基于機器學習的軟件定義光網絡入侵檢測策略

朱嘉豪，徐 凱，王炎豪，陸煜斌，宣 涵，沈建華

(南京郵電大學 通信與信息工程學院，南京 210003)

0 引 言

軟件定義光網絡(Software Defined Optical Networks，SDON)是將軟件定義網絡(Software Defined Networks，SDN)的概念和技術應用于光網絡的一種新型網絡結構[1-2]。SDON不僅可以提供快速定制化的服務，同時還能實現較高的資源利用率和靈活的業務供給[3]。SDON控制平面構建靈活、開放和智能的光網絡體系結構，并通過南向接口(Southbound Interface，SBI)及北向接口(Northbound Interface，NBI)實現靈活的服務訪問和硬件控制。但集中式的SDON控制平面在日常應用中可能會受到惡意的攻擊或入侵，特別是當受到攻擊者劫持時，整個光網絡可能會陷入癱瘓[4]。如何在SDON控制平面中實現異常檢測、消除安全隱患及保證網絡的穩定運行，已成為熱點問題。Chandola等對基于統計學、信息論和機器學習等手段的異常檢測分析方法進行了比較，認為機器學習是一種具有發展前途的入侵檢測方法[5]；Sequeira等提出了一個基于主機數據收集和處理的實時入侵檢測系統，可以有效識別計算機終端側偽裝者與真實用戶之間的區別[6]。對于SDON控制平面而言，亟待解決的關鍵技術是實現網絡級的異常檢測，許多學者將研究重點放在利用機器學習技術分析光網絡[7-10]。針對當前SDON控制平面流量異常檢測存在的智能化和靈活性不足等問題，本文提出了一種基于機器學習的檢測策略，分別從基于點和序列異常的角度實現了檢測。

1 SDON架構

SDON控制平面架構路徑計算在控制器完成，路徑建立由控制器發起[11]。控制器的主要功能是通過可編程SBI管理傳輸平面進行數據轉發，并支持使用NBI開發的應用，其還允許對資源優化進行多層控制[12]。SDON控制器是一種軟件實體，負責監管傳輸平面資源，并通過標準接口開放網絡控制能力，集成了路徑計算、網絡虛擬化和鏈路管理等一系列功能。如圖1所示，通過SBI，控制器可以獲取轉發平面的資源信息，實現連接控制功能，然后利用NBI與應用平面連接，為應用提供服務。

圖1 SDON架構

控制平面是SDON體系結構中最重要的部分，一旦受到攻擊，大多數服務便無法保證。SDON控制平面可能遇到的潛在威脅主要包括[13-15]：(1) 未經授權的訪問。入侵者使用特定的技術手段對控制平面進行未經授權的訪問，因此造成信息泄漏。(2) 數據泄漏。在SDON的南端，OpenFlow交換機處理不同種類的信令消息。入侵者可以了解其模式和功能之后偽造此類包，以此形成大量請求，占用大量網絡資源，導致拒絕服務(Denial of Service，DoS)攻擊，使目標用戶無法獲得網絡資源。(3) 數據修改。入侵者可以劫持控制器，修改網絡元素中的流規則，從而改變包轉發策略，導致SDON中的混亂。(4) DoS。SDON控制器需借助SBI與網元通信，入侵者可以利用其來監視具有特定流規則的數據包，然后將其泛洪到控制器，入侵者通過劫持許多分布式主機來攻擊控制器，導致信道和系統資源被大量的攻擊流量占據。(5) 安全策略誤用。控制平面還可能受到不正確使用安全功能的影響，從而導致潛在的攻擊。

總的來看，控制平面受到的威脅大部分來自于各種潛在入侵行為。特別地，當一個或多個用戶的網絡配置文件中的數據變得異常時，意味著SDON可能受到了潛在的攻擊。因此，引入靈活、高效和準確的異常檢測機制以發現控制平面面臨的各種風險和威脅具有極其重要的意義。

2 基于點異常的檢測策略

對于動態業務環境下的光網絡，客戶的行為是固定的，每個客戶的網絡配置參數如平均使用帶寬、源和目標節點對、平均路由長度和調制格式等，一般在一定范圍內波動。參數突然產生劇烈變化就表明可能存在網絡入侵行為，有些變化可能是由客戶自身操作引起的，但這一般是小概率事件。

假設一棵孤立樹有兩個子節點(Tl,Tr)，其中包含特征q和分割值p。給定n個樣本數據X={x1,…,xn}，特征的維度為d。為了得到一棵孤立樹，遞歸地分割數據集X，并將q

一個包含n個數據的樣本集，所得孤立樹的平均路徑長度可表示為

式中，H(i)為調和數。c(n)用來將樣本x的路徑長度h(x) 標準化。

將樣本x的異常得分定義為

式中，E(h(x))為求得的路徑長度h(x)的期望。

基于孤立森林的異常檢測包括兩個步驟：訓練階段，基于訓練集來建立孤立樹；測試階段，使用孤立樹計算每一個測試樣本的異常分數。訓練階段，通過對訓練集進行遞歸分割建立孤立樹，一直分割到所有的樣本都被孤立，或者建立的樹達到了設定的高度值。測試階段，通過孤立森林中的每一棵樹，得到期望路徑長度E(h(x))，再由此得到每一個測試樣本的異常分數。

當E(h(x))→c(n)時，s→0.5，即得出的樣本x的路徑平均長度和計算出的樹的平均路徑長度基本相等時，無法判定是否異常。

當E(h(x))→0時，s→1.0，即計算出的x的異常分數接近于1時，可以認為此點是異常的。

當E(h(x))→n-1時，s→0，被判定為正常。

3 基于序列異常的檢測策略

基于時間序列的異常檢測思路是，通過參考更長時間內數據的總體走勢進行長期環比，在短期范圍出現頻繁操作則被認定為非正常現象，存在入侵行為，對其進行異常檢測符合網絡安全的預期。入侵者短時間內的創建、修改和刪除光路操作會對走勢造成干擾。大部分情況下都是使用曲線對序列進行擬合，這樣可以清晰呈現變化趨勢。若新出現的數據破壞了這種序列的走勢，曲線因此不再平滑，即說明該部分出現了異常。

對曲線進行擬合有很多方式，比如滑動平均和回歸等。本文使用指數權重移動平均(Exponentially Weighted Moving-Average , EWMA)算法來擬合曲線[17]。在EWMA算法中，下一點的平均值是由上一點的平均值和目前點的實際值修正而來。而對任意一個EWMA值來說，數據的權重是不相同的，更靠近當前值的數據有著更高的權重。得到了平均值之后，就可以基于公式判定之后出現的新數據是否在設定的閾值范圍之內，即通過與實際值進行比較，判定新數據是否超出了該范圍以決定是否判斷為入侵。

EWMA 算法的表達式為

在t=0 時刻，初始化v0=0，對vt表達式進行標準化處理，這時t時刻的表達式為

由式(4)可知，數值的加權系數和時間呈指數關系，距離當前時刻越遠，加權系數下降越快。由此得出預測值便能進行曲線擬合。

4 仿真實驗及結果分析

所有訓練數據測試均在國家科學基金會網絡(NSFNET)中生成，如圖2所示。對于基于點異常的檢測方案，假設用戶經常使用其中的部分光節點，業務鏈路在這些節點對中建立。使用節點集{0、1、2、4、5 }中的隨機源—目標對生成10 000個訓練數據實例。為了直觀地表明結果，選擇了光網絡的兩個特征，即所需帶寬和路由長度。生成的帶寬遵循高斯分布，即N(15,3)，平均帶寬為15 GHz，方差為3。路由長度采用Dijkstra算法計算。

圖2 NSFNET拓撲圖

首先利用訓練數據集進行孤立森林訓練。對于孤立森林算法來說，一個小子采樣就足夠用于從正常數據中區分異常。一般將subsample size設置在28=256即可保證在一個較大的數據范圍內實現異常檢測。根據經驗值發現，路徑長度通常在Number of trees設置為100時收斂得最好。調整Tree height會更改異常分數的粒度，本文經多次試驗發現，將Tree height取為8表現比較好。為了測試本文所提方案，仿真中使用2 000個數據實例(里面包含了30個異常數據)作為測試數據集。對于異常數據，在[0,60] GHz內隨機設置所需帶寬，隨機選擇源—目標節點對。仿真結果如圖3所示，紅色的點聲明為入侵點。從中檢測出了27個異常點(27/30)，檢測準確率為90%。

圖3 異常點檢測圖

圖4 異常序列檢測

5 結束語

SDON是光網絡未來發展的主要方向，潛在的流量異常及入侵威脅著SDON核心的控制平面，并可能對網絡業務的實現及性能產生嚴重影響。針對異常檢測問題，本文提出了一種基于機器學習的SDON檢測策略，采用孤立森林算法來檢測點異常，采用EWMA算法檢測序列異常。理論分析和仿真結果表明，本文所提檢測策略可有效提高控制平面檢測的性能，在點和序列異常檢測中，平均檢測準確率分別達到了90%和85%。