劉順余 唐強 沙智倫

摘 ? 要：防空作戰(zhàn)體系依托軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)等網(wǎng)絡(luò)，連接各級作戰(zhàn)值班室和作戰(zhàn)陣地并實現(xiàn)空情共享。這類網(wǎng)絡(luò)任務(wù)單一，防御能力較弱，易遭受敵軍攻擊，如分布式拒絕服務(wù)（DDoS）。基于此，文章中提出了一種新穎的入侵檢測方法—KNS。這種方法基于集成學(xué)習(xí)的思想，首先分別采用K-最近鄰（K-Nearest Neighbor，KNN）、樸素貝葉斯分類器（Naive Bayes Classifier，NBC）和支持向量機（Support Vector Machine，SVM）對流量進行檢測，其次對檢測結(jié)果進行投票策略（Voting）整合，最后獲得KNS的最終檢測結(jié)果。這種方法在DDoS數(shù)據(jù)集進行了測試，結(jié)果表明，KNS具有較好的異常檢測檢測準確性、檢測率、誤報率。

關(guān)鍵詞：防空作戰(zhàn)體系;機器學(xué)習(xí);入侵檢測;分布式拒絕服務(wù)

中圖分類號： TP391.4 ? ? ? ? ?文獻標識碼：A

1 引言

隨著現(xiàn)代戰(zhàn)爭空襲兵器的迅猛發(fā)展，陸軍采取提升預(yù)警時間的方式來應(yīng)對空襲兵器的快速襲擊，為此陸軍防空力量逐漸向日常防空作戰(zhàn)體系發(fā)展[1，3]。防空作戰(zhàn)體系由野戰(zhàn)防空轉(zhuǎn)化發(fā)展而來，在空軍的偵察預(yù)警網(wǎng)絡(luò)和陸軍的旅、營值班室以及雷達陣地之間建設(shè)軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)等，實現(xiàn)空情共享[4]，網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

其網(wǎng)絡(luò)構(gòu)建復(fù)雜，任務(wù)單一，防御能力較弱，敵軍可能在網(wǎng)絡(luò)內(nèi)安插部件作為“肉雞”，發(fā)送過載的命令信息導(dǎo)致網(wǎng)絡(luò)奔潰，或者通過干擾器、假基站發(fā)送入侵數(shù)據(jù)包，進行DDoS攻擊[2，5]。

本文提出了一種針對防空作戰(zhàn)體系中軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)的DDoS攻擊的防御檢測方法—KNS。該方法基于集成學(xué)習(xí)的思想，對KNN、NBC和SVM進行集成，實現(xiàn)對入侵的惡意流量進行異常檢測。

（1）首次將集成學(xué)習(xí)異常檢測算法應(yīng)用在防空作戰(zhàn)體系中，并對DDoS攻擊進行檢測，據(jù)了解該項研究并無前任工作。

（2）設(shè)計了一種新穎的集成學(xué)習(xí)檢測方法KNS。該方法對KNN、NB、SVM等三種基分類器進行集成，并通過Voting對結(jié)果進行整合，得到了異常檢測強分類器。

（3）提出的方案將ML技術(shù)作為一種整體方法來檢測惡意和非惡意流量。結(jié)果顯示，所提出的KNS在應(yīng)對DDoS攻擊檢測時，能夠表現(xiàn)出較好的檢測效果。

2 相關(guān)工作

趙樺箏等人[6]針對DDoS攻擊，提出了一種報文特征提取方法，通過重構(gòu)特征提高異常檢測的精度。A.Saboor等人[7]提出了基于相關(guān)算法和IAFV（IP地址特征值）算法的DDoS攻擊檢測。他們使用帶有滑動窗口的不同時間序列來提高檢測率。李森等人[8]針對邊防部隊計算機網(wǎng)絡(luò)DDoS攻擊防范進行了研究，針對DDoS攻擊進行了分析，提出了4種防范措施。Yavuzet等人[9]研究了遺傳算法（GA）和近鄰K（KNN），并將它們組合為檢測攻擊的模型。與傳統(tǒng)的KNN分類器相比，實驗混合系統(tǒng)提供了更為準確的結(jié)果。Saurav Nanda等人[10]使用貝葉斯網(wǎng)絡(luò)，達到了91.68%的準確度，這表明在278，598次攻擊中，他們的模型能夠準確預(yù)測254，834次攻擊。GisungKim等人[11]提出了一種混合學(xué)習(xí)模型來檢測DDoS攻擊并保護OpenFlow交換機。他們使用C4.5決策樹創(chuàng)建了誤用檢測模型，然后（One Class SVM）創(chuàng)建了異常檢測模型，以很好地應(yīng)對未知攻擊。趙振中等人[12]介紹了一種新穎的DDoS攻擊，并且提出了一種基于數(shù)字信號處理的檢測方法。Lohit Barki等人[13]使用了不同的機器學(xué)習(xí)技術(shù)，例如樸素貝葉斯（Naive Bayes）、K近鄰、K-Means、K-medoids來檢測DDoS攻擊。他們發(fā)現(xiàn)，與其他公認的算法相比，樸素貝葉斯模型效果最好。

3 基分類器

3.1 KNN

KNN是一種機器學(xué)習(xí)分類方法，是數(shù)據(jù)挖掘技術(shù)的基礎(chǔ)方法之一，其核心思想是數(shù)據(jù)樣本的類別，均可以通過其周圍的K個樣本進行表示，其鄰居的計算方式如公式（1）所示。

3.2 NBC

樸素貝葉斯分類算法是基于貝葉斯定理進行分類的算法，其原理是通過事件的先驗概率，利用貝葉斯公式計算出后驗概率，再通過判斷后驗概率，選擇最大概率類作為該事件的所屬類，在此，找到給定事件B的事件A的概率;A和B是事件，且P（B）≠0，計算公式如公式（2）所示。

3.3 SVM

SVM是用于解決分類問題的監(jiān)督學(xué)習(xí)技術(shù)。假設(shè)支持向量是{（v1，y1），（v2，y2），…（vm，ym）}，并且它們的權(quán)重是{w1，w2，w3…wm}，然后使用公式（3）計算從x到每個支持向量的權(quán)重w，表示為公式（3）所示。

針對DDoS攻擊，提出了基于集成學(xué)習(xí)的組合模型，并通過Voting策略對基分類器的結(jié)果進行整合，如圖2所示提出了模型的體系結(jié)構(gòu)。

KNN、NBC、SVM是機器學(xué)習(xí)中的監(jiān)督學(xué)習(xí)算法，本文分別實現(xiàn)了KNN、NB和SVM異常檢測結(jié)果，并和KNF檢測結(jié)果進行了對比，具有更高的準確性，檢測率和誤報率。

5 實驗結(jié)果和分析

Mininet是一種仿真工具，可幫助創(chuàng)建虛擬主機、控制器、交換機、主機。基于Mininet模擬環(huán)境，本文選擇了Pox控制器，用于創(chuàng)建無線網(wǎng)絡(luò)設(shè)置，其中一臺服務(wù)器一次與另一臺服務(wù)器隨機通信。

MiniEdit創(chuàng)建的網(wǎng)絡(luò)設(shè)置如圖3所示。

創(chuàng)建網(wǎng)絡(luò)設(shè)置后，包含數(shù)TCP、UDP、ICMP數(shù)據(jù)包記錄的數(shù)據(jù)集被饋送到網(wǎng)絡(luò)。然后，提取定性和定量特征，以確定每個分類器的性能。借助流量分類器模塊，根據(jù)源和目的地的時間差來分離流量。在此，時間的閾值被設(shè)定為0.004秒。如果時間差小于0.004秒，則將數(shù)據(jù)包從源傳輸?shù)胶戏ㄓ脩簟７駝t，將其視為攻擊。實驗一共采集數(shù)據(jù)集41260條（正常31223條，異常10037條），其中測試集12378條（正常9367條，異常流量3011條）。

本文通過四個性能指標來評估檢測系統(tǒng)。

1）TN–正確分類的正常流量的百分比。

2）TP–正確分類的攻擊流的百分比。

3）FP-錯誤分類為合法流（例如攻擊）的百分比。

4）FN -被錯誤分類為合法的攻擊流的百分比。

準確率：表示在數(shù)據(jù)集中正確識別異常流量的百分比，其計算定義如公式（4）所示。

提出的集成算法分別在實驗數(shù)據(jù)集上進行了測試，并與KNN、NB、SVM進行了對比，結(jié)果如1表所示。

如表2所示，提出的方法能夠獲得準確率93.29%，檢測率80.01%，誤報率7.71%的檢測結(jié)果，優(yōu)于其他的異常檢測方法。

6 結(jié)束語

本文提出了一種基于集成學(xué)習(xí)的KNS異常檢測方法對防空作戰(zhàn)體系環(huán)境下的DDoS攻擊進行了檢測，并基于準確性。檢測率和誤報率指標分析了所提出的方法。在提出的集成機器學(xué)習(xí)模型中，與簡單的機器學(xué)習(xí)模型相比，KNS的準確性更高，檢測率更高，誤報率更低，將來計劃進一步提升準確率。

參考文獻

[1] 王道重，滕克難，孫媛，孫吉良.地空導(dǎo)彈網(wǎng)絡(luò)化協(xié)同防空作戰(zhàn)系統(tǒng)研究[J].指揮控制與仿真，2019，41（03）：5-9.

[2] 魏玉人，徐育軍.DDoS攻擊及防御技術(shù)綜述[J].軟件導(dǎo)刊， 2017，16（03）：173-175.

[3] 羅良彬，商長安，楊輝.區(qū)域防空作戰(zhàn)體系網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析與建模[J].現(xiàn)代防御技術(shù)，2016，44（01）：10-15.

[4] 劉子敏，唐興誠.現(xiàn)代防空作戰(zhàn)的變化導(dǎo)向[J].國防科技， 2005（03）：67-70.

[5] 蔣南允，程光.智能電網(wǎng)入侵檢測綜述[J].網(wǎng)絡(luò)空間安全， 2018， 9（1）：89-94.

[6] 趙樺箏，黃元浦，孫嶺新，杜昊，郭凱文.面向DDoS入侵檢測的報文特征提取方法[J].網(wǎng)絡(luò)空間安全，2020， 11（3）：24-29.

[7] Saboor A， Aslam B. Analyses of flow based techniques to detect Distributed Denial of Service attacks[C]// International Bhurban Conference on Applied Sciences & Technology. IEEE， 2015.

[8] 李森.邊防部隊計算機網(wǎng)絡(luò)DDoS攻擊防范研究[J].中國信息化，2013，（18）：66-67.

[9] Canbay Y， Sagiroglu S. A Hybrid Method for Intrusion Detection[C]// IEEE International Conference on Machine Learning & Applications. IEEE， 2015.

[10] Nanda S， Zafari F， Decusatis C， et al. Predicting Network Attack Patterns in SDN using Machine Learning Approach[C]// IEEE Conference on Network Function Virtualization and Software Defined Networks （IEEE NFV-SDN） 2016. IEEE， 2016.

[11] Kim G， Lee S， Kim S. A novel hybrid intrusion detection method integrating anomaly detection with misuse detection[J]. Expert Systems with Applications， 2014， 41（4）：1690–1700.

[12] 趙振中，廖駿.基于DSP的Shrew DDoS攻擊檢測[J].網(wǎng)絡(luò)空間安全，2019，10（6）： 1-8.

[13] Barki L， Shidling A， Meti N， et al. Detection of distributed denial of service attacks in software defined networks[C]// 2016 International Conference on Advances in Computing， Communications and Informatics （ICACCI）. IEEE， 2016.