基于防空作戰(zhàn)體系的DDoS攻擊防御技術(shù)研究

劉順余 唐強(qiáng) 沙智倫

摘 ? 要：防空作戰(zhàn)體系依托軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)等網(wǎng)絡(luò)，連接各級(jí)作戰(zhàn)值班室和作戰(zhàn)陣地并實(shí)現(xiàn)空情共享。這類網(wǎng)絡(luò)任務(wù)單一，防御能力較弱，易遭受敵軍攻擊，如分布式拒絕服務(wù)（DDoS）?；诖耍恼轮刑岢隽艘环N新穎的入侵檢測(cè)方法—KNS。這種方法基于集成學(xué)習(xí)的思想，首先分別采用K-最近鄰（K-Nearest Neighbor，KNN）、樸素貝葉斯分類器（Naive Bayes Classifier，NBC）和支持向量機(jī)（Support Vector Machine，SVM）對(duì)流量進(jìn)行檢測(cè)，其次對(duì)檢測(cè)結(jié)果進(jìn)行投票策略（Voting）整合，最后獲得KNS的最終檢測(cè)結(jié)果。這種方法在DDoS數(shù)據(jù)集進(jìn)行了測(cè)試，結(jié)果表明，KNS具有較好的異常檢測(cè)檢測(cè)準(zhǔn)確性、檢測(cè)率、誤報(bào)率。

關(guān)鍵詞：防空作戰(zhàn)體系;機(jī)器學(xué)習(xí);入侵檢測(cè);分布式拒絕服務(wù)

中圖分類號(hào)： TP391.4 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

隨著現(xiàn)代戰(zhàn)爭(zhēng)空襲兵器的迅猛發(fā)展，陸軍采取提升預(yù)警時(shí)間的方式來(lái)應(yīng)對(duì)空襲兵器的快速襲擊，為此陸軍防空力量逐漸向日常防空作戰(zhàn)體系發(fā)展[1，3]。防空作戰(zhàn)體系由野戰(zhàn)防空轉(zhuǎn)化發(fā)展而來(lái)，在空軍的偵察預(yù)警網(wǎng)絡(luò)和陸軍的旅、營(yíng)值班室以及雷達(dá)陣地之間建設(shè)軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)等，實(shí)現(xiàn)空情共享[4]，網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

其網(wǎng)絡(luò)構(gòu)建復(fù)雜，任務(wù)單一，防御能力較弱，敵軍可能在網(wǎng)絡(luò)內(nèi)安插部件作為“肉雞”，發(fā)送過(guò)載的命令信息導(dǎo)致網(wǎng)絡(luò)奔潰，或者通過(guò)干擾器、假基站發(fā)送入侵?jǐn)?shù)據(jù)包，進(jìn)行DDoS攻擊[2，5]。

本文提出了一種針對(duì)防空作戰(zhàn)體系中軍事綜合信息網(wǎng)、指揮專網(wǎng)、內(nèi)部局域網(wǎng)的DDoS攻擊的防御檢測(cè)方法—KNS。該方法基于集成學(xué)習(xí)的思想，對(duì)KNN、NBC和SVM進(jìn)行集成，實(shí)現(xiàn)對(duì)入侵的惡意流量進(jìn)行異常檢測(cè)。

（1）首次將集成學(xué)習(xí)異常檢測(cè)算法應(yīng)用在防空作戰(zhàn)體系中，并對(duì)DDoS攻擊進(jìn)行檢測(cè)，據(jù)了解該項(xiàng)研究并無(wú)前任工作。

（2）設(shè)計(jì)了一種新穎的集成學(xué)習(xí)檢測(cè)方法KNS。該方法對(duì)KNN、NB、SVM等三種基分類器進(jìn)行集成，并通過(guò)Voting對(duì)結(jié)果進(jìn)行整合，得到了異常檢測(cè)強(qiáng)分類器。

（3）提出的方案將ML技術(shù)作為一種整體方法來(lái)檢測(cè)惡意和非惡意流量。結(jié)果顯示，所提出的KNS在應(yīng)對(duì)DDoS攻擊檢測(cè)時(shí)，能夠表現(xiàn)出較好的檢測(cè)效果。

2 相關(guān)工作

趙樺箏等人[6]針對(duì)DDoS攻擊，提出了一種報(bào)文特征提取方法，通過(guò)重構(gòu)特征提高異常檢測(cè)的精度。A.Saboor等人[7]提出了基于相關(guān)算法和IAFV（IP地址特征值）算法的DDoS攻擊檢測(cè)。他們使用帶有滑動(dòng)窗口的不同時(shí)間序列來(lái)提高檢測(cè)率。李森等人[8]針對(duì)邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)DDoS攻擊防范進(jìn)行了研究，針對(duì)DDoS攻擊進(jìn)行了分析，提出了4種防范措施。Yavuzet等人[9]研究了遺傳算法（GA）和近鄰K（KNN），并將它們組合為檢測(cè)攻擊的模型。與傳統(tǒng)的KNN分類器相比，實(shí)驗(yàn)混合系統(tǒng)提供了更為準(zhǔn)確的結(jié)果。Saurav Nanda等人[10]使用貝葉斯網(wǎng)絡(luò)，達(dá)到了91.68%的準(zhǔn)確度，這表明在278，598次攻擊中，他們的模型能夠準(zhǔn)確預(yù)測(cè)254，834次攻擊。GisungKim等人[11]提出了一種混合學(xué)習(xí)模型來(lái)檢測(cè)DDoS攻擊并保護(hù)OpenFlow交換機(jī)。他們使用C4.5決策樹(shù)創(chuàng)建了誤用檢測(cè)模型，然后（One Class SVM）創(chuàng)建了異常檢測(cè)模型，以很好地應(yīng)對(duì)未知攻擊。趙振中等人[12]介紹了一種新穎的DDoS攻擊，并且提出了一種基于數(shù)字信號(hào)處理的檢測(cè)方法。Lohit Barki等人[13]使用了不同的機(jī)器學(xué)習(xí)技術(shù)，例如樸素貝葉斯（Naive Bayes）、K近鄰、K-Means、K-medoids來(lái)檢測(cè)DDoS攻擊。他們發(fā)現(xiàn)，與其他公認(rèn)的算法相比，樸素貝葉斯模型效果最好。

3 基分類器

3.1 KNN

KNN是一種機(jī)器學(xué)習(xí)分類方法，是數(shù)據(jù)挖掘技術(shù)的基礎(chǔ)方法之一，其核心思想是數(shù)據(jù)樣本的類別，均可以通過(guò)其周圍的K個(gè)樣本進(jìn)行表示，其鄰居的計(jì)算方式如公式（1）所示。

3.2 NBC

樸素貝葉斯分類算法是基于貝葉斯定理進(jìn)行分類的算法，其原理是通過(guò)事件的先驗(yàn)概率，利用貝葉斯公式計(jì)算出后驗(yàn)概率，再通過(guò)判斷后驗(yàn)概率，選擇最大概率類作為該事件的所屬類，在此，找到給定事件B的事件A的概率;A和B是事件，且P（B）≠0，計(jì)算公式如公式（2）所示。

3.3 SVM

SVM是用于解決分類問(wèn)題的監(jiān)督學(xué)習(xí)技術(shù)。假設(shè)支持向量是{（v1，y1），（v2，y2），…（vm，ym）}，并且它們的權(quán)重是{w1，w2，w3…wm}，然后使用公式（3）計(jì)算從x到每個(gè)支持向量的權(quán)重w，表示為公式（3）所示。

針對(duì)DDoS攻擊，提出了基于集成學(xué)習(xí)的組合模型，并通過(guò)Voting策略對(duì)基分類器的結(jié)果進(jìn)行整合，如圖2所示提出了模型的體系結(jié)構(gòu)。

KNN、NBC、SVM是機(jī)器學(xué)習(xí)中的監(jiān)督學(xué)習(xí)算法，本文分別實(shí)現(xiàn)了KNN、NB和SVM異常檢測(cè)結(jié)果，并和KNF檢測(cè)結(jié)果進(jìn)行了對(duì)比，具有更高的準(zhǔn)確性，檢測(cè)率和誤報(bào)率。

5 實(shí)驗(yàn)結(jié)果和分析

Mininet是一種仿真工具，可幫助創(chuàng)建虛擬主機(jī)、控制器、交換機(jī)、主機(jī)?；贛ininet模擬環(huán)境，本文選擇了Pox控制器，用于創(chuàng)建無(wú)線網(wǎng)絡(luò)設(shè)置，其中一臺(tái)服務(wù)器一次與另一臺(tái)服務(wù)器隨機(jī)通信。

MiniEdit創(chuàng)建的網(wǎng)絡(luò)設(shè)置如圖3所示。

創(chuàng)建網(wǎng)絡(luò)設(shè)置后，包含數(shù)TCP、UDP、ICMP數(shù)據(jù)包記錄的數(shù)據(jù)集被饋送到網(wǎng)絡(luò)。然后，提取定性和定量特征，以確定每個(gè)分類器的性能。借助流量分類器模塊，根據(jù)源和目的地的時(shí)間差來(lái)分離流量。在此，時(shí)間的閾值被設(shè)定為0.004秒。如果時(shí)間差小于0.004秒，則將數(shù)據(jù)包從源傳輸?shù)胶戏ㄓ脩?。否則，將其視為攻擊。實(shí)驗(yàn)一共采集數(shù)據(jù)集41260條（正常31223條，異常10037條），其中測(cè)試集12378條（正常9367條，異常流量3011條）。

本文通過(guò)四個(gè)性能指標(biāo)來(lái)評(píng)估檢測(cè)系統(tǒng)。

1）TN–正確分類的正常流量的百分比。

2）TP–正確分類的攻擊流的百分比。

3）FP-錯(cuò)誤分類為合法流（例如攻擊）的百分比。

4）FN -被錯(cuò)誤分類為合法的攻擊流的百分比。

準(zhǔn)確率：表示在數(shù)據(jù)集中正確識(shí)別異常流量的百分比，其計(jì)算定義如公式（4）所示。

提出的集成算法分別在實(shí)驗(yàn)數(shù)據(jù)集上進(jìn)行了測(cè)試，并與KNN、NB、SVM進(jìn)行了對(duì)比，結(jié)果如1表所示。

如表2所示，提出的方法能夠獲得準(zhǔn)確率93.29%，檢測(cè)率80.01%，誤報(bào)率7.71%的檢測(cè)結(jié)果，優(yōu)于其他的異常檢測(cè)方法。

6 結(jié)束語(yǔ)

本文提出了一種基于集成學(xué)習(xí)的KNS異常檢測(cè)方法對(duì)防空作戰(zhàn)體系環(huán)境下的DDoS攻擊進(jìn)行了檢測(cè)，并基于準(zhǔn)確性。檢測(cè)率和誤報(bào)率指標(biāo)分析了所提出的方法。在提出的集成機(jī)器學(xué)習(xí)模型中，與簡(jiǎn)單的機(jī)器學(xué)習(xí)模型相比，KNS的準(zhǔn)確性更高，檢測(cè)率更高，誤報(bào)率更低，將來(lái)計(jì)劃進(jìn)一步提升準(zhǔn)確率。

參考文獻(xiàn)

[1] 王道重，滕克難，孫媛，孫吉良.地空導(dǎo)彈網(wǎng)絡(luò)化協(xié)同防空作戰(zhàn)系統(tǒng)研究[J].指揮控制與仿真，2019，41（03）：5-9.

[2] 魏玉人，徐育軍.DDoS攻擊及防御技術(shù)綜述[J].軟件導(dǎo)刊， 2017，16（03）：173-175.

[3] 羅良彬，商長(zhǎng)安，楊輝.區(qū)域防空作戰(zhàn)體系網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析與建模[J].現(xiàn)代防御技術(shù)，2016，44（01）：10-15.

[4] 劉子敏，唐興誠(chéng).現(xiàn)代防空作戰(zhàn)的變化導(dǎo)向[J].國(guó)防科技， 2005（03）：67-70.

[5] 蔣南允，程光.智能電網(wǎng)入侵檢測(cè)綜述[J].網(wǎng)絡(luò)空間安全， 2018， 9（1）：89-94.

[6] 趙樺箏，黃元浦，孫嶺新，杜昊，郭凱文.面向DDoS入侵檢測(cè)的報(bào)文特征提取方法[J].網(wǎng)絡(luò)空間安全，2020， 11（3）：24-29.

[7] Saboor A， Aslam B. Analyses of flow based techniques to detect Distributed Denial of Service attacks[C]// International Bhurban Conference on Applied Sciences & Technology. IEEE， 2015.

[8] 李森.邊防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)DDoS攻擊防范研究[J].中國(guó)信息化，2013，（18）：66-67.

[9] Canbay Y， Sagiroglu S. A Hybrid Method for Intrusion Detection[C]// IEEE International Conference on Machine Learning & Applications. IEEE， 2015.

[10] Nanda S， Zafari F， Decusatis C， et al. Predicting Network Attack Patterns in SDN using Machine Learning Approach[C]// IEEE Conference on Network Function Virtualization and Software Defined Networks （IEEE NFV-SDN） 2016. IEEE， 2016.

[11] Kim G， Lee S， Kim S. A novel hybrid intrusion detection method integrating anomaly detection with misuse detection[J]. Expert Systems with Applications， 2014， 41（4）：1690–1700.

[12] 趙振中，廖駿.基于DSP的Shrew DDoS攻擊檢測(cè)[J].網(wǎng)絡(luò)空間安全，2019，10（6）： 1-8.

[13] Barki L， Shidling A， Meti N， et al. Detection of distributed denial of service attacks in software defined networks[C]// 2016 International Conference on Advances in Computing， Communications and Informatics （ICACCI）. IEEE， 2016.