一種基于mRMR-SVM的空間信息網絡數據流檢測方法

魏德賓 魏 寧 楊 力 孔志翔

1(大連大學信息工程學院 遼寧 大連 116622)2(大連大學通信與網絡重點實驗室 遼寧 大連 116622)3(南京理工大學自動化學院 江蘇 南京 210094)

0 引 言

空間信息網絡中的衛星節點和鏈路都暴露在空中，易受到環境干擾和蓄意破壞，其中衛星突然癱瘓造成流量中斷異常，流量集中過大引起突發異常，以及惡意流量的攻擊破壞衛星節點正常運行，都是網絡受到干擾和破壞的重要表現形式。因此，建立有效的數據流檢測安全機制對空間信息網絡的正常運行具有十分重要的意義。

異常數據流是指流量集中過大引起突發異常以及惡意攻擊節點的數據流，反之為正常數據流。文獻[1]針對空間信息網絡易受到異常流量的攻擊行為，提出一種基于主成分分析和相似性分析的異常流量檢測措施。此方法對流量模型中的特征因子采用主成分分析法進行降維，并分析降維后所形成特征因子的多維特征相關性，判斷是否存在異常。但是該方法對于閾值的設定采用固定閾值檢測方法，具備一定的局限性，不能滿足實踐的安全需要。文獻[2]設計了衛星通信網絡的分布式入侵檢測系統。采用基于誤用的異常流量檢測機制，容許擴展各種異常流量檢測規則，通過規則庫對數據流量進行匹配檢測，判別是否為異常流量。但是該系統檢測的是地面站流入空間信息網絡的流量，對其內部產生的異常流量還不能檢測。

文獻[3]提出一種運用遺傳算法進行流量檢測的方法，該方法同時考慮時間和空間編碼信息，有助于識別復雜的行為模式，該系統能夠防止大量惡意流量的破壞，但該系統的弱點在于會引起錯誤警報。文獻[4]提出一種多級異常流量檢測模型框架MSML，采用分層半監督K-均值算法找出所有的純聚類，并應用基于集群的方法來尋找這些未知模式，細粒度分類模塊可以實現對未知模式樣本的細粒度分類，模型更新模塊為再訓練提供了一種機制，但模型參數的選擇不夠靈活，具有一定的經驗性。

軟件定義網絡(Software Defined Network,SDN)，其突出的特點是數據平面和控制平面既高度集中又互相分離，促進對網絡資源的優化，提高網絡資源的利用率[5-8]。文獻[9]設計了一種MADMAS方法，該方法利用了軟件定義網絡特性，在應用平面和控制平面之間，使用數據探索技術來識別應用層數據特征，對網絡流量分類，結合獨立分量分析和主成分分析技術來減少特征空間和特征處理時間。文獻[10]提出一種ARIMA-SVR的檢測方法。根據軟件定義網絡的特性，周期性地獲得網絡流量，采用自回歸積分滑動平均模型對流量進行預測，之后通過支持向量回歸模型將預測結果進行校正。這些方法僅思考數據流特征與類別之間的相關性，疏忽了數據流特征之間的相關性，沒有很好地去除冗余性，在流量識別分類方面沒有較好的準確率。

針對SDN架構的空間信息網絡，本文將空間信息網絡數據流分為正常和異常兩種狀態，提出一種基于mRMR-SVM的空間網絡數據流檢測方法。首先在數據平面收集空間信息網絡中的數據流，根據控制器下發的流表規則，采用最大相關與最小冗余(mRMR)方法，提取與每種狀態相關性最大并且特征屬性之間冗余最小的特征；然后采用加權歐氏距離改進采用徑向基核函數的SVM訓練分類器，并通過粒子群算法優化分類器的精度，以提高區分正常流量和異常流量的準確性；最后將數據流分為正常和異常兩種類別，丟棄異常數據流量，轉發正常數據流，保證空間信息網絡的安全性。

1 基于SDN的空間信息網絡架構

軟件定義網絡是一種新型的網絡框架，它的核心思想是數控分離，完成了數據平面和控制平面的高度解耦，分布和集中控制綜合網絡系統。借由SDN的思想，空間信息網絡的架構采用分層設計，分為應用平面、控制平面和數據平面，如圖1所示。

圖1 基于SDN的空間信息網絡架構

基于SDN的空間信息網絡中應用平面建立在空間站中或者地面上，在該層面進行編程操作。通過北向接口可對控制平面應用模塊進行更新，方便對網絡配置和應用業務的快速部署。

控制平面由GEO衛星組成，通過OpenFlow協議調度全網衛星，獲取網絡狀態。該層面中控制器對數據平面的檢測結果分析處理，查找異常狀態流量產生原因，通過全局調度來減少異常狀態流量的產生。

數據平面由LEO組成，包含數據流檢測模塊，負責數據流的檢測和轉發。當基站發出的數據到達數據平面時，使用數據流檢測模塊進行實時檢測，識別出正常和異常狀態流量，進行轉發或剔除，并將識別的結果上傳至控制平面。

2 基于SDN的空間信息網絡數據流檢測

空間信息網絡中的異常流對網絡進行惡意攻擊會對網絡的安全造成隱患，對實時到達的數據流進行檢測，識別出正常和異常數據流，能夠提高空間信息網絡的安全性。本文基于SDN的空間信息網絡數據流檢測流程如圖2所示。

圖2 基于SDN的空間信息網絡數據流檢測流程

數據平面衛星節點在某一時刻對空間信息網絡數據流進行統計和處理，根據控制器下發的流表規則，對數據進行流檢測識別，識別出正常和異常狀態的數據流并處理。識別的結果上傳至控制平面，控制器分析結果對空間信息網絡進行維護。數據平面的數據流檢測方法通過最大相關與最小冗余準則來計算影響數據流分類的主要特征屬性，采用加權歐氏距離和徑向基核函數方法改進SVM訓練分類器，再通過粒子群方法優化分類器的精度，從而檢測出空間信息網絡正常和異常狀態的數據流。

2.1 最大相關與最小冗余的特征提取

數據流特征屬性的重要程度將直接影響網絡流量正常或異常狀態的準確檢測。隨著提取特征維數的不斷增加，會產生一些不相關和冗余的特征。特征選擇是通過消除不相關和冗余的特征，獲取含有最佳辨識能力的子集的過程。本文設定流包數均值、流平均字節數、流表項增速、流請求速率、源IP增速、端口增速、協議的熵等7個特征屬性，根據控制器下發的表規則，采用最大相關與最小冗余(mRMR)方法提取網絡流量的主要特征。

控制器下發的流表[11-12]中，包含了數據流的12項信息，其中，交換機入端口(Ingress Port)屬于一層的標識；源MAC地址(Ether Source)、目的MAC地址(Ether Dst)、以太網類型(Ether Type)、VLAN標簽(VLAN id)、VLAN優先級(VLAN priority)屬于二層標識；源IP(IP src)、目的IP(IP dst)、IP協議字段(IP proto)、IP服務類型(IP ToS bits)屬于三層標識；TCP/UDP源端口號(TCP/UDP Src Port)、TCP/UDP目的端口號(TCP/UDP Dst Port)屬于四層的標識。這些匹配的字段較好地標識出“流”，提供了更為精細的粒度。流表的格式如圖3所示。

Ingress PortEther SourceEther DstEther TypeVLAN idVLAN priorityIP srcIP dstIP protoIP ToS bitsTCP/UDP Src PortTCP/UDP Dst Port

對某一時刻流量統計后，通過皮爾遜相關系數(PCC)和最大信息系數(MIC)的相關性度量系數MPC來描述變量之間的關系，三種參數表示為：

(1)

式中：F和C分別表示特征屬性和類別變量；I(F;C)表示F和C之間的互信息量。設C={c1,c2,…,cl}，l表示類別總數，本文區分空間信息網絡流量分為正常流量和異常流量，則C={c1,c2}。F={F1,F2,…,Fn}表示特征集合，Fi表示第i個特征。根據有監督的特征選擇，特征Fi與類別標簽C的相關度量系數可以定義為：

(2)

根據最大相關與最小冗余準則中的最大相關原則，被選擇的特征Fi應該與類別C具有最大相關性，即為D(Fi,C)取最大值時的Fi，記為Fmax，表示為：

Fmax=arg maxD(Fi,C)

(3)

同樣，根據mRMR中的最小冗余準則，被挑選的特征Fi之間具有最小冗余性，冗余度計算公式和最小冗余值Fmin表示為：

(4)

Fmin=arg minR(F)

(5)

利用增量搜索方法來獲取由Φ(·)定義的近似最佳特征，算子Φ(D,R)用來定義優化最大相關和最小冗余信息。結合D與R，那么最佳特征Fopt挑選準則表示為：

Φ(D,R)=D(Fi,C)-R(F)

(6)

Fopt=arg maxΦ(D,R)

(7)

如果實驗已經獲取了k-1個特征的特征子集Fk-1，那么第k個特征Fk需要從特征集合F-Fk-1中挑選，則通過Φ(D,R)，Fk的詳細挑選準則表示為：

(8)

根據Fk的計算結果，訓練分類器。

2.2 改進的支持向量機訓練分類器

SVM[13-16]是一類按監督學習形式對數據進行二元分類的分類器，其目的是找到一個超平面把兩類數據分開，適合二分類問題。支持向量機通過核函數將輸入向量映射到高維空間，在高維空間找到最佳分類面并進行分類。本文采用加權歐氏距離和徑向基核函數方法改進SVM，找到滿足分類要求的最大分類間隔超平面，使得正常數據和異常數據正確分離。該方法適用于空間信息網絡復雜的大數據環境。

向量機的問題是使用分解方法將大規模問題分解為小規模問題，迭代地解決子問題。首先為檢測的數據集的每個特征屬性賦予一定的權重，使用權重向量w修改標準歐幾里得距離：

(9)

式中：dw(xi,xj)是兩條流量xi和xj之間的加權歐幾里得距離；xik是第i條流量的第k個特征屬性值；w=(w1,w2,…,wn)是權重向量。權重向量是每個特征屬性的重要度量。權重向量w使用計算的mRMR歸一化定義：

(10)

exp(-Gamma[(xi-xj)TPPT(xi-xj)]

(11)

特征屬性加權矩陣是n階對角矩陣：

(12)

參數Gamma影響分類器分類的精度：

(13)

Gamma越小，σ越大，支持向量越多，Gamma越大，σ越小，支持向量越少。本文采用粒子群算法(Particle Swarm Optimization,PSO)[17-20]優化SVM分類器的精度。粒子群優化是參數優化的一種啟發式方法，可以提高正常流量和異常流量識別的準確性。將空間信息網絡流量集定義為一組m個粒子：

Z={z1,z2,…,zm}

(14)

每個粒子代表數據集的一個數據流，將其映射為空間D中的一個點，設D的維數為p。

zi=[zi1,zi2,…,zip]T∈Ai=1,2,…,m

(15)

式中：A代表搜索空間。定義優化的適應度函數為：

(16)

若干粒子組合成一個群體，群體包含當前適應度的信息。通過先前位置的最佳適應度以及隨機添加的一個或多個其他粒子群的最佳適合度來確定其在搜索空間中的移動。粒子將在搜索空間A中迭代地移動，移動和移動位置的機制使用速度其表示：

vi=[vi1,vi2,…,vip]Ti=1,2,…,m

(17)

在PSO中有一個Q參數，它是一個存儲集，存儲最佳位置被標記為本地最佳(Qbest)。

Qbest=[qi01,qi02,…,qi0p]T∈A

(18)

從每一個群體中獲得全局最佳值，其表明所有群體的最佳粒子值。

Gbesti=Qbesti∈A

(19)

為了獲得Gbesti值，則必須在每次迭代時更新粒子的位置，更新位置和速度變換公式為：

(20)

式中：k1、k2是加速度常數，用來調節學習最大步長；θ1,θ2∈[0,1]為隨機數，以增加搜索隨機性。

(21)

根據上述公式和適應度函數來優化SVM，提高區分正常流量和異常流量的準確度。由于迭代次數的增多會增加分類器的復雜性，所以本文使用的迭代次數是10次。通過適應度函數f可以評估種群數據是否正常。適應度值越小，正常流量和異常流量的分類程度越好；反之，則分類程度越差。

2.3 復雜度分析

本文算法的時間復雜度主要由粒子移動組成。假設粒子數為r，迭代次數為k，適應度計算的時間復雜度O(N)，因此，本文算法的時間復雜度為O(rkN)。

本文算法的空間復雜度主要指SVM訓練的空間復雜度：1) 核函數的計算；2) 粒子群的移動占據空間約為O(rN)。因此，本文算法空間復雜度為O(rN)。

3 仿真驗證

3.1 實驗環境設定

在虛擬機VMware下安裝Ubuntu系統，使用Mininet搭建一個SDN網絡環境，Mininet能夠簡單迅速地創建用戶自定義拓撲。將floodlight控制器作為GEO節點，OpenVSwich節點表示LEO作為數據平面，建立一個11顆衛星的小型星座表示基于SDN的空間信息網絡的網絡結構。使用KDDCup’99數據集中10%的訓練子集和測試子集作為實驗仿真數據，通過仿真工具Mininet和Python腳本可根據數據信息生成數據流，發送給交換機。SDN控制器通過OpenFlow協議與SDN交換機進行網絡交互，基于OpenFlow協議下發流表。

衛星節點信息如表1所示。

表1 衛星節點信息表

用STK構建衛星網絡如圖4所示。

圖4 衛星網絡2D拓撲結構示意圖

本文設計3顆GEO衛星，高度為35 860 km，8顆LEO衛星，LEO衛星網絡參數如表2所示。

表2 LEO衛星網絡參數表

3.2 特征子集參數設定

本文通過提取流表項中與數據流相關的信息，選擇出對分類有效的相關特征子集，特征子集設定如下：

(1) 流包數均值(Average Number of Packets,ANPF)。

式中：PacketsNumi是一定時間間隔內第i條流中數據包的數目；FlowsNum是這個時間間隔內流的總數。通過連續隨機快速地生成大量的異常流，每條流的數據包數量將減少。

(2) 流平均字節數(Average Bytes per Flow,ABF)。

式中：BitNumi是一定時間間隔內第i條流的字節總數。同ANPF，異常流的字節數不是太高就是太低，因此，ABF成為檢測異常流的重要特性。

(3) 流表項增速(Rate of Flow Entries,RFE)。

式中：FlowTableNum是一定時間間隔內流表項的總數；ΔT為時間間隔，異常流會使控制器產生大量的流表信息。

(4) 流請求速率(Flow Request Rate,FRR)。

式中：FlowsNum是一定時間間隔內流的總數。異常流的生成速度會顯著提高，所以異常流的請求速率會比正常流大。

(5) 源IP增速(Source IP Growing Speed,SGS)。

式中：sIPNum指一定時間間隔內源IP地址的數目。異常流可能生成大量虛假IP地址對目標衛星進行破壞，所以源IP地址的增速一定會明顯提升。

(6) 端口增速(Ports Gennerating Speed,PGS)。

式中：PortsNum是一定時間間隔內不同端口的數量。正常情況下端口的變化量比較穩定，而異常流不但會偽造IP地址，還會隨機生成端口號。

(7) 協議的熵(Entropy of Protocol Type,EPT)。

式中：TypeNum是一定時間間隔內不同協議的數量。異常流量越多，流量協議的隨機性就越小，導致異常流量協議的熵比正常流量的熵小。

3.3 評價指標

在流量識別中評估分類器的分類能力，通常使用真正數、假正數、真負數、假負數、準確率和誤判率等。對任一輸出類別A，真正數TP(True Positive)是指類別為A的流被判定為類別A的流個數；假正數FP(False Positive)是指類別非A的流被誤判為類別A的流個數；真負數TN(True Negative)是指類別非A被判定為非A的流個數；假負數FN(False Negative)是指類別為A誤判為非A的流個數。準確率和誤判率代表分類器對每種類別的檢測能力，基于SDN的空間信息網絡數據流檢測模型性能的指標：

3.4 實驗結果分析

本文的實驗仿真數據包括訓練子集和測試子集，數據集中共有39種異常類型，訓練集中包括22種，其余17種異常類型在測試集中。圖5-圖7是訓練子集中上述7個特征參數隨時間變化情況統計圖。

圖5 流包數均值、源IP增速、端口增速、協議的熵變化情況統計圖

圖6 流平均字節數隨時間變化情況統計圖

圖7 流表項增速和流請求速率隨時間變化情況統計圖

可以看出，隨著時間的變化，7個特征都會出現不同程度的變化，流表項增速、流請求速率、源IP增速、端口增速的提高，流包數均值、協議的熵的降低，以及流平均字節數的大幅度提高和降低都是異常數據流的聚集區。異常數據流增多，特征參數會出現明顯的變化。

上述7個特征變化情況服從正態分布，其參數如表3所示。

表3 7個特征變化情況正態分布參數

采用粒子群算法優化SVM參數Gamma，提高分類器的精度，因此，本文的Gamma值取0.9時，分類器的精度達到最佳。分類器精度隨參數Gamma變化情況如圖8所示。

圖8 Gamma和分類器精度關系

將本文算法與文獻[9]MADMAS算法和文獻[10]ARIMA-SVR算法進行對比，這兩種算法都是基于SDN技術，與本文算法都是在同等條件下的應用。ARIMA-SVR算法是一種輕量級算法，相比之下可以證明本文算法在空間信息網絡的適用性；MADMAS算法對數據流細粒度分類，對異常數據流檢測精確度較好，相比之下可證明本文算法的精確性。本文方法與MADMAS、ARIMA-SVR的對比分析如下。數據集包含正常和異常兩種狀態的數據，在相同的數據集下對比其檢測正常和異常兩種狀態數據流的準確率和正常數據流被檢測為異常數據流的誤判率。

圖9表示檢測數據流正常和異常的準確率。可以看出，隨著數據數量的增加，三種方法檢測準確率略有下降。但本文方法整體準確率要比其他兩種方法高，因為本文所采用的mRMR算法提取流量中狀態相關性最大、特征屬性之間冗余最小的特征，改進的SVM算法適合大數據環境下的數據流檢測，優化分類器參數提高分類器的精度，提高識別正常和異常數據流的準確率。本文方法的檢測的平均準確率比MADMAS提高了2.1百分點，比ARIMA-SVR提高了4.9百分點，對數據流的檢測具有較高的準確率。

圖9 數據流檢測準確率

圖10表示正常數據流檢測為異常數據流的誤判率。隨著數據數量的增加，三種方法誤判率有所上升，但本文方法要比其他兩種方法誤判率低，因為特征提取的mRMR算法在數據增多、流量種類變多時會影響對數據流檢測的結果。通過實驗對比分析，本文方法檢測的平均誤判率比MADMAS提高了6.1%，比ARIMA-SVR提高了11.4%。

圖10 數據流檢測誤判率

圖11是三種方法的檢測時間對比。可以看出，隨著數據數量的增加，三種方法的檢測時間都有所增多。在開始階段，本文方法所用的檢測時間高于其他兩種方法，數據平面包含數據流檢測和轉發功能，特征提取和優化分類器參數會有一定的時間消耗。本文方法檢測時間總體介于MADMAS和ARIMA-SVR之間。

圖11 數據流檢測時間

4 結 語

本文提出一種基于SDN的空間信息網絡的數據流檢測方法。該方法根據設定的7個特征屬性，采用mRMR算法提取數據流的主要特征，采用加權歐氏距離和徑向基核函數改進SVM訓練分類器，再通過粒子群方法優化分類器的精度，對數據流實時檢測。最后對本文方法、MADMAS和ARIMA-SVR的性能進行仿真對比，本文方法的準確率更高，誤判率更低。但是隨著數據數量的增加，檢測時間有所增加，是本文方法代價體現。在未來的研究中可以考慮降低檢測算法的復雜度，減少數據平面的資源消耗和檢測時間，提高空間信息網絡的安全性。