xiàn)了對于攻擊流的準確鎖定，為攻擊處理模塊提供了高效的服務(wù)。

針對不同的攻擊過程以及協(xié)議類型，本文將DDoS攻擊報文分為五個基本的大類：欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊和連接耗盡攻擊。

3.1 欺騙攻擊

欺騙攻擊主要通過偽造IP地址和MAC地址，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使目標主機ARP緩存中的IP-MAC條目不斷更新，造成網(wǎng)絡(luò)中斷或阻塞。

欺騙攻擊的特征向量為：

v = （p， n，σlen， σsp，σdp），其中p為協(xié)議類型，n為單位時間內(nèi)接收的報文數(shù)量，σlen、σsp、σdp分別為報文長度、源端口號、目的端口號的標準差。

欺騙攻擊時單個目的IP單位時間內(nèi)接收的報文數(shù)量較大，即n值較大，且易在較短時間內(nèi)產(chǎn)生大量請求內(nèi)容相似的數(shù)據(jù)報，即其報文長度、源端口、目的端口數(shù)據(jù)離散度較低。本文通過計算標準差表示數(shù)據(jù)的離散程度，即攻擊報文的σlen、σsp、σdp值較小。

即當n較大，且σlen、σsp、σdp的值較小時，可判斷發(fā)生了欺騙攻擊。

3.2 流量攻擊

流量攻擊通常是攻擊者通過控制眾多的傀儡機向被攻擊方發(fā)送大量合法的請求，造成被攻擊主機的大量資源被占用而癱瘓。流量攻擊的特征向量為：

v = （p， n， a， l， σlen），其中p為協(xié)議類型，n為單位時間內(nèi)接收的報文數(shù)量，a為報文總數(shù)/源IP個數(shù)，l為報文長度。

流量攻擊大多發(fā)送速度極快、源IP不斷變化，且很少可能有相同的源IP，即n較大且a值趨近于1。報文長度不變，且普遍為過小包，即l與σlen值較小。

即當n較大，l及σlen較小且a值趨近于1時，可判斷發(fā)生了流量攻擊。

3.3 反射攻擊

在反射攻擊中，攻擊者通過偽造目標主機地址發(fā)送廣播請求，使整個廣播域的主機向被攻擊服務(wù)器發(fā)送回復報文，造成目標服務(wù)器不能處理其他正常的交互數(shù)據(jù)流。反射攻擊的特征向量為：

v = （p， n， l， σsp， σdp），其中p為協(xié)議類型，n為單位時間內(nèi)接收的報文數(shù)量，l為報文長度，σsp、σdp分別為該時間窗內(nèi)源端口號、目的端口號的標準差。

反射攻擊時被攻擊者單位時間內(nèi)會接收到大量的響應數(shù)據(jù)，即n值較大，且報文的長度都較長，即l較大。源端口的離散程度偏高，目的端口的離散程度較低。本文通過計算標準差表示數(shù)據(jù)的離散程度，即攻擊報文的σsp較大而σdp較小。

即當n、l較大，σsp較大而σdp較小時，可判斷發(fā)生了反射攻擊。

3.4 慢連接攻擊

慢連接攻擊主要針對應用層的HTTP協(xié)議，通過對請求頭部、報文內(nèi)容等的處理占用資源。慢連接攻擊的特征向量為：

v = （p， h， b， w），其中p為協(xié)議類型，h為HTTP層請求頭部沒有結(jié)束標志的報文個數(shù);b = l / c，其中c為請求頭中Content-Length的值，l為報文長度;w為報文TCP層窗口大小的值的和。

當連續(xù)多個報文HTTP層中請求頭部中都沒有結(jié)束標志時，即h較大時，判斷屬于Slow Headers攻擊;當c >> l時，即b趨近于1時，判斷屬于Slow Body攻擊;當同一IP連續(xù)多次發(fā)送零窗口，即w趨近于0時，判斷屬于Slow Read攻擊。

即當h較大，或b趨近于1或者w趨近于0時，可判斷發(fā)生了慢連接攻擊。

3.5 連接耗盡攻擊

連接耗盡攻擊利用TCP協(xié)議高資源占用來消耗目標主機的系統(tǒng)資源。連接耗盡攻擊的特征向量為：

v = （p， n， m， RST， FIN），其中p為協(xié)議類型，n為單位時間內(nèi)接收的攻擊報文數(shù)量，m為單一源IP請求報文數(shù)量。

連接耗盡攻擊新建連接速率較高，單位時間內(nèi)的報文數(shù)過大，即n過大，單一源IP異常會話請求報文數(shù)量過多，即m過大，且通常會通過發(fā)送FIN或RST為1的報文斷開連接。

即當n或m的值過大時，且 RST或FIN標志位為1時，可判斷發(fā)生了連接耗盡攻擊。

4 實驗方案

為了驗證DMFE方法的有效性，本文針對常見的DDoS攻擊問題展開了研究[5]，分析報文協(xié)議類型并結(jié)合SDN控制與轉(zhuǎn)發(fā)解耦合的相關(guān)特性架構(gòu)，提出了基于DMFE的軟件定義安全系統(tǒng)，并在模擬環(huán)境中測試了DMFE的分類效率以及與現(xiàn)有其他特征提取方案的對比效果。

針對DDoS攻擊中具有代表性的TCP協(xié)議進行了多種攻擊方式的模擬，并對采集到的數(shù)據(jù)集依次進行了攻擊報文分析、檢測、處理的系統(tǒng)性實驗，以此為例說明此框架的防御流程。

4.1 模擬環(huán)境

該實驗在Mininet仿真環(huán)境中完成。首先分別創(chuàng)建兩臺虛擬機并分別命名為ODL和Mininet，在ODL中安裝Wireshark和OpenDaylight Carbon版本的控制器，以及使用python 3.x版本的pycharm，在Mininet中安裝支持OpenFlow1.3協(xié)議的Mininet和Wireshark，并安裝MySQL數(shù)據(jù)庫存儲報文。

4.2 數(shù)據(jù)采集

本文采用動態(tài)采集窗口[6]，實時抽樣檢測通過SDN交換機的報文。動態(tài)采集窗口內(nèi)采集到的報文將轉(zhuǎn)化為特征值，并傳送給DDoS攻擊檢測模塊。

為動態(tài)確定檢測窗口的大小Tar，本文提出了如計算公式（1）所示：

（1）

此算法需要確定檢測單位時間Ti和單位時間內(nèi)的流量mes。若近期發(fā)生過DDoS攻擊，則需對近期攻擊發(fā)生次數(shù)（Attack）進行設(shè)置，否則為0。當系統(tǒng)檢測到了DDoS攻擊時，根據(jù)攻擊程度設(shè)置攻擊發(fā)生標志（Flag）為1至2;若尚未檢測到攻擊的發(fā)生，設(shè)置為1。再結(jié)合近期發(fā)生的攻擊，依情況確定權(quán)重并求和，得出動態(tài)確定的檢測窗口的大小。

4.3 攻擊分類檢測

本文根據(jù)其攻擊特性以及TCP協(xié)議特性，提取報文特征值并建立了特征向量：v = （p， RST， SYN， ACK， fs， fm， nRST， n），其中p為協(xié)議類型，fs為單個源IP攻擊次數(shù)，fm為該時間窗內(nèi)異常IP個數(shù)，RST攻擊次數(shù)，n為單位時間內(nèi)接收的報文數(shù)量。然后使用BP神經(jīng)網(wǎng)絡(luò)算法[7]，K-近鄰算法和SVM支持向量機[8]，分別對數(shù)據(jù)集進行了訓練，并將得到的訓練模型用測試集進行了測試。

4.4 實驗結(jié)果

如表1所示，為檢驗不同條件下特征提取的效果，本文調(diào)整算法及相應參數(shù)值，進行了多組測試。

如圖2所示，本文將實驗結(jié)果繪制成線性圖，發(fā)現(xiàn)達到各算法的閾值I時，模型準確率均能達到98%如圖2所示，本文將實驗結(jié)果繪制成線性圖，發(fā)現(xiàn)達到各算法的閾值I時，模型準確率均能達到98%以上。

為驗證本文特征向量提取的高效性，測試了在相同實驗環(huán)境、相同數(shù)據(jù)集的情況下，DMFE與梅夢喆等人[2]選取的以源/目的IP、源端口號、數(shù)據(jù)包大小4個參數(shù)作為特征向量的特征提取方式在各算法下的效果進行對比。通過圖3性能比較測試圖可看出在DDoS攻擊的初期階段，DMFE具有較為明顯的優(yōu)勢。

4.5 攻擊處理

本實驗中首先使用已訓練的模型檢測出攻擊報文和非攻擊報文，并對攻擊報文進行標記。接著將處理后的數(shù)據(jù)傳輸給SDN控制器。SDN控制器識別出帶有標記的攻擊報文，下發(fā)全局策略將各交換機中的該流表項刪除，以此高效地解決DDoS攻擊問題[9]。

本文設(shè)計了一種算法判斷是否為攻擊行為。首先對所有源IP進行違規(guī)次數(shù)統(tǒng)計，并用公式（2）所示計算Tar值。其中時間窗m→n為動態(tài)采集窗口，msg為總共收到的報文數(shù)，其中a條發(fā)生違規(guī)，Ti為單位時間，Tj為第j條違規(guī)發(fā)生的時間：

（2）

當Tar > 0.16，判斷發(fā)生了攻擊行為，可利用已訓練模型進行模式匹配，對攻擊報文進行標記后，利用SDN控制器下發(fā)策略對標記報文集中處理。

4.6? DMFE優(yōu)勢分析

本文提出的報文特征向量提取方法DMFE相較于原有的DDoS攻擊檢測方法有三點優(yōu)勢。

（1）相較于傳統(tǒng)的檢測方法，DMFE針對報文特征，擴大了DDoS攻擊檢測的范圍，解決了原有方法只能檢測網(wǎng)絡(luò)層或應用層DDoS攻擊的問題。

（2）DMFE提取的特征值具有普適性，與主流算法的結(jié)合性較高，能夠較好地適應不同應用環(huán)境。

（3）基于DMFE的DDoS攻擊分類檢測模塊[10]，通過分析DDoS攻擊過程以及協(xié)議特性，綜合提取源IP，標簽值如seq、ack、rst等多方面的特征值。利用機器學習算法的深度學習和有監(jiān)督學習，能夠以較高的準確率進行攻擊報文的分類與攻擊判斷，減少誤判和漏判。

5 結(jié)束語

在網(wǎng)絡(luò)環(huán)境日益復雜，DDoS攻擊不斷加劇的背景下，本文提出了面向DDoS入侵檢測的報文特征提取方法（DMFE）。通過深入研究DDoS攻擊過程將基于協(xié)議的DDoS攻擊報文合理地分為了欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊和連接耗盡攻擊五種類型。并在此基礎(chǔ)上根據(jù)攻擊的類型提取相應的特征值組成特征向量。利用機器學習通過已訓練的模型標記出攻擊報文，借助于SDN架構(gòu)的靈活性快速下發(fā)策略至網(wǎng)絡(luò)的各個節(jié)點，盡可能地在第一時間發(fā)現(xiàn)并消除DDoS攻擊。本文選取了較具代表性的TCP協(xié)議進行模擬實驗驗證。由于采用的是在實驗環(huán)境中以自攻擊方式獲取的數(shù)據(jù)集，其檢測精度，在實際應用時可能會有所下降。本文通過不同算法及參數(shù)檢驗，以及與他人方法的對比，表明了DMFE方法的可靠性。

基金項目：

鄭州大學大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目（項目編號：No.2019cxcy666）。

參考文獻

[1] MIT Lincoln Laboratory Inf-ormation Systems Technology. MIT Lincoln Laboratory[EB/OL]. http：//www.ll.mit.edu/ideval/data/2000data.html .2000.

[2] 梅夢喆. SDN中基于多維條件熵的DDoS攻擊檢測與防護研究[D].南昌：南昌航空大學，2016.

[3] 孫正君. SDN中基于深度學習混合模型的DDoS攻擊檢測與防御技術(shù)研究[D].杭州：浙江工商大學，2018.

[4] 楊長春，倪彤光，薛恒新.一種基于數(shù)據(jù)挖掘的DDoS攻擊入侵檢測系統(tǒng)[J].計算機工程，2007，No.291（23）：167-169.

[5] Jelena Mirkovic，Peter Reiher. A taxonomy of DDoS attack and DDoS defense mechanisms[J].ACM SIGCOMM Computer Communication Review，2004，342：39-53.

[6] Matthew Mathis，Jeffrey Semke，Jamshid Mahdavi，Teunis Ott. The macroscopic behavior of the TCP congestion avoidance algorithm[J].ACM SIGCOMM Computer Communication Review，1997，273：67-82.

[7] Xia Jing， Cai Zhiping， Hu Gang， Xu Ming. An Active Defense Solution for ARP Spoofing in OpenFlow Network[J]. Chinese Journal of Electronics，2019，v.28（01）：172-178.

[8] Qiu Xiaofeng， Liu Wenmao，Gao Teng， He Xinxin， Wen Xutao， Chen Pengcheng. WoT/SDN：Web of Things Architecture Using SDN[J].中國通信，2015，v.12（11）：177-187.

[9] Alan Saied， Richard E. Overill， Tomasz Radzik. Detection of known and unknown DDoS attacks using Artificial Neural Networks[J]. Neurocomputing，2016，172：.

[10] 左青云，陳鳴，趙廣松，邢長友，張國敏，蔣培成. 基于OpenFlow的SDN技術(shù)研究[J].軟件學報，2013，v.24（05）：1078-1097.

作者簡介：

趙樺箏（1999-），女，漢族，河南洛陽人，鄭州大學，本科;主要研究方向和關(guān)注領(lǐng)域：計算機科學與技術(shù)、網(wǎng)絡(luò)安全、數(shù)據(jù)挖掘、機器學習。

黃元浦（2000-），男，漢族，河南南陽人，鄭州大學，本科;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全、計算機網(wǎng)絡(luò)、密碼學和機器學習。

孫嶺新（1998-），男，漢族，河南焦作人，鄭州大學，本科;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全、計算機網(wǎng)絡(luò)、密碼學和機器學習。

杜 昊（1998-），男，漢族，河南人，鄭州大學，本科;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全、計算機網(wǎng)絡(luò)、密碼學和機器學習。

郭凱文（1999-），男，漢族，河南洛陽人，鄭州大學，本科;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)挖掘、大數(shù)據(jù)、軟件定義網(wǎng)絡(luò)。