擬態(tài)防御下的網(wǎng)絡(luò)流量異常檢測(cè)架構(gòu)

朱龍隆,陳翰澤,程靈飛,周政演,張棟

(福州大學(xué)計(jì)算機(jī)與大數(shù)據(jù)學(xué)院，福建 福州 350108)

0 引言

隨著云計(jì)算、大數(shù)據(jù)等新型服務(wù)模式的興起，數(shù)據(jù)中心規(guī)模與日俱增，成為互聯(lián)網(wǎng)發(fā)展的重要基礎(chǔ)設(shè)施.與此同時(shí)，數(shù)據(jù)中心網(wǎng)絡(luò)亦成為黑客攻擊主要目標(biāo)，通過注入大量垃圾流量，癱瘓數(shù)據(jù)中心，導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷.檢測(cè)和防御大規(guī)模異常流量，成為數(shù)據(jù)中心網(wǎng)絡(luò)安全的重要課題.在網(wǎng)絡(luò)流量異常檢測(cè)中，重流(heavy hitter)[1]是意義深遠(yuǎn)的測(cè)量目標(biāo)，體現(xiàn)為數(shù)量巨大且無用的數(shù)據(jù)包集合，占用大量網(wǎng)絡(luò)帶寬和計(jì)算資源，導(dǎo)致服務(wù)器癱瘓.重流隱含重要網(wǎng)絡(luò)狀態(tài)信息，通過識(shí)別重流，網(wǎng)絡(luò)運(yùn)營(yíng)商可以快速發(fā)現(xiàn)性能異常和潛在的DDoS攻擊.

目前，在數(shù)據(jù)中心廣泛部署網(wǎng)絡(luò)流量異常檢測(cè)方案，包括基于每流測(cè)量、基于抽樣技術(shù)和基于Sketch[1-3]，周期性報(bào)告重流以期及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅.但面對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)和大規(guī)模并發(fā)流量的網(wǎng)絡(luò)部署，基于每流測(cè)量的異常檢測(cè)統(tǒng)計(jì)所有數(shù)據(jù)包原始信息，具有極高空間復(fù)雜度；基于抽樣技術(shù)的異常檢測(cè)因數(shù)據(jù)包處理速度要求與交換機(jī)內(nèi)存限制，難以在精度和開銷之間取得較好權(quán)衡.基于Sketch的異常檢測(cè)方案為重流檢測(cè)提供一種新思路，作為一種緊湊的用于流量數(shù)據(jù)統(tǒng)計(jì)亞線性數(shù)據(jù)結(jié)構(gòu)，Sketch以線性速度壓縮并記錄所有數(shù)據(jù)包信息，通過查詢操作獲取流量統(tǒng)計(jì)數(shù)據(jù)，在保證可接受精度的同時(shí)極大減小內(nèi)存開銷.

基于Sketch的異常檢測(cè)因其高效、準(zhǔn)確、內(nèi)存開銷低等優(yōu)勢(shì)受到廣泛關(guān)注，但也存在不足：首先，承載網(wǎng)絡(luò)流量異常檢測(cè)功能的設(shè)備(如數(shù)據(jù)中心內(nèi)交換機(jī)、控制器等)受攻擊時(shí)，基于Sketch的異常檢測(cè)往往無法適應(yīng)流量分布，檢測(cè)精度降低；其次，基于Sketch的設(shè)計(jì)缺陷導(dǎo)致的漏洞難以避免，對(duì)Sketch網(wǎng)絡(luò)流量異常檢測(cè)的魯棒性、穩(wěn)定性提出更高要求.例如，算法的數(shù)據(jù)結(jié)構(gòu)簡(jiǎn)單且動(dòng)態(tài)性不足，在其檢測(cè)機(jī)制、參數(shù)泄漏后易被針對(duì)攻擊，設(shè)計(jì)缺陷被放大，導(dǎo)致占用過高內(nèi)存或過多計(jì)算資源，無法進(jìn)行準(zhǔn)確檢測(cè)，導(dǎo)致安全性下降.

面對(duì)多樣化的網(wǎng)絡(luò)安全問題和日新月異的攻擊手段，鄔江興院士提出擬態(tài)防御理念[4].不同于靜態(tài)防御、聯(lián)動(dòng)式防御等傳統(tǒng)技術(shù)，擬態(tài)防御從異構(gòu)、冗余思想出發(fā)，通過動(dòng)態(tài)改變防御策略或更換組件，實(shí)現(xiàn)防御體系多樣性、隨機(jī)性和動(dòng)態(tài)性.通過基于多模裁決的策略分發(fā)和多維動(dòng)態(tài)重構(gòu)負(fù)反饋控制構(gòu)造，擬態(tài)防御可有效防御網(wǎng)絡(luò)空間中的“已知風(fēng)險(xiǎn)”與“未知風(fēng)險(xiǎn)”.眾多依據(jù)擬態(tài)防御技術(shù)構(gòu)建的安全網(wǎng)絡(luò)設(shè)備陸續(xù)出現(xiàn)，驗(yàn)證擬態(tài)防御有效性.將擬態(tài)防御思想引入Sketch檢測(cè)，以提高異常檢測(cè)魯棒性.此外，由于不同Sketch間的差異較大，針對(duì)不同場(chǎng)景，通過設(shè)計(jì)相應(yīng)的裁決反饋機(jī)制，實(shí)現(xiàn)執(zhí)行體間的互補(bǔ)，增強(qiáng)Sketch異常檢測(cè)方案的適應(yīng)性.實(shí)驗(yàn)結(jié)果表明，所提架構(gòu)有效增強(qiáng)異常檢測(cè)魯棒性.

1 相關(guān)研究

1.1 基于Sketch的異常檢測(cè)

基于Sketch的異常檢測(cè)使用哈希函數(shù)將數(shù)據(jù)映射到數(shù)據(jù)結(jié)構(gòu)中，以犧牲微小精度為代價(jià)，將大量網(wǎng)絡(luò)流量信息壓縮到較小的存儲(chǔ)空間.Sketch實(shí)時(shí)存儲(chǔ)流量特征信息，并支持查詢流量統(tǒng)計(jì)信息，包括Count-Min-Sketch[2]、LD-Sketch[1]、Elastic-Sketch[3]等.

Count-Min-Sketch數(shù)據(jù)結(jié)構(gòu)如圖1，通過多個(gè)相互獨(dú)立的哈希函數(shù)，將數(shù)據(jù)包映射到不同行的不同桶內(nèi)，記錄數(shù)據(jù)包信息.查詢流量大小時(shí)，返回所有相關(guān)桶內(nèi)計(jì)數(shù)器值最小值.

圖1 Count-Min-Sketch的數(shù)據(jù)結(jié)構(gòu)Fig.1 Data-structure of Count-Min-Sketch

LD-Sketch以關(guān)聯(lián)數(shù)組在桶內(nèi)存儲(chǔ)多個(gè)重流候選，動(dòng)態(tài)控制關(guān)聯(lián)數(shù)組長(zhǎng)度，在盡可能小的內(nèi)存開銷下有效應(yīng)對(duì)多重流哈希到同一個(gè)桶內(nèi)的極端情況，增強(qiáng)魯棒性，但易造成過高內(nèi)存依賴.

Elastic-Sketch使用基于主票選算法的數(shù)組(heavy part)記錄重流，Count-Min-Sketch(light part)記錄其他流量信息.heavy part保留重流具體信息，light part記錄的信息較簡(jiǎn)略，在可接受的空間開銷下篩選出重流.heavy part采用票選算法，易出現(xiàn)重流候選頻繁更替，導(dǎo)致性能抖動(dòng).

SET-CM-Sketch(Soft-Error-Tolerant-Count-Min-Sketch)[5]考慮軟錯(cuò)誤對(duì)于異常檢測(cè)的影響，然而所提設(shè)計(jì)通用性較弱.SA-Sketch[6]考慮高速網(wǎng)絡(luò)環(huán)境下Sketch的自適應(yīng)能力，但對(duì)于發(fā)生不明故障、遭受攻擊的情況考慮較少.

1.2 擬態(tài)防御

擬態(tài)防御主要用于網(wǎng)絡(luò)領(lǐng)域，如擬態(tài)路由器、擬態(tài)交換機(jī)等.擬態(tài)防御架構(gòu)由輸入代理器、可重構(gòu)異構(gòu)執(zhí)行體集、反饋控制器、輸出裁決器四部分組成.可重構(gòu)異構(gòu)執(zhí)行體集、輸入代理器和反饋控制器組成擬態(tài)防御架構(gòu)的多維動(dòng)態(tài)重構(gòu)支撐環(huán)節(jié).執(zhí)行體集由異構(gòu)構(gòu)件池隨機(jī)抽取，受反饋控制器控制[4].在反饋控制器調(diào)度下，輸入代理器將更改執(zhí)行體.

輸出裁決器收集各執(zhí)行體輸出矢量，疊加得到最終輸出與裁決信息.反饋控制器根據(jù)裁決信息決定是否變更輸入代理器內(nèi)調(diào)度策略或插入當(dāng)前執(zhí)行體集.文獻(xiàn)[7]中將異構(gòu)冗余的執(zhí)行體引入路由器體系架構(gòu)中，并設(shè)計(jì)相應(yīng)的動(dòng)態(tài)調(diào)度機(jī)制，增強(qiáng)路由系統(tǒng)的魯棒性.文獻(xiàn)[8]設(shè)計(jì)基于擬態(tài)防御的SDN控制層安全機(jī)制，對(duì)比流表項(xiàng)檢測(cè)惡意行為.文獻(xiàn)[9]采用廣義隨機(jī)Petri網(wǎng)建模，通過反饋控制有效控制服務(wù)器解析時(shí)延差值.文獻(xiàn)[10]分析多余度裁決模型的防御能力、運(yùn)行效率、系統(tǒng)恢復(fù)，給出模型不足及改進(jìn)方向.文獻(xiàn)[11]基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)，提出適用擬態(tài)防御架構(gòu)的Web服務(wù)器.

2 異構(gòu)性量化與魯棒性分析

Sketch分為：1) 基于Count-Min-Sketch衍生的[12-13]；2) 基于分組測(cè)試的[14]；3) 基于枚舉的[15-16].

通過理論與實(shí)驗(yàn)，考量不同Sketch在不同異常場(chǎng)景下的魯棒性，并將此作為異構(gòu)性量化標(biāo)準(zhǔn)之一.結(jié)合數(shù)據(jù)結(jié)構(gòu)、性能誤差等因素，量化Sketch異構(gòu)性，篩選足夠異構(gòu)執(zhí)行體，組建異構(gòu)執(zhí)行體集.如表1所示，選取常見的七種Sketch，分析不同方案魯棒性，量化異構(gòu)性.

表1 基于Sketch方法的異構(gòu)性與魯棒性分析Tab.1 Heterogeneity and robustness analysis of Sketch-based methods

在包速率過快場(chǎng)景下，CM-Heap[2]和MV-Sketch[12]依靠高效插入操作保持較高性能；Space-Saving[17]因大量指針操作，運(yùn)行速率低；Group-Testing[14]進(jìn)行常數(shù)次哈希操作，但插入時(shí)需二進(jìn)制轉(zhuǎn)換與插入，查詢時(shí)遍歷桶中的每一位，速度較慢；LD-Sketch[1]插入需遍歷關(guān)聯(lián)數(shù)組，在流量分布超出人工預(yù)先配置模型時(shí)關(guān)聯(lián)數(shù)組過長(zhǎng)，整體插入速率較慢；Rev-Sketch[16]采取“分組-合并”策略，涉及大量矩陣分量運(yùn)算，運(yùn)行速度較低.

在流量嚴(yán)重傾斜場(chǎng)景下，Space-Saving基于有序雙向鏈表結(jié)構(gòu)，完整保留多重流；LD-Sketch關(guān)聯(lián)數(shù)組保持多候選重流；Rev-Sketch通過可逆的運(yùn)算得到哈希值對(duì)應(yīng)的所有流量集合并篩選可疑流量.MV-Sketch每桶只保存單重流，難以應(yīng)對(duì)流量嚴(yán)重傾斜；CM-Heap插入累加桶內(nèi)計(jì)數(shù)器，假陽性高.

在哈希不均勻場(chǎng)景下，Space-Saving沒有使用哈希函數(shù)不受影響；Rev-Sketch對(duì)流量進(jìn)行混淆預(yù)處理和分組哈希，降低哈希碰撞概率.MV-Sketch、CM-Heap嚴(yán)重依賴哈希函數(shù)，當(dāng)哈希不均勻時(shí)帶來的更多的哈希碰撞，導(dǎo)致性能下降；LD-Sketch使用關(guān)聯(lián)數(shù)組減少哈希碰撞影響，但控制機(jī)制存在缺陷.

3 總體架構(gòu)設(shè)計(jì)

構(gòu)建基于擬態(tài)防御思想的網(wǎng)絡(luò)流量異常檢測(cè)，主要包括：

1) 異構(gòu)執(zhí)行體集的構(gòu)建與魯棒性量化.執(zhí)行體異構(gòu)性的量化是執(zhí)行體集構(gòu)建的基礎(chǔ)，設(shè)計(jì)適應(yīng)于當(dāng)前場(chǎng)景下執(zhí)行體集結(jié)構(gòu)的基礎(chǔ).對(duì)基于Sketch的評(píng)估與實(shí)驗(yàn)在較為理想化場(chǎng)景下進(jìn)行，缺乏極端條件下的結(jié)論作為魯棒性評(píng)估的依據(jù)和參考.

2) 擬態(tài)化構(gòu)造的開銷.異構(gòu)冗余構(gòu)造帶來多倍的內(nèi)存開銷；輸出裁決、反饋控制環(huán)節(jié)帶來額外的時(shí)間開銷；擬態(tài)化構(gòu)造給異常檢測(cè)查詢操作增加時(shí)空開銷，影響實(shí)時(shí)性和小內(nèi)存下的表現(xiàn).

3) Sketch裁決反饋機(jī)制.由于Sketch的缺陷，各執(zhí)行體的輸出結(jié)果存在一定的誤差.同時(shí)，反饋調(diào)節(jié)是一個(gè)復(fù)雜的過程，尤其在可能不準(zhǔn)確的檢測(cè)結(jié)果基礎(chǔ)上準(zhǔn)確判斷各執(zhí)行體運(yùn)行效果，并避免過多更換引起性能抖動(dòng)；反饋調(diào)節(jié)是一個(gè)快速反應(yīng)的過程，因?yàn)榫W(wǎng)絡(luò)流量的高速性，反饋調(diào)節(jié)的時(shí)間開銷過大導(dǎo)致實(shí)際用于異常檢測(cè)的時(shí)間過少.因此，設(shè)計(jì)一種高效、準(zhǔn)確的Sketch裁決反饋機(jī)制是一個(gè)重大的挑戰(zhàn).

借鑒擬態(tài)防御思想，結(jié)合多種異常檢測(cè)方案特點(diǎn)及魯棒性，設(shè)計(jì)了基于擬態(tài)防御的網(wǎng)絡(luò)流量異常檢測(cè)架構(gòu).如圖2所示，主要由待機(jī)異構(gòu)執(zhí)行體池、輸出裁決器、索引Sketch、反饋控制器等模塊組成.

圖2 基于擬態(tài)防御的網(wǎng)絡(luò)流量異常檢測(cè)架構(gòu)Fig.2 Anomaly detection architecture for network traffic flow based on mimic defense

執(zhí)行體集由索引Sketch、運(yùn)行集、待機(jī)異構(gòu)執(zhí)行體池組成，索引Sketch由運(yùn)行集中執(zhí)行體構(gòu)建而成，待機(jī)異構(gòu)執(zhí)行體池存放當(dāng)前未運(yùn)行執(zhí)行體.輸出裁決器對(duì)各異構(gòu)執(zhí)行體的輸出矢量疊加得到最終輸出，將為反饋控制器提供裁決信息.反饋控制器依據(jù)裁決信息決定對(duì)索引Sketch、運(yùn)行集和待機(jī)異構(gòu)執(zhí)行體池進(jìn)行動(dòng)態(tài)調(diào)整.

本架構(gòu)的動(dòng)態(tài)、異構(gòu)、冗余特性體現(xiàn)在：動(dòng)態(tài)性.在反饋控制器的策略調(diào)度下，運(yùn)行集內(nèi)執(zhí)行體由異構(gòu)執(zhí)行體池內(nèi)組件動(dòng)態(tài)替換,索引Sketch結(jié)構(gòu)也將動(dòng)態(tài)插入;異構(gòu)性.多維度考量Sketch異構(gòu)性，篩選充分異構(gòu)執(zhí)行體，構(gòu)建執(zhí)行體集，在索引Sketch不同粒度、交換機(jī)設(shè)備、操作系統(tǒng)等方面增加系統(tǒng)異構(gòu)性;冗余性.對(duì)同一輸入，可采用多執(zhí)行體處理、分布式設(shè)備同時(shí)處理，并依據(jù)事先定義好的策略集，對(duì)結(jié)果多模裁決，實(shí)現(xiàn)多余度操作.

4 執(zhí)行體集結(jié)構(gòu)

4.1 基于傳統(tǒng)擬態(tài)模型

基于傳統(tǒng)擬態(tài)模型的網(wǎng)絡(luò)流量異常檢測(cè)將可重構(gòu)異構(gòu)執(zhí)行體集定義為多種異構(gòu)Sketch集合.插入數(shù)據(jù)包時(shí)，輸入代理器選擇性轉(zhuǎn)發(fā)輸入激勵(lì)至某些執(zhí)行體，多執(zhí)行體處理相同輸入激勵(lì).查詢異常流量時(shí)，遍歷所有執(zhí)行體，將各輸出矢量(即重流候選)發(fā)送至輸出裁決器.輸出裁決器進(jìn)行裁決得到最終輸出.

然而，多執(zhí)行體帶來多倍內(nèi)存開銷，重復(fù)處理同一輸入降低插入效率，遍歷執(zhí)行體降低查詢效率，總吞吐量受吞吐量最小執(zhí)行體影響.為此，提出索引Sketch與迷你執(zhí)行體，減小擬態(tài)化構(gòu)造帶來的弊端.

4.2 索引Sketch

如圖3所示，執(zhí)行體集由運(yùn)行集、待機(jī)異構(gòu)執(zhí)行體池、索引Sketch組成.在初始化時(shí)，從待機(jī)異構(gòu)執(zhí)行體池隨機(jī)剝離執(zhí)行體，生成運(yùn)行集.根據(jù)運(yùn)行集內(nèi)執(zhí)行體，構(gòu)建索引Sketch與迷你執(zhí)行體.

圖3 執(zhí)行體集結(jié)構(gòu)Fig.3 Structure of actuator set

本研究在分析不同基于Sketch的異常檢測(cè)方案的數(shù)據(jù)結(jié)構(gòu)、理論保證的基礎(chǔ)上，決定不同算法在索引Sketch中體現(xiàn)的粒度，實(shí)現(xiàn)各執(zhí)行體間粒度的異構(gòu)，增加系統(tǒng)的異構(gòu)性.

索引Sketch中每個(gè)桶存儲(chǔ)一個(gè)索引值，對(duì)應(yīng)一種迷你執(zhí)行體.插入數(shù)據(jù)包時(shí)，根據(jù)桶內(nèi)索引值確定迷你執(zhí)行體，調(diào)用相應(yīng)插入函數(shù).通過另一哈希函數(shù)將索引Sketch分流至多迷你執(zhí)行體，由哈希函數(shù)定位，相較于傳統(tǒng)擬態(tài)模型下的測(cè)量架構(gòu)，提高檢測(cè)效率，定理1中給出理論證明.

定理1在實(shí)際部署中，執(zhí)行體數(shù)量n滿足：

(1)

4.3 迷你執(zhí)行體

兼顧流量大小與執(zhí)行體性能決定運(yùn)行集各執(zhí)行體實(shí)際內(nèi)存分配，生成迷你執(zhí)行體.最簡(jiǎn)情況下，執(zhí)行體均分內(nèi)存，實(shí)現(xiàn)流量均勻分流，減少多執(zhí)行體帶來的內(nèi)存開銷，并在定理2中給出理論證明.在實(shí)際部署中，根據(jù)執(zhí)行體的性能差異、當(dāng)前場(chǎng)景的具體要求，差異化分配流量至不同執(zhí)行體，以達(dá)到更高靈活性.

定理2在實(shí)際部署中，執(zhí)行體數(shù)量n滿足：

(2)

檢測(cè)到異常時(shí)，反饋控制器從待機(jī)異構(gòu)構(gòu)件池中選擇互補(bǔ)執(zhí)行體替換問題執(zhí)行體，更新索引Sketch.基于閉環(huán)控制，運(yùn)行集將動(dòng)態(tài)適應(yīng)當(dāng)前網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)強(qiáng)魯棒性.預(yù)先分析多種基于Sketch的異常檢測(cè)方案的異構(gòu)性、魯棒性，并為每個(gè)執(zhí)行體配置足夠的互補(bǔ)執(zhí)行體，防止替換時(shí)互補(bǔ)待機(jī)執(zhí)行體不足.

較傳統(tǒng)異常檢測(cè)，基于擬態(tài)防御增加系統(tǒng)不確定性，增大攻擊者攻擊難度.較基于傳統(tǒng)擬態(tài)架構(gòu)，結(jié)合了不同執(zhí)行體的魯棒性分析與互補(bǔ)關(guān)系，增強(qiáng)異常檢測(cè)的適應(yīng)性.

5 裁決反饋機(jī)制

5.1 迷你執(zhí)行體

5.1.1 多模裁決

異構(gòu)系統(tǒng)中執(zhí)行體間存在許多差異，因而往往采用多模裁決策略.輸出裁決器內(nèi)包含可定義的裁決策略集.從理論、實(shí)驗(yàn)多層面，綜合分析不同基于Sketch的異常檢測(cè)方案的特征及異同，設(shè)計(jì)適合當(dāng)前執(zhí)行體集結(jié)構(gòu)的裁決策略集.具體包含:基于權(quán)重的疊加表決、行間表決,基于可信度的多數(shù)表決等.

5.1.2 可控裁決策略集

輸出裁決器疊加各執(zhí)行體輸出，基于裁決策略得到Heavy Hitter List與裁決信息.輸出裁決器通過多模裁決的方式，可以針對(duì)不同場(chǎng)景、需求，選擇、調(diào)整裁決策略，入侵容忍能力強(qiáng)、靈活性高、準(zhǔn)確性高.設(shè)策略集共k種策略,為S1,S2,…,Sk；Si.threshold為策略Si對(duì)應(yīng)閾值.下為裁決算法示例:

算法1裁決算法

輸入:各執(zhí)行體輸出(HeavyHitterCandidateList)OUTPUT={OP1,OP2,…,OPn}輸出:HeavyHitterList1)Heavy_List[n]={}2)FORi=1tonDO3) FORiteminOPiDO4) FORj=1tokDO5) IFitem.value≥Sj.thresholdTHEN6) InsertitemtoHeavy_List[i]7) break8)RETURNFinal_List=Intersection(allHeavy_List)

如第5～6行所示，將執(zhí)行體輸出中滿足條件元素寫入當(dāng)前策略對(duì)應(yīng)輸出集合.所有策略執(zhí)行完畢時(shí)，如第8行所示，對(duì)比裁決結(jié)果，取并集作為最終輸出.實(shí)際場(chǎng)景下，可根據(jù)檢測(cè)敏感性要求，配置參數(shù)w(1≤w≤k)采用“滿足w種策略”的裁決標(biāo)準(zhǔn)，或采用基于單策略的迭代裁決，以提高裁決效率.

5.2 反饋控制器

5.2.1 反饋控制

反饋控制器判斷并處理異常情況.接收裁決信息，依據(jù)預(yù)定策略調(diào)度運(yùn)行集和待機(jī)異構(gòu)執(zhí)行體池.達(dá)到調(diào)度要求時(shí)，終止異常執(zhí)行體，在待機(jī)異構(gòu)執(zhí)行體池中選擇并啟動(dòng)互補(bǔ)執(zhí)行體.

反饋控制器中維護(hù)一反饋計(jì)數(shù)器組，數(shù)組下標(biāo)對(duì)應(yīng)執(zhí)行體，計(jì)數(shù)器值記錄執(zhí)行體狀態(tài).系統(tǒng)在初始化時(shí)，將運(yùn)行集執(zhí)行體對(duì)應(yīng)計(jì)數(shù)器值初始化為1，其余初始化為0.在系統(tǒng)運(yùn)行過程中，反饋控制器根據(jù)裁決信息更新計(jì)數(shù)器值.計(jì)數(shù)器值達(dá)到反饋標(biāo)準(zhǔn)時(shí)，執(zhí)行反饋策略并重新初始化反饋計(jì)數(shù)器組.

5.2.2 反饋策略與算法

依據(jù)“可信度q為執(zhí)行體表決正確次數(shù)與本周期總表決次數(shù)之比”，計(jì)算可信度序列Q= {q1,q2,…,qn}.取其中值最小者qmin，若qmin<φ(φ為預(yù)先設(shè)定的閾值)，則將qmin對(duì)應(yīng)執(zhí)行體判定為“疑似問題執(zhí)行體”，計(jì)數(shù)器值增1，并判斷是否達(dá)到反饋標(biāo)準(zhǔn)：某執(zhí)行體計(jì)數(shù)器值大于其余計(jì)數(shù)器值總和，判定為問題執(zhí)行體.為保證反饋信息數(shù)組最貼近當(dāng)前網(wǎng)絡(luò)環(huán)境，經(jīng)過若干周期，初始化反饋信息數(shù)組.

當(dāng)達(dá)到反饋標(biāo)準(zhǔn)時(shí)，反饋控制器終止該問題執(zhí)行體.在反饋控制器調(diào)度下，互補(bǔ)執(zhí)行體將替換問題執(zhí)行體.反饋控制算法如下所示：

算法2反饋控制算法

輸入:Q={q1,q2,…,qk}1)qmin=min{q1,q2,…,qk}2)i=argmin{q1,q2,…,qk}3)IFqmin<ΦTHEN4) counter[i]++5)sum=∑counter[j]ifj!=i6)IFcounter[i]>sumTHEN7) Replace_MimicSketch(i)

反饋控制器接收裁決信息，當(dāng)滿足條件時(shí)，累加對(duì)應(yīng)計(jì)數(shù)器值(第4行).判斷是否需要執(zhí)行反饋控制操作(第6行)，若需要，啟動(dòng)互補(bǔ)待機(jī)執(zhí)行體，替代相應(yīng)的舊執(zhí)行體(第7行).重新初始化索引Sketch和反饋信息數(shù)組.

6 實(shí)驗(yàn)與驗(yàn)證

為驗(yàn)證系統(tǒng)魯棒性和裁決機(jī)制有效性，建立可持續(xù)運(yùn)行型仿真擬態(tài)防御網(wǎng)絡(luò)測(cè)量系統(tǒng).實(shí)驗(yàn)1采用13份異構(gòu)數(shù)據(jù)集以模擬具有不同數(shù)據(jù)量、數(shù)據(jù)特征的網(wǎng)絡(luò)環(huán)境.設(shè)閾值0.1%，分13個(gè)周期分別檢測(cè)重

流.每周期讀取數(shù)據(jù)包量3萬至21萬不等，以測(cè)試不同數(shù)據(jù)量下不同異常檢測(cè)方案性能.

在實(shí)驗(yàn)1中，設(shè)置3個(gè)異構(gòu)Sketch執(zhí)行體(Saving-Space、Count-Min-Sketch、MV-Sketch)，構(gòu)建索引Sketch.采用概率比例裁決、多票裁決等裁決策略.如圖4所示，所提架構(gòu)平均準(zhǔn)確率達(dá)90%以上，高于傳統(tǒng)異常檢測(cè)方案.如圖5所示，所提架構(gòu)召回率平均達(dá)97.5%，與傳統(tǒng)異常檢測(cè)方案相近，可滿足大多數(shù)場(chǎng)景下的要求.如圖6，觀察裁決前后執(zhí)行體檢測(cè)重流數(shù)量和最終輸出重流數(shù)量，發(fā)現(xiàn)在內(nèi)存壓縮后迷你執(zhí)行體假陽性或假陰性大幅提高.經(jīng)過裁決，及時(shí)剔除假陽性重流，說明裁決策略是有效的.更重要是通過裁決反饋，實(shí)時(shí)獲取執(zhí)行體的性能變化，有助于后續(xù)Sketch的合理替換，這個(gè)是傳統(tǒng)方案所難以達(dá)到的.

圖4 重流檢測(cè)精確度Fig.4 Precision for heavy hitter detection

圖5 重流檢測(cè)召回率Fig.5 Recall for heavy hitter detection

圖6 迷你執(zhí)行體(微執(zhí)行體)輸出重流數(shù)Fig.6 Number of heavy hitter outputted by mini actuator

在實(shí)驗(yàn)2中，基于上述條件不變，在內(nèi)存變化下測(cè)試異常檢測(cè)性能，分析索引Sketch的執(zhí)行體在不同內(nèi)存條件下魯棒性.在實(shí)驗(yàn)1的基礎(chǔ)上，不斷變化內(nèi)存，測(cè)出準(zhǔn)確度和召回率的平均值，并繪出折線圖，如圖7和圖8所示，在2～4 kB 到2～9 kB 的內(nèi)存場(chǎng)景下，準(zhǔn)確率和召回率都由于內(nèi)存不足而大幅下降.這說明1 MB內(nèi)存是目前作為索引Sketch精度的最低下限保證，也是實(shí)驗(yàn)1選取1 MB內(nèi)存的依據(jù).

圖7 隨內(nèi)存變化的重流檢測(cè)精確度Fig.7 Precision for heavy hitter detection under varies memory

圖8 隨內(nèi)存變化的重流檢測(cè)召回率Fig.8 Recall for heavy hitter detection under varies memory

在其他內(nèi)存條件下，雖然同樣受到內(nèi)存影響，所提架構(gòu)精度依然高于其他Sketch單獨(dú)執(zhí)行，以及1 MB內(nèi)存下迷你執(zhí)行體僅有1/3 MB內(nèi)存時(shí)不到40%的平均準(zhǔn)確率和不到85%的平均召回率，在實(shí)驗(yàn)1的多模裁決方案下，依然將其均值提升到90%和95%以上，多模裁決在未知環(huán)境和未知攻擊下，具有比其他傳統(tǒng)網(wǎng)絡(luò)測(cè)量手段更強(qiáng)的魯棒性和有效性.保證運(yùn)行時(shí)不過多占用內(nèi)存空間，以及高準(zhǔn)確率和召回率.

7 結(jié)語

隨網(wǎng)絡(luò)空間復(fù)雜化與數(shù)據(jù)量爆發(fā)式增長(zhǎng)，網(wǎng)絡(luò)流量異常檢測(cè)越發(fā)重要.提出一種基于擬態(tài)防御的網(wǎng)絡(luò)流量異常檢測(cè)架構(gòu).深入研究基于Sketch的異常檢測(cè)方案，分析并量化其魯棒性、異構(gòu)性，在擬態(tài)防御的基礎(chǔ)上引入互補(bǔ)思想進(jìn)一步提高防御有效性.提出索引Sketch與迷你執(zhí)行體，通過索引Sketch定位迷你執(zhí)行體，達(dá)到流量分流、加速查詢的效果.迷你執(zhí)行體有效降低擬態(tài)化構(gòu)造帶來的額外空間開銷.根據(jù)網(wǎng)絡(luò)流量異常檢測(cè)場(chǎng)景的特點(diǎn)以及基于Sketch的異常檢測(cè)方案的特性，設(shè)計(jì)裁決反饋機(jī)制，通過實(shí)驗(yàn)驗(yàn)證準(zhǔn)確性、強(qiáng)魯棒.在未來的工作中，將對(duì)架構(gòu)進(jìn)一步優(yōu)化，以更好滿足網(wǎng)絡(luò)流量異常檢測(cè)高效、準(zhǔn)確的要求，并部署到實(shí)際網(wǎng)絡(luò)中進(jìn)行可靠性測(cè)試，設(shè)計(jì)更成熟的裁決反饋策略，進(jìn)一步降低假陽性.