云環境下一種基于信任的加密流量DDoS發現方法

潘雨婷 林 莉

(北京工業大學信息學部計算機學院 北京 100124)(可信計算北京市重點實驗室(北京工業大學) 北京 100124)

隨著云計算技術的應用和普及,越來越多的分布式拒絕服務(distributed denial-of-service, DDoS)攻擊源遷移到云環境中.由于云計算所涉及到的信息量大，加之云計算數據中心所支撐的在線業務高速增長，促使了云環境下DDoS攻擊頻率、規模和種類以前所未有的速度快速增加，在大量消耗云計算資源的同時，也影響了云服務的可用性，云環境下的DDoS攻擊安全防御問題正日益受到關注.與傳統網絡相比，云環境下的DDoS攻擊具有以下新的特征：1)云服務的開放性使其更容易被攻擊者利用發起DDoS攻擊，如經濟可持續性拒絕(economic denial of sustainability, EDoS)攻擊等，同時云環境下IT資源的集中化使得DDoS攻擊規模更大且能造成更嚴重的危害[1]；2)隨著云服務模式下用戶對通信數據的隱私需求提高，這使得HTTP等加密流量占總流量的比例接近70%[2]，當針對特定端口、協議和服務的DDoS攻擊,比如域名系統(domain name system， DNS)、超文本傳輸協議(HyperText Transfer Protocol, HTTP)、基于網絡協議的語音傳輸(Voice over Internet Protocol， VoIP)等，通過加密流量發起，因其具有一定隱蔽性，更難以檢測.因而如何在云環境下發現加密流量DDoS攻擊成為有效防御DDoS的重要問題之一.

傳統網絡環境下的DDoS攻擊發現方法可分為誤用檢測、異常檢測以及兩者混合檢測3類[3]，其中異常檢測最為普遍，其通過識別網絡中的異常行為來發現是否存在DDoS攻擊.近年來,基于機器學習的DDoS檢測成為主流，支持向量機(support vector machines, SVM)、k近鄰(k-nearest neighbors,kNN)、隱Markov、神經網絡等多種機器學習算法[4-14]被相繼引入，不斷提升DDoS檢測的效率和準確性.目前，亞馬遜網絡服務(Amazon Web services, AWS)、阿里云等知名云服務商也提供了DDoS攻擊處理服務，如阿里云的DDoS高防IP服務通過流量重定向過濾并消化掉攻擊流量.然而當攻擊者使用超文本傳輸安全協議(HyperText transfer protocol secure， HTTPS)等加密流量協議傳輸數據時，云服務商需要先將流量解密后再進行清洗，效率較低.

云計算加密流量環境下發現DDoS攻擊的最大難點在于如何在不對加密流量進行解密的情況下對流量進行過濾.現有針對加密流量的DDoS檢測方案[15]主要是引入第三方檢測代理，即為了保護云租戶不被外來惡意流量攻擊，待防護的HTTPS業務需要將證書和解密的私鑰交給代理方.然而，在上述機制下，云客戶端和服務器的通信內容在代理方是明文，意味著非攻擊流量中包含的用戶敏感信息存在被泄露的風險.因此，仍需要不需解密即可完成檢測的DDoS攻擊發現方案.

為此，本文提出一種云環境下基于信任的加密流量DDoS發現方法TruCTCloud,該方法在現有基于機器學習的DDoS檢測中引入信任的思想，結合云服務自身的安全認證，融入基于簽名和環境因素的信任評估機制過濾掉合法租戶的顯然非攻擊流量，在無需對加密流量解密的前提下保護合法租戶流量中包含的敏感信息.其后，對于其他加密流量和非加密流量，改進特征提取方法，在流包數中位值、流字節數中位值、對流比3種常見特征上增加對端口特征和源IP增速特征的檢測，并基于上述特征構建Ball-tree結構，并基于Ball-tree結構改進k近鄰算法實現對流量進行分類，提升檢測的效率和準確率.最后，基于OpenStack云平臺對提出方法進行了實驗檢驗.實驗結果表明:本文提出方法能夠快速發現異常流量和識別DDoS攻擊的早期流量，同時，能夠有效保護合法用戶的敏感流量信息.

與現有工作相比，本文提出的TruCTCloud方法具有3個創新點：

1) 在DDoS流量發現過程中引入信任過濾思想，基于信任評估機制先過濾掉云環境中的顯然非攻擊流量，可降低DDoS流量監測時的資源消耗，提升檢測效率，減少檢測對云服務器帶來的負擔.

2) 提出融合用戶身份認證和環境相關信息的信任評估機制，基于環境信息和身份信息為用戶進行信任度的評價，實現了對合法租戶敏感流量信息的保護.

3) 基于NSL-KDD數據集[16]對TruCTCloud中基于Ball-treekNN的DDoS攻擊檢測算法進行了實驗檢驗，實驗結果表明其可將檢測準確率提升至98.3%，與已有基于SVM、決策樹和隨機森林的檢測算法相比,具有較好的DDoS攻擊發現效果.特別是與傳統kNN算法相比準確率有明顯提高.

1 相關工作

傳統網絡的3類DDoS攻擊發現方法中，DDoS攻擊誤用檢測方法需事先收集DDoS攻擊的各種特征，然后將當前網絡中數據包特征與攻擊特征進行比較以發現DDoS攻擊，常見方案包括特征匹配、模型推理、狀態轉換和專家系統等.DDoS攻擊異常檢測是通過構建異常行為模型，確定系統的正常模式，當檢測到的異常行為超過預先設定的閥值時即判斷系統進入異常，常見方案包括統計檢測、模式預測等.

近年來，隨著機器學習算法的快速發展，國內外一些學者已對基于機器學習的DDoS攻擊發現進行了深入研究，并將kNN、SVM、隱Markov、神經網絡等多種機器學習算法逐步應用于DDoS流量分類上[4-14]，以提升DDoS攻擊異常檢測的效率和準確性.例如，Lin等人[4]提出通過抽取TCPIP包頭中的標志位和ID字段構成多維觀測特征，采用多數據流隱Markov模型在源端檢測DDoS攻擊.張龍等人[5]提出通過比較源IP地址信息熵與門限值發現可疑流量，并通過檢查這些可疑流量對應的主機，判斷是否針對特定主機發出的請求來進行DDoS攻擊檢測，然而上述工作主要用于非加密流量的檢測，無法用于云環境下的加密流量DDoS攻擊檢測.

當前，加密流量DDoS檢測也日漸得到重視[6,15,17-19].例如，Zhu等人[6]提出了云環境下基于軟件定義網絡(software defined networking， SDN)架構的DDoS跨域隱私保護方案，試圖解決多個網絡域環境下的加密流量DDoS檢測問題.Gilad等人[15]提出基于Cookie的身份認證機制，用于在HTTP明文中鑒別正常流量和異常流量.Zolotukhin等人[19]借助堆棧進行會話分析對加密流量進行不解密檢測，但由于需要先對用戶行為進行建模，存在計算消耗大、檢測效率低的問題.為應對潛在DDoS攻擊帶來的安全隱患，主流的AWS、阿里云、騰訊云等第三方云服務商也在提供針對DDoS攻擊的信息安全處理服務.例如，阿里云[20]和騰訊云[21]等主要支持對非加密流量的DDoS攻擊檢測，即對于加密流量，通常需要云租戶先提供由認證機構(certificate authority， CA)頒發的數字證書，然后云服務商利用證書中的密鑰對流量進行解密后再進行攻擊檢測.然而，云環境下對加密流量先解密后檢測的DDoS發現方案，除了效率較低以外，易帶來非攻擊流量中合法租戶敏感信息被泄露的新安全風險.

總而言之，云環境下的DDoS攻擊發現仍需要解決如何對合法租戶加密流量中攜帶的敏感信息進行有效保護的問題.

2 問題描述

在通常的云服務場景中，外來請求都是通過云服務商提供的網關向云服務器轉發流量的，如圖1所示，不論是加密的流量還是未加密的流量都將通過網關向云服務器發起訪問.在這樣的場景下，來自外部的攻擊者可以很容易對網關發起未加密流量和加密流量的攻擊請求，最終使云服務器宕機，導致云服務不可用.因此，需要對云環境下的DDoS攻擊進行有效檢測和發現以保障云服務安全.

Fig. 1 DDoS attack scenario in cloud environment圖1 云環境下DDoS攻擊場景

目前，對于加密流量，云服務商通常要求云租戶上傳加密證書和憑證對流量解密后才檢測.那么對于那些具有較高隱私保護需求的合法用戶，如果其足夠可信，則其發送的流量對云服務也應該可信，那么可通過直接過濾掉明顯可信的非攻擊流量以避免解密檢測時會引發敏感信息泄露等問題.為了判斷并建立信任關系，需要增加信任評估功能，通過計算信任度的方式判斷流量的可信程度.

此外，在上述場景中，傳統的檢測手段檢測效率和準確率相對較低，因此需要引入機器學習算法來進行DDoS攻擊檢測.機器學習常常被用于大規模網絡的DDoS檢測，通常需要在網絡中部署DDoS攻擊檢測組件來發現潛在的DDoS攻擊.因為kNN方法[22]具有易理解、精度高和理論成熟的優勢，所以本文使用kNN算法對流量進行檢測分類.然而，由于傳統的kNN算法在高維情況下存在檢測率和效率低的問題，為此，本文在引入新的流量特征以后，提出構建訓練集流量特征的球樹(Ball-tree)，進而改進傳統的kNN算法設計和實現基于Ball-treekNN的DDoS攻擊檢測算法.

3 TruCTCloud方法設計

3.1 工作原理

針對第2節所述的應用場景，本文提出一種云環境下基于信任的加密流量DDoS發現方法TruCTCloud.該方法是一種在云環境下支持加密流量隱私保護的DDoS發現方法，旨在防范不安全的流量攻擊目標主機的網絡和資源.該方法基于信任原則，引入信任度評估，并對現有的機器學習算法進行了改進.云服務提供方將已知的合法用戶加入到它的信任列表中，為合法用戶標記身份.當訪問的流量為加密流量時，TruCTCloud將通過訪問中攜帶的信任度參數判定是否為可信訪問，當信任度評估通過時，信任過濾機制將啟動，即認為該用戶可信并允許流量通過.這樣就無需經過解密來檢查已知用戶的流量，保護合法租戶流量中包含的敏感信息.

TruCTCloud功能主要由TruCTCloud代理服務器實現，TruCTCloud代理服務器部署在用戶與網關之間，其架構如圖2所示:

Fig. 2 TruCTCloud framework圖2 TruCTCloud框架

TruCTCloud代理服務器上主要部署了流量采集模塊、信任過濾模塊和DDoS攻擊檢測模塊.

1) 流量采集模塊.監控來自客戶端的流量速率，當流量超過一定數值的時候，即便是來自經過認證的用戶的訪問請求，也將會被代理服務器切斷.流量采集模塊將生成流表數據，其將加密流量交給信任過濾模塊處理，將未加密流量直接交給攻擊檢測模塊處理.

2) 信任過濾模塊.結合云服務提供方自身的安全認證，采用基于簽名和環境因素的信任評估機制，對加密流量的發送方進行統一評估，若信任評估未通過，則將流量轉發至攻擊檢測模塊，進行下一步處理.在這個過程中，該模塊全程對流量內容不知情，保證合法用戶與服務器之間的通信不被窺視.

3) 攻擊檢測模塊.針對未通過信任過濾模塊認證的加密流量和未加密流量，提取流包數中位值、流字節數中位值、對流比、端口增速、源IP增速等流特征，基于特征構建Ball-tree數據結構，基于Ball-tree改進傳統kNN算法，通過和收集的流量數據進行訓練，實現流量分類.攻擊檢測模塊由流特征提取、流量分類2部分組成.

TruCTCloud方法的工作流程如圖3所示：當流量被重定向至TruCTCloud代理服務器后，首先經由流量采集模塊，將流量區分為加密流量和非加密流量，再分別轉發至信任過濾模塊和攻擊檢測模塊，信任過濾模塊將通過計算信任度來決定流量是否能夠通過.若評估未通過則將流量轉至攻擊檢測模塊.攻擊檢測模塊會借鑒機器學習的思想，通過對流量進行檢測分類，判定是否存在DDoS攻擊，若存在DDoS攻擊，則截斷該流量.

Fig. 3 Workflow of TruCTCloud圖3 TruCTCloud的工作流程

3.2 流量采集

流量采集組件部署在TruCTCloud服務器上，用于收集并采樣未通過信任過濾的加密流量和非加密協議的流量.流量采集模塊主要通過sFlow協議來實現對流量的采樣，在指定端口上按照特定的采樣方向和采樣比對報文進行采樣分析，作為信任過濾和流特征提取的輸入內容.獲取流表的時間間隔要保證適中，如果時間間隔過長可能會使檢測模塊在發現DDoS攻擊前，服務器網絡就因受到攻擊而癱瘓，而時間間隔太短，則會導致檢測模塊過載.采集的流量格式如圖4所示:

Fig. 4 Traffic data format圖4 流量數據格式

圖4中，“以太網報頭”是協議數據包的包頭，由對報文進行Ethernet解析后所得；“IPV4數據”是解析報文后得到的IPV4信息；“擴展的用戶數據”中包含后續信任過濾所需要的用戶令牌和簽名信息；“擴展的URL數據”包含后續信任過濾所需要的環境參數信息；“原始數據包”包含原始報文信息，用于流特征的提取和分類.提取流量的具體示例為：

Datagram version:5

NumSamples:7

Mac data:BC:40:88:EF:66:E6

IPV4 data

IP protocol:UDP

Source IP address:172.16.0.112(172.16.0.112)

Destination IP address:201.8.201.24(201.8.201.24)

Source port:10431

Destination port:11273

DataSize:1123 KB

URL

3.3 信任過濾

信任過濾模塊主要部署于TruCTCloud代理服務器上，將對加密流量的可信程度進行測算.如何判斷加密流量的可信是信任過濾模塊的核心，通過對其發送者進行信任度評估實現.由于信任過濾模塊將會對訪問用戶的身份進行簽名認證且基于環境和設備信息對用戶進行信任評估，故當信任度達標時，訪問用戶的身份可信程度是較高的，誤判的可能性較低，將默認該發送者的流量內容也是可信的，不需要進行進一步檢測即可放行；若信任度并未達標，那不論該流量是否為異常流量，均對其標識為存疑，轉發至攻擊檢測模塊繼續評估.這樣的規則不僅能確保云租戶的敏感信息，也可以降低DDoS攻擊檢測的開銷.

本文提出的信任過濾方案是基于對用戶身份的認證和環境條件的評估判定用戶信任度的，用戶信任度的取值范圍為[0,1].信任度計算考慮了簽名信息和環境信息.簽名信息從流量中統一資源定位符(uniform resource locator， URL)的加密簽名字符串中獲取，包含簽名簽發時間、時間戳和用戶身份信息.環境信息包含用戶的IP地址和媒體存取控制地址(media access control address， MAC)等設備和位置信息.

一方面，記TS為簽名通過函數，只有0(驗證失敗)和1(驗證成功)兩個取值.

另一方面，基于用戶訪問的次數，設置訪問頻率函數，用于對用戶環境熟悉程度的信任評估.例如，如果用戶使用相同的設備和IP對云服務進行訪問，相對于來自陌生環境的用戶，他更加應被信任.訪問頻率函數為

H(k)=H(k-1)+1/L,

其中，L為訪問頻次參數，用戶的訪問次數k將從用戶第1次訪問開始累計，達到設定L次將被清空.

進一步，設置信任系數和存疑系數用于對不同次數訪問的信任度值進行評估.

信任系數為

其中，p(k)是每次訪問時的信任賦值.當發現用戶此次的訪問環境和上次相同時，p(k)=1；當發現用戶此次的訪問環境和上次不相同時，定義n為用戶不同歷史訪問環境的總數，若與某次歷史訪問的環境相同，則p(k)=1n，若與歷史訪問環境無重合，則p(k)=0.信任系數P是p(k)與訪問頻率函數乘積的累加，若用戶的正常訪問在相同環境的情況越多，其訪問的可信程度越高.

存疑系數為

其中，f(k)是每次訪問時的存疑賦值.當發現用戶此次的訪問環境和上次不同時，若此次的訪問環境與歷史環境無重合，則f(k)=1；若與某次歷史訪問的環境相同，則f(k)=(n-1)n；當發現用戶此次的訪問環境和上次相同時，f(k)=0.存疑系數為f(k)與訪問頻率函數乘積的累加，其表示若用戶的訪問環境經常發生變動，其訪問的存疑程度越高.

最終，用戶信任度為

其中，TS為簽名通過函數值，P為信任系數，F為存疑系數.

簽名信息和環境信息將使用Base64算法進行加密，Base64是目前AWS、阿里云等主流云平臺廣泛使用并支持的簽名信息加密方法.具體流程為：上述信息由流量采集模塊采樣流量信息并傳輸至信任過濾模塊，信任過濾模塊將先驗證簽名信息的真偽，并對本次訪問環境信息和上一次訪問時的環境信息進行比較，如果環境信息比較的結果相同，則信任度值隨之增加；如果環境信息發生改變，則信任度值也相應降低.

信任過濾算法如算法1所示，其中L存放在訪問記錄表LList里.

算法1.信任過濾算法.

輸入：加密流量Inflow、訪問記錄表LList;

輸出：被信任的加密流量TrustedFlow、訪問記錄表LList.

① 輸入Inflow;

② 提取簽名信息signature;

③ 解密簽名信息signature并獲取令牌token;

④ iftoken驗證為假

⑤ returnTS=0;

⑥ elseTS=1;

⑦ end if

⑧ 從LList中獲取訪問次數L;

⑨ 設置k的值為L;

⑩ 獲取環境信息environmentinfo;

3.4 DDoS攻擊檢測

DDoS攻擊檢測模塊將對流量采集模塊處理的未加密流量和未通過信任過濾模塊的加密流量進行分類檢測.DDoS攻擊檢測模塊由流特征提取、流量分類2個部分構成.

1) 流特征提取

根據云環境下DDoS攻擊所呈現的流量數據異常的特征，TruCTCloud方法將對收集到的流量樣本進行處理，生成流量特征五元組用于下一步流量分類檢測.由于DDoS攻擊常常會帶來流量大小的變化和IP端口訪問的變化，故提取流包數中位值、流字節數中位值、對流比、端口增速、源IP增速5個特征作為流量檢測樣本的訓練參數.其中，流包數中位值、流字節數中位值、對流比由參考文獻[23]給出，考慮到云環境下攻擊規模增大會導致攻擊者的攻擊來源變廣，攻擊的端口也大大增多，這意味著端口和IP的增速變化將會更為明顯，為此，本文引入端口增速、源IP增速作為新的流特征.下面分別給出5個特征的計算公式.

流包數中位值(flow median-value of packets, FMP)：

(1)

其中，m為流量樣本個數，Xi(i=0,1,…,m)為流量樣本中按流數據包數由小到大排列的第i位流數據包數.

流字節數中位值(flow median-value of bytes， FMB)：

(2)

其中，m為流量樣本個數，Yj(j=0,1,…,m)為流量樣本中按流字節數由小到大排列的第j位流字節數.

在云環境下，正常訪問的流量是為了向云服務器獲取云服務，因此訪問地址與目的地址具有交互性.假設流A為從訪問發起方到目標方的數據流，流B為反向的數據流，那么A與B為一對交互流.

對流比(percentage of correlate flow， PCF)：

CPCF=2×PairFlowNflowN，

(3)

其中，PairFlowN為交互流的對數，flowN為總的流數量.

DDoS的攻擊者通常使用隨機生成的端口號對受害服務器進行攻擊，因此當攻擊發生時，訪問被攻擊主機的不同端口的增速會迅速增大.因此可選擇固定時間段內端口的增量作為流量特征.

端口增速(port growth rate， PGR)：

CPGR=PortNtime，

(4)

其中，PortN為端口增量，time為設置的時間段.

同時，DDoS的攻擊者通常使用隨機生成的IP地址欺騙受害服務器，因此當攻擊發生時，訪問被攻擊主機的源IP地址增速會迅速增大.因此選擇固定時間段內源IP的增量作為流量特征.

源IP增速(source IP growth rate， SIPGR)：

CSIPGR=IPSourceNtime,

(5)

其中，IPSourceN為源IP增量，time為設置的時間段.

2) 流量分類

流量分類將使用經過流特征提取得到的5個特征生成流量特征五元組進行分類檢測，進而識別流量是否正常.針對已有基于kNN的DDoS攻擊檢測方法在高維情況下存在檢測率和效率低的問題[6]，而云環境下的網絡流量涉及的端口協議參數等數據具有高維特征，為此，本文所提的TruCTCloud方法引入Ball-tree數據結構來存放訓練樣本的特征五元組，通過對存放流量參數的數據結構改進來提高傳統kNN算法的檢測效率.即在輸入訓練樣本的特征數據后，根據Ball-tree結構建樹，基于該樹進行訓練，根據訓練結果對后續輸入的流量進行分類.算法2給出本文提出的TruCTCloud方法中基于Ball-treekNN的DDoS攻擊檢測具體步驟.

算法2.基于Ball-treekNN的DDoS攻擊檢測算法.

輸入：流量特征的五元組訓練集DataT(帶分類標簽)、流量特征的五元檢測集Instance;

輸出：正常流量集normalFlow、異常流量集abnormalFlow.

① 輸入訓練集DataT;

②S=get_array(DataT);*DataT中的元是流包數中位值、流字節數中位值、對流比、端口增速、源IP增速特征值*

③ 構建Balltree(S,5)：

④ if |S|

⑤ stop;

⑥ end if

⑦ 隨機選取x0∈S;

⑩ ?i=1,2,…,5,ai=(x1-x2)Txi;

center);*計算球樹半徑*

normal);

abnormal);

4 實驗評估

4.1 實驗環境

本文搭建了基于OpenStack的云計算平臺作為實驗環境，實驗中一共使用4臺物理機，其中1臺物理機作為控制節點，1臺物理機作為網絡節點，2臺物理機作為計算節點.

實驗拓撲如圖5所示，其中網絡節點為網關；計算節點1部署的2臺虛擬機中，虛擬機H1模擬合法客戶端，虛擬機H2模擬攻擊者；計算節點2模擬云服務器；控制節點上部署TruCTCloud代理服務器.圖6為TruCTCloud方法部署時各節點之間的時序圖.

Fig. 5 Experimental topology based on OpenStack圖5 基于OpenStack的實驗拓撲

Fig. 6 Nodes interaction in TruCTCloud圖6 TruCTCloud中的節點交互

4.2 攻擊檢測準確率和誤報率

本實驗使用NSL-KDD數據集[16].NSL-KDD數據集是一種在DDoS攻擊檢測中廣泛使用的數據集，其包含流量特征五元組所需的流量信息.

本文采用常見的入侵檢測指標DDoS攻擊檢測準確率和誤報率去評估所提出方法的DDoS攻擊發現效果.DDoS攻擊檢測準確率(AC)和誤報率(FAR)分別為

AC=TN(TN+FN)，
FAR=FP(TP+FP)，

其中，TP表示正確標記的正常流量，TN表示被正確標記的攻擊流量；FP表示誤報的正常流量，FN表示被錯誤標記的異常流量.

基于機器學習的非加密流量檢測是當前主流的DDoS檢測技術，現有的加密流量檢測如文獻[15]、阿里云[20]和騰訊云[21]等均是先將加密流量進行解密,再對非加密流量進行檢測，這意味著其檢測效果等同于直接對非加密流量進行檢測，因此，本文主要將提出方法與基于機器學習的DDoS檢測方案進行實驗比較.具體地，將本文提出方法中基于Ball-treekNN的DDoS攻擊檢測算法與基于kNN、SVM、決策樹(decision tree)和隨機森林(random forest，RF)的DDoS檢測算法進行了實驗比較.

圖7給出了5種不同檢測算法的DDoS攻擊檢測準確率實驗結果，其中，橫軸表示樣本數量，縱軸為DDoS攻擊檢測準確率.結果表明：本文的基于Ball-treekNN的DDoS攻擊檢測算法在準確率上要高于基于kNN,SVM,Decision Tree,RF的檢測算法，并且隨著樣本規模的增加，準確率提升更明顯.

圖8給出了5種不同檢測算法DDoS攻擊檢測誤報率的實驗結果，其中，橫軸表示樣本數量，縱軸為DDoS攻擊檢測誤報率.結果表明：隨著樣本增大，5種檢測算法的誤報率均會增加，但是本文的基于Ball-treekNN的DDoS攻擊檢測算法在誤報率上要低于基于kNN,SVM,Decision Tree,RF的檢測算法.

Fig. 7 Comparison of attack detection accuracy among five DDoS detection algorithms圖7 基于5種DDoS攻擊檢測算法針對不同樣本規模的檢測準確率比較

Fig. 8 Comparison of false alarm rate of attack detection among five DDoS detection algorithms圖8 基于5種DDoS攻擊檢測算法針對不同樣本規模的檢測誤報率比較

綜上，由于本文提出TruCTCloud方法使用Ball-tree結構改進了傳統的kNN算法，因而，對比傳統的基于kNN,SVM,Decision Tree,RF算法的DDoS檢測方法具有更高的檢測準確率和更低的誤報率，并且隨著樣本規模的增加，準確率提升明顯.

4.3 信任過濾性能

本實驗通過比較關閉信任過濾模塊和開啟信任過濾模塊時的服務器CPU利用率，來評估本文提出方法TruCTCloud是否會給DDoS攻擊發現帶來性能效率提升，即是否降低DDoS發現的系統開銷.分別在開啟和關閉信任過濾模塊的狀態下進行了100次測試，實驗結果如圖9所示，信任過濾開啟后的平均CPU利用率為28.3%，關閉時的平均利用率為33.2%，這說明信任過濾功能可降低4.9%的CPU利用率，提升了TruCTCloud方法的性能，減少了DDoS攻擊發現的資源開銷.

Fig. 9 Comparison of CPU utilization in DDoS attack detection with trust filtering and without trust filtering圖9 開啟和關閉信任過濾模塊下DDoS攻擊發現CPU利用率比較

4.4 對合法文件傳輸的影響

本實驗通過比較部署TruCTCloud和未部署TruCTCloud這2種環境下云服務器對合法客戶文件傳輸請求的訪問響應時間，來測試本文提出方法TruCTCloud對云服務性能的影響.分別統計了合法客戶端向云服務器請求傳輸500 KB,1 MB,2 MB文件的響應時間，并且對于不同大小的文件均進行了200輪實驗，實驗結果如圖10～12所示.

基于圖10～12的數據，我們進一步計算了200輪實驗中不同文件大小在部署TruCTCloud方法和未部署TruCTCloud方法的平均響應時間(average response time)，得到部署TruCTCloud方法后和部署前的相對延遲時間(relative latency response time)，即部署TruCTCloud后比未部署時多出的響應時間.同時，通過統計部署TruCTCloud方法和未部署TruCTCloud方法平均響應時間的差值占未部署TruCTCloud響應時間的百分比來計算部署TruCTCloud方法后帶來的額外開銷(additional overhead).如表1所示，當文件大小相對較小時，部署TruCTCloud方法帶來的額外開銷會相對大一些，但隨著文件大小的增加，額外開銷所占時間比會隨之減小.此外，TruCTCloud部署帶來的相對響應延遲時間在0.02～0.03 s之間，這對于合法用戶帶來的影響可以忽略不計.

Fig. 10 Transmission response time of 500KB files without TruCTCloud and with TruCTCloud圖10 未部署和部署TruCTCloud時500 KB文件傳輸響應時間

Fig. 11 Transmission response time of 1 MB files without TruCTCloud and with TruCTCloud圖11 未部署和部署TruCTCloud時1 MB文件傳輸響應時間

Fig. 12 Transmission response time of 2 MB files without TruCTCloud and with TruCTCloud圖12 未部署和部署TruCTCloud時2 MB文件傳輸響應時間

Table 1 Comparison of Response Time and AdditionalOverhead at Different File Sizes

5 結論和下一步工作

本文提出了一種云環境下基于信任的加密流量DDoS攻擊發現方法TruCTCloud.該方法提出融合用戶身份認證和環境相關信息的信任評估機制，基于信任評估機制先過濾掉云環境中的顯然非攻擊流量，實現了對合法租戶敏感流量信息的保護.同時，引入流包數中位值、流字節數中位值、對流比、端口增速、源IP增速5種流特征，基于流特征構建Ball-tree，并基于Ball-tree結構改進傳統kNN算法實現DDoS攻擊流量的分類檢測.最后通過實驗分析本文提出方法的有效性.實驗結果表明:本文提出方法可將DDoS攻擊檢測準確率提升至98.3%，與現有檢測算法相比，具有更好的DDoS攻擊發現效果.同時，由于引入了信任過濾，可實現對合法租戶敏感流量信息的保護.

本文提出方法引入了基于用戶身份認證和環境相關信息的信任評估機制，其中信任度計算初值的定義和獲取仍是一個難題，下一步會對信任評估方法進行優化，提出支持更多環境和屬性信息的細粒度信任度計算方法.此外，當前主要考慮了端口增速、源IP增速等5類特征，后續可繼續挖掘惡意流量特征以進一步提高DDoS攻擊的發現效率.