面向DDoS入侵檢測的報文特征提取方法

趙樺箏　黃元浦　孫嶺新　杜昊　郭凱文

摘? ?要：機器學習算法是當前檢測網絡入侵的主要方法。然而，現有入侵檢測方法提取攻擊報文特征的維度較小，導致檢測精度偏低。針對該問題，文章提出了面向DDoS入侵檢測的報文特征提取方法（DDoS Message Feature Extraction，DMFE）。該方法在分析DDoS攻擊過程的基礎上，根據報文協議將DDoS攻擊分為五類，并針對不同的類型提取其特征向量，增加了攻擊報文特征的維度與表達能力，有利于提升入侵檢測算法的精度。模擬實驗結果表明，DMFE與現有的其他特征提取方法相比，能夠有效地提高基于神經網絡、K-近鄰等入侵檢測方法的精度。此外，DMFE受分類算法種類影響弱，可以適用于多種機器學習算法并取得了幾乎相同的效率。

關鍵詞：網絡安全;特征提取;數據挖掘;機器學習;分布式拒絕服務攻擊

中圖分類號： TP393.08? ? ? ? ? 文獻標識碼：A

Abstract： Machine learning algorithms have been widely used in the field of network intrusion detection. However， existing intrusion detection methods extract attack message features with small dimensions， resulting in low detection accuracy. Contrapose to the above problem， a DDoS intrusion detection - oriented message feature extraction method （DMFE） is proposed. Based on the analysis of DDoS attack process， this method divides DDoS attack into five categories according to the message protocol， and extracts its feature vectors according to different types， which increases the feature dimension of attack message， improves the feature expression ability， and is conducive to improving the accuracy of intrusion detection algorithm. Simulation results indicate that compared with other feature extraction methods， DMFE feature extraction method can effectively improve the accuracy of intrusion detection methods based on neural network， k-nearest neighbor etc. In addition， due to the weak influence of classification algorithm， DMFE can be applied to a variety of machine learning algorithms and achieve almost the same efficiency.

Key words： internet security; feature extraction; data mining; machine learning; distributed denial of service

1 引言

隨著互聯網技術的不斷發展，網絡空間規模正不斷擴大，隨之而來的網絡安全威脅也日益增多。在全球，每年因大型網絡攻擊造成的經濟損失，甚至可與災難性自然災害帶來的損失相當[1]。但現有的網絡安全防護方法難以有效地應對當前多樣化的網絡攻擊方式，使得一系列網絡安全事件頻發。例如，在2019年2月5日至3月1日，美國UAlbany大學至少遭受了17次DDoS攻擊;2月初，菲律賓全國記者聯盟的網站受到DDoS（Distributed Denial of Service）攻擊，最高流量為468 GB/s，致使該網站被迫關閉了數小時。

本文通過分析DDoS攻擊過程，將基于報文協議的攻擊分為了欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊、連接耗盡攻擊五大類。在此基礎上對各種攻擊類型報文的特點進行深入剖析，設計并實現了各種攻擊類型報文特征向量提取方法（DMFE）。該方法實現了網絡中報文的實時采集與檢測，最大可能地在攻擊初期就檢測到攻擊特征，避免后續可能遭受的攻擊，降低損失，為高效解決DDoS攻擊問題提供了新的方案。

2 相關工作

目前，學術界對于DDoS攻擊問題的研究，采用了多樣性的攻擊檢測方法，然而對于特征向量提取方法的研究有待加深。

梅夢喆在SDN環境下對DDoS攻擊檢測和防護進行了研究[2]，源IP、數據包大小等參數作為特征向量，采用了多位條件熵進行DDoS攻擊檢測。這種方法對網絡層的DDoS攻擊有較好作用，但難以有效應對應用層的DDoS攻擊。

孫正君在SDN環境下采用了深度學習混合模型對DDoS攻擊進行了檢測和防御[3]，將流表的多個屬性交由深度學習模型自動獲取，且手動構建了流表平均數據包量、不同端口增長速率等特征向量，可獲得較高的檢測率。該方法的弊端在于特征數量的增加無疑加重了服務器的負擔，在未受到攻擊時也會耗費服務器的載荷。

3 DDoS攻擊報文分類

為了從大量混雜的數據報文中準確捕捉到攻擊報文，本文基于攻擊過程，結合協議本身特性[4]，設計了新的特征值提取方案。針對不同的攻擊類別提取不同的特征值，實現了對于攻擊流的準確鎖定，為攻擊處理模塊提供了高效的服務。

針對不同的攻擊過程以及協議類型，本文將DDoS攻擊報文分為五個基本的大類：欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊和連接耗盡攻擊。

3.1 欺騙攻擊

欺騙攻擊主要通過偽造IP地址和MAC地址，在網絡中產生大量的ARP通信量，使目標主機ARP緩存中的IP-MAC條目不斷更新，造成網絡中斷或阻塞。

欺騙攻擊的特征向量為：

v = （p， n，σlen， σsp，σdp），其中p為協議類型，n為單位時間內接收的報文數量，σlen、σsp、σdp分別為報文長度、源端口號、目的端口號的標準差。

欺騙攻擊時單個目的IP單位時間內接收的報文數量較大，即n值較大，且易在較短時間內產生大量請求內容相似的數據報，即其報文長度、源端口、目的端口數據離散度較低。本文通過計算標準差表示數據的離散程度，即攻擊報文的σlen、σsp、σdp值較小。

即當n較大，且σlen、σsp、σdp的值較小時，可判斷發生了欺騙攻擊。

3.2 流量攻擊

流量攻擊通常是攻擊者通過控制眾多的傀儡機向被攻擊方發送大量合法的請求，造成被攻擊主機的大量資源被占用而癱瘓。流量攻擊的特征向量為：

v = （p， n， a， l， σlen），其中p為協議類型，n為單位時間內接收的報文數量，a為報文總數/源IP個數，l為報文長度。

流量攻擊大多發送速度極快、源IP不斷變化，且很少可能有相同的源IP，即n較大且a值趨近于1。報文長度不變，且普遍為過小包，即l與σlen值較小。

即當n較大，l及σlen較小且a值趨近于1時，可判斷發生了流量攻擊。

3.3 反射攻擊

在反射攻擊中，攻擊者通過偽造目標主機地址發送廣播請求，使整個廣播域的主機向被攻擊服務器發送回復報文，造成目標服務器不能處理其他正常的交互數據流。反射攻擊的特征向量為：

v = （p， n， l， σsp， σdp），其中p為協議類型，n為單位時間內接收的報文數量，l為報文長度，σsp、σdp分別為該時間窗內源端口號、目的端口號的標準差。

反射攻擊時被攻擊者單位時間內會接收到大量的響應數據，即n值較大，且報文的長度都較長，即l較大。源端口的離散程度偏高，目的端口的離散程度較低。本文通過計算標準差表示數據的離散程度，即攻擊報文的σsp較大而σdp較小。

即當n、l較大，σsp較大而σdp較小時，可判斷發生了反射攻擊。

3.4 慢連接攻擊

慢連接攻擊主要針對應用層的HTTP協議，通過對請求頭部、報文內容等的處理占用資源。慢連接攻擊的特征向量為：

v = （p， h， b， w），其中p為協議類型，h為HTTP層請求頭部沒有結束標志的報文個數;b = l / c，其中c為請求頭中Content-Length的值，l為報文長度;w為報文TCP層窗口大小的值的和。

當連續多個報文HTTP層中請求頭部中都沒有結束標志時，即h較大時，判斷屬于Slow Headers攻擊;當c >> l時，即b趨近于1時，判斷屬于Slow Body攻擊;當同一IP連續多次發送零窗口，即w趨近于0時，判斷屬于Slow Read攻擊。

即當h較大，或b趨近于1或者w趨近于0時，可判斷發生了慢連接攻擊。

3.5 連接耗盡攻擊

連接耗盡攻擊利用TCP協議高資源占用來消耗目標主機的系統資源。連接耗盡攻擊的特征向量為：

v = （p， n， m， RST， FIN），其中p為協議類型，n為單位時間內接收的攻擊報文數量，m為單一源IP請求報文數量。

連接耗盡攻擊新建連接速率較高，單位時間內的報文數過大，即n過大，單一源IP異常會話請求報文數量過多，即m過大，且通常會通過發送FIN或RST為1的報文斷開連接。

即當n或m的值過大時，且 RST或FIN標志位為1時，可判斷發生了連接耗盡攻擊。

4 實驗方案

為了驗證DMFE方法的有效性，本文針對常見的DDoS攻擊問題展開了研究[5]，分析報文協議類型并結合SDN控制與轉發解耦合的相關特性架構，提出了基于DMFE的軟件定義安全系統，并在模擬環境中測試了DMFE的分類效率以及與現有其他特征提取方案的對比效果。

針對DDoS攻擊中具有代表性的TCP協議進行了多種攻擊方式的模擬，并對采集到的數據集依次進行了攻擊報文分析、檢測、處理的系統性實驗，以此為例說明此框架的防御流程。

4.1 模擬環境

該實驗在Mininet仿真環境中完成。首先分別創建兩臺虛擬機并分別命名為ODL和Mininet，在ODL中安裝Wireshark和OpenDaylight Carbon版本的控制器，以及使用python 3.x版本的pycharm，在Mininet中安裝支持OpenFlow1.3協議的Mininet和Wireshark，并安裝MySQL數據庫存儲報文。

4.2 數據采集

本文采用動態采集窗口[6]，實時抽樣檢測通過SDN交換機的報文。動態采集窗口內采集到的報文將轉化為特征值，并傳送給DDoS攻擊檢測模塊。

為動態確定檢測窗口的大小Tar，本文提出了如計算公式（1）所示：

（1）

此算法需要確定檢測單位時間Ti和單位時間內的流量mes。若近期發生過DDoS攻擊，則需對近期攻擊發生次數（Attack）進行設置，否則為0。當系統檢測到了DDoS攻擊時，根據攻擊程度設置攻擊發生標志（Flag）為1至2;若尚未檢測到攻擊的發生，設置為1。再結合近期發生的攻擊，依情況確定權重并求和，得出動態確定的檢測窗口的大小。

4.3 攻擊分類檢測

本文根據其攻擊特性以及TCP協議特性，提取報文特征值并建立了特征向量：v = （p， RST， SYN， ACK， fs， fm， nRST， n），其中p為協議類型，fs為單個源IP攻擊次數，fm為該時間窗內異常IP個數，RST攻擊次數，n為單位時間內接收的報文數量。然后使用BP神經網絡算法[7]，K-近鄰算法和SVM支持向量機[8]，分別對數據集進行了訓練，并將得到的訓練模型用測試集進行了測試。

4.4 實驗結果

如表1所示，為檢驗不同條件下特征提取的效果，本文調整算法及相應參數值，進行了多組測試。

如圖2所示，本文將實驗結果繪制成線性圖，發現達到各算法的閾值I時，模型準確率均能達到98%如圖2所示，本文將實驗結果繪制成線性圖，發現達到各算法的閾值I時，模型準確率均能達到98%以上。

為驗證本文特征向量提取的高效性，測試了在相同實驗環境、相同數據集的情況下，DMFE與梅夢喆等人[2]選取的以源/目的IP、源端口號、數據包大小4個參數作為特征向量的特征提取方式在各算法下的效果進行對比。通過圖3性能比較測試圖可看出在DDoS攻擊的初期階段，DMFE具有較為明顯的優勢。

4.5 攻擊處理

本實驗中首先使用已訓練的模型檢測出攻擊報文和非攻擊報文，并對攻擊報文進行標記。接著將處理后的數據傳輸給SDN控制器。SDN控制器識別出帶有標記的攻擊報文，下發全局策略將各交換機中的該流表項刪除，以此高效地解決DDoS攻擊問題[9]。

本文設計了一種算法判斷是否為攻擊行為。首先對所有源IP進行違規次數統計，并用公式（2）所示計算Tar值。其中時間窗m→n為動態采集窗口，msg為總共收到的報文數，其中a條發生違規，Ti為單位時間，Tj為第j條違規發生的時間：

（2）

當Tar > 0.16，判斷發生了攻擊行為，可利用已訓練模型進行模式匹配，對攻擊報文進行標記后，利用SDN控制器下發策略對標記報文集中處理。

4.6? DMFE優勢分析

本文提出的報文特征向量提取方法DMFE相較于原有的DDoS攻擊檢測方法有三點優勢。

（1）相較于傳統的檢測方法，DMFE針對報文特征，擴大了DDoS攻擊檢測的范圍，解決了原有方法只能檢測網絡層或應用層DDoS攻擊的問題。

（2）DMFE提取的特征值具有普適性，與主流算法的結合性較高，能夠較好地適應不同應用環境。

（3）基于DMFE的DDoS攻擊分類檢測模塊[10]，通過分析DDoS攻擊過程以及協議特性，綜合提取源IP，標簽值如seq、ack、rst等多方面的特征值。利用機器學習算法的深度學習和有監督學習，能夠以較高的準確率進行攻擊報文的分類與攻擊判斷，減少誤判和漏判。

5 結束語

在網絡環境日益復雜，DDoS攻擊不斷加劇的背景下，本文提出了面向DDoS入侵檢測的報文特征提取方法（DMFE）。通過深入研究DDoS攻擊過程將基于協議的DDoS攻擊報文合理地分為了欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊和連接耗盡攻擊五種類型。并在此基礎上根據攻擊的類型提取相應的特征值組成特征向量。利用機器學習通過已訓練的模型標記出攻擊報文，借助于SDN架構的靈活性快速下發策略至網絡的各個節點，盡可能地在第一時間發現并消除DDoS攻擊。本文選取了較具代表性的TCP協議進行模擬實驗驗證。由于采用的是在實驗環境中以自攻擊方式獲取的數據集，其檢測精度，在實際應用時可能會有所下降。本文通過不同算法及參數檢驗，以及與他人方法的對比，表明了DMFE方法的可靠性。

基金項目：

鄭州大學大學生創新創業訓練計劃項目（項目編號：No.2019cxcy666）。

參考文獻

[1] MIT Lincoln Laboratory Inf-ormation Systems Technology. MIT Lincoln Laboratory[EB/OL]. http：//www.ll.mit.edu/ideval/data/2000data.html .2000.

[2] 梅夢喆. SDN中基于多維條件熵的DDoS攻擊檢測與防護研究[D].南昌：南昌航空大學，2016.

[3] 孫正君. SDN中基于深度學習混合模型的DDoS攻擊檢測與防御技術研究[D].杭州：浙江工商大學，2018.

[4] 楊長春，倪彤光，薛恒新.一種基于數據挖掘的DDoS攻擊入侵檢測系統[J].計算機工程，2007，No.291（23）：167-169.

[5] Jelena Mirkovic，Peter Reiher. A taxonomy of DDoS attack and DDoS defense mechanisms[J].ACM SIGCOMM Computer Communication Review，2004，342：39-53.

[6] Matthew Mathis，Jeffrey Semke，Jamshid Mahdavi，Teunis Ott. The macroscopic behavior of the TCP congestion avoidance algorithm[J].ACM SIGCOMM Computer Communication Review，1997，273：67-82.

[7] Xia Jing， Cai Zhiping， Hu Gang， Xu Ming. An Active Defense Solution for ARP Spoofing in OpenFlow Network[J]. Chinese Journal of Electronics，2019，v.28（01）：172-178.

[8] Qiu Xiaofeng， Liu Wenmao，Gao Teng， He Xinxin， Wen Xutao， Chen Pengcheng. WoT/SDN：Web of Things Architecture Using SDN[J].中國通信，2015，v.12（11）：177-187.

[9] Alan Saied， Richard E. Overill， Tomasz Radzik. Detection of known and unknown DDoS attacks using Artificial Neural Networks[J]. Neurocomputing，2016，172：.

[10] 左青云，陳鳴，趙廣松，邢長友，張國敏，蔣培成. 基于OpenFlow的SDN技術研究[J].軟件學報，2013，v.24（05）：1078-1097.

作者簡介：

趙樺箏（1999-），女，漢族，河南洛陽人，鄭州大學，本科;主要研究方向和關注領域：計算機科學與技術、網絡安全、數據挖掘、機器學習。

黃元浦（2000-），男，漢族，河南南陽人，鄭州大學，本科;主要研究方向和關注領域：網絡空間安全、計算機網絡、密碼學和機器學習。

孫嶺新（1998-），男，漢族，河南焦作人，鄭州大學，本科;主要研究方向和關注領域：網絡空間安全、計算機網絡、密碼學和機器學習。

杜 昊（1998-），男，漢族，河南人，鄭州大學，本科;主要研究方向和關注領域：網絡空間安全、計算機網絡、密碼學和機器學習。

郭凱文（1999-），男，漢族，河南洛陽人，鄭州大學，本科;主要研究方向和關注領域：網絡安全、數據挖掘、大數據、軟件定義網絡。