基于IR/S的軟件定義網絡流量異常檢測算法

蘭海燕　孫鶴玲　潘昱辰

摘? ?要：傳統重標極差分析法（Rescaled Range Analysis，R/S）檢測軟件定義網絡（SDN，Software Defined Network）流量是否存在異常時，某節點的網絡流量序列存在恒定值小區間內子序列全為零值，造成標準差為零的運算錯誤，為了解決這個問題，文章提出了一種改進的重標極差法（Improvement Rescaled Range Analysis， IR/S）。算法利用微元法分析法，確定一組可用的參數，將參數引入計算數據流量序列Hurst指數，并將待計算的數據流量序列等分，同時規定序列長度為2的整數次冪，分別計算R/S值，通過擬合來判斷是否存在異常流量情況。改進后的方法能夠達到均分子序列的要求，無需計算序列的因數，使計算過程更加簡化，避免了某些長度序列因數過少、素數長度導致的擬合點過少無法收斂的現象，減少了由計算結果精確度帶來的誤差。將算法在Mininet環境下進行虛擬SDN仿真測試，實驗結果表明，文章中的方法能夠較顯著區分正常與異常流量，并且在探測異常時延遲較低。

關鍵詞：Hurst指數;重標極差法;軟件定義網絡;拒絕服務攻擊;分形學

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： When traditional Rescaled Range Analysis （R/S） detects whether software defined network （SDN） traffic is abnormal， subsequences are all zero in the constant value interval existing in the network traffic series of several nodes， which causes some operation error with a standard deviation of zero. An Improved Rescaled Range Analysis （IR/S） method is proposed to solve this problem. The algorithm uses the micro-element analysis method to determine a set of available parameters which is introduced into the calculated data flow sequence Hurst exponent， and divides the data flow sequence to be calculated into equal parts. At the same time， the length of the sequence is specified as an integer power of 2， and calculate R / S values separately， to determine if there is an abnormal flow condition by fitting. The improved method can meet the requirements of homogeneous molecular sequences without calculating the sequence factors. The calculation process is more simplified， avoiding inability to converge due to too few factors of some length sequence or even too few fit points which is caused by prime length， and reducing the accuracy of the calculation results. A virtual SDN simulation test of the algorithm in Mininet environment is set up， and the experimental results show that the method can distinguish between normal and abnormal traffic significantly， and detect anomalies with a lower delay.

Key words： Hurst exponent; rescaled range analysis; software defined network; denial of service attack; fractal

1 引言

網絡流量與時間序列具有分形學的自相似性，正常狀態下網絡產生的流量與異常狀態下網絡產生的流量自相似性不同，利用這一特點，可以通過直接分析網絡所產生的流量序列分形特征進行相互對比，從而判斷某一狀態下的網絡與正常狀態的區別。由于研究序列的分形特征不太依賴對系統基礎性的假設，故針對各種時間序列都具有較為廣泛的適用性。這種方法無需依賴固有模式，更具備特異性，針對具體的網絡結構將產生較好的判決效果。

自Harold Edwin Hurst研究分形序列的長期持續性提出了Hurst指數作為分形特征的一個指標以來，關于該指數的實際應用，已有各類學科的大量研究產生，如故障預測[1]、降雨侵蝕[2]、腦電特征識別[3]等。對于將Hurst指數應用于傳統的網絡結構，已有較多相關研究。例如，Leland等學者采用R/S分析法和聚集方差法分別計算序列的Hurst指數[4];Pharande等學者使用R/S分析法結合分數高斯噪聲分析DoS（Denial of Service）攻擊的自相似性[5];學者Lozhkovskyi A.G.利用R/S分析法計算部分R/S序列以研究分組交換網的流量自相似特征[6]。但是，針對SDN中發生的相關攻擊事件卻少有推廣算法提出。目前，在SDN領域有關流量檢測算法的研究，有基于信息熵的深度神經網絡檢測法[7]、主成分分析法[8]等，但少有學者利用分形學方法對SDN流量進行研究。

2 分形學與R/S分析法

根據分形學理論，存在分數維幾何形并且這種幾何大量存在于自然界。從自然山川的輪廓，到氣候變化趨勢，都是傳統幾何學無法精確表述的。分形學中一個重要的概念是自相似性，該概念指一個分形幾何形是由眾多更小的、與這個幾何形差別不大的小幾何形組成[9]。而理論上講，這種迭代是趨向于無窮的，從而導致使用傳統幾何學幾乎無法研究這類問題。如果利用分數維布朗運動作為研究對象，將會出現以某一尺度對該布朗運動曲線進行放縮時，曲線統計特性并不發生改變的特殊現象。該尺度放縮因數一般以指數形式2H出現，H即Hurst指數。H取值在0到1之間，可以表征序列的分形特征。經過研究，H與序列特征呈現的關系如表1所示。

反持續性序列具有均值回復性，即一個上升值更可能出現在一個下降值之后，反之亦然。H越趨近于0，均值回復性越強[10]。而一個持續性序列意味著下一個值的變化方向更趨向于和上一個值的變化方向，H越趨近于1，持續性越強。

對于網絡流量序列、氣溫序列、金融市場序列等，都可以利用Hurst指數定量描述序列的特征，目前主流的計算方法是R/S分析法[11]。要估計Hurst指數，首先必須估計重標極差對觀察時間跨度的依賴性。將長度為N的時間序列劃分為多個較短的時間序列長度，之后對于n的每個值，計算重標極差的平均值。H定義為時間序列的時間跨度函數，這是根據重標極差的漸進性變化特點決定的。具體為：

其中，是前n個值與均值作差的累積取值范圍，是標準差，是期望，n是觀察的時間跨度（時間序列內數據點的數量），C是一個常量。

給定一個長為n的序列，重標極差計算方法為[12]：

（6）計算重標極差序列

通過按照冪次規律擬合數據來估算Hurst指數，可以通過將作為的函數進行雙對數坐標線性擬合，擬合直線斜率即為Hurst指數值。

利用該算法，計算如圖1所示的控制器流量序列的Hurst指數。該序列以100ms為采樣間隔，采集了128個樣本點，樣本點的值為控制器正常工作時的數據包數量。在使用Python的numpy庫進行線性擬合時會提示的信息為：LinAlgError： SVD did not converge in Linear Least Squares。

產生該計算故障的原因在于該序列有較多長期連續0值，使用Python計算R/S序列時，由于在計算恒值序列，得到的極差和標準差均為0，做除法后得到nan值即無意義值，影響了線性擬合的收斂。故為了消除這種影響，需要對傳統算法進行改進以適應輸入序列的特性。

3 IR/S分析法

3.1算法設計

在實際情況下，網絡中一段時間內流經的包數量必為一個非負實數，而且可能會出現某些節點，尤其是SDN控制器，在一定時間內沒有數據包通過，使得在子序列長度較短時子序列全為0值。考慮到后續對于求解R/S時在數學上要求在分母上的標準差非零，以及使用對數擬合時自變量R（n）/S（n）需大于0的數學要求，本文提出并采用的計算方法為：

3.2 對新參數的探究

鑒于計算一個序列的Hurst指數過程需要將序列等分，分別計算R/S值并最終進行擬合。在此改進算法中，規定了待計算序列長度為2的整數次冪，這樣能夠達到均分子序列的要求，計算過程更加簡化，無需計算序列的因數，也能避免某些長度序列因數過少甚至是素數長度導致的擬合點過少無法收斂。且該做法能夠使線性擬合時的取整數，減少由計算結果精確度帶來的誤差。

在本節步驟（4）中計算標準差時添加微小量 的目的是避免標準差為0帶來的分母為0，由于網絡流量會有較長時間持續為一恒定值0，故某個子區間Ia標準差為0的情況時有發生。但是增加標準差會導致Hurst指數值略微偏大，可令盡可能小以減少影響。

對產生這一趨勢的原因進行分析，不妨假設一個序列的序列是一個均值序列，即：

此時，構造函數

考察該函數的變化趨勢，增加帶來的的變化與S有關，故對S求偏導

由偏導數可知，S增加會使增加，這里，故存在且，即會隨著S的增加而減小，其斜率隨著S增大而減小。由反比例函數性質可得，由增加帶來的增量隨著S的減小而增加，由此更小的S，在更大的下，的減小量更多。序列越短，序列波動的程度與長序列相比更輕微，S會隨著序列長度縮短而減少。于是，較短序列長度下的會在的作用下減少更多，逆時針偏移，斜率增大，H增大，且增加會導致H進一步增加。

根據使用長度為4096的隨機序列、長度為4096的單調遞增序列、長度為4096的正弦序列進行、、、實驗得出結果可得到驗證，計算結果如表2所示。如圖2所示，對和序列Hurst指數值變化趨勢的探究中，橫坐標取以10為底的對數，可以看出更大的會使Hurst指數較原值增加更多，當越趨近于0時，值的變化越小。

在本節步驟（3）中添加的微小量保證序列不為0，從而使對數坐標有意義。取值與有關，兩者數值大小將影響Hurst指數的偏移量。使用在不同數量級區間內取值的和計算一個隨機序列的Hurst指數并繪制出熱圖，結果如圖3所示。可以初步觀察到，變大將影響Hurst指數增大，增大將影響Hurst指數減小。

首先對的影響進行分析，繼續考察函數的特性，求對R的偏微分得：

由反比例函數性質可知，R增加會引起減小，由于，存在且，故隨著R增加而增加，且增加速率隨著R變大而減小，會隨著增大而減小，且越小的R產生的變化越大。當序列越短時，序列上下極值的差異性會越小，R會隨著序列長度縮短而減少。于是，較小序列長度下的會在的作用下，增加的幅度更大，從而導致擬合直線順時針偏移，斜率減小，H減小，更大的會導致H減小幅度更大。

由全微分可以得出，當，此時等號代表數量級的相等，這時最小且;當時，，此時最小且，即在這兩種情況下的改變量最小。

從圖3中可以看到一條貫穿左上角與右下角的等值點組成的線，在右下角的點為與均取0值，在這條線上的點，顏色基本一致，對應著相同數量級下的與所對應的Hurst指數值。當與取10-5或更小的值時，即使二者數量級略有差異，對Hurst指數的取值影響以及影響變化的速度有顯著減小，但當與取10-2時，即使兩個參數數量級相同，也對Hurst指數有較大的影響，基本符合上述分析結果。結合實際網絡流量可能的特征，在實際計算時10-5應保持在較小且相同的數量級下。經過對單調遞增序列和正弦序列進行計算也得到類似的結果。

綜上對取值數量級范圍的討論，本文在較小的數量級取值范圍下取，作為后續計算基礎。

4 異常流量檢測

4.1 獲取待檢測數據

本文以Mininet為仿真環境建立一個虛擬SDN拓撲網絡，以Ryu作為SDN控制器，設置網絡連接帶寬均為10Mbps。網絡拓撲結構如圖4所示。

進入節點h1的終端，調用SYN泛洪（SYN flood）攻擊腳本向h2發起攻擊，作為DoS的測試模塊。利用Wireshark工具獲取控制器c0、攻擊節點h1、目標節點h2的流量信息，采樣間隔為100ms，分別獲取網絡正常運行時的信息和發動攻擊時的流量信息。

4.2 檢測流量狀態

對于本文所用網絡，在正常狀態下捕獲的c0、h1、h2節點流量Hurst指數情況如表3所示。

當SYN泛洪測試開啟后，再捕獲各節點流量并計算Hurst指數，結果如表4所示。

對正常狀態下的網絡和存在異常流量的網絡各節點分別進行20次流量捕獲與計算，做出各節點流量序列Hurst指數的箱型圖，如圖5所示。

由上述實驗數據可以明顯區分出網絡正常狀態與SYN泛洪狀態。相比于正常狀態的網絡流量，控制器c0的Hurst指數明顯升高，而兩個終端節點的Hurst指數下降，但變化幅度小于控制器。故針對本文所用的網絡拓撲結構，判定網絡內部SYN泛洪發生與否的指標應設為控制器c0的Hurst指數。一旦c0節點的Hurst指數升高至0.7以上，則應該考慮網絡內部可能發生了SYN泛洪攻擊。

如果進一步分析這種變化的原因，主要是由于SDN的特性所決定。SYN泛洪需要向被害主機發送大量以偽造IP為源地址的SYN消息，而網絡中突然出現大量新IP，導致交換機不斷匹配、更新流表[13]，從而向控制器下發大量PACKET_IN請求，控制器忙于處理PACKET_IN和PACKET_OUT，導致單位時間內流量包急劇升高。

4.3 檢測異常時刻

獲得一個網絡的異常情況Hurst指數后，就可以利用其進行檢測異常發生時刻。在探測異常變化時，針對流量時間序列，用一定寬度的窗，以序列起始部分加上窗寬度的位置作為起始位置，依次向后截取序列并分析Hurst指數。對本文所用網絡，檢測內部SYN泛洪事件發生時刻，使用寬度為102400ms（1024個采樣點）的窗對序列進行截取，計算控制器c0的Hurst指數變化情況并試圖得到異常流量開始的時刻。

如表5所示，是實際攻擊開始時刻與預測時刻對照表，如圖6所示是一個控制器在SYN泛洪攻擊發生時的Hurst指數變化情況。根據對照表可以看出該方法在判斷攻擊發生時刻上具有較低的延遲，一般在幾秒內。根據變化情況圖可以看出該方法較為穩定，異常發生時的Hurst指數與正常相比會出現大幅度變化。對異常發生時刻檢測效果較好。

5 結束語

SDN環境下的網絡流量檢測問題，與傳統網絡不同的是，SDN環境下不僅需要檢測終端情況，還應檢測SDN控制器的狀況。通過分形學中的Hurst指數，正常狀態與異常狀態的網絡流量序列能夠用量化的數字進行區分，這種方法不需要借助其他因素，可以從流量序列本身得到，特異性和可推廣性都較強。本文從傳統R/S分析法出發，通過引入新參數并從數學角度利用微元法分析了參數對算法造成的影響，通過實驗測試具體參數的影響，確定了一組可用的參數，使該算法成功克服了網絡流量序列可能存在的長期連續恒定0值帶來的極差、標準差為0所造成計算出錯的問題。對一段連續的序列，可以探測序列中發生的異常，這為網絡狀態實時檢測提供了切入點。通過實驗，展示了SDN環境下利用該算法分析異常的思路，最終計算得到該網絡在正常狀態下和異常狀態下的Hurst指數分別為0.55和0.85左右，對攻擊時刻判定的延遲在2s左右，證明了該算法檢測異常的可行性和準確性。

參考文獻

[1] 于群， 屈玉清， 石良. 基于相對值法和Hurst指數的電網停電事故自相關性分析[J]. 電力系統自動化， 2018， 42（01）： 55-60+124.

[2] 錢峰， 董林垚， 黃介生， 等. 基于Hurst指數與相關系數的降雨侵蝕力變異識別與分級方法[J]. 農業工程學報， 2018， 34（14）： 140-148.

[3] 李昕， 蔡二娟， 田彥秀， 等. 一種改進腦電特征提取算法及其在情感識別中的應用[J]. 生物醫學工程學雜志， 2017， 34（04）： 510-517+528.

[4] Leland W E， Taqqu M S， Willinger W， et al. On the self-simmilar nature of ethernet traffic（extended version[J]. IEEE/ACM Transactions on Networking， 1994， 2（1）： 1-15.

[5] Pharande S， Pawar P， Wani P W， et al. Application of Hurst Parameter and Fuzzy Logic for Denial of Service Attack Detection[M]. IEEE International Advance Computing Conference， ed; 2015， 834-838.

[6] Lozhkovskyi A G. Simplified Calculation of the Hurst Coefficient by the R/S-Analysis Method[C]. Lviv， UKRAINE： IEEE， 2017： 254-257.

[7] 張龍， 王勁松. SDN中基于信息熵與DNN的DDoS攻擊檢測模型[J]. 計算機研究與發展， 2019， 05： 909-918.

[8] 左青云， 陳鳴， 王秀磊， 等. 一種基于SDN的在線流量異常檢測方法[J]. 西安電子科技大學學報， 2015， 42（01）： 155-160.

[9] Peitgen H O， Jurgens H， Saupe D. Chaos and Fractals[M]. 2004.

[10] Rejichi I Z， Aloui C. Hurst exponent behavior and assessment of the MENA stock markets efficiency[J]. Research in International Business & Finance， 2012， 26（3）： 353-370.

[11] Zhang H Y， Kang M C， Li J Q， et al. R/S analysis of reaction time in Neuron Type Test for human activity in civil aviation[J]. Physica A Statistical Mechanics & Its Applications， 2017， 469： 859-870.

[12] Qian B， Al. E. HURST EXPONENT AND FINANCIAL MARKET PREDICTABILITY[Z]. 2007.

[13] Foundation O N. openflow-switch-v1.5.1[Z]. 2015.

作者簡介：

蘭海燕（1983-），女，漢族，黑龍江綏化人，哈爾濱工程大學，博士，哈爾濱工程大學，講師;主要研究方向和關注領域：信息安全、移動邊緣計算。

孫鶴玲（1996-），女，漢族，黑龍江大慶人，哈爾濱工程大學，碩士;主要研究方向和關注領域：信息安全、移動邊緣計算。

潘昱辰（1997-），男，漢族，河南新鄉人，哈爾濱工程大學，碩士;主要研究方向和關注領域：人工智能、信息安全。

（本文為“2020年429首都網絡安全日”活動征文）