面向軟件定義網(wǎng)絡(luò)的隱蔽通信檢測機制①

倪永峰,閆連山,崔允賀,李賽飛

(西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,成都 611756)

作為一種新型網(wǎng)絡(luò)架構(gòu),軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)將網(wǎng)絡(luò)中的控制功能與數(shù)據(jù)轉(zhuǎn)發(fā)功能相分離,實現(xiàn)了網(wǎng)絡(luò)可編程化[1].在該網(wǎng)絡(luò)架構(gòu)中,控制功能邏輯性地集中在控制器中,其負責(zé)計算路由和下發(fā)流表.數(shù)據(jù)轉(zhuǎn)發(fā)功能由交換機實現(xiàn),其依據(jù)流表對數(shù)據(jù)報文進行轉(zhuǎn)發(fā).當(dāng)前SDN架構(gòu)中,控制器與交換機之間多采用OpenFlow協(xié)議進行通信.OpenFlow協(xié)議是一種新型網(wǎng)絡(luò)協(xié)議,其定義了控制器與SDN交換機之間的通信方式及交換機處理到達報文的規(guī)則.基于此協(xié)議實現(xiàn)的SDN網(wǎng)絡(luò)能夠?qū)ζ鋬?nèi)的網(wǎng)絡(luò)設(shè)備進行集中管理[2].自2009年提出第一版本至今,OpenFlow協(xié)議已有5個版本,其中1.3版本的OpenFlow協(xié)議是當(dāng)前使用最廣泛的南向接口協(xié)議之一.SDN架構(gòu)使得控制器具備全局可見性,因此其能夠精細化地對流量進行調(diào)度.基于此優(yōu)勢,目前SDN已成功應(yīng)用于眾多數(shù)據(jù)中心[3,4].

高級持續(xù)性威脅(Advanced Persistent Threat,APT)是一種新型網(wǎng)絡(luò)攻擊,其比傳統(tǒng)攻擊手段更具威脅性和破壞性[5].APT攻擊持續(xù)時間通常可達數(shù)月甚至數(shù)年,所使用的技術(shù)較傳統(tǒng)攻擊手段更為復(fù)雜,同時較高的時間和金錢消耗決定了APT攻擊通常用于企業(yè)、軍工等重要目標(biāo).因此美國將APT攻擊納為網(wǎng)絡(luò)戰(zhàn)的范疇,并成立了專門的網(wǎng)絡(luò)部隊以應(yīng)對和發(fā)起APT 攻擊.自 2010 年 Google 遭受“極光”攻擊以來,高級持續(xù)性威脅便引起網(wǎng)絡(luò)安全界的廣泛關(guān)注.經(jīng)過長期研究,眾多研究者通常將APT攻擊分為攻擊準(zhǔn)備、橫向攻擊、資料回傳、退出四個階段.2011年Tankard等人總結(jié)出了APT攻擊的流程,其中詳細敘述了APT攻擊中常用的水坑攻擊以及端口掃描等攻擊手段,并建議采用日志分析、文件完整度檢查、注冊監(jiān)控以及惡意病毒檢測等技術(shù)檢測APT攻擊[6].Li等人總結(jié)了各攻擊階段常用的攻擊手段:APT進入階段通常使用水坑攻擊實現(xiàn),潛伏階段多使用遠程控制、橫向移動、獲取特權(quán)、隱蔽通信等手段,退出階段通常包括資料回傳、銷毀數(shù)據(jù)等步驟[7].Chandra等人研究了APT攻擊開始階段攻擊者常用的社會工程學(xué)理論,針對網(wǎng)絡(luò)資源虛擬化框架OpenStack制定了縱深防御機制[8].由于APT攻擊具有高隱蔽性,傳統(tǒng)的監(jiān)測設(shè)備不易察覺其行為目的,Stefan Rass等人提出了一種基于博弈論的APT檢測機制,該機制通過分析網(wǎng)絡(luò)行為評估網(wǎng)絡(luò)的風(fēng)險性以檢測APT攻擊[9].針對APT攻擊的特點,Ibranhim Ghafir和 Vaclav Prenosil提出了八種檢測方法,分別為惡意附件檢測、惡意域名檢測、C&C隱蔽通信檢測、惡意證書檢測、魚叉攻擊檢測、惡意文件哈希值檢測、域名流量檢測以及匿名網(wǎng)絡(luò)TOR檢測[10].

隱蔽通信是指受控主機與攻擊者控制的C&C服務(wù)器(Command and Control server)建立的能夠躲避網(wǎng)絡(luò)監(jiān)控的秘密通信,是APT攻擊各個階段必須使用的技術(shù).無論是起初的橫向攻擊或獲取資料后的回傳過程,為避免被網(wǎng)絡(luò)中安全設(shè)備檢測出異常,攻擊者都必須在受控主機與C&C服務(wù)器之間建立隱蔽通信信道.文獻[11]中研究發(fā)現(xiàn)常見APT攻擊的隱蔽通信均采用SSL/TLS協(xié)議,此類協(xié)議是加密協(xié)議并且采用證書的方式交換客戶端與服務(wù)器使用的密鑰.因此如果能夠檢測網(wǎng)絡(luò)中存在的惡意隱蔽通信就可以及時阻止攻擊,避免APT攻擊造成的損失.Fu等人提出了一種區(qū)分SSL流量的機制,該機制采用報文長度、報文到達間隔以及流量方向作為特征值,利用C4.5機器學(xué)習(xí)算法對SSL流量進行分類[12].Ibranhim Ghafir等人利用開源架構(gòu)Intelligence Framework[13]提出了一種SSL證書檢測機制,首先從互聯(lián)網(wǎng)中獲取IF架構(gòu)證書黑名單并建立本地黑名單列表,當(dāng)有SSL流量時提取其中的服務(wù)器證書信息,然后判斷此服務(wù)器證書是否在本地黑名單中,若不在本地黑名單中SSL報文才可通過[14].該方法依賴IF架構(gòu)中的黑名單,同時需要及時更新黑名單信息.Cao等人提出了一種兩步檢測方法,該方法首先檢測SSL/TLS服務(wù)器可信度,然后提取證書信息對證書包含的信息進行評價,最后得到證書的安全等級[11].

為增強 SDN抵抗APT攻擊的能力,本文對APT攻擊的關(guān)鍵步驟-隱蔽通信-進行了分析及研究,基于此,本文提出了一種高效的隱蔽通信檢測機制.該機制利用SDN的特性便捷地抓取SSL/TLS流量,并從中提取證書信息,然后計算能夠表征證書特征的特征值,并將上述特征值輸入證書可信度檢測模塊以判斷是否存在隱蔽通信.實驗分析及結(jié)果表明本文的隱蔽通信檢測方案可以準(zhǔn)確區(qū)分正常證書和惡意證書,進而檢測出SDN網(wǎng)絡(luò)中的隱蔽通信.

1 面向SDN網(wǎng)絡(luò)的隱蔽通信檢測機制背景

1.1 SDN架構(gòu)

當(dāng)前SDN通常采用OpenFlow協(xié)議作為南向接口協(xié)議.OpenFlow協(xié)議規(guī)定,當(dāng)交換機收到新到達的報文時,其按照流表優(yōu)先級依次匹配其內(nèi)流表中的MATCH域.如圖1所示,MATCH域包含網(wǎng)絡(luò)層協(xié)議、運輸層協(xié)議以及運輸層協(xié)議端口等匹配項.交換機一旦找到能匹配數(shù)據(jù)報文的流表,就根據(jù)流表ACTION域中的端口將報文轉(zhuǎn)發(fā)出去.流表ACTION域中的端口可以為報文下一跳交換機與當(dāng)前交換機所連接的端口,也可為控制器與當(dāng)前交換機連接的端口,即交換機能夠?qū)笪霓D(zhuǎn)發(fā)至下一跳交換機或服務(wù)器,也能夠?qū)笪霓D(zhuǎn)發(fā)至控制器.若交換機不能找到匹配報文的流表,則將此報文上報至控制器,由控制器計算報文在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑,并下發(fā)此報文能匹配的流表至交換機.

在SDN架構(gòu)中,控制器具有全網(wǎng)拓撲可見性,因此其能夠精確控制流量轉(zhuǎn)發(fā)路徑:將大流量從帶寬較大的鏈路轉(zhuǎn)發(fā),小流量從帶寬較小的鏈路轉(zhuǎn)發(fā),當(dāng)流量增大時能夠修改流表將數(shù)據(jù)從帶寬較小的鏈路轉(zhuǎn)至帶寬較大的鏈路.采用SDN架構(gòu)除了可以對流量精確控制之外,還能夠通過部署在交換機上的流表抓取特定類型的報文,而在傳統(tǒng)網(wǎng)絡(luò)中獲取特定協(xié)議的流量通常需要進行流量的分類識別,因此在有選擇地抓取流量方面SDN架構(gòu)具有較大的優(yōu)勢.本文正是利用SDN的這一優(yōu)勢抓取所需要的報文.

圖1 OpenFlow1.0 流表項結(jié)構(gòu)

1.2 SSL隱蔽通信流程

為增強網(wǎng)絡(luò)抵抗APT攻擊的能力,本文分析了幾種典型的APT攻擊案例,研究發(fā)現(xiàn)APT攻擊中隱蔽通信檢測的關(guān)鍵在于非法證書檢測.

2009年谷歌遭遇的極光行動是最典型的APT攻擊,在此次攻擊中攻擊者使用了SSL加密通信對受控服務(wù)器進行控制.持續(xù)時間長達五年的暗鼠行動中,攻擊者使用了遠程命令與控制通信遠程控制受控服務(wù)器竊取攻擊機密資料.在APT攻擊火焰病毒與高斯病毒中,攻擊者均采用自簽名證書建立隱蔽.由上述可知,典型的APT攻擊中攻擊者均使用了隱蔽通信,并且為躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測通常采用SSL協(xié)議加密.根據(jù)SSL協(xié)議,通信雙方傳輸數(shù)據(jù)之前需協(xié)商加密算法以及交換密鑰,這些信息均在數(shù)字證書(Server Certificate)中.數(shù)字證書包含攻擊者控制的C&C服務(wù)器的身份信息,以及C&C服務(wù)器密鑰和其支持的加密算法類型.攻擊者為防止自身信息暴露均會采用非法證書.因此若能在隱蔽通信建立階段檢測出攻擊者使用的非法證書,就能檢測出網(wǎng)絡(luò)存在的隱蔽通信,從而防止網(wǎng)絡(luò)遭受進一步的攻擊.

為獲取隱蔽通信使用的非法證書,需要對建立SSL通信的流程進行研究.SSL通信由受控服務(wù)器中的惡意軟件發(fā)起,惡意軟件根據(jù)其內(nèi)部機制發(fā)起DNS請求,獲取 C&C服務(wù)器IP地址,進而建立TCP連接,進入 SSL握手階段.受控服務(wù)器發(fā)送ClientHello報文,C&C服務(wù)器接收ClientHello報文之后,回復(fù)帶有數(shù)字證書的ServerHello消息,其中數(shù)字證書包含C&C服務(wù)器的身份信息以及其使用的密鑰,然后受控服務(wù)器回復(fù)自身的密鑰發(fā)送給C&C服務(wù)器.最后,受控服務(wù)器與C&C服務(wù)器采用協(xié)商一致的加密算法建立通信信道,握手階段結(jié)束.SSL握手階段結(jié)束之后,受控服務(wù)器與C&C服務(wù)器進入正常通信狀態(tài).

綜上所述,采用SSL加密的隱蔽通信在建立通信的握手階段均會使用非法證書,同時由于合法加密通信使用的證書均是由可信機構(gòu)頒發(fā)的合法證書,因此網(wǎng)絡(luò)中的合法通信不存在非法證書.因此若能檢測出網(wǎng)絡(luò)中的非法證書,就能檢測出網(wǎng)絡(luò)中存在的隱蔽通信.本文提出的面向SDN網(wǎng)絡(luò)的隱蔽通信檢測機制正是檢測網(wǎng)絡(luò)中SSL協(xié)議使用的證書是否非法.

2 面向SDN網(wǎng)絡(luò)的隱蔽通信檢測機制

2.1 面向SDN的隱蔽通信檢測機制(SD-CCD)

如圖2所示,本文假設(shè)有M個交換機和N個服務(wù)器,其中 CH為受控服務(wù)器,AT為 C&C服務(wù)器(Command and Control server),DS 為隱蔽通信檢測服務(wù)器,Controller為 SDN 控制器.根據(jù) SDN 架構(gòu),交換機S={S1,S2,S3,…}均與控制器 Controller連接.

受控服務(wù)器CH為攻擊者通過社會工程學(xué)獲取到權(quán)限的目標(biāo)網(wǎng)絡(luò)內(nèi)的服務(wù)器,其與C&C服務(wù)器建立連接并按照指令對目標(biāo)網(wǎng)絡(luò)發(fā)起掃描或嗅探以竊取網(wǎng)絡(luò)中的資料.C&C服務(wù)器AT為攻擊者控制的服務(wù)器,攻擊者通過C&C服務(wù)器與受控服務(wù)器CH進行隱蔽通信,控制CH在目標(biāo)網(wǎng)絡(luò)中的行動,并且接收CH竊取的資料.

圖2 SDN 隱蔽通信檢測架構(gòu)

如圖2所示,本文提出的面向SDN的隱蔽通信檢測機制(Software-Defined Convert Communication Detection mechanism,SD-CCD)由運行在隱蔽通信檢測服務(wù)器DS上的隱蔽通信檢測模塊及運行在控制器上的流量采集模塊及溯源抑制模塊組成.其中,隱蔽通信檢測服務(wù)器DS上運行隱蔽通信檢測模塊,該模塊包括證書提取、特征值計算以及隱蔽通信檢測算法.其主要對輸入的SSL流量進行處理,判斷SSL流量是否為非法隱蔽通信.若為非法隱蔽通信,隱蔽通信檢測服務(wù)器發(fā)送警報事件到控制器Controller,然后由控制器進行處理.

運行在控制器上的流量采集模塊和溯源抑制模塊負責(zé)SSL流量的采集及對非法隱蔽通信的溯源和抑制.流量采集模塊利用OpenFlow中的流表將SSL流量導(dǎo)入隱蔽通信檢測模塊DS,溯源抑制模塊對受控服務(wù)器發(fā)起溯源并抑制其在網(wǎng)絡(luò)中的行為.控制器Controller中流量采集模塊基于SDN特性利用OpenFlow流表對網(wǎng)絡(luò)中的SSL報文進行采集.雖然現(xiàn)行OpenFlow協(xié)議中還沒有針對SSL協(xié)議的匹配項,但是SSL協(xié)議封裝于TCP協(xié)議中且通常使用443端口,因此本文將使用TCP協(xié)議并且目的端口與源端口均為443的報文視為SSL報文.當(dāng)?shù)谝粋€SSL報文由交換機上報至控制器,控制器計算完路由路徑并下發(fā)流表時,在流表MATCH域中添加運輸層協(xié)議為TCP且源端口和目的端口均為443的匹配項,同時在此流表的ACTION域中添加轉(zhuǎn)發(fā)至隱蔽通信檢測服務(wù)器所在的端口,以此就可抓取所需的SSL報文.

在進行APT攻擊時,攻擊者獲取CH權(quán)限后,需與AT建立SSL通信,但此時CH所掛載的交換機S3中沒有轉(zhuǎn)發(fā)SSL報文的流表,因此不能轉(zhuǎn)發(fā)CH發(fā)出的 ClientHello 報文.根據(jù) OpenFlow 協(xié)議,S3將ClientHello報文轉(zhuǎn)發(fā)至控制器Controller,控制器計算出CH到AT的路由路徑并依次下發(fā)流表至路徑上的交換機,同時計算出受控服務(wù)器CH到隱蔽通信檢測服務(wù)器DS的路徑并下發(fā)流表至路徑上的交換機,由此就可在不影響正常通信的情況下將SSL流量導(dǎo)入隱蔽通信檢測服務(wù)器.

隱蔽通信檢測服務(wù)器DS對導(dǎo)入的SSL流量進行提取,得到SSL通信中服務(wù)器所使用的證書,然后調(diào)用基于iForest的隱蔽通信檢測算法檢測此證書是否異常.若檢測結(jié)果為證書異常,即表示當(dāng)前SSL連接為非法隱蔽通信,則隱蔽通信檢測服務(wù)器DS立刻發(fā)送SSL連接異常警報事件至SDN控制器Controller.控制器收到隱蔽通信檢測服務(wù)器發(fā)送的警報后,立刻對當(dāng)前網(wǎng)絡(luò)中與使用非法證書的SSL服務(wù)器連接的客戶端進行溯源,并下發(fā)流表至異常主機掛載的交換機以阻塞此主機發(fā)送的SSL報文,從而達到抑制非法隱蔽通信的目的.

2.2 基于iForest的隱蔽通信檢測算法(iFCCD)

基于iForest的隱蔽通信檢測算法(iFCCD)對SSL報文中提取的服務(wù)器證書進行檢測以判斷網(wǎng)絡(luò)中是否存在隱蔽通信.其檢測精度受特征值表征證書的準(zhǔn)確度影響,因此在調(diào)用隱蔽通信檢測算法之前需提取能夠準(zhǔn)確表征證書特性的特征值.

在介紹本文提取的證書特征值之前,引入兩個集合[11],分別是最常見通用名集合(the most Frequently Appeared CommonName Set,FAS)和最常見匿名性通用名集合(the most Frequently Appeared Anonymous CommonName Set,FAAS).其中 FAS 是根據(jù)統(tǒng)計得到的頻繁使用的通用名集合,FAAS也是相同方法得到,但目前只包含兩個元素,分別為localhost和localdomain.

攻擊者制作隱蔽通信使用的證書時,為保證隱蔽性,通常采用自簽名證書,并且為了避免自身信息暴露,此類證書使用者和頒發(fā)者的項通常較少.由于需保持通信的隱蔽性防止被網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn),攻擊者在制作證書時通常會設(shè)定較短的證書有效時間.同時攻擊者會采用隨機構(gòu)成的域名作為證書通用名,以此進一步提高隱蔽性.本文中FAS集合和FAAS集合就是針對證書的域名而建立的,若證書的域名在FAS中說明其屬于網(wǎng)絡(luò)中常見的域名,即表示其可信度較高.若證書的域名出現(xiàn)在FAAS中說明其匿名性較強,即表示此證書的安全性較低.

基于上述特點,本文采用了8個特征值來表征證書,如表 1 所示,分別為:(1)是否為自簽名證書;(2)證書使用者包含的項數(shù);(3)證書頒發(fā)者包含的項數(shù);(4)證書是否被可信根驗證通過;(5)通用名是否在FAS中;(6)通用名是否在 FAAS 中;(7)使用者通用名是否符合域名格式(CN=xxx.com);(8)證書的有效年份.上述八個特征值是從證書中提取的關(guān)鍵信息,能夠表征證書的合法性.

表1 iFCCD 采取的證書特征值

iFCCD算法采用孤立森林算法(isolation Forest algorithm,iForest),iForest是一種基于決策樹的異常檢測算法,其基于數(shù)在二叉搜索樹中的深度判斷數(shù)據(jù)是否異常,具有較高的檢測精度.相對于神經(jīng)網(wǎng)絡(luò)算法,iForest的訓(xùn)練時間短,達到相同精度的計算時間少.

本文采用的八個參數(shù)特征值對應(yīng)的當(dāng)前iForest中的評價值計算公式如下[15]:

其中,E(h(x))為特征值x在樹中的平均深度,C為當(dāng)前森林中數(shù)的平均深度,計算公式如下[15]:

隱蔽通信檢測啟動時,從配置文件中讀取已準(zhǔn)備好的訓(xùn)練數(shù)據(jù),訓(xùn)練數(shù)據(jù)均為從正常證書中提取的相關(guān)特征值,孤立森林算法使用這些特征值訓(xùn)練算法模型.假設(shè)某一特征值訓(xùn)練數(shù)據(jù)有L組,訓(xùn)練階段孤立森林有放回的取出G組數(shù)據(jù),然后構(gòu)建K棵決策樹,得到K棵決策樹組成的森林,并根據(jù)孤立森林算法計算出當(dāng)前森林的閾值thresholdi.8個孤立森林分類器均采用上述的訓(xùn)練流程.孤立森林算法訓(xùn)練完成之后,隱蔽通信檢測正式進入檢測階段.

算法.iFCCD Input:SSL 流量Output:惡意證書檢測結(jié)果1.Begin 2. Get Hello packet in SSL 3. Extract SSL certificate 4. Calculate features of SSL certificate 5. if this certificate is Self-signed certificate then 6. append ‘1’ to eigenvalue matrix 7. else 8. append ‘0’ to eigenvalue matrix 9. end if

10. Append the length of subject to eigenvalue matrix 11. Append the length of Issuer to eigenvalue matrix 12. if the root in certificate is trusty then 13. append ‘1’ to eigenvalue matrix 14. else 15. append ‘0’ to eigenvalue matrix 16. end if 17. if domain name in FAS then 18. append ‘1’ to eigenvalue matrix 19. else 20. append ‘0’ to eigenvalue matrix 21. end if 22. if domain name in FAAS then 23. append ‘1’ to eigenvalue matrix 24. else 25. append ‘0’ to eigenvalue matrix 26. end if 27. if subject’s domain name is belong to normal format 28. then 29. append ‘1’ to eigenvalue matrix 30. else 31. append ‘0’ to eigenvalue matrix 32. end if 33. Append valid time of certificate to eigenvalue matrix 34. Send matrix to iForest 35. if the result of detection is true then 36. send result to controller 37. else 38. goto end 39. end if 40.End

進行檢測時,隱蔽通信檢測算法接收新的證書特征值矩陣,然后調(diào)用訓(xùn)練完成的算法模型判斷此證書特征值是否為異常.當(dāng)待檢測的特征值矩陣輸入時,各特征值分別送入相應(yīng)的分類器.在各自的分類器中,每個決策樹返回待測特征值在樹中的層數(shù),然后得到當(dāng)前特征值在該森林中的評價值Si.在一個分類器中,若特征值評價值小于該分類器閾值,則表示當(dāng)前數(shù)據(jù)為異常數(shù)據(jù).

在iFCCD中,最后計算分類器的評價值,若該評價值小于閾值則判定當(dāng)前特征值矩陣為異常,即當(dāng)前證書為非法證書;否則判定為正常證書,如公式(4)所示:

綜上所述,為準(zhǔn)確表征證書特征,iFCCD算法采用八個特征值表征證書信息,同時使用孤立森林作為異常檢測算法,提高非法證書的檢測精度.在訓(xùn)練階段中,iForest的訓(xùn)練數(shù)據(jù)均為正常證書的特征值.在檢測階段中,iFCCD利用已訓(xùn)練的iForest模型分別對8個特征進行判定,最后綜合判定表征證書信息的八元組矩陣是否異常,以此可判定網(wǎng)絡(luò)中是否存在隱蔽通信.

3 實驗驗證與分析

3.1 實驗環(huán)境

本文采用的數(shù)據(jù)集有三個:ITOC2009[16]、Contagio Malware Dump(CMD)[17]以及從本地抓取的正常HTTPS證書.訓(xùn)練數(shù)據(jù)中有100個證書,其中50個為ITOC數(shù)據(jù)集中的正常證書,50個為CMD數(shù)據(jù)集中的正常證書.測試數(shù)據(jù)有271個證書,其中包括74個CMD數(shù)據(jù)集中正常的證書,26個本地抓取的正常證書以及171個CMD數(shù)據(jù)集中的非法證書.首先提取訓(xùn)練數(shù)據(jù)集中證書的特征值,然后將訓(xùn)練證書特征值作為輸入訓(xùn)練孤立森林算法.在訓(xùn)練iForest算法模型時,從100組訓(xùn)練數(shù)據(jù)中有放回地取出75組數(shù)據(jù),構(gòu)建100棵決策樹.

本文采用文獻[11]中提到的證書可信度計算算法(文獻[11]中將其簡稱為CCD算法)作為對比實驗,其中計算結(jié)果小于0時視為證書非常可疑,計算結(jié)果大于0小于0.85時視為證書較可疑,大于0.85則認(rèn)為證書正常.本文使用受試者工作特征曲線(Receiver Operating Characteristic curve,ROC 曲線)衡量iFCCD與CCD兩種算法的檢測精度.

3.2 實驗結(jié)果

本文對上述提出的檢測算法的實驗驗證過程如下:首先使用訓(xùn)練數(shù)據(jù)訓(xùn)練iForest模型,檢測時將數(shù)據(jù)集里的證書依次提取出來,獲得其中的證書特征值,然后將證書特征值依次送入訓(xùn)練好的iForest模型中.在衡量iFCCD與CCD兩種算法精度時,通過動態(tài)調(diào)整iForest的閾值得到的ROC曲線如圖3所示.

圖3 中,橫坐標(biāo)為誤檢率,縱坐標(biāo)為檢測精度,其中實線為本文提出的iFCCD算法得到的檢測結(jié)果,虛線為對比算法CCD的檢測結(jié)果.從圖中可以看到,iFCCD算法的誤檢率在16%時可以達到100%的檢測精度,而CCD算法要達到100%的檢測精度其誤檢率需達到24%.顯然本文提出的證書檢測算法在提高證書檢測精度的同時能夠降低誤檢率.圖3中,兩種算法的ROC曲線均在誤檢率達到一定值時快速上升,出現(xiàn)上述現(xiàn)象的原因是數(shù)據(jù)集里的非法證書的特征值基本相似.

圖3 iFCCD 及 CCD 算法 ROC 曲線圖

3.3 實驗結(jié)果分析

為進一步說明iFCCD及CCD算法的檢測精度,本節(jié)對iFCCD及CCD算法的檢測結(jié)果進行了詳細分析.

數(shù)據(jù)集ITOC2009中出現(xiàn)了大量類似如下格式的非法證書:“Version=3;Issure:C=--;ST=SomeState;Validity:one year;OU=SomeOriganizationalUnit;EMAIL=root@localhost.localdomain;O=SomeOrganization;L=SomeCity;”,對于上述非法證書,CCD算法計算出的可信度為–0.1,CCD算法認(rèn)定其為非?？梢傻淖C書,既CCD算法能夠成功檢測上述非法證書.

但是對于圖4所示的非法證書,使用CCD算法計算的可信度為0.35(屬于較可疑級別),其不能精確檢測上述非法證書.通過進一步分析可知此證書屬于非法證書,因為其使用者項中都是匿名信息符合非法證書的特征,而且證書有效時間較短.此證書相對于ITOC2009數(shù)據(jù)集的一般非法證書僅僅將使用者CN換了一個匿名,就使得CCD產(chǎn)生漏檢.雖然可以將匿名域名加入到FAAS中提高CCD的檢測精度,但匿名性域名范圍太廣無法將全部新匿名域名包含在集合中,因此采用CCD方法容易導(dǎo)致漏檢.而在采用iFCCD方法檢測上述非法證書時,由于iForest 所具有的檢測精度高的優(yōu)點,所以iFCCD方法能夠?qū)⑵渑卸榉欠ㄗC書.

與CCD算法相比,iFCCD算法的誤檢率更低.圖5所示為ITOC2009的合法證書,CCD算法計算該證書可信度為-0.1,判定其為非法證書,但是經(jīng)查詢得知此證書為根級證書屬于可信任證書,CCD算法明顯導(dǎo)致了誤檢測.而iFCCD算法能夠正確判定其為合法證書.

圖4 非法證書使用者信息示例

圖5 正常證書使用者信息示例

從上述分析得知,本文提出的基于iForest的隱蔽通信檢測機制能夠在降低誤檢率的同時提高檢測精度.

4 總結(jié)

為解決SDN網(wǎng)絡(luò)中存在的隱蔽通信檢測問題,本文提出了面向SDN的隱蔽通信檢測機制,該機制利用SDN的特性準(zhǔn)確獲取網(wǎng)絡(luò)中可能存在的隱蔽通信流量.針對CCD方法較為模糊的判定結(jié)果問題,本文提出了基于iForest算法的隱蔽通信檢測算法iFCCD,該算法可以降低誤檢率、提高檢測精度,同時避免了使用經(jīng)驗值作為閾值可能導(dǎo)致的誤檢率增高或精度降低的問題.本文提出的iFCCD方法具有較好的可擴展性,只需改變提取證書的特征值或訓(xùn)練數(shù)據(jù)集就可運用于不同場景的SDN網(wǎng)絡(luò).