圖嵌入和LSTM自動編碼器結合的BGP異常檢測①

張樹曉,唐 勇,劉宇靖

(國防科技大學 計算機學院,長沙 410073)

1 引言

互聯網是一個龐大復雜的系統,根據數據統計,其當前包含7 萬多個網絡自治系統(autonomous system,AS)[1],且數量一直處于不斷增加之中.AS 之間通過邊界網關路由協議進行通信,實現網絡的互聯互通[2].BGP (border gateway protocol)作為邊界網關路由協議的事實標準,有效實現了AS 間乃至整個互聯網通信的有效可靠運行.然而,由于原始設計本身的安全缺陷,BGP 很容易遭到惡意攻擊或產生錯誤配置,對互聯網的正常運行造成重大影響[3].

根據相關研究[4],BGP 協議本身的安全缺陷主要包括:對等體(peer)的真實性及其之間通信報文的完整性、及時性沒有驗證;沒有安全機制對AS 宣告網絡層可達信息(NLRI)的權限進行驗證;沒有安全機制確保AS 通告路徑(AS_PATH)的真實性.此外,由于BGP協議使用TCP 傳輸協議進行通信,TCP 協議的安全風險在BGP 協議上同樣存在.

由于上述的缺陷問題,通常可以將對BGP 協議的惡意攻擊分為前綴劫持攻擊和路由泄露攻擊[5].其中,前綴劫持攻擊一般通過偽造NLRI 信息或NLRI 信息與AS_PATH 信息來實現.進一步細化原因分類,可以分為源AS 路由修改、偽造AS_PATH 路徑信息、錯誤配置AS、錯誤AS 路徑前置等4 種類型[6].前綴劫持攻擊很容易導致互聯網的大規模異常,也是國內外眾多研究人員關注的焦點.然而,現實表明,每年依然會有很多機構發表關于BGP 前綴劫持攻擊事件的報告[7,8],部分事件更是由于波及范圍廣,影響時間久,引起了社會大眾的廣泛關注.數據表明[8],有超過40%的網絡運營商曾是劫持攻擊的受害者.此外,通過BGP前綴劫持攻擊,惡意攻擊者能夠在用戶毫無知覺的情況下竊聽、操控、記錄指定Internet 流量,進一步實現對網絡的中間人攻擊[2],對信息安全造成嚴重危害.路由泄露則是由于AS 沒有按照規定的路由通告策略執行而產生,導致相關的網絡流量重定向到非正常的AS.這在現實中很有可能導致非法路由的快速異常擴散,引發大規模乃至全球范圍內的“斷網”事件.

因此,對BGP 異常事件的檢測研究很有必要,有助于運營商快速發現異常,及時響應處理,避免產生更大危害.

本文依托從互聯網公開收集的BGP 更新報文數據,提出一種基于拓撲圖特征的數據集構建方法,重點提取分析報文中的AS_PATH 屬性信息,獲取網絡拓撲圖序列,生成圖嵌入特征的時間序列數據集,進一步結合LSTM 自動編碼器模型架構,實現一種新的BGP異常數據檢測方法,并在實際的異常事件數據中進行了驗證,取得了良好效果.

2 相關研究

對BGP 攻擊的研究主要從兩個方面考慮:一是攻擊的預防,二是攻擊的檢測.

對于攻擊的預防,主要從前文所述的BGP 協議缺陷入手,進行相應改進,以求從根本上解決問題.包括安全域間路由(secure inter-domain routing,SIDR)工作組的安全BGP 研究[9];避免選擇虛假路由的完美BGP(pretty good BGP)[10];已經被加入RFC 標準的BGPsec[11];引入加密和路由冗余機制的BGP[12]等.然而,由于多種原因,相關的改進一直未能在真正的互聯網上大規模部署,BGP 協議的缺陷問題沒有從根本上發生改變,各類安全異常事件也時有發生.

通過對BGP 數據進行異常檢測來發現、分類以及處理攻擊行為的研究同樣得到了廣泛開展.綜合現有研究成果,按照異常檢測所用的數據類型,大致可以分成3 類方法[13]:控制平面方法、數據平面方法和混合方法.控制平面方法是一種無源解決方案,其依賴于第三方監控器和收集器提供的數據進行異常行為的檢測.現在常用的第三方工具框架有BGPmon[14]和BGPStream[15],二者均提供歷史和實時BGP 數據的解析運行情況,記錄相關的異常事件.在此基礎上,文獻[16]提出了前綴劫持報警系統PHAS;文獻[17]提出了ARTEMIS 系統,其號稱能夠快速檢測到前綴劫持異常,并能通過多種手段迅速靈活的緩解劫持異常.總之,此類方法都屬于對異常的響應處理,以及時做出策略應對.數據平面方法則從網絡中數據轉發的異常入手,使用了常見的ping、traceroute 等網絡工具.通過檢測相應的前綴地址的可達性實現異常的檢測[13].混合方法主要是考慮前面兩種方法的優缺點,將二者進行結合使用,主要思路是發現控制平面數據的不一致性后,進一步通知數據平面進行精確測量[13].

近年來,隨著人工智能的繁榮發展,機器學習也廣泛應用于異常檢測領域,對BGP 異常數據的檢測也同樣包含其中.大量的文獻使用機器學習(包含深度學習)模型算法提高BGP 異常檢測的準確性以及分類識別BGP 異常等.文獻[18]對BGP 數據進行特征提取并建立數據集,提出使用支持向量機(SVM)模型來訓練和測試BGP 數據集,并使用隱藏馬爾可夫模型(HMM)來評估數據特征的有效性.文獻[19]使用了決策樹和模糊測試集方法進行特征選擇,然后使用決策樹和極限學習機進行異常分類,提升BGP 異常檢測的準確性.文獻[20]則是對常見機器學習算法進行性能評估,其使用的數據來自路由信息庫(RIB),分布使用了樸素貝葉斯(NB),支持向量機(SVM)和決策樹(J48)分類器進行異常檢測,對比其檢測效能.文獻[21]同樣基于支持向量機模型進行檢測,其利用Fisher 線性分析算法和馬爾可夫隨機理論對特征選取進一步優化,提升檢測性能.文獻[22]提出了利用離散小波變換來體現BGP數據的時間序列信息,并與多層LSTM 模型結合,在異常數據集的檢測中取得了良好效果.

3 模型與方法

本文通過圖嵌入特征學習算法提取BGP 數據中的拓撲圖特征,生成多維時間序列數據,并使用LSTM自動編碼器模型實現異常數據的檢測.

3.1 圖嵌入特征

眾所周知,整個互聯網作為互聯互通的整體,其必然存在完整的拓撲圖,但由于實際網絡中的海量設備及復雜的連接關系,該拓撲的繪制是無法實現的.因此我們從構成互聯網的AS 角度考慮,將每個AS 看作互聯網中的一個節點,也就是拓撲圖中的頂點,將AS 間互相連接關系看作拓撲圖的邊,是可以構建出基本的連接關系的.BGP 更新報文中的AS_PATH 屬性恰好包含構成拓撲圖的要素,其中蘊含了網絡的拓撲圖特征,同時,每一條AS_PATH 都可以看作整體拓撲圖中的一個子圖.此外,結合報文的定時更新特性,按時間窗口累計的AS_PATH 就可以構成相對完整的拓撲圖,整個網絡的變化狀態就演變成網絡拓撲圖的變化,并通過圖的分布式特征表現出來.其示意圖如圖1所示.

圖1 圖嵌入特征結構

圖1中,拓撲圖序列表示將AS_PATH 屬性按時間窗口劃分聚合后的拓撲,經過圖嵌入學習后,關聯各時序的圖特征,得到嵌入特征,每個圖的特征可以用統一維度的向量表示,最終獲取多維的時間序列數據進行后續處理.

具體來說,對于給定的圖的集合G={G1,G2,G3,…,Gn},每個圖Gi都可以用e維向量表示(e為正整數),那么所有圖的集合可以使用矩陣M表示,其中M∈R|G|×e.對具體的圖G={N,E,λ},N表示節點集合,E表示邊的集合,函數λ表示對圖中每一個節點進行唯一標記.同時,定義子圖sgn(d),其表示圖中某個節點n的深度為d的子圖.其主要算法[23]流程如算法1.

算法1.圖嵌入特征學習算法輸入:圖集合G={G1,G2,G3,…,Gn},對任意圖Gi={Ni,Ei,λi};D:有根子圖的最大深度,并產生包含所有有根子圖的集合,SG={sg1,sg2,…,sgn};e:向量維度;p:周期輪數;r:學習率.輸出:圖向量表示矩陣M.1) 隨機初始化矩陣M.2) 對所有圖隨機排序.3) 對每個圖Gi的每個節點Ni 進行處理.4) 獲取節點Ni周圍所有深度為d的子圖sgi(d),d∈(0,D).5) 獲取子圖sgi(d)出現在圖G 中的概率R(M)=?lnPr(sgi(d)|M(G)).r ?R 6) 根據上述概率不斷修正更新矩陣M=M?.7) 返回步驟2),進行新一輪計算直至p 輪結束.8) 返回最終矩陣M.?M

子圖的獲取主要使用了經典的威斯費勒-萊曼算法.當然,對于圖來說,所有子圖的規模是很大的,因此采用了負采樣優化的方法計算概率.在學習率的選取上,使用經驗數值進行調整.

3.2 LSTM 自動編碼器模型

3.2.1 自動編碼器(AutoEncoder)

自動編碼器[24]是一種對稱結構的人工神經網絡,包括編碼器和解碼器兩個部分,其本質上是一種數據壓縮的算法,通常用于高維數據的處理.對輸入的數據,其編碼器部分會通過一個或多個隱藏層,形成低維向量數據,再通過解碼器部分重建輸入數據,其框架如圖2所示.

圖2 自動編碼器結構

圖2中,輸入層M表示多維向量的集合,輸出層M′表示重構向量的集合,中間為隱藏層H,輸入層與隱藏層之間的組件為編碼器,隱藏層與輸出層之間的組件為解碼器.通過自動編碼器的處理,我們可以重建數據的原始輸入,并學習隱藏層中的高維數據的編碼表示.對于正常數據與異常數據來說,二者重構后的數據特征差異是巨大的,這樣我們就可以將異常數據檢測出來.

通常,編碼層和解碼層都可以用矩陣變換函數Φ和Ψ表示:

其中,φ、ψ表示激活函數,W1、W2為轉移矩陣,b1、b2為偏差向量.具體來說,編碼層的變換將輸入M壓縮表示為H,我們選擇使用常見的激活函數ReLU,其收斂速度和計算速度相對更快;解碼層的變換則是還原并輸出M′的過程,同樣使用ReLU 作為激活函數.

對于輸入和輸出之間的重構誤差,則使用二階距離度量,記為:

綜上,我們可以通過尋找合適的參數使得正常數據的重構誤差最小,便于將正常數據與非正常的數據區分出來.總體而言,自動編碼器具備非線性的降維能力,并能通過中間的隱藏層學習更多的特征,與傳統的主成分分析(PCA)算法相比,更具靈活性,也利于提高檢測的正確率.

3.2.2 集成LSTM的自動編碼器

LSTM (long short term memory network)全稱為長短期記憶網絡[25],是一種時間循環神經網絡(recurrent neural network,RNN),相比普通的RNN,LSTM 在更長的時間序列中有更好的表現.

LSTM 網絡由LSTM 單元構成,每個LSTM 單元會傳遞自身的狀態和之前輸入的狀態,選擇忘記不重要的信息,選擇記憶重要的特征信息.因此,可以將LSTM 單元集成到自動編碼器中[26],每個編碼器和解碼器部分都采用LSTM 單元,其結構示意如圖3所示.

圖3 LSTM 自動編碼器結構

圖3中,S={S1,S2,…,Sn}表示輸入的時間序列數據,時刻i的序列狀態記為Si,S'表示自動編碼器訓練過程中產生的序列.圖中給出了子序列長度為4的實例流程,在編碼器階段,時刻i的狀態Pien受到i–3 時刻到i時刻的狀態影響,而在傳遞到解碼器時,只需要傳遞i時刻的狀態,也就是在此時刻編碼器狀態與解碼器狀態是一致的,解碼器再進行反向的狀態遍歷,還原時間序列.

4 實驗

4.1 實驗數據

在實驗過程中,使用的BGP 數據均來自開源項目RIPE RIS[27]收集的真實互聯網路由信息數據.RIPE RIS 包含多個部署在全球各地的遠程采集器(remote route collectors,RRC)實時記錄路由表及更新報文信息,并提供MRT 格式文件供下載利用.根據已有的研究成果和最新的BGP 安全事件,我們選取了3 個事件進行分析:2003年的Slammer 蠕蟲爆發、2017年谷歌劫持BGP 路由、2020年CenturyLink 網絡中斷事件.其中,Slammer 蠕蟲爆發時間最早,且持續時間相對最長、波及范圍最廣,是當時的年度重大安全事件,相關的檢測分析研究也較多,便于與本文提出的方法進行對比;Google 劫持事件則是一次主要集中在日本范圍內的異常,且發現處理的速度較快,影響相對較小;CenturyLink 網絡中斷則是2020年最新發生的全球性大規模異常事件,反映了整個互聯網依然存在的脆弱性問題.各事件相關情況如表1所示.

表1中的數據來自于RIPE RIS 項目位于日內瓦的采集器RRC04和東京大手町的RRC06,分別采集異常事件發生前后共計5 天的BGP 更新報文數據,并按每分鐘作為間隔提取該時間范圍內的AS_PATH 屬性信息,按照異常的持續時間范圍,對相應的信息統一標記為BGP 異常數據.

表1 數據集

4.2 拓撲圖特征

利用上文提到的圖嵌入特征學習算法,結合AS_PATH 屬性信息,我們可以將相應時間段內的網絡拓撲變化情況以向量特征表示出來.具體結果如圖4.

從圖4中可以看出,在發生異常事件的時間段內,網絡的拓撲特征同樣會發生明顯變化.

圖4 異常事件拓撲圖部分特征

4.3 評價指標

在模型數據處理中,將數據集中的正常數據作為訓練集和驗證集進行模型的訓練,并使用標記的全部數據集作為訓練集,將模型的檢測結果與實際數據集中的標記類型進行對比,對檢測效果進行評價.

對正常與異常數據的二分類問題,通常采用正確率(Accuracy)、準確率(Precision)、召回率(Recall)、F值(F-measure)進行評價.具體如下所示:

其中,TP表示檢測正常為真,TN表示檢測異常為真,FP表示檢測異常為假,FN表示檢測正常為假.正確率反映了整體檢測的正確水平,準確率和召回率只針對正常數據的檢測情況,反映精準度和錯檢情況,F值則是綜合衡量檢測的性能.

此外,由于異常檢測中的數據是不平衡的,同樣需要關注對異常值的檢測情況,可以使用曲線下面積AUC (area under curve)進展評估,此處的曲線指接收者操作特征曲線ROC,該曲線表示了兩類預測分布間的差異性,通常認為AUC 值越接近1,分類的效果就越好.

4.4 實驗結果及分析

首先,我們使用上文提到的數據及模型,對相關數據集進行檢測分類,以驗證方法的有效性.對于本文而言,通過實驗不僅可以驗證模型的檢測效果,同時可以對文中提出的基于網絡拓撲圖嵌入特征的數據集構建方法進行有效驗證.實驗的具體結果如表2所示.

表2 LSTM 自動編碼器檢測結果(%)

從表2中可知,模型整體的正確率很高,都在90%以上,特別是在Google 事件數據集中正確率達到了99.37%,但其F值相對較低,主要是該異常事件持續時間短,在按分鐘級的數據提取情況下,異常數據的量相對于正常數據所占比例是非常小的,同時個別數據特別是在異常事件起始和終止時刻的數據難以精準的識別判斷,容易出現錯檢情況,從而對檢測結果產生較大影響.相對的,對于持續時間較長的異常事件,受到的干擾影響就比較小,檢測的結果就比較穩定.具體到F值上看,異常事件的持續時間越長,異常檢測的準確度也越高.

同時,進一步使用AUC 對3 個異常事件的整體分類情況進行評估,得到AUC 曲線圖如圖5所示.

圖5 ROC 曲線圖

從圖5中可知,在CenturyLink 事件中的異常檢測效果最好,達到95.6%.這也與前表中該事件正確率與F值的水平都比較均衡有關,整體上達到了很好的異常分類效果.而在Google 事件中,可以明顯觀察到曲線的階梯狀上升,這就是在極少量異常數據情況下單個異常點數據影響的結果.

綜合上述檢測結果,我們認為構建的數據集和相應的檢測模型都是有效的.特別是對于BGP 數據集的構建方法,采用的拓撲圖嵌入特征能夠很好的反映異常事件中的數據變化情況,相比于文獻[18]中提出的基于37 種BGP 數據擴展特征構建的數據集或者從中選取部分擴展特征構建的數據集而言,更加簡單易于處理,并且進一步結合檢測模型能獲得較為理想的檢測結果.

為了進一步評估模型的效果,使用經典的支持向量機(support vector machines,SVM)模型及前文提到的原始自動編碼器模型對Slammer 數據集進行了異常檢測分類測試,結果如表3所示.

從表3中可知,文中提出的LSTM 自動編碼器模型的異常檢測效果最好,其F值和正確率都優于其他兩種模型.對于原始的自動編碼器模型而言,還是體現出了其作為深度學習算法在高維數據非線性處理上的優勢,結合數據的時間序列特征集成LSTM 處理單元之后,模型的檢測能力得到了進一步的提高.

表3 不同模型異常檢測結果(%)

5 結論

本文針對BGP 數據的異常檢測問題,提出了一種使用LSTM 自動編碼器模型進行異常事件檢測的方法.為了能夠有效的檢測出BGP 異常事件,從互聯網中真實的歷史數據入手,利用圖嵌入特征算法,獲取基于時間序列的網絡拓撲變化情況,構建基于網絡拓撲圖特征的數據集,為模型處理提供高效簡潔的數據.我們通過選取3 起有代表性的BGP 安全事件及相關節點采集的數據進行了模型方法的驗證.實驗結果表明,該數據集能夠很好的反映異常事件中的網絡特征變化情況,使用的模型相比于傳統的檢測方法有更高的準確率,能夠有效檢測出BGP 異常事件,便于后續及時響應處理.下一步將結合具體的應用場景,研究更大規模BGP 時間序列數據情況下的檢測與響應機制.