劉飛揚(yáng)，李坤，宋飛，周華春

DDoS攻擊惡意行為知識(shí)庫(kù)構(gòu)建

劉飛揚(yáng)，李坤，宋飛，周華春

（北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

針對(duì)分布式拒絕服務(wù)（distributed denial of service，DDoS）網(wǎng)絡(luò)攻擊知識(shí)庫(kù)研究不足的問(wèn)題，提出了DDoS攻擊惡意行為知識(shí)庫(kù)的構(gòu)建方法。該知識(shí)庫(kù)基于知識(shí)圖譜構(gòu)建，包含惡意流量檢測(cè)庫(kù)和網(wǎng)絡(luò)安全知識(shí)庫(kù)兩部分：惡意流量檢測(cè)庫(kù)對(duì)DDoS攻擊引發(fā)的惡意流量進(jìn)行檢測(cè)并分類；網(wǎng)絡(luò)安全知識(shí)庫(kù)從流量特征和攻擊框架對(duì)DDoS攻擊惡意行為建模，并對(duì)惡意行為進(jìn)行推理、溯源和反饋。在此基礎(chǔ)上基于DDoS開放威脅信號(hào)（DDoS open threat signaling，DOTS）協(xié)議搭建分布式知識(shí)庫(kù)，實(shí)現(xiàn)分布式節(jié)點(diǎn)間的數(shù)據(jù)傳輸、DDoS攻擊防御與惡意流量緩解功能。實(shí)驗(yàn)結(jié)果表明，DDoS攻擊惡意行為知識(shí)庫(kù)能在多個(gè)網(wǎng)關(guān)處有效檢測(cè)和緩解DDoS攻擊引發(fā)的惡意流量，并具備分布式知識(shí)庫(kù)間的知識(shí)更新和推理功能，表現(xiàn)出良好的可擴(kuò)展性。

DDoS；分布式；知識(shí)圖譜；惡意行為知識(shí)庫(kù)

1 引言

分布式拒絕服務(wù)（distributed denial of service，DDoS）是目前針對(duì)網(wǎng)絡(luò)應(yīng)用程序最具破壞力的攻擊之一[1]。5G支持的海量終端設(shè)備接入使其受到的安全威脅進(jìn)一步提升。為了應(yīng)對(duì)不斷發(fā)展的網(wǎng)絡(luò)攻擊，設(shè)計(jì)了一系列的網(wǎng)絡(luò)安全數(shù)據(jù)集，如KDDCup99、NSL-KDD、UNSW-NB15、CICDDoS2019等，這些數(shù)據(jù)集為了反映現(xiàn)實(shí)網(wǎng)絡(luò)的復(fù)雜性，都設(shè)計(jì)成包含正常數(shù)據(jù)和異常數(shù)據(jù)的綜合數(shù)據(jù)集，但仍存在不足之處：這些數(shù)據(jù)集都以流量數(shù)據(jù)的形式存儲(chǔ)，淡化了網(wǎng)絡(luò)實(shí)體間的關(guān)系，難以描述網(wǎng)絡(luò)攻擊者的攻擊行為和特征。因此，如何將網(wǎng)絡(luò)現(xiàn)有的海量數(shù)據(jù)與知識(shí)進(jìn)行規(guī)范化和集成化，設(shè)計(jì)出一個(gè)針對(duì)DDoS網(wǎng)絡(luò)攻擊的知識(shí)庫(kù)成為了亟待解決的問(wèn)題。

目前DDoS攻擊檢測(cè)方法主要有兩種：一種是基于機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)方法[2]，通過(guò)分析正常流量與攻擊流量在特征方面的差異來(lái)檢測(cè)攻擊；另一種是基于統(tǒng)計(jì)的檢測(cè)方法[3]，對(duì)正常的網(wǎng)絡(luò)流量進(jìn)行建模，通過(guò)對(duì)比當(dāng)前網(wǎng)絡(luò)流量與正常流量模型之間的相似程度來(lái)檢測(cè)攻擊。現(xiàn)有的這些方法或基于已有的數(shù)據(jù)集檢測(cè)算法，或利用常規(guī)統(tǒng)計(jì)模型，難以適應(yīng)不斷變化的DDoS攻擊，并需要隨攻擊的變化調(diào)整模型和閾值等參數(shù)，難以動(dòng)態(tài)適配網(wǎng)絡(luò)攻擊的變化。

網(wǎng)絡(luò)攻擊呈現(xiàn)復(fù)雜化和組合化的趨勢(shì)，傳統(tǒng)的流量信息難以適用于網(wǎng)絡(luò)攻擊的分析，因此需要結(jié)構(gòu)化的知識(shí)體系描繪網(wǎng)絡(luò)攻擊的特征和屬性，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行實(shí)體關(guān)系建模。隨著網(wǎng)絡(luò)知識(shí)呈指數(shù)增長(zhǎng)，越來(lái)越多的研究人員開始使用知識(shí)圖譜管理這些知識(shí)[4]。知識(shí)圖譜將人類知識(shí)結(jié)構(gòu)化形成系統(tǒng)，其中包含基本的知識(shí)、通用的規(guī)則以及其他結(jié)構(gòu)化的信息，具有信息檢索、推演決策等功能。從結(jié)構(gòu)上看，知識(shí)圖譜就是“實(shí)體?關(guān)系?實(shí)體”的三元組組成的一種帶標(biāo)記的有向?qū)傩詧D形。因其優(yōu)秀的檢索功能、高效的結(jié)構(gòu)化存儲(chǔ)功能、自適應(yīng)的更新功能等特點(diǎn)受到了研究人員的關(guān)注。但現(xiàn)有的網(wǎng)絡(luò)安全知識(shí)庫(kù)，例如攻擊類型枚舉和分類數(shù)據(jù)庫(kù)（common attack pattern enumeration and classification，CAPEC）、通用漏洞披露（common vulnerabilities andexposures，CVE）和常見(jiàn)缺陷列表（common weakness enumeration，CWE）等[5]關(guān)于DDoS攻擊的記錄較少。此外，關(guān)于分布式知識(shí)庫(kù)的構(gòu)建研究則更少。因此上述知識(shí)庫(kù)面對(duì)海量知識(shí)表現(xiàn)出交叉的擴(kuò)展性，無(wú)法提供系統(tǒng)的DDoS攻擊知識(shí)。

為檢測(cè)并緩解DDoS攻擊，需要有不斷更新的知識(shí)來(lái)做支撐。因此，本文基于知識(shí)圖譜的概念構(gòu)建了DDoS攻擊惡意行為知識(shí)庫(kù)。該知識(shí)庫(kù)以知識(shí)圖譜的形式存儲(chǔ)了DDoS攻擊行為的各種特征以及第三方數(shù)據(jù)庫(kù)中的知識(shí)，并構(gòu)建了一套知識(shí)庫(kù)更新、推理和反饋的系統(tǒng)，用于在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下的多個(gè)網(wǎng)關(guān)處識(shí)別出攻擊者行為，提供緩解措施，降低DDoS攻擊引發(fā)的惡意流量強(qiáng)度。

本文的主要貢獻(xiàn)有以下3點(diǎn)。

（1）提出DDoS攻擊惡意行為知識(shí)庫(kù)模型，設(shè)計(jì)5種知識(shí)圖譜的數(shù)據(jù)結(jié)構(gòu)模型，導(dǎo)入結(jié)構(gòu)化數(shù)據(jù)構(gòu)建DDoS攻擊惡意行為知識(shí)庫(kù)。

（2）設(shè)計(jì)知識(shí)圖譜間交互接口，實(shí)現(xiàn)圖譜數(shù)據(jù)傳輸、更新、推理和反饋功能；結(jié)合圖數(shù)據(jù)庫(kù)構(gòu)建知識(shí)圖譜實(shí)現(xiàn)可視化表達(dá)與查詢功能。

（3）基于分布式拒絕服務(wù)開放威脅信號(hào)（DDoS open threat signaling，DOTS）協(xié)議構(gòu)建分布式知識(shí)庫(kù)，實(shí)現(xiàn)知識(shí)庫(kù)間通信，并探討了分布式知識(shí)庫(kù)在惡意流量檢測(cè)與防御方面的應(yīng)用場(chǎng)景。

2 研究現(xiàn)狀

近些年將機(jī)器學(xué)習(xí)運(yùn)用到DDoS攻擊檢測(cè)的研究取得了很多進(jìn)展[6]，相比之下，利用知識(shí)圖譜技術(shù)構(gòu)建知識(shí)庫(kù)檢測(cè)DDoS攻擊以及面向DDoS攻擊的分布式知識(shí)庫(kù)構(gòu)建的研究還處于初級(jí)階段。

在網(wǎng)絡(luò)安全知識(shí)圖譜構(gòu)建方向有很多研究。在網(wǎng)絡(luò)安全本體構(gòu)建方面，文獻(xiàn)[7]闡述了一個(gè)分層次、由許多模塊化子本體組成的網(wǎng)絡(luò)安全本體論，從抽象到具體地分為了上層、中層和領(lǐng)域本體。文章提出了分層的本體框架，但并未具體定義領(lǐng)域本體中的概念。在知識(shí)推理方面，文獻(xiàn)[8]論述了知識(shí)圖譜的3類推理方法：基于規(guī)則的推理、基于分布式表示的推理和基于神經(jīng)網(wǎng)絡(luò)的推理，同時(shí)還探討了知識(shí)圖譜推理的問(wèn)答、查詢和關(guān)聯(lián)分析的應(yīng)用場(chǎng)景。在知識(shí)圖譜可視化方面，文獻(xiàn)[9]闡述了知識(shí)圖譜可視表達(dá)的4種基本方法：空間填充、節(jié)點(diǎn)鏈接圖、熱圖和鄰接矩陣，并從數(shù)據(jù)檢索、圖構(gòu)建、度量計(jì)算、布局和渲染5個(gè)階段說(shuō)明了大規(guī)模知識(shí)圖譜可視化的方法。在DDoS攻擊檢測(cè)方面，文獻(xiàn)[10]將知識(shí)圖譜應(yīng)用在DDoS檢測(cè)中，從網(wǎng)絡(luò)流量中抽取信息構(gòu)成知識(shí)圖譜，利用知識(shí)圖譜描述兩個(gè)主機(jī)之間的交互關(guān)系，然后通過(guò)對(duì)關(guān)系的分析檢測(cè)出DDoS攻擊源。

上述文獻(xiàn)大多構(gòu)建了新的網(wǎng)絡(luò)安全本體和網(wǎng)絡(luò)安全框架，并按照從網(wǎng)絡(luò)安全知識(shí)圖譜子系統(tǒng)到可視化子系統(tǒng)的順序構(gòu)建，缺乏在特定領(lǐng)域的適用性，因此對(duì)DDoS攻擊這種需要對(duì)流量數(shù)據(jù)分析的模型沒(méi)有很好地適配，針對(duì)DDoS攻擊的知識(shí)圖譜和知識(shí)庫(kù)框架需要從流量數(shù)據(jù)開始分析建模。

此外，各種與網(wǎng)絡(luò)安全知識(shí)圖譜相關(guān)的平臺(tái)也逐漸受到網(wǎng)絡(luò)安全人員的關(guān)注。開放網(wǎng)絡(luò)威脅情報(bào)平臺(tái)（open cyber threat intelligence platform，OpenCTI）是一個(gè)開源平臺(tái)，其基于結(jié)構(gòu)化威脅信息表達(dá)（structured threat information expression，STIX）標(biāo)準(zhǔn)和攻擊行為知識(shí)庫(kù)模型（adversarial tactics, techniques, and common knowledge，ATT&CK）框架開發(fā)了網(wǎng)絡(luò)威脅情報(bào)知識(shí)和可觀察量，目的在于構(gòu)造、存儲(chǔ)、組織與可視化有關(guān)網(wǎng)絡(luò)威脅情報(bào)的技術(shù)和非技術(shù)信息；開源威脅情報(bào)共享平臺(tái)（malware information sharing platform，MISP）是一種開源軟件，用于收集、存儲(chǔ)、分發(fā)和共享有關(guān)網(wǎng)絡(luò)安全事件分析和惡意軟件分析的網(wǎng)絡(luò)安全指標(biāo)和威脅。但其數(shù)據(jù)導(dǎo)入受限于STIX2.0標(biāo)準(zhǔn)格式，并且其本體面向較高層的網(wǎng)絡(luò)安全范疇，并未涉及底層的數(shù)據(jù)包數(shù)據(jù)等信息；而圖數(shù)據(jù)庫(kù)Neo4j[11]具有高性能的圖引擎，能夠快速構(gòu)建知識(shí)圖譜，支持多種格式的數(shù)據(jù)導(dǎo)入和導(dǎo)出，是目前知識(shí)庫(kù)圖譜可視化使用最廣泛的平臺(tái)，因此將其作為本文的知識(shí)圖譜構(gòu)建工具。

目前的網(wǎng)絡(luò)安全知識(shí)圖譜和知識(shí)庫(kù)構(gòu)建工作大多集中在單點(diǎn)部署方案，無(wú)法適用大型網(wǎng)絡(luò)結(jié)構(gòu)。而分布式系統(tǒng)因其開放和靈活的體系結(jié)構(gòu)等特點(diǎn)成為了現(xiàn)在網(wǎng)絡(luò)的通用設(shè)計(jì)方案。分布式數(shù)據(jù)庫(kù)擁有強(qiáng)大的可擴(kuò)展性和透明性，能有效地提高數(shù)據(jù)傳輸?shù)男?，同時(shí)緩解單個(gè)數(shù)據(jù)庫(kù)的負(fù)載[12]。分布式數(shù)據(jù)庫(kù)主要性能優(yōu)化在于每個(gè)數(shù)據(jù)庫(kù)可以存儲(chǔ)相對(duì)較少的數(shù)據(jù)，執(zhí)行一部分的任務(wù)，相對(duì)于單個(gè)數(shù)據(jù)庫(kù)能夠減少數(shù)據(jù)查找和讀取時(shí)間，降低數(shù)據(jù)庫(kù)負(fù)荷；但分布式數(shù)據(jù)庫(kù)也存在數(shù)據(jù)庫(kù)之間通信不安全、數(shù)據(jù)傳輸效率低等問(wèn)題，因此，選擇一種合適的安全傳輸協(xié)議是解決數(shù)據(jù)傳輸安全性的關(guān)鍵問(wèn)題。

目前，DDoS檢測(cè)系統(tǒng)存在以下兩點(diǎn)不足。

（1）傳統(tǒng)檢測(cè)方法只針對(duì)一種或幾種DDoS攻擊進(jìn)行檢測(cè)和分類，對(duì)細(xì)分類的DDoS攻擊的檢測(cè)和分類精確率不高；

（2）機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的方法難以感知真實(shí)的網(wǎng)絡(luò)結(jié)構(gòu)與攻擊完整路徑，對(duì)于層出不窮的新型DDoS攻擊的檢測(cè)適配性較差。

針對(duì)以上不足，本文提出分布式DDoS攻擊惡意行為知識(shí)庫(kù)，其構(gòu)建流程如圖1所示?；诩蓪W(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)等算法對(duì)細(xì)分類的DDoS攻擊進(jìn)行特征提取和檢測(cè)，生成存儲(chǔ)檢測(cè)DDoS攻擊結(jié)果的惡意流量檢測(cè)庫(kù)；分析DDoS攻擊的路徑和特征，構(gòu)建行為知識(shí)圖譜攻擊行為庫(kù)，并基于圖算法、聚類算法以及攻擊溯源推理等方法實(shí)現(xiàn)惡意行為感知和分類，構(gòu)建網(wǎng)絡(luò)安全知識(shí)庫(kù)；基于DOTS協(xié)議構(gòu)建分布式知識(shí)庫(kù)，實(shí)現(xiàn)分布式節(jié)點(diǎn)間的知識(shí)更新和交互功能，通過(guò)實(shí)驗(yàn)驗(yàn)證分布式知識(shí)庫(kù)的數(shù)據(jù)傳輸性能和對(duì)DDoS檢測(cè)的能效，并對(duì)知識(shí)庫(kù)應(yīng)用場(chǎng)景進(jìn)行了設(shè)想。

圖1 分布式DDoS攻擊惡意行為知識(shí)庫(kù)構(gòu)建流程

3 知識(shí)庫(kù)構(gòu)建

DDoS攻擊惡意行為知識(shí)庫(kù)結(jié)構(gòu)如圖2所示，由惡意流量檢測(cè)庫(kù)和網(wǎng)絡(luò)安全知識(shí)庫(kù)兩部分組成。惡意流量檢測(cè)庫(kù)用于收集和存儲(chǔ)來(lái)自檢測(cè)模塊的不同種類DDoS攻擊流量數(shù)據(jù)，為網(wǎng)絡(luò)安全知識(shí)庫(kù)提供結(jié)構(gòu)化的數(shù)據(jù)；網(wǎng)絡(luò)安全知識(shí)庫(kù)負(fù)責(zé)收集第三方異構(gòu)數(shù)據(jù)庫(kù)、構(gòu)建網(wǎng)絡(luò)攻擊行為庫(kù)、知識(shí)圖譜推理、知識(shí)庫(kù)反饋等工作[13]。

DDoS攻擊惡意行為知識(shí)庫(kù)基于知識(shí)圖譜構(gòu)建，以三元組的形式構(gòu)建，如式（1）所示。

其中，表示知識(shí)圖譜中實(shí)體的集合，是知識(shí)圖譜存儲(chǔ)對(duì)象的具體表示，共包含i種不同的實(shí)體；表示知識(shí)圖譜中關(guān)系的集合，是知識(shí)圖譜關(guān)聯(lián)對(duì)象的具體表示，共包含j種不同的關(guān)系；表示知識(shí)圖譜中屬性的集合，是知識(shí)圖譜存儲(chǔ)數(shù)據(jù)的具體表示，每種實(shí)體e或關(guān)系p都可能擁有不同的n個(gè)屬性。

3.1 惡意流量檢測(cè)庫(kù)

惡意流量檢測(cè)庫(kù)收集并存儲(chǔ)原型系統(tǒng)中生成的實(shí)驗(yàn)數(shù)據(jù)，包括正常流量、DDoS攻擊惡意流量、真實(shí)標(biāo)簽和預(yù)測(cè)標(biāo)簽，并對(duì)同一流量的數(shù)據(jù)和標(biāo)簽進(jìn)行整合，生成帶有兩種標(biāo)簽的流量數(shù)據(jù)。

惡意流量檢測(cè)庫(kù)以知識(shí)圖譜的形式存儲(chǔ)惡意流量數(shù)據(jù)并構(gòu)建檢測(cè)圖譜，其圖譜三元組構(gòu)成見(jiàn)表1。知識(shí)圖譜主要由實(shí)體、關(guān)系和屬性3部分組成，實(shí)體是最主要的元素，代表數(shù)據(jù)的集合體；屬性包含屬性名稱和屬性值，屬性名稱代表對(duì)象具有的特點(diǎn)和特征，屬性值為對(duì)應(yīng)屬性所指定的值；關(guān)系用于連接兩個(gè)實(shí)體，代表實(shí)體之間的關(guān)聯(lián)性。

表1 惡意流量檢測(cè)圖譜三元組構(gòu)成

首先，經(jīng)過(guò)檢測(cè)模塊的CICFlowMeter流量特征提取工具后生成84個(gè)流特征數(shù)據(jù)，檢測(cè)圖譜創(chuàng)建流量節(jié)點(diǎn)實(shí)體和攻擊類型實(shí)體，將84種流特征作為流量節(jié)點(diǎn)實(shí)體的屬性來(lái)存儲(chǔ)數(shù)據(jù)；然后，構(gòu)建真實(shí)標(biāo)簽和預(yù)測(cè)標(biāo)簽來(lái)連接流量節(jié)點(diǎn)實(shí)體和攻擊類型實(shí)體。其中，真實(shí)標(biāo)簽表示所連接的流量節(jié)點(diǎn)實(shí)體的真實(shí)攻擊類型；預(yù)測(cè)標(biāo)簽表示所連接的流量節(jié)點(diǎn)實(shí)體通過(guò)檢測(cè)模塊檢測(cè)后被標(biāo)記的攻擊類型。惡意流量檢測(cè)知識(shí)圖譜將數(shù)據(jù)存儲(chǔ)為實(shí)體的屬性并構(gòu)建流量數(shù)據(jù)與攻擊類型之間的關(guān)系，用于統(tǒng)計(jì)和計(jì)算檢測(cè)模塊的檢測(cè)精確率，并向檢測(cè)模塊反饋檢測(cè)精確率較低的攻擊類型信息。

3.2 網(wǎng)絡(luò)安全知識(shí)庫(kù)

網(wǎng)絡(luò)安全知識(shí)庫(kù)是DDoS攻擊惡意行為知識(shí)庫(kù)中最為核心的部分，包含了數(shù)據(jù)源處理模塊、惡意行為知識(shí)庫(kù)構(gòu)建模塊、行為推理模塊和行為反饋模塊，負(fù)責(zé)數(shù)據(jù)結(jié)構(gòu)化處理、惡意行為知識(shí)圖譜構(gòu)建、行為推理和反饋的工作。

數(shù)據(jù)處理模塊主要從與網(wǎng)絡(luò)安全相關(guān)的第三方數(shù)據(jù)庫(kù)獲取與DDoS攻擊相關(guān)的信息并整合為統(tǒng)一的結(jié)構(gòu)化數(shù)據(jù)，作為網(wǎng)絡(luò)安全知識(shí)庫(kù)的數(shù)據(jù)補(bǔ)充和信息支持。

行為庫(kù)構(gòu)建模塊基于DDoS攻擊的攻擊路徑、攻擊時(shí)序、攻擊流特征和攻擊行為分別構(gòu)建了實(shí)體行為感知圖、惡意行為溯源圖、惡意行為特征圖和流量行為知識(shí)圖4張知識(shí)圖譜；并定義了圖譜之間的交互接口，實(shí)現(xiàn)數(shù)據(jù)的互通和輸入、輸出。

行為推理模塊利用圖推理算法和攻擊溯源推理算法對(duì)實(shí)體行為感知圖和惡意行為溯源圖進(jìn)行推理，為攻擊主機(jī)溯源和攻擊主機(jī)位置感知提供依據(jù)；利用聚類算法對(duì)不同種類DDoS攻擊的特征進(jìn)行篩選。

行為反饋模塊將4張知識(shí)圖譜輸出信息進(jìn)行反饋，實(shí)體行為感知圖將網(wǎng)絡(luò)環(huán)境中的正常流量和攻擊流量一并反饋給檢測(cè)模塊進(jìn)行DDoS攻擊的檢測(cè)；惡意行為特征圖將篩選過(guò)后的不同種類DDoS攻擊對(duì)應(yīng)的特征反饋給檢測(cè)模塊以提高檢測(cè)精確率；惡意行為溯源圖接受檢測(cè)模塊檢測(cè)的DDoS攻擊信息，對(duì)攻擊進(jìn)行溯源推理；流量行為知識(shí)圖則為整個(gè)知識(shí)庫(kù)提供相應(yīng)的DDoS攻擊緩解措施等信息。

3.3 惡意行為知識(shí)圖譜

如圖3所示，構(gòu)成惡意行為知識(shí)庫(kù)的4張知識(shí)圖譜有不同的功能，承擔(dān)不同的任務(wù)并能夠相互反饋、相互作用。

（1）流量行為知識(shí)圖

該圖主要負(fù)責(zé)惡意行為知識(shí)庫(kù)中第三方知識(shí)的存儲(chǔ)和更新，包含了網(wǎng)絡(luò)安全領(lǐng)域的各類攻擊庫(kù)、漏洞庫(kù)與弱點(diǎn)庫(kù)。將這些庫(kù)中的攻擊、漏洞和弱點(diǎn)統(tǒng)一格式化并相互關(guān)聯(lián)，從而形成流量行為感知圖。將不斷更新和豐富的第三方數(shù)據(jù)庫(kù)作為知識(shí)儲(chǔ)備，流量行為感知圖不僅能為惡意行為知識(shí)庫(kù)提供先驗(yàn)的攻擊和漏洞知識(shí)，還能提供不同攻擊產(chǎn)生的后果影響以及針對(duì)不同攻擊的緩解措施，從而不斷更新和擴(kuò)展惡意行為知識(shí)庫(kù)的知識(shí)，動(dòng)態(tài)適配DDoS攻擊的快速變化。

圖3 惡意行為知識(shí)庫(kù)構(gòu)建

（2）惡意行為特征圖

該圖主要負(fù)責(zé)DDoS攻擊的細(xì)致化分類和特征匹配，并能協(xié)助實(shí)現(xiàn)攻擊類型識(shí)別和攻擊路徑檢測(cè)等功能。該圖包含了5類DDoS攻擊、總計(jì)21種DDoS攻擊類型以及基于CICFlowMeter和統(tǒng)計(jì)方法提取的與21種攻擊類型有較高相關(guān)性的69種流量特征。作為DDoS攻擊類型和特征的映射圖，它能夠直觀地展示不同流量特征的重要性和不同DDoS攻擊類型的特征對(duì)應(yīng)情況，并能通過(guò)特征篩選或中心度算法提取不同DDoS攻擊類型中影響力更大的流量特征，將這些特征反饋給檢測(cè)模塊以調(diào)整DDoS攻擊檢測(cè)策略，協(xié)助檢測(cè)模塊提升檢測(cè)能力。

（3）實(shí)體行為感知圖

該圖用于感知整個(gè)網(wǎng)絡(luò)的拓?fù)洵h(huán)境。海量設(shè)備的接入導(dǎo)致了網(wǎng)絡(luò)拓?fù)涞膹?fù)雜化，也為網(wǎng)絡(luò)攻擊分析提供了更多的信息。該圖存儲(chǔ)了網(wǎng)絡(luò)拓?fù)渲羞B接到接入網(wǎng)關(guān)的各個(gè)主機(jī)的五元組信息。針對(duì)使用廣泛分布主機(jī)發(fā)起的DDoS攻擊，實(shí)體行為感知圖基于檢測(cè)模塊的反饋能夠快速定位攻擊主機(jī)的位置和該攻擊發(fā)起的方式、路徑等信息，從而指導(dǎo)惡意行為溯源等功能。

（4）惡意行為溯源圖

該圖主要負(fù)責(zé)攻擊的溯源工作。基于前3張圖譜中的反饋和檢測(cè)模塊的流量信息對(duì)攻擊進(jìn)行溯源，該圖譜能夠發(fā)掘攻擊的完整路徑以及攻擊所使用的惡意操作和漏洞等信息。該圖譜包含了攻擊發(fā)起到結(jié)束時(shí)間段中攻擊主機(jī)和被攻擊主機(jī)的五元組信息和使用的攻擊類型等信息，使用這些信息模擬一次攻擊的全過(guò)程，然后對(duì)輸入的流量進(jìn)行檢測(cè)，從而識(shí)別攻擊并溯源到攻擊發(fā)起的主機(jī)。通過(guò)檢測(cè)攻擊發(fā)起到結(jié)束的完整路徑，能夠指導(dǎo)攻擊防御軟件對(duì)攻擊路徑中的薄弱環(huán)節(jié)進(jìn)行針對(duì)性打擊并采取相應(yīng)的緩解措施降低后續(xù)的惡意流量強(qiáng)度。

上述4張知識(shí)圖譜都設(shè)計(jì)了專門的數(shù)據(jù)導(dǎo)入和導(dǎo)出接口實(shí)現(xiàn)圖譜間的數(shù)據(jù)交互。數(shù)據(jù)導(dǎo)入接口基于本知識(shí)圖譜特定的數(shù)據(jù)模型構(gòu)建導(dǎo)入規(guī)則，將導(dǎo)入數(shù)據(jù)處理為結(jié)構(gòu)化數(shù)據(jù)，使得導(dǎo)入的數(shù)據(jù)能正確地匹配知識(shí)圖譜的數(shù)據(jù)模型；數(shù)據(jù)導(dǎo)出接口基于本知識(shí)圖譜功能以及其他知識(shí)圖譜所需信息構(gòu)建導(dǎo)出模型，與其他知識(shí)圖譜的數(shù)據(jù)導(dǎo)入接口對(duì)接，進(jìn)而實(shí)現(xiàn)知識(shí)圖譜數(shù)據(jù)交互。

惡意行為知識(shí)庫(kù)的主體為上述4張知識(shí)圖譜及其接口構(gòu)成的惡意行為知識(shí)圖譜。在數(shù)據(jù)層面上，4張圖譜包含了各自定義的數(shù)據(jù)結(jié)構(gòu)以及基于數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)的結(jié)構(gòu)化流量數(shù)據(jù)；在知識(shí)層面上，4張圖譜包含了DDoS攻擊在時(shí)間維度、空間維度和特征維度的多元信息。因此，基于上述知識(shí)圖譜構(gòu)建的DDoS攻擊惡意行為知識(shí)庫(kù)能夠?qū)DoS攻擊進(jìn)行全面的描述，進(jìn)而防御和緩解DDoS攻擊產(chǎn)生的惡意流量。

3.3.1 流量行為知識(shí)圖

該圖譜基于惡意行為本體收集各類知識(shí)庫(kù)信息（ATT&CK、CAPEC、CNNVD、CWE等）作為惡意行為基礎(chǔ)知識(shí)的補(bǔ)充。其圖譜的三元組構(gòu)成見(jiàn)表2。

表2 流量行為知識(shí)圖譜三元組構(gòu)成

流量行為知識(shí)圖主要是第三方數(shù)據(jù)庫(kù)中的知識(shí)數(shù)據(jù)，包含各類攻擊庫(kù)，如ATT&CK、CAPEC以及各類枚舉庫(kù)，如CWE、CVE、國(guó)家信息安全漏洞庫(kù)（china national vulnerability database of information security，CNNVD）等。這些知識(shí)庫(kù)的構(gòu)建依賴專家經(jīng)驗(yàn)、威脅情報(bào)的收集、驗(yàn)證，所抽象的概念和關(guān)系是通用的建?；A(chǔ)。

流量行為知識(shí)圖的構(gòu)建能夠提供特定環(huán)境和場(chǎng)景（如DDoS攻擊）下惡意行為的關(guān)聯(lián)知識(shí)，評(píng)估惡意行為的影響范圍和深度，對(duì)這些惡意行為做出預(yù)警，并給出相應(yīng)的緩解措施。這些第三方數(shù)據(jù)庫(kù)中也包含了很多相互關(guān)聯(lián)的信息，通過(guò)將第三方數(shù)據(jù)庫(kù)的知識(shí)數(shù)據(jù)抽取，導(dǎo)入數(shù)據(jù)庫(kù)中并構(gòu)建知識(shí)圖譜，并通過(guò)關(guān)系推理的方式對(duì)知識(shí)圖進(jìn)行擴(kuò)展，從而構(gòu)建成一個(gè)包含各種關(guān)聯(lián)的攻擊、漏洞的知識(shí)圖譜。

流量行為知識(shí)圖的數(shù)據(jù)導(dǎo)入接口從第三方數(shù)據(jù)庫(kù)獲取數(shù)據(jù)并修改數(shù)據(jù)結(jié)構(gòu)以滿足該圖譜的導(dǎo)入規(guī)則；數(shù)據(jù)導(dǎo)出接口根據(jù)查詢對(duì)象輸出對(duì)應(yīng)的攻擊、漏洞和弱點(diǎn)等信息。

3.3.2 惡意行為特征圖

該圖譜基于DDoS攻擊和惡意行為，通過(guò)流量特征提取工具CICFlowMeter轉(zhuǎn)換成的數(shù)據(jù)特征集，基于閾值或統(tǒng)計(jì)方法歸納影響各類攻擊的重要特征并存儲(chǔ)，是攻擊類型識(shí)別與攻擊路徑檢測(cè)的重要依據(jù)。其圖譜的三元組構(gòu)成見(jiàn)表3。

表3 惡意行為特征圖譜三元組構(gòu)成

惡意行為特征圖采用分級(jí)的方案將DDoS攻擊類型細(xì)分成五大類，總計(jì)21種DDoS攻擊類型，并通過(guò)統(tǒng)計(jì)方法確定DDoS攻擊與流量特征的對(duì)應(yīng)關(guān)系，從而建立惡意行為特征圖。一方面展示了每種攻擊與具體流量特征種類之間存在關(guān)聯(lián)，另一方面體現(xiàn)了多種攻擊類型受一種流量特征的影響，簡(jiǎn)化了流量特征的處理難度。此外，以ID為索引，在流量特征實(shí)體中存儲(chǔ)了每條流量的具體特征值，以用于基于特征的攻擊檢測(cè)等方案。

惡意行為特征圖的主要作用是統(tǒng)計(jì)21種DDoS攻擊類型所對(duì)應(yīng)的流量特征，這些對(duì)應(yīng)關(guān)系來(lái)自于惡意流量檢測(cè)庫(kù)，是使用機(jī)器學(xué)習(xí)閾值和多分類方法的結(jié)果。將這些對(duì)應(yīng)關(guān)系作為先驗(yàn)知識(shí)，運(yùn)用統(tǒng)計(jì)方法檢測(cè)未標(biāo)簽流量的攻擊類型。惡意行為特征圖是知識(shí)庫(kù)對(duì)DDoS攻擊惡意流量識(shí)別、歸類、響應(yīng)和溯源的前提，應(yīng)用已知的行為特征對(duì)輸入流量進(jìn)行檢測(cè)識(shí)別，并調(diào)用流量行為知識(shí)圖中的攻擊和漏洞等信息，對(duì)檢測(cè)出的DDoS攻擊類型給出相應(yīng)的緩解措施。檢測(cè)結(jié)果也能作為惡意行為溯源圖的推理依據(jù)，用于攻擊路徑的提取等。

惡意行為特征圖與檢測(cè)模塊直接相連，其數(shù)據(jù)導(dǎo)入接口用于導(dǎo)入DDoS攻擊類型與流量特征的對(duì)應(yīng)關(guān)系；數(shù)據(jù)導(dǎo)出接口用于導(dǎo)出圖算法更新后的對(duì)應(yīng)關(guān)系。

3.3.3 惡意行為溯源圖

該圖譜以知識(shí)圖譜的形式記錄一次攻擊發(fā)起到結(jié)束的過(guò)程，包含了攻擊者主機(jī)、被攻擊者主機(jī)、攻擊方式以及時(shí)間戳等實(shí)體。其圖譜的三元組構(gòu)成見(jiàn)表4。

表4 惡意行為溯源圖譜三元組構(gòu)成

惡意行為溯源圖主要作用是對(duì)引起惡意流量的攻擊行為進(jìn)行追溯，追蹤攻擊數(shù)據(jù)的來(lái)源，定位攻擊者。惡意行為溯源圖中的IP地址、端口號(hào)、傳輸協(xié)議類型和時(shí)間段等信息作為溯源的樣本可以用來(lái)分析、挖掘攻擊源頭。惡意行為特征圖所提供的不同DDoS攻擊的流量特征和惡意流量檢測(cè)庫(kù)所提供的第三方知識(shí)數(shù)據(jù)也能作為惡意行為溯源圖的樣本，分析DDoS攻擊鏈利用的惡意操作和漏洞，從而更好地指導(dǎo)溯源圖進(jìn)行攻擊行為的溯源。

惡意行為溯源圖的數(shù)據(jù)導(dǎo)入接口基于其他圖譜提供的攻擊方和被攻擊方具體信息，構(gòu)建攻擊時(shí)序圖作為知識(shí)信息；數(shù)據(jù)導(dǎo)出接口根據(jù)需求選擇性導(dǎo)出攻擊方或被攻擊方的五元組信息。

3.3.4 實(shí)體行為感知圖

該圖譜基于實(shí)驗(yàn)系統(tǒng)的拓?fù)洵h(huán)境構(gòu)建，收集所有流經(jīng)部署了行為知識(shí)庫(kù)的接入路由器的流量信息，提取實(shí)時(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并存儲(chǔ)。其圖譜的三元組構(gòu)成見(jiàn)表5。

表5 實(shí)體行為感知圖譜三元組構(gòu)成

實(shí)體行為感知圖記錄與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)的信息，并對(duì)拓?fù)洵h(huán)境中的設(shè)備和用戶添加多種屬性和屬性值來(lái)對(duì)設(shè)備和用戶進(jìn)行管理，進(jìn)而控制設(shè)備和用戶的接入。在收集到足夠信息之后，實(shí)體行為感知圖能夠發(fā)掘攻擊者使用設(shè)備的信息，并將攻擊信息輸出，進(jìn)行DDoS攻擊檢測(cè)。

實(shí)體行為感知圖的數(shù)據(jù)導(dǎo)入接口導(dǎo)入的數(shù)據(jù)為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)中用戶和設(shè)備的屬性；數(shù)據(jù)導(dǎo)出接口根據(jù)特定需求導(dǎo)出攻擊者設(shè)備的屬性信息。

3.4 知識(shí)庫(kù)分布式構(gòu)建方法

分布式拒絕服務(wù)開放威脅信號(hào)（DOTS）是用來(lái)承載有關(guān)受到DDoS攻擊的網(wǎng)絡(luò)資源或網(wǎng)絡(luò)信息的協(xié)議。這些信息由多個(gè)DOTS客戶端發(fā)送到一個(gè)或者多個(gè)DOTS服務(wù)器，對(duì)被識(shí)別為惡意流量的網(wǎng)絡(luò)行為給出一個(gè)相應(yīng)的緩解措施，因此作為分布式知識(shí)庫(kù)間的安全傳輸協(xié)議。

DOTS本體由服務(wù)器、客戶端和客戶端控制器3部分組成，服務(wù)器包含緩解措施數(shù)據(jù)庫(kù)和數(shù)據(jù)收發(fā)模塊，負(fù)責(zé)處理客戶端請(qǐng)求并提供相應(yīng)的緩解措施；客戶端包含數(shù)據(jù)收、發(fā)模塊，向服務(wù)器發(fā)送不同的請(qǐng)求；客戶端控制器主要負(fù)責(zé)請(qǐng)求內(nèi)容的編譯，如請(qǐng)求保護(hù)的地址段，請(qǐng)求目標(biāo)服務(wù)器的地址等內(nèi)容。DOTS擁有信令和數(shù)據(jù)兩種傳輸數(shù)據(jù)的信道，信令信道用于請(qǐng)求保護(hù)信息的傳輸，為DOTS客戶端向服務(wù)器發(fā)送請(qǐng)求以及服務(wù)器相應(yīng)請(qǐng)求時(shí)使用的信道；數(shù)據(jù)信道傳遞知識(shí)庫(kù)數(shù)據(jù)和配置信息，是客戶端發(fā)送知識(shí)庫(kù)配置更新命令以及知識(shí)庫(kù)之間數(shù)據(jù)交互時(shí)使用的信道。

基于DOTS構(gòu)建的分布式知識(shí)庫(kù)架構(gòu)如圖4所示，DOTS客戶端控制器為主要控制部分，DOTS客戶端為主要請(qǐng)求發(fā)送部分，DOTS服務(wù)器為反饋提供部分并連接知識(shí)庫(kù)?；趛ang-data和json文件格式構(gòu)建知識(shí)庫(kù)數(shù)據(jù)傳輸模型，作為DOTS數(shù)據(jù)信道的標(biāo)準(zhǔn)數(shù)據(jù)傳輸格式，客戶端傳輸知識(shí)庫(kù)配置更新文件到服務(wù)器端，服務(wù)器解析配置更新文件并對(duì)知識(shí)庫(kù)進(jìn)行知識(shí)更新以及數(shù)據(jù)傳輸?shù)炔僮鳌?/p>

圖4 基于DOTS構(gòu)建的分布式知識(shí)庫(kù)架構(gòu)

4 實(shí)驗(yàn)結(jié)果

本節(jié)進(jìn)行了分布式DDoS攻擊惡意行為知識(shí)庫(kù)構(gòu)建的實(shí)驗(yàn)，使用Neo4j圖形數(shù)據(jù)庫(kù)作為知識(shí)圖譜構(gòu)建工具和可視化工具，通過(guò)編寫Cypher語(yǔ)句將知識(shí)信息插入知識(shí)圖譜中；基于DOTS協(xié)議構(gòu)建分布式知識(shí)庫(kù)，進(jìn)行知識(shí)庫(kù)之間數(shù)據(jù)交互實(shí)驗(yàn)；探討分布式知識(shí)庫(kù)在DDoS攻擊檢測(cè)方面的應(yīng)用場(chǎng)景。實(shí)驗(yàn)環(huán)境部署在ESXi配置的集群中，軟件環(huán)境為Ubuntu18.04。

4.1 知識(shí)圖譜構(gòu)建

知識(shí)圖譜構(gòu)建實(shí)驗(yàn)主要對(duì)惡意流量檢測(cè)知識(shí)圖譜和網(wǎng)絡(luò)安全知識(shí)庫(kù)中的4張知識(shí)圖譜進(jìn)行構(gòu)建，編寫基于Cypher語(yǔ)言的代碼構(gòu)建知識(shí)圖譜的數(shù)據(jù)模型，導(dǎo)入部分?jǐn)?shù)據(jù)構(gòu)建知識(shí)圖譜可視化節(jié)點(diǎn)和關(guān)系進(jìn)行展示。

基于Neo4j圖形數(shù)據(jù)庫(kù)構(gòu)建的知識(shí)圖譜將數(shù)據(jù)模型進(jìn)行可視化，以節(jié)點(diǎn)鏈接圖的形式展示數(shù)據(jù)的結(jié)構(gòu)和鏈接關(guān)系。Neo4j包含的搜索引擎能根據(jù)需求針對(duì)性地查詢相關(guān)數(shù)據(jù)并對(duì)選中的數(shù)據(jù)實(shí)體進(jìn)行擴(kuò)展，從而顯示出所有關(guān)聯(lián)數(shù)據(jù)。

基于Neo4j Cypher API和JAVA開發(fā)語(yǔ)言編寫知識(shí)圖譜數(shù)據(jù)導(dǎo)入接口和數(shù)據(jù)導(dǎo)出接口的腳本文件，實(shí)現(xiàn)知識(shí)圖譜間的關(guān)鍵數(shù)據(jù)交互與關(guān)聯(lián)查詢。實(shí)驗(yàn)結(jié)果表明知識(shí)圖譜能夠正常進(jìn)行數(shù)據(jù)導(dǎo)入和數(shù)據(jù)導(dǎo)出。

惡意流量檢測(cè)圖如圖5所示，該圖譜包含以下3部分的內(nèi)容。

（1）DDoS攻擊流量節(jié)點(diǎn)

圖5中顯示為深灰色節(jié)點(diǎn)，每一個(gè)深灰色節(jié)點(diǎn)表示從檢測(cè)模塊中收集到的一條流信息，節(jié)點(diǎn)的屬性包括CICFlowMeter輸出的84種流特征、多分類器輸出的預(yù)測(cè)該流量攻擊類型的標(biāo)簽Pre_label和表示該流量真實(shí)攻擊類型的標(biāo)簽Real_label。

（2）攻擊類型節(jié)點(diǎn)和正常流量節(jié)點(diǎn)

圖5中顯示為淺灰色的攻擊類型節(jié)點(diǎn)和白色的正常流量節(jié)點(diǎn)，這兩種節(jié)點(diǎn)包含了檢測(cè)模塊檢測(cè)出的19種細(xì)分類的DDoS攻擊類型和1種正常流量類型。這兩種節(jié)點(diǎn)用來(lái)給深灰色的攻擊流量節(jié)點(diǎn)分類。

（3）真實(shí)標(biāo)簽關(guān)系和預(yù)測(cè)標(biāo)簽關(guān)系

真實(shí)標(biāo)簽關(guān)系在圖5中表示為real線，預(yù)測(cè)標(biāo)簽關(guān)系在圖5中表示為predict線。這兩種關(guān)系均由深灰色的DDoS攻擊流節(jié)點(diǎn)指向淺灰色的攻擊類型節(jié)點(diǎn)或白色的正常流量節(jié)點(diǎn)，用來(lái)指示存儲(chǔ)的DDoS攻擊流節(jié)點(diǎn)的預(yù)測(cè)類型和真實(shí)類型。惡意流量檢測(cè)圖的可視化顯示能快速查詢不同DDoS攻擊類型在檢測(cè)精確率和誤判傾向上的信息。

圖5 惡意流量檢測(cè)圖

流量行為知識(shí)圖如圖6所示，淺灰色節(jié)點(diǎn)表示CAPEC攻擊類型，深灰色節(jié)點(diǎn)表示CWE弱點(diǎn)類型，并通過(guò)Related_weakness的關(guān)系鏈接在一起；每個(gè)實(shí)體都包含了名稱、ID、描述、造成危害、緩解措施5種屬性和屬性值。在保留原有相關(guān)關(guān)系的基礎(chǔ)上，基于攻擊節(jié)點(diǎn)描述中關(guān)聯(lián)的弱點(diǎn)名稱創(chuàng)建關(guān)系來(lái)連接攻擊節(jié)點(diǎn)和弱點(diǎn)節(jié)點(diǎn)，構(gòu)建起攻擊和弱點(diǎn)關(guān)聯(lián)的知識(shí)圖譜。在查詢攻擊和弱點(diǎn)時(shí)，都能關(guān)聯(lián)查詢到所有的連接關(guān)系。

惡意行為特征圖存儲(chǔ)了檢測(cè)的21種DDoS攻擊以及69種流量特征，以及實(shí)體之間的關(guān)系，如圖7所示。圖7中白色節(jié)點(diǎn)表示DDoS攻擊，黑色節(jié)點(diǎn)表示DDoS攻擊的5類攻擊種類，淺灰色節(jié)點(diǎn)表示5類攻擊種類各自包含的攻擊方式總計(jì)21種，深灰色節(jié)點(diǎn)表示與攻擊方式對(duì)應(yīng)的重要流量特征。

惡意行為溯源圖如圖8所示，包含4種實(shí)體類型，分別為惡意節(jié)點(diǎn)、被攻擊節(jié)點(diǎn)、惡意攻擊類型以及時(shí)間段。惡意源節(jié)點(diǎn)包含其IP地址以及源端口號(hào)，它既指向惡意攻擊類型，又指向被攻擊節(jié)點(diǎn)，其關(guān)系屬性中定義了傳輸協(xié)議的類型；被攻擊節(jié)點(diǎn)同樣包含其IP地址及其端口號(hào)。此外，所有主機(jī)節(jié)點(diǎn)均通過(guò)指向?qū)?yīng)時(shí)間段，以便梳理攻擊與時(shí)間的關(guān)系，展示攻擊隨時(shí)間的變化規(guī)律。

圖6 流量行為知識(shí)圖

圖7 惡意行為特征圖

圖8中深灰色節(jié)點(diǎn)表示攻擊節(jié)點(diǎn)，白色節(jié)點(diǎn)表示被攻擊節(jié)點(diǎn)，黑色節(jié)點(diǎn)表示深灰色攻擊節(jié)點(diǎn)所使用的攻擊方式，兩個(gè)淺灰色節(jié)點(diǎn)分別表示攻擊開始時(shí)間和攻擊結(jié)束時(shí)間。整幅圖描繪了攻擊開始時(shí)間點(diǎn)，所用攻擊節(jié)點(diǎn)調(diào)用ACK Flooding攻擊方式對(duì)被攻擊節(jié)點(diǎn)發(fā)起攻擊，最后結(jié)束攻擊的全過(guò)程。

圖8 惡意行為溯源圖

4.2 數(shù)據(jù)收集與導(dǎo)入

知識(shí)庫(kù)有兩部分?jǐn)?shù)據(jù)來(lái)源，一部分是基于系統(tǒng)生成攻擊流量和正常流量，另一部分是第三方網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)導(dǎo)入的信息。

原型系統(tǒng)基于區(qū)塊鏈技術(shù)構(gòu)建了5G海量設(shè)備接入的場(chǎng)景[14]并收集了這些模擬設(shè)備發(fā)送的攻擊流量數(shù)據(jù)和正常流量數(shù)據(jù)，共計(jì)327萬(wàn)條數(shù)據(jù)。其中攻擊流量數(shù)據(jù)由僵尸網(wǎng)絡(luò)、反射放大DDoS、慢速DDoS、應(yīng)用層DDoS和網(wǎng)絡(luò)層DDoS攻擊共同組成并存入知識(shí)庫(kù)中，惡意流量檢測(cè)庫(kù)不同類型流量及其比例見(jiàn)表6。

表6 惡意流量檢測(cè)庫(kù)不同類型流量及其比例

知識(shí)庫(kù)導(dǎo)入第三方網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)共計(jì)3個(gè)：CNNVD漏洞庫(kù)、CAPEC攻擊庫(kù)、CWE弱點(diǎn)庫(kù)。對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行結(jié)構(gòu)化并添加關(guān)聯(lián)關(guān)系后導(dǎo)入知識(shí)庫(kù)中，導(dǎo)入數(shù)據(jù)庫(kù)類型及其數(shù)據(jù)量見(jiàn)表7。

表7 第三方數(shù)據(jù)庫(kù)類型及其數(shù)據(jù)量

數(shù)據(jù)收集完成后，基于不同的數(shù)據(jù)需求與數(shù)據(jù)模型，通過(guò)數(shù)據(jù)導(dǎo)入接口導(dǎo)入結(jié)構(gòu)化數(shù)據(jù)，構(gòu)成完整的DDoS攻擊惡意行為知識(shí)并實(shí)現(xiàn)可視化輸出。

4.3 分布式知識(shí)庫(kù)構(gòu)造

本節(jié)對(duì)基于DOTS協(xié)議構(gòu)造的分布式知識(shí)庫(kù)進(jìn)行性能測(cè)試。分布式知識(shí)庫(kù)的實(shí)驗(yàn)拓?fù)淙鐖D9所示。在1臺(tái)物理服務(wù)器上搭建8臺(tái)虛擬機(jī)，并在每臺(tái)主機(jī)上安裝適配知識(shí)庫(kù)傳輸?shù)腄OTS協(xié)議。其中，3臺(tái)主機(jī)啟動(dòng)DOTS服務(wù)器并搭載網(wǎng)絡(luò)安全知識(shí)庫(kù)作為服務(wù)器的后臺(tái)數(shù)據(jù)庫(kù)，3臺(tái)主機(jī)啟動(dòng)DOTS客戶端和客戶端控制器并搭載惡意流量檢測(cè)庫(kù)用于檢測(cè)DDoS攻擊，2臺(tái)主機(jī)啟動(dòng)DOTS的GOBGP路由器作為被攻擊地址段和正常地址段的網(wǎng)關(guān)路由器。

圖9 分布式知識(shí)庫(kù)實(shí)驗(yàn)拓?fù)?/p>

實(shí)驗(yàn)一首先驗(yàn)證DDoS攻擊惡意行為知識(shí)庫(kù)的惡意流量檢測(cè)性能。正常流量①和惡意流量②首先流經(jīng)DOTS客戶端主機(jī)所在域的接入網(wǎng)關(guān)，客戶端主機(jī)調(diào)用惡意流量檢測(cè)庫(kù)對(duì)輸入流量進(jìn)行檢測(cè)，檢測(cè)為正常流量的數(shù)據(jù)正常轉(zhuǎn)發(fā)，檢測(cè)為惡意流量的數(shù)據(jù)則解析其攻擊的目的地址段，客戶端主機(jī)通過(guò)DOTS信令信道向服務(wù)器發(fā)送保護(hù)請(qǐng)求③，并將惡意流量導(dǎo)向DOTS服務(wù)器。DOTS服務(wù)器接收并處理客戶端發(fā)送的請(qǐng)求，通過(guò)數(shù)據(jù)信道將惡意流量解析后的相關(guān)信息傳輸?shù)骄W(wǎng)絡(luò)安全知識(shí)庫(kù)中并根據(jù)惡意流量的攻擊類型向被攻擊地址段的DOTS路由器發(fā)送緩解措施④，以指導(dǎo)DOTS路由器進(jìn)行DDoS攻擊防御。

調(diào)用惡意流量檢測(cè)庫(kù)選用檢測(cè)率高的檢測(cè)模塊對(duì)原型系統(tǒng)在1 h內(nèi)生成的正常流量和3種DDoS攻擊流量進(jìn)行檢測(cè)并存儲(chǔ)結(jié)果，檢測(cè)結(jié)果見(jiàn)表8。

表8 惡意流量檢測(cè)結(jié)果

僵尸網(wǎng)絡(luò)攻擊與正常流量的相似程度較高，因此在檢測(cè)時(shí)誤判為正常流量的次數(shù)較多，其檢測(cè)精確率為92%，其他流量類型的檢測(cè)精確率均在95%及以上。其中，檢測(cè)為惡意DDoS攻擊的流量目的地址被更改為黑洞路由以實(shí)現(xiàn)攻擊緩解。

實(shí)驗(yàn)二驗(yàn)證了分布式知識(shí)庫(kù)的知識(shí)數(shù)據(jù)更新效率。如圖10所示，在1 h內(nèi)對(duì)單個(gè)知識(shí)庫(kù)節(jié)點(diǎn)提交了4次數(shù)據(jù)更新請(qǐng)求，柱狀圖為每次更新后的知識(shí)庫(kù)數(shù)據(jù)總量，折線圖為DOTS客戶端發(fā)送知識(shí)更新請(qǐng)求命令到知識(shí)庫(kù)更新完成所消耗的時(shí)間。Neo4j數(shù)據(jù)庫(kù)會(huì)對(duì)導(dǎo)入的數(shù)據(jù)添加唯一性約束，更新耗時(shí)會(huì)隨著知識(shí)庫(kù)已有數(shù)據(jù)量的增加而增加，因此圖10中更新耗時(shí)隨著更新次數(shù)而增加。

圖10 分布式知識(shí)庫(kù)知識(shí)數(shù)據(jù)更新

圖11以實(shí)體行為感知圖為例展示了分布式知識(shí)庫(kù)更新前后知識(shí)圖譜可視化圖形的變化。更新前的知識(shí)圖譜僅包含實(shí)體行為感知圖的數(shù)據(jù)實(shí)體結(jié)構(gòu)和屬性，在一次更新之后，新導(dǎo)入的實(shí)體節(jié)點(diǎn)根據(jù)屬性匹配自動(dòng)與已有實(shí)體相互關(guān)聯(lián)，形成包含更多實(shí)體和關(guān)系的新實(shí)體行為感知圖。

圖11 分布式知識(shí)庫(kù)數(shù)據(jù)更新可視化

實(shí)驗(yàn)結(jié)果表明，對(duì)于信令信道，DOTS服務(wù)器能夠正確響應(yīng)DOTS客戶端的請(qǐng)求并對(duì)申請(qǐng)保護(hù)的地址段執(zhí)行惡意流量緩解措施；對(duì)于數(shù)據(jù)信道，DOTS服務(wù)器能接受DOTS客戶端自定義的數(shù)據(jù)模型，提取傳輸文件中的知識(shí)庫(kù)更新資源，并對(duì)分布式知識(shí)庫(kù)進(jìn)行知識(shí)更新操作。

實(shí)驗(yàn)三驗(yàn)證了知識(shí)庫(kù)檢測(cè)DDoS攻擊的能效。利用知識(shí)庫(kù)對(duì)DDoS攻擊流量進(jìn)行在線檢測(cè)，在一定時(shí)間內(nèi)收集網(wǎng)絡(luò)入口處的流量，然后輸入到知識(shí)庫(kù)進(jìn)行檢測(cè)。對(duì)僵尸網(wǎng)絡(luò)、反射放大DDoS、應(yīng)用層DDoS和慢速DDoS攻擊進(jìn)行在線檢測(cè)，分析檢測(cè)精確率、召回率和識(shí)別攻擊的響應(yīng)時(shí)間，其結(jié)果見(jiàn)表9。

表9 知識(shí)庫(kù)在線檢測(cè)與響應(yīng)時(shí)間結(jié)果

實(shí)驗(yàn)結(jié)果表明除僵尸網(wǎng)絡(luò)外，知識(shí)庫(kù)對(duì)其他3種DDoS攻擊在線檢測(cè)的精確率和召回率參數(shù)均在90%以上，且對(duì)攻擊的響應(yīng)時(shí)間少于2 min。僵尸網(wǎng)絡(luò)攻擊與正常流量特征較為相似，導(dǎo)致知識(shí)庫(kù)對(duì)僵尸網(wǎng)絡(luò)攻擊存在較多的誤判，使得僵尸網(wǎng)絡(luò)攻擊在線檢測(cè)參數(shù)比其他DDoS攻擊略低。

4.4 知識(shí)庫(kù)應(yīng)用場(chǎng)景

分布式DDoS攻擊惡意行為知識(shí)庫(kù)除了具有惡意流量檢測(cè)與知識(shí)更新功能，還能夠在查詢展示、推理反饋等多種應(yīng)用場(chǎng)景中發(fā)揮作用。

在查詢展示和關(guān)聯(lián)分析的應(yīng)用場(chǎng)景中，知識(shí)庫(kù)能對(duì)查詢對(duì)象進(jìn)行可視化展示，并提供查詢對(duì)象的關(guān)聯(lián)實(shí)體和關(guān)系。以惡意流量檢測(cè)圖為例，能夠關(guān)聯(lián)到應(yīng)用層DDoS攻擊流量的84種特征屬性、屬性值及目前檢測(cè)模塊的精確率和誤判傾向等信息；以惡意行為特征圖為例，當(dāng)查詢到應(yīng)用層DDoS攻擊時(shí)，能夠關(guān)聯(lián)到其3種攻擊方式及與這3種攻擊方式相關(guān)性較高的流量特征；以惡意行為溯源圖為例，能夠查詢并關(guān)聯(lián)到應(yīng)用層DDoS攻擊時(shí)序圖等攻擊過(guò)程信息。隨著分布式DDoS攻擊惡意行為知識(shí)庫(kù)的不斷更新，在DDoS攻擊查詢展示和關(guān)聯(lián)分析的應(yīng)用場(chǎng)景中能基于最新的數(shù)據(jù)和模型給出查詢和分析的結(jié)果以及與之關(guān)聯(lián)的其他信息。

在推理反饋的應(yīng)用場(chǎng)景中，知識(shí)庫(kù)能基于先驗(yàn)知識(shí)推理出新的實(shí)體或關(guān)系信息。以惡意行為特征圖為例，基于圖算法或聚類算法推理出最具影響力的特征并反饋給檢測(cè)模塊，指導(dǎo)檢測(cè)模型修改以提升檢測(cè)能力。隨著知識(shí)庫(kù)不斷積累檢測(cè)模塊反饋的特征知識(shí)，能夠進(jìn)一步優(yōu)化特征推理和反饋過(guò)程，以應(yīng)對(duì)5G網(wǎng)絡(luò)中不斷提升的DDoS攻擊威脅。

5 結(jié)束語(yǔ)

本文提出了一種分布式DDoS攻擊惡意行為知識(shí)庫(kù)構(gòu)建方案，首先，基于知識(shí)圖譜構(gòu)建了惡意流量檢測(cè)庫(kù)和網(wǎng)絡(luò)安全知識(shí)庫(kù)中的知識(shí)圖譜來(lái)全面描繪DDoS攻擊；然后，在原型系統(tǒng)中收集DDoS攻擊正常、異常流量及第三方網(wǎng)絡(luò)安全知識(shí)庫(kù)中攻擊、漏洞和弱點(diǎn)信息，基于預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)導(dǎo)入知識(shí)庫(kù)中，構(gòu)建DDoS攻擊惡意行為知識(shí)庫(kù)；最后，基于DOTS協(xié)議構(gòu)建了分布式知識(shí)庫(kù)，實(shí)現(xiàn)知識(shí)庫(kù)之間的數(shù)據(jù)傳輸。通過(guò)實(shí)驗(yàn)，驗(yàn)證了DDoS攻擊惡意行為知識(shí)庫(kù)在數(shù)據(jù)傳輸、指導(dǎo)檢測(cè)DDoS攻擊、緩解惡意流量方面的性能，彌補(bǔ)了傳統(tǒng)DDoS攻擊檢測(cè)方法與知識(shí)庫(kù)構(gòu)建的劣勢(shì)，同時(shí)探討了分布式DDoS攻擊惡意行為知識(shí)庫(kù)的各類應(yīng)用場(chǎng)景。下一步將在優(yōu)化知識(shí)庫(kù)數(shù)據(jù)傳輸性能、完善知識(shí)庫(kù)服務(wù)安全檢測(cè)機(jī)制和實(shí)現(xiàn)知識(shí)庫(kù)智能化網(wǎng)絡(luò)控制方面進(jìn)行研究。

[1] BONGUET A, BELLAICHE M. A survey of denial-of-service and distributed denial of service attacks and defenses in cloud computing[J]. Future Internet, 2017, 9(3): 43.

[2] ARSHI M, NASREEN M D, MADHAVI K. A survey of DDOS attacks using machine learning techniques[J]. E3S Web of Conferences, 2020(184): 01052.

[3] XIE X, LI J P, HU X Y, et al. High performance DDoS attack detection system based on distribution statistics[M]//Lecture Notes in Computer Science. Cham: Springer International Publishing, 2019: 132-142.

[4] 董聰, 姜波, 盧志剛, 等. 面向網(wǎng)絡(luò)空間安全情報(bào)的知識(shí)圖譜綜述[J]. 信息安全學(xué)報(bào), 2020(5): 56-76.

DONG C, JIANG B, LU Z G, et al. Knowledge graph for cyberspace security intelligence: a survey[J]. Journal of Cyber Security, 2020(5): 56-76.

[5] MITRE. Common attack pattern enumeration and classification[EB]. 2009.

[6] BERMAN D, BUCZAK A, CHAVIS J, et al. A survey of deep learning methods for cyber security[J]. Information, 2019, 10(4): 122.

[7] OBRST L, CHASE P, MARKELOFF R. Developing an ontology of the cyber security domain[C]//STIDS. [S.l.:s.n.], 2012: 49-56.

[8] CHEN X J, JIA S B, XIANG Y. A review: knowledge reasoning over knowledge graph[J]. Expert Systems With Applications, 2020(141): 112948.

[9] 王勇超, 羅勝文, 楊英寶, 等. 知識(shí)圖譜可視化綜述[J]. 計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào), 2019, 31(10): 1666-1676.

WANG Y C, LUO S W, YANG Y B, et al. A survey on knowledge graph visualization[J]. Journal of Computer-Aided Design & Computer Graphics, 2019, 31(10): 1666-1676.

[10] 陳佳. 基于知識(shí)圖譜的DDoS攻擊源檢測(cè)研究[J]. 信息安全研究, 2020, 6(1): 91-96.

CHEN J. DDoS attack detection based on knowledge graph[J]. Journal of Information Security Research, 2020, 6(1): 91-96.

[11] ZHANG Z J. Graph databases for knowledge management[J]. IT Professional, 2017, 19(6): 26-32.

[12] MISAKI M, TSUDA T, INOUE S, et al. Distributed database and application architecture for big data solutions[C]//Proceedings of IEEE Transactions on Semiconductor Manufacturing. Piscataway: IEEE Press, 2016: 328-332.

[13] SHEN G W, WANG W L, MU Q L, et al. Data-driven cybersecurity knowledge graph construction for industrial control system security[J]. Wireless Communications and Mobile Computing, 2020, 2020: 1-13.

[14] 王子恒. 基于區(qū)塊鏈的海量連接管理架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京: 北京交通大學(xué), 2021.

WANG Z H. Design and implementation of mass connection management architecture based on blockchain[D]. Beijing: Beijing Jiaotong University, 2021.

Construction of DDoS attacks malicious behavior knowledge base construction

LIU Feiyang, LI Kun, SONG Fei, ZHOU Huachun

School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

Aiming at the problem of insufficient research on the knowledge base of distributed denial of service (DDoS) network attacks, a method for constructing a knowledge base of DDoS attacks malicious behavior was proposed. The knowledge base was constructed based on the knowledge graph, and contains two parts: a malicious traffic detection database and a network security knowledge base. The malicious traffic detection database detects and classifies malicious traffic caused by DDoS attacks, the network security knowledge base detects DDoS attacks from traffic characteristics and attack frameworks model malicious behaviors, and perform inference, tracing and feedback on malicious behaviors. On this basis, a distributed knowledge base was built based on the DDoS open threat signaling (DOTS) protocol to realize the functions of data transmission between distributed nodes, DDoS attack defense, and malicious traffic mitigation. The experimental results show that the DDoS attack malicious behavior knowledge base can effectively detect and mitigate the malicious traffic caused by DDoS attacks at multiple gateways, and has the knowledge update and reasoning function between the distributed knowledge bases, showing good scalability.

DDoS, distributed, knowledge graph, malicious behavior knowledge base

TP393

A

10.11959/j.issn.1000?0801.2021257

劉飛揚(yáng)（1997? ），男，北京交通大學(xué)電子信息工程學(xué)院碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

李坤（1997? ），男，北京交通大學(xué)電子信息工程學(xué)院博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、智能通信。

宋飛（1983? ），男，北京交通大學(xué)電子信息工程學(xué)院教授，主要研究方向?yàn)樾畔⒕W(wǎng)絡(luò)理論及關(guān)鍵技術(shù)、信息處理與人工智能。

周華春（1965? ），男，博士，北京交通大學(xué)電子信息工程學(xué)院教授，主要研究方向?yàn)橹悄芡ㄐ拧⒁苿?dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò)。

The National Key Research and Development Program of China (No.2018YFA0701604)

2021?08?12；

2021?11?15

國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目（No.2018YFA0701604）