DDoS攻擊惡意行為知識庫構建

劉飛揚，李坤，宋飛，周華春

DDoS攻擊惡意行為知識庫構建

劉飛揚，李坤，宋飛，周華春

（北京交通大學電子信息工程學院，北京 100044）

針對分布式拒絕服務（distributed denial of service，DDoS）網絡攻擊知識庫研究不足的問題，提出了DDoS攻擊惡意行為知識庫的構建方法。該知識庫基于知識圖譜構建，包含惡意流量檢測庫和網絡安全知識庫兩部分：惡意流量檢測庫對DDoS攻擊引發的惡意流量進行檢測并分類；網絡安全知識庫從流量特征和攻擊框架對DDoS攻擊惡意行為建模，并對惡意行為進行推理、溯源和反饋。在此基礎上基于DDoS開放威脅信號（DDoS open threat signaling，DOTS）協議搭建分布式知識庫，實現分布式節點間的數據傳輸、DDoS攻擊防御與惡意流量緩解功能。實驗結果表明，DDoS攻擊惡意行為知識庫能在多個網關處有效檢測和緩解DDoS攻擊引發的惡意流量，并具備分布式知識庫間的知識更新和推理功能，表現出良好的可擴展性。

DDoS；分布式；知識圖譜；惡意行為知識庫

1 引言

分布式拒絕服務（distributed denial of service，DDoS）是目前針對網絡應用程序最具破壞力的攻擊之一[1]。5G支持的海量終端設備接入使其受到的安全威脅進一步提升。為了應對不斷發展的網絡攻擊，設計了一系列的網絡安全數據集，如KDDCup99、NSL-KDD、UNSW-NB15、CICDDoS2019等，這些數據集為了反映現實網絡的復雜性，都設計成包含正常數據和異常數據的綜合數據集，但仍存在不足之處：這些數據集都以流量數據的形式存儲，淡化了網絡實體間的關系，難以描述網絡攻擊者的攻擊行為和特征。因此，如何將網絡現有的海量數據與知識進行規范化和集成化，設計出一個針對DDoS網絡攻擊的知識庫成為了亟待解決的問題。

目前DDoS攻擊檢測方法主要有兩種：一種是基于機器學習和神經網絡的攻擊檢測方法[2]，通過分析正常流量與攻擊流量在特征方面的差異來檢測攻擊；另一種是基于統計的檢測方法[3]，對正常的網絡流量進行建模，通過對比當前網絡流量與正常流量模型之間的相似程度來檢測攻擊。現有的這些方法或基于已有的數據集檢測算法，或利用常規統計模型，難以適應不斷變化的DDoS攻擊，并需要隨攻擊的變化調整模型和閾值等參數，難以動態適配網絡攻擊的變化。

網絡攻擊呈現復雜化和組合化的趨勢，傳統的流量信息難以適用于網絡攻擊的分析，因此需要結構化的知識體系描繪網絡攻擊的特征和屬性，對網絡攻擊進行實體關系建模。隨著網絡知識呈指數增長，越來越多的研究人員開始使用知識圖譜管理這些知識[4]。知識圖譜將人類知識結構化形成系統，其中包含基本的知識、通用的規則以及其他結構化的信息，具有信息檢索、推演決策等功能。從結構上看，知識圖譜就是“實體?關系?實體”的三元組組成的一種帶標記的有向屬性圖形。因其優秀的檢索功能、高效的結構化存儲功能、自適應的更新功能等特點受到了研究人員的關注。但現有的網絡安全知識庫，例如攻擊類型枚舉和分類數據庫（common attack pattern enumeration and classification，CAPEC）、通用漏洞披露（common vulnerabilities andexposures，CVE）和常見缺陷列表（common weakness enumeration，CWE）等[5]關于DDoS攻擊的記錄較少。此外，關于分布式知識庫的構建研究則更少。因此上述知識庫面對海量知識表現出交叉的擴展性，無法提供系統的DDoS攻擊知識。

為檢測并緩解DDoS攻擊，需要有不斷更新的知識來做支撐。因此，本文基于知識圖譜的概念構建了DDoS攻擊惡意行為知識庫。該知識庫以知識圖譜的形式存儲了DDoS攻擊行為的各種特征以及第三方數據庫中的知識，并構建了一套知識庫更新、推理和反饋的系統，用于在復雜多變的網絡環境下的多個網關處識別出攻擊者行為，提供緩解措施，降低DDoS攻擊引發的惡意流量強度。

本文的主要貢獻有以下3點。

（1）提出DDoS攻擊惡意行為知識庫模型，設計5種知識圖譜的數據結構模型，導入結構化數據構建DDoS攻擊惡意行為知識庫。

（2）設計知識圖譜間交互接口，實現圖譜數據傳輸、更新、推理和反饋功能；結合圖數據庫構建知識圖譜實現可視化表達與查詢功能。

（3）基于分布式拒絕服務開放威脅信號（DDoS open threat signaling，DOTS）協議構建分布式知識庫，實現知識庫間通信，并探討了分布式知識庫在惡意流量檢測與防御方面的應用場景。

2 研究現狀

近些年將機器學習運用到DDoS攻擊檢測的研究取得了很多進展[6]，相比之下，利用知識圖譜技術構建知識庫檢測DDoS攻擊以及面向DDoS攻擊的分布式知識庫構建的研究還處于初級階段。

在網絡安全知識圖譜構建方向有很多研究。在網絡安全本體構建方面，文獻[7]闡述了一個分層次、由許多模塊化子本體組成的網絡安全本體論，從抽象到具體地分為了上層、中層和領域本體。文章提出了分層的本體框架，但并未具體定義領域本體中的概念。在知識推理方面，文獻[8]論述了知識圖譜的3類推理方法：基于規則的推理、基于分布式表示的推理和基于神經網絡的推理，同時還探討了知識圖譜推理的問答、查詢和關聯分析的應用場景。在知識圖譜可視化方面，文獻[9]闡述了知識圖譜可視表達的4種基本方法：空間填充、節點鏈接圖、熱圖和鄰接矩陣，并從數據檢索、圖構建、度量計算、布局和渲染5個階段說明了大規模知識圖譜可視化的方法。在DDoS攻擊檢測方面，文獻[10]將知識圖譜應用在DDoS檢測中，從網絡流量中抽取信息構成知識圖譜，利用知識圖譜描述兩個主機之間的交互關系，然后通過對關系的分析檢測出DDoS攻擊源。

上述文獻大多構建了新的網絡安全本體和網絡安全框架，并按照從網絡安全知識圖譜子系統到可視化子系統的順序構建，缺乏在特定領域的適用性，因此對DDoS攻擊這種需要對流量數據分析的模型沒有很好地適配，針對DDoS攻擊的知識圖譜和知識庫框架需要從流量數據開始分析建模。

此外，各種與網絡安全知識圖譜相關的平臺也逐漸受到網絡安全人員的關注。開放網絡威脅情報平臺（open cyber threat intelligence platform，OpenCTI）是一個開源平臺，其基于結構化威脅信息表達（structured threat information expression，STIX）標準和攻擊行為知識庫模型（adversarial tactics, techniques, and common knowledge，ATT&CK）框架開發了網絡威脅情報知識和可觀察量，目的在于構造、存儲、組織與可視化有關網絡威脅情報的技術和非技術信息；開源威脅情報共享平臺（malware information sharing platform，MISP）是一種開源軟件，用于收集、存儲、分發和共享有關網絡安全事件分析和惡意軟件分析的網絡安全指標和威脅。但其數據導入受限于STIX2.0標準格式，并且其本體面向較高層的網絡安全范疇，并未涉及底層的數據包數據等信息；而圖數據庫Neo4j[11]具有高性能的圖引擎，能夠快速構建知識圖譜，支持多種格式的數據導入和導出，是目前知識庫圖譜可視化使用最廣泛的平臺，因此將其作為本文的知識圖譜構建工具。

目前的網絡安全知識圖譜和知識庫構建工作大多集中在單點部署方案，無法適用大型網絡結構。而分布式系統因其開放和靈活的體系結構等特點成為了現在網絡的通用設計方案。分布式數據庫擁有強大的可擴展性和透明性，能有效地提高數據傳輸的效率，同時緩解單個數據庫的負載[12]。分布式數據庫主要性能優化在于每個數據庫可以存儲相對較少的數據，執行一部分的任務，相對于單個數據庫能夠減少數據查找和讀取時間，降低數據庫負荷；但分布式數據庫也存在數據庫之間通信不安全、數據傳輸效率低等問題，因此，選擇一種合適的安全傳輸協議是解決數據傳輸安全性的關鍵問題。

目前，DDoS檢測系統存在以下兩點不足。

（1）傳統檢測方法只針對一種或幾種DDoS攻擊進行檢測和分類，對細分類的DDoS攻擊的檢測和分類精確率不高；

（2）機器學習和神經網絡的方法難以感知真實的網絡結構與攻擊完整路徑，對于層出不窮的新型DDoS攻擊的檢測適配性較差。

針對以上不足，本文提出分布式DDoS攻擊惡意行為知識庫，其構建流程如圖1所示。基于集成學習和神經網絡等算法對細分類的DDoS攻擊進行特征提取和檢測，生成存儲檢測DDoS攻擊結果的惡意流量檢測庫；分析DDoS攻擊的路徑和特征，構建行為知識圖譜攻擊行為庫，并基于圖算法、聚類算法以及攻擊溯源推理等方法實現惡意行為感知和分類，構建網絡安全知識庫；基于DOTS協議構建分布式知識庫，實現分布式節點間的知識更新和交互功能，通過實驗驗證分布式知識庫的數據傳輸性能和對DDoS檢測的能效，并對知識庫應用場景進行了設想。

圖1 分布式DDoS攻擊惡意行為知識庫構建流程

3 知識庫構建

DDoS攻擊惡意行為知識庫結構如圖2所示，由惡意流量檢測庫和網絡安全知識庫兩部分組成。惡意流量檢測庫用于收集和存儲來自檢測模塊的不同種類DDoS攻擊流量數據，為網絡安全知識庫提供結構化的數據；網絡安全知識庫負責收集第三方異構數據庫、構建網絡攻擊行為庫、知識圖譜推理、知識庫反饋等工作[13]。

DDoS攻擊惡意行為知識庫基于知識圖譜構建，以三元組的形式構建，如式（1）所示。

其中，表示知識圖譜中實體的集合，是知識圖譜存儲對象的具體表示，共包含i種不同的實體；表示知識圖譜中關系的集合，是知識圖譜關聯對象的具體表示，共包含j種不同的關系；表示知識圖譜中屬性的集合，是知識圖譜存儲數據的具體表示，每種實體e或關系p都可能擁有不同的n個屬性。

3.1 惡意流量檢測庫

惡意流量檢測庫收集并存儲原型系統中生成的實驗數據，包括正常流量、DDoS攻擊惡意流量、真實標簽和預測標簽，并對同一流量的數據和標簽進行整合，生成帶有兩種標簽的流量數據。

惡意流量檢測庫以知識圖譜的形式存儲惡意流量數據并構建檢測圖譜，其圖譜三元組構成見表1。知識圖譜主要由實體、關系和屬性3部分組成，實體是最主要的元素，代表數據的集合體；屬性包含屬性名稱和屬性值，屬性名稱代表對象具有的特點和特征，屬性值為對應屬性所指定的值；關系用于連接兩個實體，代表實體之間的關聯性。

表1 惡意流量檢測圖譜三元組構成

首先，經過檢測模塊的CICFlowMeter流量特征提取工具后生成84個流特征數據，檢測圖譜創建流量節點實體和攻擊類型實體，將84種流特征作為流量節點實體的屬性來存儲數據；然后，構建真實標簽和預測標簽來連接流量節點實體和攻擊類型實體。其中，真實標簽表示所連接的流量節點實體的真實攻擊類型；預測標簽表示所連接的流量節點實體通過檢測模塊檢測后被標記的攻擊類型。惡意流量檢測知識圖譜將數據存儲為實體的屬性并構建流量數據與攻擊類型之間的關系，用于統計和計算檢測模塊的檢測精確率，并向檢測模塊反饋檢測精確率較低的攻擊類型信息。

3.2 網絡安全知識庫

網絡安全知識庫是DDoS攻擊惡意行為知識庫中最為核心的部分，包含了數據源處理模塊、惡意行為知識庫構建模塊、行為推理模塊和行為反饋模塊，負責數據結構化處理、惡意行為知識圖譜構建、行為推理和反饋的工作。

數據處理模塊主要從與網絡安全相關的第三方數據庫獲取與DDoS攻擊相關的信息并整合為統一的結構化數據，作為網絡安全知識庫的數據補充和信息支持。

行為庫構建模塊基于DDoS攻擊的攻擊路徑、攻擊時序、攻擊流特征和攻擊行為分別構建了實體行為感知圖、惡意行為溯源圖、惡意行為特征圖和流量行為知識圖4張知識圖譜；并定義了圖譜之間的交互接口，實現數據的互通和輸入、輸出。

行為推理模塊利用圖推理算法和攻擊溯源推理算法對實體行為感知圖和惡意行為溯源圖進行推理，為攻擊主機溯源和攻擊主機位置感知提供依據；利用聚類算法對不同種類DDoS攻擊的特征進行篩選。

行為反饋模塊將4張知識圖譜輸出信息進行反饋，實體行為感知圖將網絡環境中的正常流量和攻擊流量一并反饋給檢測模塊進行DDoS攻擊的檢測；惡意行為特征圖將篩選過后的不同種類DDoS攻擊對應的特征反饋給檢測模塊以提高檢測精確率；惡意行為溯源圖接受檢測模塊檢測的DDoS攻擊信息，對攻擊進行溯源推理；流量行為知識圖則為整個知識庫提供相應的DDoS攻擊緩解措施等信息。

3.3 惡意行為知識圖譜

如圖3所示，構成惡意行為知識庫的4張知識圖譜有不同的功能，承擔不同的任務并能夠相互反饋、相互作用。

（1）流量行為知識圖

該圖主要負責惡意行為知識庫中第三方知識的存儲和更新，包含了網絡安全領域的各類攻擊庫、漏洞庫與弱點庫。將這些庫中的攻擊、漏洞和弱點統一格式化并相互關聯，從而形成流量行為感知圖。將不斷更新和豐富的第三方數據庫作為知識儲備，流量行為感知圖不僅能為惡意行為知識庫提供先驗的攻擊和漏洞知識，還能提供不同攻擊產生的后果影響以及針對不同攻擊的緩解措施，從而不斷更新和擴展惡意行為知識庫的知識，動態適配DDoS攻擊的快速變化。

圖3 惡意行為知識庫構建

（2）惡意行為特征圖

該圖主要負責DDoS攻擊的細致化分類和特征匹配，并能協助實現攻擊類型識別和攻擊路徑檢測等功能。該圖包含了5類DDoS攻擊、總計21種DDoS攻擊類型以及基于CICFlowMeter和統計方法提取的與21種攻擊類型有較高相關性的69種流量特征。作為DDoS攻擊類型和特征的映射圖，它能夠直觀地展示不同流量特征的重要性和不同DDoS攻擊類型的特征對應情況，并能通過特征篩選或中心度算法提取不同DDoS攻擊類型中影響力更大的流量特征，將這些特征反饋給檢測模塊以調整DDoS攻擊檢測策略，協助檢測模塊提升檢測能力。

（3）實體行為感知圖

該圖用于感知整個網絡的拓撲環境。海量設備的接入導致了網絡拓撲的復雜化，也為網絡攻擊分析提供了更多的信息。該圖存儲了網絡拓撲中連接到接入網關的各個主機的五元組信息。針對使用廣泛分布主機發起的DDoS攻擊，實體行為感知圖基于檢測模塊的反饋能夠快速定位攻擊主機的位置和該攻擊發起的方式、路徑等信息，從而指導惡意行為溯源等功能。

（4）惡意行為溯源圖

該圖主要負責攻擊的溯源工作。基于前3張圖譜中的反饋和檢測模塊的流量信息對攻擊進行溯源，該圖譜能夠發掘攻擊的完整路徑以及攻擊所使用的惡意操作和漏洞等信息。該圖譜包含了攻擊發起到結束時間段中攻擊主機和被攻擊主機的五元組信息和使用的攻擊類型等信息，使用這些信息模擬一次攻擊的全過程，然后對輸入的流量進行檢測，從而識別攻擊并溯源到攻擊發起的主機。通過檢測攻擊發起到結束的完整路徑，能夠指導攻擊防御軟件對攻擊路徑中的薄弱環節進行針對性打擊并采取相應的緩解措施降低后續的惡意流量強度。

上述4張知識圖譜都設計了專門的數據導入和導出接口實現圖譜間的數據交互。數據導入接口基于本知識圖譜特定的數據模型構建導入規則，將導入數據處理為結構化數據，使得導入的數據能正確地匹配知識圖譜的數據模型；數據導出接口基于本知識圖譜功能以及其他知識圖譜所需信息構建導出模型，與其他知識圖譜的數據導入接口對接，進而實現知識圖譜數據交互。

惡意行為知識庫的主體為上述4張知識圖譜及其接口構成的惡意行為知識圖譜。在數據層面上，4張圖譜包含了各自定義的數據結構以及基于數據結構存儲的結構化流量數據；在知識層面上，4張圖譜包含了DDoS攻擊在時間維度、空間維度和特征維度的多元信息。因此，基于上述知識圖譜構建的DDoS攻擊惡意行為知識庫能夠對DDoS攻擊進行全面的描述，進而防御和緩解DDoS攻擊產生的惡意流量。

3.3.1 流量行為知識圖

該圖譜基于惡意行為本體收集各類知識庫信息（ATT&CK、CAPEC、CNNVD、CWE等）作為惡意行為基礎知識的補充。其圖譜的三元組構成見表2。

表2 流量行為知識圖譜三元組構成

流量行為知識圖主要是第三方數據庫中的知識數據，包含各類攻擊庫，如ATT&CK、CAPEC以及各類枚舉庫，如CWE、CVE、國家信息安全漏洞庫（china national vulnerability database of information security，CNNVD）等。這些知識庫的構建依賴專家經驗、威脅情報的收集、驗證，所抽象的概念和關系是通用的建模基礎。

流量行為知識圖的構建能夠提供特定環境和場景（如DDoS攻擊）下惡意行為的關聯知識，評估惡意行為的影響范圍和深度，對這些惡意行為做出預警，并給出相應的緩解措施。這些第三方數據庫中也包含了很多相互關聯的信息，通過將第三方數據庫的知識數據抽取，導入數據庫中并構建知識圖譜，并通過關系推理的方式對知識圖進行擴展，從而構建成一個包含各種關聯的攻擊、漏洞的知識圖譜。

流量行為知識圖的數據導入接口從第三方數據庫獲取數據并修改數據結構以滿足該圖譜的導入規則；數據導出接口根據查詢對象輸出對應的攻擊、漏洞和弱點等信息。

3.3.2 惡意行為特征圖

該圖譜基于DDoS攻擊和惡意行為，通過流量特征提取工具CICFlowMeter轉換成的數據特征集，基于閾值或統計方法歸納影響各類攻擊的重要特征并存儲，是攻擊類型識別與攻擊路徑檢測的重要依據。其圖譜的三元組構成見表3。

表3 惡意行為特征圖譜三元組構成

惡意行為特征圖采用分級的方案將DDoS攻擊類型細分成五大類，總計21種DDoS攻擊類型，并通過統計方法確定DDoS攻擊與流量特征的對應關系，從而建立惡意行為特征圖。一方面展示了每種攻擊與具體流量特征種類之間存在關聯，另一方面體現了多種攻擊類型受一種流量特征的影響，簡化了流量特征的處理難度。此外，以ID為索引，在流量特征實體中存儲了每條流量的具體特征值，以用于基于特征的攻擊檢測等方案。

惡意行為特征圖的主要作用是統計21種DDoS攻擊類型所對應的流量特征，這些對應關系來自于惡意流量檢測庫，是使用機器學習閾值和多分類方法的結果。將這些對應關系作為先驗知識，運用統計方法檢測未標簽流量的攻擊類型。惡意行為特征圖是知識庫對DDoS攻擊惡意流量識別、歸類、響應和溯源的前提，應用已知的行為特征對輸入流量進行檢測識別，并調用流量行為知識圖中的攻擊和漏洞等信息，對檢測出的DDoS攻擊類型給出相應的緩解措施。檢測結果也能作為惡意行為溯源圖的推理依據，用于攻擊路徑的提取等。

惡意行為特征圖與檢測模塊直接相連，其數據導入接口用于導入DDoS攻擊類型與流量特征的對應關系；數據導出接口用于導出圖算法更新后的對應關系。

3.3.3 惡意行為溯源圖

該圖譜以知識圖譜的形式記錄一次攻擊發起到結束的過程，包含了攻擊者主機、被攻擊者主機、攻擊方式以及時間戳等實體。其圖譜的三元組構成見表4。

表4 惡意行為溯源圖譜三元組構成

惡意行為溯源圖主要作用是對引起惡意流量的攻擊行為進行追溯，追蹤攻擊數據的來源，定位攻擊者。惡意行為溯源圖中的IP地址、端口號、傳輸協議類型和時間段等信息作為溯源的樣本可以用來分析、挖掘攻擊源頭。惡意行為特征圖所提供的不同DDoS攻擊的流量特征和惡意流量檢測庫所提供的第三方知識數據也能作為惡意行為溯源圖的樣本，分析DDoS攻擊鏈利用的惡意操作和漏洞，從而更好地指導溯源圖進行攻擊行為的溯源。

惡意行為溯源圖的數據導入接口基于其他圖譜提供的攻擊方和被攻擊方具體信息，構建攻擊時序圖作為知識信息；數據導出接口根據需求選擇性導出攻擊方或被攻擊方的五元組信息。

3.3.4 實體行為感知圖

該圖譜基于實驗系統的拓撲環境構建，收集所有流經部署了行為知識庫的接入路由器的流量信息，提取實時網絡拓撲結構并存儲。其圖譜的三元組構成見表5。

表5 實體行為感知圖譜三元組構成

實體行為感知圖記錄與網絡拓撲相關的信息，并對拓撲環境中的設備和用戶添加多種屬性和屬性值來對設備和用戶進行管理，進而控制設備和用戶的接入。在收集到足夠信息之后，實體行為感知圖能夠發掘攻擊者使用設備的信息，并將攻擊信息輸出，進行DDoS攻擊檢測。

實體行為感知圖的數據導入接口導入的數據為網絡拓撲結構以及網絡中用戶和設備的屬性；數據導出接口根據特定需求導出攻擊者設備的屬性信息。

3.4 知識庫分布式構建方法

分布式拒絕服務開放威脅信號（DOTS）是用來承載有關受到DDoS攻擊的網絡資源或網絡信息的協議。這些信息由多個DOTS客戶端發送到一個或者多個DOTS服務器，對被識別為惡意流量的網絡行為給出一個相應的緩解措施，因此作為分布式知識庫間的安全傳輸協議。

DOTS本體由服務器、客戶端和客戶端控制器3部分組成，服務器包含緩解措施數據庫和數據收發模塊，負責處理客戶端請求并提供相應的緩解措施；客戶端包含數據收、發模塊，向服務器發送不同的請求；客戶端控制器主要負責請求內容的編譯，如請求保護的地址段，請求目標服務器的地址等內容。DOTS擁有信令和數據兩種傳輸數據的信道，信令信道用于請求保護信息的傳輸，為DOTS客戶端向服務器發送請求以及服務器相應請求時使用的信道；數據信道傳遞知識庫數據和配置信息，是客戶端發送知識庫配置更新命令以及知識庫之間數據交互時使用的信道。

基于DOTS構建的分布式知識庫架構如圖4所示，DOTS客戶端控制器為主要控制部分，DOTS客戶端為主要請求發送部分，DOTS服務器為反饋提供部分并連接知識庫。基于yang-data和json文件格式構建知識庫數據傳輸模型，作為DOTS數據信道的標準數據傳輸格式，客戶端傳輸知識庫配置更新文件到服務器端，服務器解析配置更新文件并對知識庫進行知識更新以及數據傳輸等操作。

圖4 基于DOTS構建的分布式知識庫架構

4 實驗結果

本節進行了分布式DDoS攻擊惡意行為知識庫構建的實驗，使用Neo4j圖形數據庫作為知識圖譜構建工具和可視化工具，通過編寫Cypher語句將知識信息插入知識圖譜中；基于DOTS協議構建分布式知識庫，進行知識庫之間數據交互實驗；探討分布式知識庫在DDoS攻擊檢測方面的應用場景。實驗環境部署在ESXi配置的集群中，軟件環境為Ubuntu18.04。

4.1 知識圖譜構建

知識圖譜構建實驗主要對惡意流量檢測知識圖譜和網絡安全知識庫中的4張知識圖譜進行構建，編寫基于Cypher語言的代碼構建知識圖譜的數據模型，導入部分數據構建知識圖譜可視化節點和關系進行展示。

基于Neo4j圖形數據庫構建的知識圖譜將數據模型進行可視化，以節點鏈接圖的形式展示數據的結構和鏈接關系。Neo4j包含的搜索引擎能根據需求針對性地查詢相關數據并對選中的數據實體進行擴展，從而顯示出所有關聯數據。

基于Neo4j Cypher API和JAVA開發語言編寫知識圖譜數據導入接口和數據導出接口的腳本文件，實現知識圖譜間的關鍵數據交互與關聯查詢。實驗結果表明知識圖譜能夠正常進行數據導入和數據導出。

惡意流量檢測圖如圖5所示，該圖譜包含以下3部分的內容。

（1）DDoS攻擊流量節點

圖5中顯示為深灰色節點，每一個深灰色節點表示從檢測模塊中收集到的一條流信息，節點的屬性包括CICFlowMeter輸出的84種流特征、多分類器輸出的預測該流量攻擊類型的標簽Pre_label和表示該流量真實攻擊類型的標簽Real_label。

（2）攻擊類型節點和正常流量節點

圖5中顯示為淺灰色的攻擊類型節點和白色的正常流量節點，這兩種節點包含了檢測模塊檢測出的19種細分類的DDoS攻擊類型和1種正常流量類型。這兩種節點用來給深灰色的攻擊流量節點分類。

（3）真實標簽關系和預測標簽關系

真實標簽關系在圖5中表示為real線，預測標簽關系在圖5中表示為predict線。這兩種關系均由深灰色的DDoS攻擊流節點指向淺灰色的攻擊類型節點或白色的正常流量節點，用來指示存儲的DDoS攻擊流節點的預測類型和真實類型。惡意流量檢測圖的可視化顯示能快速查詢不同DDoS攻擊類型在檢測精確率和誤判傾向上的信息。

圖5 惡意流量檢測圖

流量行為知識圖如圖6所示，淺灰色節點表示CAPEC攻擊類型，深灰色節點表示CWE弱點類型，并通過Related_weakness的關系鏈接在一起；每個實體都包含了名稱、ID、描述、造成危害、緩解措施5種屬性和屬性值。在保留原有相關關系的基礎上，基于攻擊節點描述中關聯的弱點名稱創建關系來連接攻擊節點和弱點節點，構建起攻擊和弱點關聯的知識圖譜。在查詢攻擊和弱點時，都能關聯查詢到所有的連接關系。

惡意行為特征圖存儲了檢測的21種DDoS攻擊以及69種流量特征，以及實體之間的關系，如圖7所示。圖7中白色節點表示DDoS攻擊，黑色節點表示DDoS攻擊的5類攻擊種類，淺灰色節點表示5類攻擊種類各自包含的攻擊方式總計21種，深灰色節點表示與攻擊方式對應的重要流量特征。

惡意行為溯源圖如圖8所示，包含4種實體類型，分別為惡意節點、被攻擊節點、惡意攻擊類型以及時間段。惡意源節點包含其IP地址以及源端口號，它既指向惡意攻擊類型，又指向被攻擊節點，其關系屬性中定義了傳輸協議的類型；被攻擊節點同樣包含其IP地址及其端口號。此外，所有主機節點均通過指向對應時間段，以便梳理攻擊與時間的關系，展示攻擊隨時間的變化規律。

圖6 流量行為知識圖

圖7 惡意行為特征圖

圖8中深灰色節點表示攻擊節點，白色節點表示被攻擊節點，黑色節點表示深灰色攻擊節點所使用的攻擊方式，兩個淺灰色節點分別表示攻擊開始時間和攻擊結束時間。整幅圖描繪了攻擊開始時間點，所用攻擊節點調用ACK Flooding攻擊方式對被攻擊節點發起攻擊，最后結束攻擊的全過程。

圖8 惡意行為溯源圖

4.2 數據收集與導入

知識庫有兩部分數據來源，一部分是基于系統生成攻擊流量和正常流量，另一部分是第三方網絡安全數據庫導入的信息。

原型系統基于區塊鏈技術構建了5G海量設備接入的場景[14]并收集了這些模擬設備發送的攻擊流量數據和正常流量數據，共計327萬條數據。其中攻擊流量數據由僵尸網絡、反射放大DDoS、慢速DDoS、應用層DDoS和網絡層DDoS攻擊共同組成并存入知識庫中，惡意流量檢測庫不同類型流量及其比例見表6。

表6 惡意流量檢測庫不同類型流量及其比例

知識庫導入第三方網絡安全數據庫共計3個：CNNVD漏洞庫、CAPEC攻擊庫、CWE弱點庫。對數據庫中數據進行結構化并添加關聯關系后導入知識庫中，導入數據庫類型及其數據量見表7。

表7 第三方數據庫類型及其數據量

數據收集完成后，基于不同的數據需求與數據模型，通過數據導入接口導入結構化數據，構成完整的DDoS攻擊惡意行為知識并實現可視化輸出。

4.3 分布式知識庫構造

本節對基于DOTS協議構造的分布式知識庫進行性能測試。分布式知識庫的實驗拓撲如圖9所示。在1臺物理服務器上搭建8臺虛擬機，并在每臺主機上安裝適配知識庫傳輸的DOTS協議。其中，3臺主機啟動DOTS服務器并搭載網絡安全知識庫作為服務器的后臺數據庫，3臺主機啟動DOTS客戶端和客戶端控制器并搭載惡意流量檢測庫用于檢測DDoS攻擊，2臺主機啟動DOTS的GOBGP路由器作為被攻擊地址段和正常地址段的網關路由器。

圖9 分布式知識庫實驗拓撲

實驗一首先驗證DDoS攻擊惡意行為知識庫的惡意流量檢測性能。正常流量①和惡意流量②首先流經DOTS客戶端主機所在域的接入網關，客戶端主機調用惡意流量檢測庫對輸入流量進行檢測，檢測為正常流量的數據正常轉發，檢測為惡意流量的數據則解析其攻擊的目的地址段，客戶端主機通過DOTS信令信道向服務器發送保護請求③，并將惡意流量導向DOTS服務器。DOTS服務器接收并處理客戶端發送的請求，通過數據信道將惡意流量解析后的相關信息傳輸到網絡安全知識庫中并根據惡意流量的攻擊類型向被攻擊地址段的DOTS路由器發送緩解措施④，以指導DOTS路由器進行DDoS攻擊防御。

調用惡意流量檢測庫選用檢測率高的檢測模塊對原型系統在1 h內生成的正常流量和3種DDoS攻擊流量進行檢測并存儲結果，檢測結果見表8。

表8 惡意流量檢測結果

僵尸網絡攻擊與正常流量的相似程度較高，因此在檢測時誤判為正常流量的次數較多，其檢測精確率為92%，其他流量類型的檢測精確率均在95%及以上。其中，檢測為惡意DDoS攻擊的流量目的地址被更改為黑洞路由以實現攻擊緩解。

實驗二驗證了分布式知識庫的知識數據更新效率。如圖10所示，在1 h內對單個知識庫節點提交了4次數據更新請求，柱狀圖為每次更新后的知識庫數據總量，折線圖為DOTS客戶端發送知識更新請求命令到知識庫更新完成所消耗的時間。Neo4j數據庫會對導入的數據添加唯一性約束，更新耗時會隨著知識庫已有數據量的增加而增加，因此圖10中更新耗時隨著更新次數而增加。

圖10 分布式知識庫知識數據更新

圖11以實體行為感知圖為例展示了分布式知識庫更新前后知識圖譜可視化圖形的變化。更新前的知識圖譜僅包含實體行為感知圖的數據實體結構和屬性，在一次更新之后，新導入的實體節點根據屬性匹配自動與已有實體相互關聯，形成包含更多實體和關系的新實體行為感知圖。

圖11 分布式知識庫數據更新可視化

實驗結果表明，對于信令信道，DOTS服務器能夠正確響應DOTS客戶端的請求并對申請保護的地址段執行惡意流量緩解措施；對于數據信道，DOTS服務器能接受DOTS客戶端自定義的數據模型，提取傳輸文件中的知識庫更新資源，并對分布式知識庫進行知識更新操作。

實驗三驗證了知識庫檢測DDoS攻擊的能效。利用知識庫對DDoS攻擊流量進行在線檢測，在一定時間內收集網絡入口處的流量，然后輸入到知識庫進行檢測。對僵尸網絡、反射放大DDoS、應用層DDoS和慢速DDoS攻擊進行在線檢測，分析檢測精確率、召回率和識別攻擊的響應時間，其結果見表9。

表9 知識庫在線檢測與響應時間結果

實驗結果表明除僵尸網絡外，知識庫對其他3種DDoS攻擊在線檢測的精確率和召回率參數均在90%以上，且對攻擊的響應時間少于2 min。僵尸網絡攻擊與正常流量特征較為相似，導致知識庫對僵尸網絡攻擊存在較多的誤判，使得僵尸網絡攻擊在線檢測參數比其他DDoS攻擊略低。

4.4 知識庫應用場景

分布式DDoS攻擊惡意行為知識庫除了具有惡意流量檢測與知識更新功能，還能夠在查詢展示、推理反饋等多種應用場景中發揮作用。

在查詢展示和關聯分析的應用場景中，知識庫能對查詢對象進行可視化展示，并提供查詢對象的關聯實體和關系。以惡意流量檢測圖為例，能夠關聯到應用層DDoS攻擊流量的84種特征屬性、屬性值及目前檢測模塊的精確率和誤判傾向等信息；以惡意行為特征圖為例，當查詢到應用層DDoS攻擊時，能夠關聯到其3種攻擊方式及與這3種攻擊方式相關性較高的流量特征；以惡意行為溯源圖為例，能夠查詢并關聯到應用層DDoS攻擊時序圖等攻擊過程信息。隨著分布式DDoS攻擊惡意行為知識庫的不斷更新，在DDoS攻擊查詢展示和關聯分析的應用場景中能基于最新的數據和模型給出查詢和分析的結果以及與之關聯的其他信息。

在推理反饋的應用場景中，知識庫能基于先驗知識推理出新的實體或關系信息。以惡意行為特征圖為例，基于圖算法或聚類算法推理出最具影響力的特征并反饋給檢測模塊，指導檢測模型修改以提升檢測能力。隨著知識庫不斷積累檢測模塊反饋的特征知識，能夠進一步優化特征推理和反饋過程，以應對5G網絡中不斷提升的DDoS攻擊威脅。

5 結束語

本文提出了一種分布式DDoS攻擊惡意行為知識庫構建方案，首先，基于知識圖譜構建了惡意流量檢測庫和網絡安全知識庫中的知識圖譜來全面描繪DDoS攻擊；然后，在原型系統中收集DDoS攻擊正常、異常流量及第三方網絡安全知識庫中攻擊、漏洞和弱點信息，基于預設的數據結構導入知識庫中，構建DDoS攻擊惡意行為知識庫；最后，基于DOTS協議構建了分布式知識庫，實現知識庫之間的數據傳輸。通過實驗，驗證了DDoS攻擊惡意行為知識庫在數據傳輸、指導檢測DDoS攻擊、緩解惡意流量方面的性能，彌補了傳統DDoS攻擊檢測方法與知識庫構建的劣勢，同時探討了分布式DDoS攻擊惡意行為知識庫的各類應用場景。下一步將在優化知識庫數據傳輸性能、完善知識庫服務安全檢測機制和實現知識庫智能化網絡控制方面進行研究。

[1] BONGUET A, BELLAICHE M. A survey of denial-of-service and distributed denial of service attacks and defenses in cloud computing[J]. Future Internet, 2017, 9(3): 43.

[2] ARSHI M, NASREEN M D, MADHAVI K. A survey of DDOS attacks using machine learning techniques[J]. E3S Web of Conferences, 2020(184): 01052.

[3] XIE X, LI J P, HU X Y, et al. High performance DDoS attack detection system based on distribution statistics[M]//Lecture Notes in Computer Science. Cham: Springer International Publishing, 2019: 132-142.

[4] 董聰, 姜波, 盧志剛, 等. 面向網絡空間安全情報的知識圖譜綜述[J]. 信息安全學報, 2020(5): 56-76.

DONG C, JIANG B, LU Z G, et al. Knowledge graph for cyberspace security intelligence: a survey[J]. Journal of Cyber Security, 2020(5): 56-76.

[5] MITRE. Common attack pattern enumeration and classification[EB]. 2009.

[6] BERMAN D, BUCZAK A, CHAVIS J, et al. A survey of deep learning methods for cyber security[J]. Information, 2019, 10(4): 122.

[7] OBRST L, CHASE P, MARKELOFF R. Developing an ontology of the cyber security domain[C]//STIDS. [S.l.:s.n.], 2012: 49-56.

[8] CHEN X J, JIA S B, XIANG Y. A review: knowledge reasoning over knowledge graph[J]. Expert Systems With Applications, 2020(141): 112948.

[9] 王勇超, 羅勝文, 楊英寶, 等. 知識圖譜可視化綜述[J]. 計算機輔助設計與圖形學學報, 2019, 31(10): 1666-1676.

WANG Y C, LUO S W, YANG Y B, et al. A survey on knowledge graph visualization[J]. Journal of Computer-Aided Design & Computer Graphics, 2019, 31(10): 1666-1676.

[10] 陳佳. 基于知識圖譜的DDoS攻擊源檢測研究[J]. 信息安全研究, 2020, 6(1): 91-96.

CHEN J. DDoS attack detection based on knowledge graph[J]. Journal of Information Security Research, 2020, 6(1): 91-96.

[11] ZHANG Z J. Graph databases for knowledge management[J]. IT Professional, 2017, 19(6): 26-32.

[12] MISAKI M, TSUDA T, INOUE S, et al. Distributed database and application architecture for big data solutions[C]//Proceedings of IEEE Transactions on Semiconductor Manufacturing. Piscataway: IEEE Press, 2016: 328-332.

[13] SHEN G W, WANG W L, MU Q L, et al. Data-driven cybersecurity knowledge graph construction for industrial control system security[J]. Wireless Communications and Mobile Computing, 2020, 2020: 1-13.

[14] 王子恒. 基于區塊鏈的海量連接管理架構設計與實現[D]. 北京: 北京交通大學, 2021.

WANG Z H. Design and implementation of mass connection management architecture based on blockchain[D]. Beijing: Beijing Jiaotong University, 2021.

Construction of DDoS attacks malicious behavior knowledge base construction

LIU Feiyang, LI Kun, SONG Fei, ZHOU Huachun

School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

Aiming at the problem of insufficient research on the knowledge base of distributed denial of service (DDoS) network attacks, a method for constructing a knowledge base of DDoS attacks malicious behavior was proposed. The knowledge base was constructed based on the knowledge graph, and contains two parts: a malicious traffic detection database and a network security knowledge base. The malicious traffic detection database detects and classifies malicious traffic caused by DDoS attacks, the network security knowledge base detects DDoS attacks from traffic characteristics and attack frameworks model malicious behaviors, and perform inference, tracing and feedback on malicious behaviors. On this basis, a distributed knowledge base was built based on the DDoS open threat signaling (DOTS) protocol to realize the functions of data transmission between distributed nodes, DDoS attack defense, and malicious traffic mitigation. The experimental results show that the DDoS attack malicious behavior knowledge base can effectively detect and mitigate the malicious traffic caused by DDoS attacks at multiple gateways, and has the knowledge update and reasoning function between the distributed knowledge bases, showing good scalability.

DDoS, distributed, knowledge graph, malicious behavior knowledge base

TP393

A

10.11959/j.issn.1000?0801.2021257

劉飛揚（1997? ），男，北京交通大學電子信息工程學院碩士生，主要研究方向為網絡安全。

李坤（1997? ），男，北京交通大學電子信息工程學院博士生，主要研究方向為網絡安全、智能通信。

宋飛（1983? ），男，北京交通大學電子信息工程學院教授，主要研究方向為信息網絡理論及關鍵技術、信息處理與人工智能。

周華春（1965? ），男，博士，北京交通大學電子信息工程學院教授，主要研究方向為智能通信、移動互聯網、網絡安全與衛星網絡。

The National Key Research and Development Program of China (No.2018YFA0701604)

2021?08?12；

2021?11?15

國家重點研發計劃項目（No.2018YFA0701604）