關(guān)聯(lián)規(guī)則挖掘結(jié)合簡(jiǎn)化粒子群優(yōu)化的哈?；厮葑粉檯f(xié)議

侯　燕，郭慧玲

(周口師范學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 周口 466000)

?

關(guān)聯(lián)規(guī)則挖掘結(jié)合簡(jiǎn)化粒子群優(yōu)化的哈希回溯追蹤協(xié)議

侯燕，郭慧玲

(周口師范學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 周口 466000)

摘要：針對(duì)源路徑隔離引擎(source path isolation engine, SPIE)不能回溯追蹤早期經(jīng)過(guò)路由器的攻擊數(shù)據(jù)包問(wèn)題，提出了一種IP回溯追蹤協(xié)議(IP trace-back protocol, ITP)，該協(xié)議根據(jù)壓縮哈希表、Sinkhole路由算法和基于網(wǎng)絡(luò)取證的數(shù)據(jù)挖掘技術(shù)抵抗網(wǎng)絡(luò)攻擊。其中包含簡(jiǎn)化粒子群優(yōu)化(simplified particle swarm optimization，SPSO)關(guān)聯(lián)算法的分析管理器(attack analysis manager，AAM)通過(guò)分析來(lái)自Sinkhole路由器和入侵檢測(cè)系統(tǒng)(intrusion detection systems，IDS)的攻擊包的關(guān)聯(lián)性生成攻擊模式和攻擊包規(guī)則，并將該結(jié)果通知系統(tǒng)管理器，Sinkhole路由器和IDS通過(guò)數(shù)據(jù)挖掘技術(shù)分析攻擊包之間的關(guān)聯(lián)性。通過(guò)比較SPIE，概率包標(biāo)記(probabilistic packet marking, PPM)和iTrace的性能可以看出，ITP不僅能實(shí)時(shí)追蹤后向攻擊，而且能定期使用壓縮哈希表(compressed hash table，CHT)完成追蹤任務(wù)。因此，在抵抗DoS攻擊方面，ITP性能優(yōu)于SPIE，PPM和iTrace，此外，在回溯執(zhí)行時(shí)間方面，相同跳躍數(shù)下，ITP比iTrace低2-3 s。

關(guān)鍵詞：攻擊數(shù)據(jù)包；IP回溯協(xié)議；壓縮哈希表；簡(jiǎn)化粒子群優(yōu)化；Sinkhole路由器；數(shù)據(jù)挖掘

0引言

網(wǎng)絡(luò)攻擊[1]在現(xiàn)代信息社會(huì)時(shí)常發(fā)生，很多國(guó)家均設(shè)有網(wǎng)絡(luò)安全部隊(duì)。也有一些黑客組織攻擊一些指定電腦和網(wǎng)絡(luò)，這些攻擊的目的比較復(fù)雜，攻擊造成的損失不可估量，那么，如何預(yù)防網(wǎng)絡(luò)攻擊非常重要。由于現(xiàn)存的計(jì)算機(jī)設(shè)備和移動(dòng)終端都需要分配IP地址，因此，使用IP回溯技術(shù)保護(hù)網(wǎng)絡(luò)安全很有必要。

常用的源路徑隔離引擎(source path isolation engine, SPIE)[2]通過(guò)存儲(chǔ)在布隆濾波器中的數(shù)據(jù)包信息來(lái)提高濾波器內(nèi)存利用率，但是布隆濾波器內(nèi)存有限，因此，必須定期初始化。這就存在一個(gè)問(wèn)題，SPIE不能回溯追蹤早期經(jīng)過(guò)路由器的攻擊數(shù)據(jù)包。

另一種回溯協(xié)議是概率包標(biāo)記(probabilistic packet marking, PPM)[3]，其主要思想是允許路由器與概率路徑信息的數(shù)據(jù)包標(biāo)記，并讓被攻擊者通過(guò)重建攻擊路徑來(lái)標(biāo)記數(shù)據(jù)包[4]。PPM也被經(jīng)常使用，然而，PPM方法要求被攻擊者收集的大量攻擊數(shù)據(jù)包和回溯過(guò)程的大量計(jì)算，路徑信息的編碼/譯碼的復(fù)雜性較高，標(biāo)記空間有限。

在Internet控制報(bào)文協(xié)議(Internet control message protocol, ICMP)溯源機(jī)制，ICMP反向追蹤經(jīng)常被使用。其基本思想是每一個(gè)路由器都以較低概率(例如1/20 000)成為樣本，數(shù)據(jù)包中的某一個(gè)轉(zhuǎn)發(fā)和復(fù)制ICMP回溯信息的內(nèi)容，該信息包含沿路徑到目的地的相鄰路由器信息。然而，回溯信息依賴(lài)于輸入調(diào)試能力，若只有一些路由器的參加，將難以連接回溯信息，而且iTrace要求基建和密鑰分配，以解決攻擊者發(fā)送虛假的ICMP溯源信息[5-6]。

目前的反向追蹤技術(shù)也無(wú)法完全準(zhǔn)確的識(shí)別所有的攻擊路徑[7]。因此，重構(gòu)出來(lái)的路徑正確性和完備性以及重構(gòu)所需要的時(shí)間、空間開(kāi)銷(xiāo)是衡量這些算法優(yōu)劣的主要因素，也是改進(jìn)的依據(jù)[8]。

為了解決這個(gè)問(wèn)題，本文提出了一種IP回溯協(xié)議(IP trace-back protocol, ITP)，該協(xié)議使用壓縮哈希表、Sinkhole路由器和基于網(wǎng)絡(luò)取證的數(shù)據(jù)挖掘技術(shù)抵抗網(wǎng)絡(luò)攻擊。ITP嵌入在路由器的壓縮哈希表模塊(compressed hash table module, CHTM)中，該模塊壓縮哈希表的內(nèi)容且將壓縮結(jié)果存儲(chǔ)在數(shù)據(jù)庫(kù)中。ITP不僅能利用哈希表實(shí)時(shí)追蹤后向攻擊，而且能定期壓縮哈希表(compressed hash table, CHT)。特別地，ITP中的攻擊分析管理器(attack analysis manager, AAM)通過(guò)生成的攻擊模式和攻擊包之間的關(guān)聯(lián)規(guī)則提高了攻擊檢測(cè)率。

1提出的IP回溯協(xié)議

本文根據(jù)CHT，Sinkhole路由器和基于網(wǎng)絡(luò)取證的數(shù)據(jù)挖掘技術(shù)設(shè)計(jì)了一種IP回溯協(xié)議。該協(xié)議用于追蹤網(wǎng)絡(luò)攻擊中的犯罪行為。

圖1顯示的ITP的總體構(gòu)成。它由系統(tǒng)管理器、路由管理器、DB管理器和AAM組成。

圖1　ITP的組件和信息流Fig.1　ITP components and information flow

系統(tǒng)管理器：在ITP中，系統(tǒng)管理器管理路由器管理器、AAM和DB管理器，給路由器管理器傳輸攻擊包信息，追溯經(jīng)過(guò)路由器的反向信息，確定反饋信息的攻擊路由。另外，系統(tǒng)管理器也根據(jù)壓縮后的CHT追溯攻擊。

路由器管理器：路由器管理器通過(guò)哈希函數(shù)匯聚和路由器數(shù)據(jù)包將結(jié)果存儲(chǔ)在哈希表中。路由器管理器定期壓縮哈希表且存儲(chǔ)壓縮結(jié)果在DB中。如果它檢測(cè)到攻擊包，將改變到Sinkhole路由器攻擊包的路由。Sinkhole路由器傳輸攻擊包給AAM且通知系統(tǒng)管理器哪個(gè)路由器檢測(cè)到攻擊包。

DB管理器：DB管理器管理攻擊包信息和CHT信息。

AAM：AAM分析由Sinkhole路由器和入侵檢測(cè)系統(tǒng)(intrusion detection systems，IDS)傳輸?shù)墓舭?，且確定攻擊包類(lèi)型，傳輸攻擊包信息給系統(tǒng)管理器和IDS。

1.1設(shè)計(jì)系統(tǒng)管理器

系統(tǒng)管理器將攻擊消息和回溯請(qǐng)求消息傳送給路由器。它通過(guò)編號(hào)每個(gè)路由的響應(yīng)消息產(chǎn)生回溯路由。

系統(tǒng)管理器傳輸攻擊包消息、回溯請(qǐng)求路由消息和Sinkhole路由器選擇消息給路由器。當(dāng)系統(tǒng)管理器傳輸這些消息時(shí)，它們都存在時(shí)間戳字段(存儲(chǔ)時(shí)間)和MAC字段。時(shí)間戳用于檢測(cè)重放攻擊，當(dāng)驗(yàn)證消息的可信時(shí)，使用MAC字段，其中，系統(tǒng)管理器的組成如圖2所示。

圖2　系統(tǒng)管理器的組成Fig.2　System manager composition

1.2設(shè)計(jì)路由器管理器

路由器管理器通過(guò)哈希函數(shù)散列和路由器的數(shù)據(jù)包將結(jié)果存儲(chǔ)在哈希表中。因?yàn)槁酚善鞴芾砥鞑荒艽鎯?chǔ)通過(guò)路由器的數(shù)據(jù)包信息，所以它內(nèi)存有限，哈希表必須初始化。一段時(shí)間后，ITP不能追蹤后向攻擊，因?yàn)榻?jīng)過(guò)路由器的數(shù)據(jù)包信息已經(jīng)改變。

為了解決該問(wèn)題，CHTM定期壓縮數(shù)據(jù)包且存儲(chǔ)結(jié)果。因此CHTM能定期追蹤后向攻擊。圖3顯示了路由器管理器的組成。

圖3　路由器管理器組成Fig.3　Composition of router manager

現(xiàn)存基于哈希表的IP回溯技術(shù)存在一些問(wèn)題，這些技術(shù)不能確定攻擊包是否經(jīng)過(guò)路由器，因?yàn)槁酚善鲿?huì)定期初始化哈希表。為了解決該問(wèn)題，本文提出CHTM定期發(fā)送哈希表值給臨時(shí)文件且壓縮臨時(shí)文件。路由器管理器將壓縮的數(shù)據(jù)傳送給系統(tǒng)管理器，系統(tǒng)管理器然后將數(shù)據(jù)存儲(chǔ)在CHT數(shù)據(jù)庫(kù)中。

通過(guò)算數(shù)編碼壓縮哈希表[9-10]，算數(shù)編碼處理相關(guān)符號(hào)的概率和屬于的該概率范圍的前綴符號(hào)，前綴用作符號(hào)的壓縮值，算法1即CHTM壓縮算法。

算法1CHTM壓縮算法

CHTM{

low=0;high=1;range=1;

get(symbol);

while(symbol!=EOF){ //EOF為文件結(jié)束標(biāo)志符，值通常為-1

prefix=0;

set_probability(symbol);

low=low+range*Range_low(symbol);

high=low+range+Range_high(symbol);

range=high-low;

prefix=check_prefix(low,high);

if(prefix) output(prefix);

get(symbol);

}

}

1.3攻擊信息DB

系統(tǒng)管理器將攻擊包信息存儲(chǔ)在攻擊包信息DB中。另外，系統(tǒng)管理器發(fā)送給路由器的回溯請(qǐng)求消息和路由器的回溯響應(yīng)消息存儲(chǔ)在回溯請(qǐng)求消息表中。該攻擊信息和回溯結(jié)果能用于網(wǎng)絡(luò)犯罪調(diào)查。系統(tǒng)管理器將攻擊包哈希值存儲(chǔ)在攻擊列表中，表1顯示了攻擊列表的結(jié)構(gòu)。

表1　攻擊列表

系統(tǒng)管理器將來(lái)自AAM的攻擊模式存儲(chǔ)在攻擊模式表中，表2顯示了攻擊模式結(jié)構(gòu)。

表2　攻擊包表a

表3顯示了系統(tǒng)管理器存儲(chǔ)來(lái)自AAM的攻擊包規(guī)則以及攻擊包結(jié)構(gòu)。

表3　攻擊包表b

1.4簡(jiǎn)化粒子群優(yōu)化

1.4.1使用IDS-RS選擇特征

高維數(shù)據(jù)挖掘中，特征選擇是減少分類(lèi)規(guī)則中不相關(guān)特征數(shù)的必須工作。本文使用k-均值算法來(lái)處理連續(xù)變量，k-均值算法能夠組合連續(xù)變量為多個(gè)聚類(lèi)，然后，聚類(lèi)質(zhì)心值分配給相應(yīng)的維度。智能動(dòng)態(tài)群(intelligence dynamic group, IDG)算法將每個(gè)粒子的位置表示為隨機(jī)1或0的長(zhǎng)度為N的二進(jìn)制位串。粒子的1個(gè)位表示1個(gè)特征，例如，如果有5個(gè)特征：A，B，C，D和E，其中，N=5。如果已選擇其中1個(gè)特征，則對(duì)應(yīng)的位將設(shè)置為1，否則為0(例如：10011)。每個(gè)位的位置表示屬性的子集，值1表示已選擇相應(yīng)的特征，而0意味著沒(méi)有選中它。同時(shí)，粗糙集算法尋找最小簡(jiǎn)集R，其適應(yīng)度函數(shù)[11-12]為

(1)

(1)式中：γR(D)是相對(duì)于維度D的條件屬性集R的分類(lèi)質(zhì)量；|R|表示位置的“1”數(shù)或選擇的特征子集的長(zhǎng)度；|C|是特征總數(shù)；α和β是對(duì)應(yīng)于分類(lèi)質(zhì)量重要性和子集長(zhǎng)度的2個(gè)參數(shù)，α∈[0,1]且β=(1-α)。最高α確保最好的位置至少是一個(gè)真正的粗糙集簡(jiǎn)集。之后，根據(jù)隨機(jī)數(shù)R和(1)式中提到的3個(gè)預(yù)定義參數(shù)Cw，Cp以及Cg更新粒子位置的每個(gè)位。

1.4.2加權(quán)局部搜索

簡(jiǎn)化粒子群優(yōu)化(simplified particle swarm optimization，SPSO)進(jìn)行粗略搜索，這樣可能會(huì)產(chǎn)生不成熟結(jié)果導(dǎo)致有時(shí)提供的解不能令人滿(mǎn)意。因此，需要嵌入局部搜索策略到SPSO中，使SPSO產(chǎn)生更滿(mǎn)意的解。局部搜索可以從一個(gè)解移動(dòng)到另一個(gè)解，探索解控制直到找到最優(yōu)解。它從當(dāng)前解開(kāi)始，然后從其鄰域中搜索更優(yōu)解，重復(fù)執(zhí)行新解的鄰域搜索，直到滿(mǎn)足局部最優(yōu)解時(shí)停止。本文局部搜索的目的是找出粒子的新pbest或當(dāng)前粒子本身的新gbest，而不在任意代執(zhí)行。本文提出一種合并了新加權(quán)局部搜索方法的SPSO算法，稱(chēng)為SPSO加權(quán)局部搜索(simplified particle swarm optimization-weighted local search, SPSO-WLS)。加權(quán)局部搜索應(yīng)用于SPSO規(guī)則挖掘的加權(quán),3個(gè)預(yù)定常數(shù)是Cw，Cp和Cg，然后根據(jù)(2)式使用加權(quán)預(yù)定變量更新粒子。

(2)

為了獲得新pbest和gbest，重新評(píng)估粒子的適應(yīng)值。加權(quán)局部搜索算法的步驟如下。

步驟1預(yù)先確定局部搜索時(shí)間T和局部搜索權(quán)重ω。

步驟2選擇目標(biāo)粒子Pt。

在此階段，gbest將是待運(yùn)行T次局部搜索的第一目標(biāo)粒子，然后，依次選擇其他pbest作為目標(biāo)粒子，運(yùn)行T次局部搜索。局部搜索pbest期間，獲得gbest后，加權(quán)局部搜索將停止，其他pbest無(wú)需再運(yùn)行局部搜索。

步驟3獲取新的3個(gè)加權(quán)值ω×Cw，ω×Cp和ω×Cg。

步驟4根據(jù)(2)式通過(guò)新加權(quán)值ω×Cw，ω×Cp和ω×Cg更新粒子位置。

步驟5重新評(píng)估目標(biāo)粒子的適應(yīng)值。

步驟6檢查適應(yīng)值是否比目標(biāo)粒子當(dāng)前pbest或gbest更好。如果粒子已經(jīng)得到了新pbest，目標(biāo)粒子局部搜索的迭代將重置為零，重新運(yùn)行局部搜索，直到局部搜索了T次沒(méi)有找到更多的pbest。如果粒子已經(jīng)得到了新gbest，局部搜索過(guò)程將停止。然而，gbest搜索會(huì)繼續(xù)運(yùn)行，即使已獲得新gbest。

1.5攻擊模式的關(guān)聯(lián)性分析

AAM的攻擊分析過(guò)程如下。

步驟1AAM分類(lèi)來(lái)自Sinkhole路由器和IDS的數(shù)據(jù)包，將其分為T(mén)CP，UDP和ICMP數(shù)據(jù)包。

步驟2AAM將分別將數(shù)據(jù)包分為同一源IP、目的地IP和端口號(hào)數(shù)據(jù)包。

步驟3AAM根據(jù)簡(jiǎn)化粒子群優(yōu)化SPSO關(guān)聯(lián)算法生成攻擊模式的關(guān)聯(lián)規(guī)則。接下來(lái)，本文根據(jù)實(shí)例介紹該過(guò)程。

本文使用KDD Cup數(shù)據(jù)；KDD Cup 1999 data的10%作為訓(xùn)練數(shù)據(jù)，生成關(guān)聯(lián)規(guī)則，如表4所示，僅顯示了類(lèi)型、服務(wù)和數(shù)據(jù)包標(biāo)志。

表5—表9是關(guān)聯(lián)規(guī)則生成過(guò)程，AAM根據(jù)minimum support 為0.5和最小可信度為0.7計(jì)算表5中每個(gè)項(xiàng)目的最大項(xiàng)目集。表6顯示了結(jié)果。這里，AAM刪除項(xiàng)目集(support)<0.5的最大項(xiàng)目集。AAM通過(guò){A2}，{A3}，{A5}生成擁有2個(gè)項(xiàng)目的最大項(xiàng)目集，且刪除項(xiàng)目集(support)<0.5的最大項(xiàng)目集。表8顯示最大項(xiàng)目集{A2，A3}，{A2，A5}和{A3，A5}。AAM通過(guò)圖表9生成有3個(gè)項(xiàng)目的最大項(xiàng)目集{A2，A3，A5}。這里，因?yàn)閟upport(=0.6)大于0.5，所以最大項(xiàng)目集為{A2，A3，A5}。

表4　數(shù)據(jù)包信息

表5　事務(wù)ID和項(xiàng)目

表6　包含一個(gè)項(xiàng)目的最大項(xiàng)目集

表7　支持>0.5情況實(shí)例

表8　包含2個(gè)項(xiàng)目的最大項(xiàng)目集

表9 包含3個(gè)項(xiàng)目的最大項(xiàng)目集

接下來(lái)，AAM生成最終最大項(xiàng)集{A2，A3，A5}的關(guān)聯(lián)規(guī)則，可信性大于0.7的作為關(guān)聯(lián)規(guī)則。

最終最大項(xiàng)集{A2，A3，A5}生成關(guān)聯(lián)規(guī)則過(guò)程如下。

規(guī)則1：可信度(A2，A3→A5)=P(A5|A2，A3)=

支持(A2∪A3∪A5)/支持(A2∪A3)=

0.6/0.6=1.0

規(guī)則2：可信度(A2，A5→A3)=P(A3|A2，A5)=

支持(A2∪A3∪A5)/支持(A2∪A5)=

0.6/0.6=1.0

規(guī)則3：可信度(A3，A5→A2)=P(A2|A3，A5)=

支持(A2∪A3∪A5)/支持(A3∪A5)=

0.6/0.6=1.0

規(guī)則4：可信度(A2→A3，A5)=P(A3，A5|A2)=

支持(A2∪A3∪A5)/支持(A2)=

0.6/0.8=0.75

規(guī)則5：可信度(A3→A2，A5)=P(A2，A5|A3)=

支持(A2∪A3∪A5)/支持(A3)=

0.6/0.6=1

規(guī)則6：可信度(A5→A2，A3)=P(A2，A3|A5)=

支持(A2∪A3∪A5)/支持(A5)=

0.6/0.8=0.75

因?yàn)殛P(guān)聯(lián)規(guī)則可信性大于0.7，所以AAM判定這6個(gè)關(guān)聯(lián)規(guī)則可信。

步驟4AAM僅通知系統(tǒng)管理器可信度大于最低可信度的關(guān)聯(lián)規(guī)則。例如，如果關(guān)聯(lián)規(guī)則為(A2，A3→A5)且可信度為100%，則該組合意味著DoS攻擊發(fā)生后必將發(fā)生探測(cè)攻擊，例如Neptune和Land攻擊。

步驟5系統(tǒng)管理器將攻擊模式存儲(chǔ)在攻擊信息DB的攻擊模式表中。更進(jìn)一步，系統(tǒng)管理器通知每個(gè)路由器管理器攻擊模式且切斷攻擊。

系統(tǒng)管理器存儲(chǔ)來(lái)自于AAM攻擊信息DB的攻擊模式和攻擊規(guī)則且給每個(gè)路由器提供攻擊包信息。路由器管理器將系統(tǒng)管理器提供的攻擊包信息與通過(guò)自身的數(shù)據(jù)包作比較，從而檢測(cè)攻擊數(shù)據(jù)包。然而，如果路由器管理器不能檢測(cè)出攻擊，攻擊包會(huì)通過(guò)IDS傳輸?shù)侥康牡亍Ｈ缓?，IDS作為最后防火墻檢測(cè)攻擊包，這些攻擊包為路由器漏檢的數(shù)據(jù)包。

如果IDS檢測(cè)到路由器漏檢的攻擊包，它必須傳輸攻擊包到AAM。AAM將分析攻擊包之間的關(guān)聯(lián)規(guī)則，生成攻擊模式和攻擊包的哈希值，同時(shí)將信息傳輸給系統(tǒng)管理器來(lái)更新攻擊信息DB。最后，路由器管理器更新每個(gè)路由器的攻擊列表。

2實(shí)驗(yàn)與性能分析

2.1性能分析

表10顯示了本文算法與現(xiàn)存算法SPIE，PPM[13]和iTrace[14-15]的性能實(shí)驗(yàn)比較結(jié)果。

表10ITP協(xié)議的性能分析

Tab.10Performance analysis of ITP protocol

比較項(xiàng)目技術(shù)SPIEPPMiTraceITP實(shí)時(shí)回溯O××O結(jié)束攻擊后回溯×××O根據(jù)流量特點(diǎn)回溯OOOO基于樣本數(shù)據(jù)包的回溯×OO×管理器負(fù)載高低低高網(wǎng)絡(luò)負(fù)載低低高低路由器負(fù)載中等低高中等可擴(kuò)展性(IPv4,IPv6)良好良好良好良好DoS對(duì)抗策略?xún)?yōu)秀差差優(yōu)秀

下面解釋性能評(píng)價(jià)標(biāo)準(zhǔn)。

1)ITP系統(tǒng)管理器接收到來(lái)自Sinkhole路由器和AAM的攻擊包后，為了立刻確定攻擊包是否通過(guò)路由器，它發(fā)送回溯請(qǐng)求消息給路由器管理器。當(dāng)系統(tǒng)管理器接收到來(lái)自路由器管理器的攻擊響應(yīng)消息時(shí)，它立即啟用回溯功能[16]。

2)因?yàn)镮TP路由器管理器定期壓縮哈希表且將結(jié)果存儲(chǔ)在DB中，因此，攻擊結(jié)束后，它立即啟用回溯功能。

3)ITP通過(guò)流量特性啟用回溯功能。

4)因?yàn)镮TP不是一種基于樣本的回溯算法，像SPIE，而是一種基于哈希的回溯算法，因此，僅出現(xiàn)一個(gè)攻擊包時(shí)，也會(huì)啟用回溯功能。

5)因?yàn)镮TP系統(tǒng)管理器管理路由器管理器、AAM和DB管理器且給每個(gè)路由器發(fā)送攻擊包的回溯請(qǐng)求消息，隨后根據(jù)回溯響應(yīng)消息獲取攻擊路由，所以SPIE系統(tǒng)管理器負(fù)載較高。

6)盡管ITP系統(tǒng)管理器重組攻擊路由，SPIE也重組路由，PPM在現(xiàn)存的IP地址頭存儲(chǔ)回溯信息，但是這些操作在網(wǎng)絡(luò)中負(fù)載較低。然而，因?yàn)閕Trace在路由器中生成ICMP，且依賴(lài)ICMP消息傳輸回溯信息，在網(wǎng)絡(luò)中，該過(guò)程負(fù)載較高[17]。

7)因?yàn)镾PIE存儲(chǔ)通過(guò)路由器數(shù)據(jù)包的DGA布隆濾波器信息，因此減輕了路由器負(fù)載；然而，PPM負(fù)載比較低，因?yàn)樗鼉H記錄概率選擇包路由信息。因?yàn)閕Trace生成路由器概率選擇數(shù)據(jù)包的回溯消息，因此按照其應(yīng)用功能，路由器負(fù)載較高。在ITP算法中，因?yàn)槁酚善鞴芾砥魇褂霉：瘮?shù)和邏輯異或操作，所以減輕了路由器負(fù)載。

8)ITP可以像SPIE，PPM和iTrace一樣擴(kuò)展到IPv6。

9)在DoS攻擊回溯方面，SPIE和ITP性能優(yōu)于PPM和iTrace。

通過(guò)比較SPIE，PPM和iTrace的性能可以看出，ITP不僅能實(shí)時(shí)追蹤后向攻擊，而且在攻擊結(jié)束后也能追蹤后向攻擊。因此，在抵抗DoS攻擊方面，ITP性能優(yōu)于SPIE，PPM和iTrace。

2.2誤檢率

當(dāng)路由器管理器接收到來(lái)自系統(tǒng)管理器的回溯請(qǐng)求消息，且相關(guān)數(shù)據(jù)包位于路由器的哈希表時(shí)，判定該數(shù)據(jù)包經(jīng)過(guò)路由器。如果數(shù)據(jù)包沒(méi)有經(jīng)過(guò)路由器，但是卻檢測(cè)到經(jīng)過(guò)路由器，則為誤檢。根據(jù)誤檢率(false pick rate, FPR)，通過(guò)ITP獲取的回溯路由的可信度是不同的。通過(guò)FPR等式評(píng)價(jià)ITP且表11顯示了實(shí)驗(yàn)結(jié)果。

(3)

表11　FPR和ADR估計(jì)值

2.3攻擊檢測(cè)率

ITP通過(guò)路由器管理器檢測(cè)攻擊，路由器管理器通過(guò)比較通過(guò)路由器的數(shù)據(jù)包信息和攻擊列表信息檢測(cè)攻擊。因?yàn)榘凑展袅斜恚琁TP的攻擊檢測(cè)率(attack detection rate, ADR)不同，因此路由器管理器必須定期更新攻擊列表。如果AAM通過(guò)分析數(shù)據(jù)挖掘結(jié)果后，給系統(tǒng)管理器發(fā)送新的攻擊包，系統(tǒng)管理器將發(fā)送攻擊包給路由器管理器。路由器管理器將攻擊包插入到攻擊列表。

在ITP仿真實(shí)驗(yàn)中，ADR用于估計(jì)DoS泛洪攻擊。因?yàn)锳DR僅檢測(cè)攻擊列表中的攻擊，必須定期更新攻擊列表來(lái)提高ADR。

(4)

2.4回溯執(zhí)行時(shí)間

本文通過(guò)Intel(R) CoreTM Duo CPU 2.99 GHz, 1.96 GB RAM 和MS Windows XP操作系統(tǒng)的PC機(jī)完成仿真實(shí)驗(yàn)。另外，文獻(xiàn)[6,15]的仿真也用于本文，圖4為算法執(zhí)行時(shí)間。

圖4　回溯執(zhí)行時(shí)間Fig.4　Execution time of backtracking

本文通過(guò)比較ITP和iTrace[6]完成估計(jì)實(shí)驗(yàn)。為了估計(jì)回溯執(zhí)行時(shí)間，相同的回溯請(qǐng)求消息和響應(yīng)消息在相同數(shù)量的跳躍中重復(fù)仿真。

當(dāng)跳躍數(shù)為5時(shí)，ITP回溯執(zhí)行時(shí)間為16 s，iTrace回溯執(zhí)行時(shí)間為19 s。當(dāng)跳躍數(shù)為15時(shí)，ITP回溯執(zhí)行時(shí)間為24 s，iTrace回溯執(zhí)行時(shí)間為26 s。

3總結(jié)

本文提出一種基于哈希的回溯協(xié)議，即ITP。該協(xié)議嵌入在路由器壓縮哈希表模塊中，該模塊能壓縮哈希表的內(nèi)容，且將壓縮結(jié)果存儲(chǔ)在數(shù)據(jù)庫(kù)中。ITP不但能根據(jù)哈希表實(shí)時(shí)追蹤后向攻擊而且也能定期使用壓縮哈希表完成追蹤任務(wù)。此外，該系統(tǒng)通過(guò)所有消息附加的時(shí)間戳和哈希消息的可信性檢測(cè)重放攻擊。系統(tǒng)通過(guò)系統(tǒng)管理器定期更新路由器攻擊列表提高了路由器攻擊數(shù)據(jù)包過(guò)濾函數(shù)的性能。系統(tǒng)管理器的攻擊信息和回溯路由能作為網(wǎng)絡(luò)調(diào)查取證的證據(jù)，且基于網(wǎng)絡(luò)取證的ITP能同時(shí)兼容IPv4和IPv6。

由于機(jī)器學(xué)習(xí)的案例越來(lái)越多，未來(lái)將嘗試將決策樹(shù)和SVM的數(shù)據(jù)挖掘技術(shù)應(yīng)用于生成攻擊模式，提高攻擊檢測(cè)率。

參考文獻(xiàn)：

[1]胡向東, 王凱. 物聯(lián)網(wǎng)感知層安全簇維護(hù)方法[J]. 重慶郵電大學(xué)學(xué)報(bào)：自然科學(xué)版,2015, 27(1): 103-110.

HUXiangdong, WANG Kai. Methods of secure clusters maintenance for the sensing layer in the internet of things[J]. Journal of Chongqiong University of Posts and Telecommunications：Natural Science Edition, 2015, 27(1): 103-110.

[2]劉善陽(yáng),雙鍇.基于源路徑隔離引擎的跨域溯源擴(kuò)展[EB/OL].[2011-12-28][2015-02-20].http://www.paper.edu.cn/html/releasepaper/2011/12/788.LIUShanyang, SHUANG Kai. Cross-border expansion traceable based on source path isolation engines[EB/OL]. [2011-12-28][2015-02-20].http://www.paper.edu.cn/html/releasepaper/2011/12/788.

[3]VIJAYALAKSHMI M, SHALINIE S M. Single Packet ICMP Traceback Technique using Router Interface[J]. Journal of information science and engineering, 2014, 30(6): 1673-1694.

[4]ZARGAR S T, JOSHI J, TIPPER D. A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks[J]. Communications Surveys & Tutorials, IEEE, 2013, 15(4): 2046-2069.

[5]KHATTAK S, RAMY N R, KHAN K R, et al. A taxonomy of botnet behavior, detection, and defense[J]. Communications Surveys & Tutorials, IEEE, 2014, 16(2): 898-924.

[6]溫昱暉, 陳廣勇, 趙勁濤, 沈吉喆. 基于CP-ABE在云計(jì)算中實(shí)現(xiàn)數(shù)據(jù)訪(fǎng)問(wèn)控制的方案[J]. 重慶郵電大學(xué)學(xué)報(bào):自然科學(xué)版, 2013, 25(5): 658-664.

WENYuhui, CHEN Guangyong, ZHAO Jintao, SHEN Jizhe. Solution of data access control with ciphertext-policy attribute-based in cloud computing[J]. Journal of Chongqiong University of Posts and Telecommunications:Natural Science Edition, 2013, 25(5): 658-664.

[7]KUZNETSOV V, SANDSTR?M H, SIMKI A. An Evaluation of Different IP Traceback Approaches[C]// Proceedings of the 4th International Conference on Information and Communications SecuritySpringer-Verlag, Berlin: Springer Berlin Heidelberg, 2002: 37-48.

[8]冉曉旻. IP反向追蹤技術(shù)綜述[J]. 計(jì)算機(jī)安全, 2005, 14(3):54-59.

RANXiaomin.The review of IP traceback technology[J].Network & Computer Security,2005,14(3):54-59.

[9]SHAHBAHRAMI A, BAHRAMPOUR R, ROSTAMI M S, et al. Evaluation of Huffman and arithmetic algorithms for multimedia compression standards[J].2011,1(4):34-47.

[10] JANBEK A B, KHAIRI N A. Performance comparison of Huffman and Lempel-Ziv welch data compression for wireless sensor node application[J]. American Journal of Applied Sciences, 2014, 11(1): 119-126.

[11] 江峰, 王春平, 曾惠芬. 基于相對(duì)決策熵的決策樹(shù)算法及其在入侵檢測(cè)中的應(yīng)用[J]. 計(jì)算機(jī)科學(xué), 2012, 39(4): 223-226.

JIANG Feng, WANG Chunping ZENG Huifen. Relative decision entropy based decision tree algorithm and its application in intrusion detection[J]. Computer Science, 2012, 39(4): 223-226.

[12] GHALI N I. Feature Selection for Effective Anomaly-Based Intrusion Detection[J]. IJCSNS International Journal of Computer Science and Network Security, 2009, 9(3): 285-289.

[13] 周先存, 黎明曦, 陳振偉, 等. 基于層次混合的高效概率包標(biāo)記WSNs節(jié)點(diǎn)定位算法[J]. 電子與信息學(xué)報(bào), 2014, 24(2): 384-389.

ZHOUXiancun, LI Mingxi, CHEN Zhenwei, et al. An efficient probabilistic packet marking node localization algorithm based on layers-mixed in WSNs[J]. Journal of Electronics & Information Technology, 2014, 24(2): 384-389.

[14] YIM H, KIM T, JUNG J. Probabilistic Route Selection Algorithm to Trace DDoS Attack Traffic Source[J]. International Conference on Information Science and Applications, 2011, 2(4): 1-8.

[15] DARPA Intrusion Detection Data Set, [EB/OL].[2015-04-02]. http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html.

[16] 詹煜. 基于行為自相似分析的DDoS攻擊檢測(cè)與追蹤[D]. 長(zhǎng)沙：中南大學(xué), 2014.

ZHAN Yu. The detection and tracing ofDDoS attack based on the analysis of self-similarity behaviors[D]. Hunan：Central South University, 2014.

[17] 姜開(kāi)達(dá),章思宇,孫強(qiáng).基于NTP反射放大攻擊的DDoS追蹤研究[J].通信學(xué)報(bào),2014,35(Z1):31-35.JIANG Kaida, ZHANG Siyu, SUN Qiang. Research of tracking DDoS based on NTP reflection amplification attack[J].Journal on Communications,2014,35(Z1):31-35.

Hash IP trace-back protocol based on association rule mining and simplified particle swarm optimization

HOU Yan, GUO Huiling

(School of Computer Science and Technology, Zhoukou Normal University, Zhoukou 466001, P.R.China)

Abstract:As the Source Path Isolation Engine (SPIE) can not track attack-packet which passes the router early, an IP Trace-back Protocol (ITP) is proposed, which uses compression hash table, sinkhole routing algorithm and data mining technology based on network forensics to resist network attack. The (AAM) which includes simplified particle swarm optimization (SPSO) generates an attack mode and attack packets rules by analyzing correlations from Sinkhole routers and IDS attack packets. And the results are notified to the system manager. The correlation of attack packets are analyzed by Sinkhole router and IDS and data mining. Compared with the performance of SPIE, PPM and iTrace, ITP not only track after attack by the hash table in real time, but also can finish track task by Compression Hash Table (CHT). Thus, in terms of resistance to Dos attacks, ITP outperforms SPIE, PPM and iTrace. Also in the aspect of trace-back execution time, the time of ITP is lower than that of iTrace by 2-3 seconds in the case of the same jump number.

Keywords：attack packet; IP trace-back protocol; compressed Hash table; simplified particle swarm optimization; sinkhole router; data mining

DOI：10.3979/j.issn.1673-825X.2016.02.016

收稿日期：2015-04-30

修訂日期：2015-12-20通訊作者：侯燕wyemail_a@126.com

基金項(xiàng)目：河南省軟科學(xué)研究計(jì)劃項(xiàng)目(132400410927, 142400411229)

Foundation Items：The Soft Science Research Project of Henan Province (132400410927, 142400411229)

中圖分類(lèi)號(hào)：TP399

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1673-825X(2016)02-0239-08

作者簡(jiǎn)介：

侯燕(1980-)，女，河南黃泛區(qū)農(nóng)場(chǎng)人，講師，碩士，研究方向?yàn)閿?shù)據(jù)挖掘、網(wǎng)絡(luò)安全等。 E-mail：wyemail_a@126.com。

郭慧玲(1979-)，女，河南鄢陵人，講師，碩士，研究方向?yàn)閿?shù)據(jù)挖掘、網(wǎng)絡(luò)安全等。

(編輯：田海江)