SDN架構(gòu)下基于ICMP流量的網(wǎng)絡(luò)異常檢測(cè)方法①

史振華,劉外喜,楊家燁(紹興職業(yè)技術(shù)學(xué)院 信息工程學(xué)院,紹興 3000)(廣州大學(xué) 電子信息工程系,廣州 50006)

?

SDN架構(gòu)下基于ICMP流量的網(wǎng)絡(luò)異常檢測(cè)方法①

史振華1,劉外喜2,楊家燁2
1(紹興職業(yè)技術(shù)學(xué)院 信息工程學(xué)院,紹興 312000)
2(廣州大學(xué) 電子信息工程系,廣州 510006)

摘 要:互聯(lián)網(wǎng)控制報(bào)文協(xié)議(Internet Control Message Protocol,ICMP)實(shí)時(shí)地反映著網(wǎng)絡(luò)的狀態(tài),當(dāng)網(wǎng)絡(luò)故障或受到攻擊時(shí),ICMP報(bào)文在整個(gè)流量中出現(xiàn)的概率,以及ICMP流量中不同類型的報(bào)文比例等特征都會(huì)發(fā)生變化.本文利用ICMP流量小的特點(diǎn),并結(jié)合SDN架構(gòu)中控制面可對(duì)ICMP流量進(jìn)行集中觀察的優(yōu)勢(shì),采用SVM分類的方法,提出一種輕量級(jí)的異常檢測(cè)機(jī)制以改善異常檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性---AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).實(shí)驗(yàn)結(jié)果證明,AD-ICMP-SDN在檢測(cè)準(zhǔn)確率和誤報(bào)率等指標(biāo)上展現(xiàn)了較好的性能.

關(guān)鍵詞:SDN; 異常檢測(cè); 支持向量機(jī); ICMP

1　引言

當(dāng)前,網(wǎng)絡(luò)攻擊依然經(jīng)常發(fā)生,如蠕蟲、僵尸、分布式拒絕服務(wù)攻擊(DDOS)等.這些攻擊消耗網(wǎng)絡(luò)資源,嚴(yán)重時(shí)導(dǎo)致網(wǎng)絡(luò)癱瘓,威脅用戶安全.因此,如何準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)異常成為一個(gè)亟待解決的問題.

過去,研究者們提出了各種異常檢測(cè)方法,Chandola V等人對(duì)此作了詳細(xì)的綜述[1].當(dāng)前的檢測(cè)方法主要分為特征模式(feature-based)和值模式(volume-based)兩種.其中,值模式是利用整個(gè)網(wǎng)絡(luò)流量的一些參數(shù)值的變化來檢測(cè)異常,如流量值、流的數(shù)量值等.但單獨(dú)使用這種方法很難檢測(cè)到那些對(duì)整個(gè)網(wǎng)絡(luò)流量大小幾乎沒有影響的低速率攻擊,也很難區(qū)分由正常應(yīng)用導(dǎo)致的大流量還是惡意攻擊導(dǎo)致的大流量[2].因此,作為該方法的一個(gè)補(bǔ)充,人們又研究基于流量特征模式的方法,如平均包長(zhǎng)度,IP地址特征分布等.在這種方法中,如果要實(shí)現(xiàn)高效的檢測(cè),選擇合適的特征以及最小的特征集是一個(gè)必要前提,但這很困難[2].并且,上述兩種方法的研究對(duì)象都是針對(duì)整個(gè)網(wǎng)絡(luò)流量的,而互聯(lián)網(wǎng)流量日益變得龐大,所以,當(dāng)前方法中依然存在著檢測(cè)計(jì)算量大、檢測(cè)實(shí)時(shí)性差等問題.

在互聯(lián)網(wǎng)中,設(shè)計(jì)ICMP(Internet Control Message Protocol)的初衷是為了反饋網(wǎng)絡(luò)使用過程中的故障信息,例如,當(dāng)報(bào)文在傳遞的過程中某子網(wǎng)故障,或中間路由器無法轉(zhuǎn)發(fā)等原因?qū)е履康牡夭豢蛇_(dá),或目的端口不可達(dá)等情形都會(huì)在故障點(diǎn)發(fā)出ICMP差錯(cuò)報(bào)文給源端,而ICMPv6更是在此基礎(chǔ)上將IPv4中的ARP,DHCP等功能集成于其中,使其更加成為Internet必不可少的部分.簡(jiǎn)而言之,互聯(lián)網(wǎng)中的ICMP流量充分地、實(shí)時(shí)地反映著網(wǎng)絡(luò)的狀態(tài),所以,我們可以通過分析ICMP流量特征的變化來進(jìn)行異常檢測(cè).更重要的是,ICMP流量很小,例如,在2009年CAIDA數(shù)據(jù)集中,正常情況下的ICMP流量?jī)H占整個(gè)流量的0.18%左右.所以,分析ICMP流量的計(jì)算量會(huì)比當(dāng)前基于整個(gè)流量的方法小得多,檢測(cè)效率和檢測(cè)實(shí)時(shí)性都會(huì)得到很大的提高.

軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)[3]技術(shù)分離了網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面,為研發(fā)網(wǎng)絡(luò)新應(yīng)用和未來互聯(lián)網(wǎng)技術(shù)提供了一種新的解決方案.目前,SDN 已經(jīng)廣泛應(yīng)用于流量工程(Traffic Engineering),異常檢測(cè)(anomaly detection),流量統(tǒng)計(jì)(accounting)等網(wǎng)絡(luò)流量管理和優(yōu)化工作.然而,目前將SDN 應(yīng)用于異常檢測(cè)方面的研究工作還處于初級(jí)階段.

支持向量機(jī)(Support Vector Machines,SVM)是在統(tǒng)計(jì)學(xué)理論基礎(chǔ)上發(fā)展起來的一種新的機(jī)器學(xué)習(xí)方法,它通過求取能使兩類樣本以最大間隔分開的最優(yōu)分類面來建立分類模型.

綜上所述,本文利用ICMP流量小的特點(diǎn),并結(jié)合SDN架構(gòu)中控制面可對(duì)ICMP流量進(jìn)行集中觀察的優(yōu)勢(shì),采用SVM分類的方法,提出一種輕量級(jí)的異常檢測(cè)機(jī)制以提高異常檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性—Anomaly Detection Method based on ICMP Traffic for SDN(AD-ICMP-SDN).

2　相關(guān)工作

Tootoonchian.A 等人[4]利用控制器中的路由統(tǒng)計(jì)信息,分析了從不同交換機(jī)獲取流統(tǒng)計(jì)數(shù)據(jù)的網(wǎng)絡(luò)負(fù)載問題,從而構(gòu)建整個(gè)網(wǎng)絡(luò)的流量矩陣.Jose.L等人[5]在讀取交換機(jī)的流統(tǒng)計(jì)信息后,采用Trie 的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)了一種識(shí)別分層高負(fù)載流的問題(hierarchical heavy hitters,HHH).Braga.R 等人[6]通過提取流統(tǒng)計(jì)信息中與DDOS 攻擊相關(guān)的六元組,采用人工神經(jīng)網(wǎng)絡(luò)方法SOM(Self Organizing Maps)進(jìn)行降維處理,從而識(shí)別DDOS 攻擊.Mehdi.S等人[7]重新考慮了幾種傳統(tǒng)的流量異常檢測(cè)方法在SDN 中的應(yīng)用,為SDN 中實(shí)現(xiàn)異常檢測(cè)提供了很好的實(shí)際部署經(jīng)驗(yàn).然而這些方法采用的流量特征數(shù)據(jù)較單一,僅能針對(duì)某種特定的異常.

在SDN架構(gòu)下,K.Giotis等人[8]融合OpenFlow和sFlow提出一種可進(jìn)行異常檢測(cè)并可減輕異常的機(jī)制,他們?cè)诳刂破矫嬖O(shè)計(jì)了數(shù)據(jù)收集模塊,以及獨(dú)立于數(shù)據(jù)平面的sFlow監(jiān)測(cè)模塊.為了兼顧監(jiān)測(cè)開銷和異常檢測(cè)精度,Ying Zhang等人[9]提出一種SDN架構(gòu)下對(duì)流量進(jìn)行自適應(yīng)抽樣的OpenWatch機(jī)制,其基本思路是: 基于預(yù)測(cè)的方法,抽樣粒度能夠自適應(yīng)地動(dòng)態(tài)改變時(shí)間-空間維度.劉文懋[10]等人提出了一個(gè)分布式的軟件定義安全架構(gòu)(software-defined security architecture,SDSA),可將安全功能從SDN控制器解耦到專有的安全控制器和安全APP,提供了全局流和局部數(shù)據(jù)包層面的檢測(cè)和防護(hù),以抵御SDN和虛擬化環(huán)境中的各類攻擊.

Jun等人[11]提出一種綜合利用值模式和報(bào)文頭部字段信息的DDOS檢測(cè)方法.他們首先使用流量值做初步檢測(cè),如果流量值超過了閥值,就針對(duì)這些可疑流量進(jìn)一步分析目的IP地址的熵,源端口的熵以及每秒到達(dá)的報(bào)文個(gè)數(shù).Gao and Wang等人[12]提出基于K平均算法的網(wǎng)絡(luò)入侵檢測(cè)機(jī)制,他們用信息熵選擇K平均算法中初始簇中心以提高檢測(cè)效率.

而在此前的工作中,我們已經(jīng)發(fā)現(xiàn)ICMP流量也具有自相似特性,并提出了利用該特性檢測(cè)網(wǎng)絡(luò)異常的方法[14].

鄭黎明等人[15]針對(duì)訓(xùn)練模型難于獲取以及部署環(huán)境的動(dòng)態(tài)變化性問題,對(duì)SVM分類器的選擇、使用和訓(xùn)練方法進(jìn)行了研究.Chandola.V 等人[1]對(duì)當(dāng)前各種利用熵(Entropy)值進(jìn)行異常檢測(cè)的方法進(jìn)行了綜述和性能評(píng)估.與上述方法不同的是,本文以ICMP流量中源/目的IP地址、ICMP報(bào)文類型等特征的熵作為檢測(cè)對(duì)象,實(shí)現(xiàn)輕量級(jí)的檢測(cè).

3　基本原理

網(wǎng)絡(luò)流量異常是指網(wǎng)絡(luò)流量產(chǎn)生不尋常的變化,并且可能涵蓋多條鏈路或者路徑,會(huì)導(dǎo)致流量激增,也會(huì)導(dǎo)致流量的以下特征發(fā)生變化:

1)ICMP流量中報(bào)文的IP 地址的分布;

2)ICMP報(bào)文類型的分布;

3)流量中TCP 、UDP、ICMP、GRE四種協(xié)議的分布;

4)ICMP流量占整個(gè)流量的比例.

考慮到上述這些特點(diǎn),本文的AD-ICMP-SDN實(shí)現(xiàn)異常檢測(cè)的思路如下: 通過熵(Entropy)來描述前三個(gè)流量特征的分散程度; 而通過比例來描述第四個(gè)特征.然后利用SVM分類的方法將正常和異常的特征區(qū)分,達(dá)到發(fā)現(xiàn)異常的目的.

3.1信息熵

在信息論中,熵表示的是不確定性的量度.設(shè)X表示一個(gè)有著n個(gè)變量的數(shù)據(jù)集,這些變量分別用x1,x2,…… xn表示.它們?cè)跀?shù)據(jù)集中出現(xiàn)的概率分別為p1,p2,…… ,pn,那么X的熵就是如(1)式所示:

式中,pi第i個(gè)變量的概率.顯然,X中變量的概率分布越均勻,熵值會(huì)越大,當(dāng)某個(gè)變量的概率為1的話,熵值會(huì)變?yōu)?.

3.2支持向量機(jī)SVM

對(duì)于給定的入侵檢測(cè)審計(jì)數(shù)據(jù)(x1,y1),(x2,y2),…,(xn,yn),,x為特征空間的輸入數(shù)據(jù),x∈Rd,y為類標(biāo)志,y∈{0,1},n為樣本數(shù),d為輸入維數(shù).如果y的值為0,表示對(duì)應(yīng)的樣本為正常; 如果y的值為1,表示對(duì)應(yīng)的樣本為異常,即有入侵發(fā)生.

根據(jù)SVM理論,對(duì)于待分類樣本存在一個(gè)超平面,使得兩類樣本完全分開,如圖2 所示.圖中“1”和“0”分別代表兩類樣本,實(shí)線為分類超平面(hyper plane).SVM旨在尋找最優(yōu)超平面(optimal hyper plane)以最大間隔分隔兩類樣本.其中,帶圈的“1”和“0”樣本決定類分隔面上,稱為支持向量.

求解最優(yōu)超平面可看成解二次規(guī)劃問題:

式中,θ是松弛變量,C為懲罰因子,是人工指定的常數(shù),起到控制對(duì)錯(cuò)分樣本進(jìn)行懲罰程度的作用.求解式(2)可轉(zhuǎn)化為求解其對(duì)偶問題:

上式中,αi為拉格朗日乘子; 對(duì)應(yīng)于αi＞0的向量稱為支持向量; k(xi,xj)=Φ(xi)T,Φ(xi)為核函數(shù).選擇不同核函數(shù),可以生成不同SVM,常用核函數(shù)有以下4種:

(1)線性核函數(shù)Linear: K(x,y)=x·y;

(2)多項(xiàng)式核函數(shù)polynomial: K(x,y)=[(x·y)+1]d;

(3)高斯徑向基核函數(shù)RBF: K(x,y)=exp (-|x-y|^2/d^2)

(4)二次核函數(shù)quadratic: K(||x-xc||)=exp{-||x-xc||^2/(2*σ)^2)}

簡(jiǎn)單地說,SVM是升維和線性化的過程.一般情況下這會(huì)增加計(jì)算的復(fù)雜性.但是核函數(shù)的特性,可以隱式地將非線性的訓(xùn)練數(shù)據(jù)映射到高維空間中,從而減少了計(jì)算的難度.

所以,利用SVM分類方法進(jìn)行異常檢測(cè)的基本思路是: 通過訓(xùn)練數(shù)據(jù),SVM獲得一個(gè)優(yōu)化參數(shù)的分類器,然后對(duì)另一組待檢測(cè)數(shù)據(jù)進(jìn)行分類.若線性可分,則直接分析處理.若線性不可分,則使用非線性映射算法,即核函數(shù).其將低維空間中線性不可分的數(shù)據(jù)映射到高維空間中.在原低維空間中線性不可分的樣本,在高維空間中有了線性可分的可能.

3.3SDN架構(gòu)下的異常檢測(cè)

如圖1所示,AD-ICMP-SDN主要包括兩個(gè)組件:流表管理和異常檢測(cè).NOX[12]是最早實(shí)現(xiàn)控制器功能的網(wǎng)絡(luò)操作系統(tǒng),AD-ICMP-SDN的流表管理和異常檢測(cè)也是在NOX上開發(fā)的應(yīng)用.下面分別介紹各個(gè)模塊的具體功能.

流表管理組件: OpenFlow交換機(jī)在NOX上注冊(cè)成功之后,NOX維護(hù)網(wǎng)絡(luò)資源的狀態(tài): 鏈路性能狀態(tài)、節(jié)點(diǎn)級(jí)的拓?fù)洹牡竭_(dá)過程、用戶需求趨勢(shì)等.根據(jù)到達(dá)的數(shù)據(jù)包向OpenFlow交換機(jī)安裝流表項(xiàng).

異常檢測(cè)組件: 主要包含以下3個(gè)模塊:

1)ICMP流量采集模塊: 采集的數(shù)據(jù)包括: ICMP報(bào)文中源/目的IP地址、ICMP報(bào)文類型、傳輸層四種協(xié)議TCP/UDP/ICMP/GRE、ICMP報(bào)文數(shù)量.流量采集的時(shí)間間隔使用固定時(shí)長(zhǎng).周期太長(zhǎng),則檢測(cè)到異常流量并進(jìn)行處理的時(shí)延也更長(zhǎng); 周期太短,將會(huì)增加NOX和OpenFlow交換機(jī)的處理開銷.本文中,該時(shí)間間隔設(shè)為5秒.

2)數(shù)據(jù)訓(xùn)練: 按照如上所述的SVM原理,需要通過對(duì)ICMP已知流量數(shù)據(jù)訓(xùn)練,獲得一個(gè)優(yōu)化參數(shù)的分類器,參數(shù)主要包括核函數(shù)和超平面計(jì)算方法.

3)SVM分類(檢測(cè)): 詳見4.2節(jié)的分析.

圖1　AD-ICMP-SDN的系統(tǒng)流程圖

4　實(shí)驗(yàn)與結(jié)果分析

4.1實(shí)驗(yàn)方案

4.1.1實(shí)驗(yàn)環(huán)境設(shè)置

我們利用NetFPGA開發(fā)板搭建實(shí)際的SDN網(wǎng)絡(luò),實(shí)驗(yàn)網(wǎng)絡(luò)的拓?fù)溆?05個(gè)節(jié)點(diǎn)和386條鏈路組成.其中包括5臺(tái)OpenFlow交換機(jī)和100臺(tái)主機(jī),100臺(tái)主機(jī)分布于5個(gè)子網(wǎng),分別與五臺(tái)OpenFlow 交換機(jī)進(jìn)行連接.

4.1.2實(shí)驗(yàn)數(shù)據(jù)集

本文利用人工擬合流量進(jìn)行測(cè)試,流量由3種成分構(gòu)成: 正常流量、高斯噪音流量和異常流量.整個(gè)模擬實(shí)驗(yàn)運(yùn)行190個(gè)周期,每個(gè)周期流量注入的時(shí)間為20秒.

正常流量的產(chǎn)生: 內(nèi)容的請(qǐng)求過程服從泊松過程,亦即,請(qǐng)求的間隔時(shí)間是指數(shù)分布; 用戶的訪問模式遵循Zipf分布.就是說,如果用Pr{Ck}表示第k級(jí)受歡迎程度的內(nèi)容被請(qǐng)求到的概率,那么它遵循以下規(guī)律: Pr{Ck}∝k^(-α),α就稱為是Zipf 參數(shù)(Zipf parameter (α)),本文中α=0.7.

本文的異常檢測(cè)目標(biāo)有兩種: 端口掃描和SYN Flood,其注入正常流量的過程為: 從第140到160個(gè)周期,每隔2個(gè)周期注入一次端口掃描攻擊,持續(xù)時(shí)間5秒; 第170到190周期,每隔3個(gè)周期注入SYN flood攻擊,持續(xù)時(shí)間8秒.

端口掃描是一種重要的攻擊,通常具有如下特征:

1)流的數(shù)量劇增,其中大部分有相同的源地址.

2)大量失敗響應(yīng),多數(shù)掃描請(qǐng)求會(huì)失敗,導(dǎo)致大量的如TCP RST、ICMP目的地不可達(dá)等響應(yīng).

上述特征分別在4.2.1、4.2.2和4.2.4節(jié)的實(shí)驗(yàn)結(jié)果中得到驗(yàn)證.

SYN Flood導(dǎo)致目的路由器為那些偽造源主機(jī)建立了大量的連接隊(duì)列,并且由于沒有收到ACK需要一直維護(hù)著它們,造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù),最后甚至導(dǎo)致路由器崩潰.服務(wù)器要等待超時(shí)(Time Out)才能回收已分配的資源.

上述特征分別在4.2.2、4.2.3節(jié)的實(shí)驗(yàn)結(jié)果中得到驗(yàn)證.

4.1.3實(shí)驗(yàn)設(shè)計(jì)

本文分別利用ICMP流量中的源/目的IP地址的熵; ICMP報(bào)文類型的熵; 傳輸層四種協(xié)議TCP/UDP/ICMP/GRE的熵; ICMP流量的比例等來進(jìn)行異常檢測(cè).

同時(shí),在SVM參數(shù)設(shè)置方面,一次實(shí)驗(yàn)中只改變核函數(shù)和超平面計(jì)算方法兩個(gè)參數(shù)中一個(gè),另一個(gè)保持默認(rèn)設(shè)置.其中核函數(shù)包括: 線性核函數(shù)Linear,二次核函數(shù)quadratic,多項(xiàng)式核函數(shù)polynomial,高斯徑向基核函數(shù)RBF.超平面計(jì)算方法包括: 二次規(guī)劃方法QP,序列最小優(yōu)化算法SMO,最小二乘法LS.

本文采用如下性能指標(biāo)評(píng)估實(shí)驗(yàn)結(jié)果:

1)準(zhǔn)確率: 異常被檢測(cè)為異常的概率;

2)誤報(bào)率: 正常被檢測(cè)為異常的概率.

4.2實(shí)驗(yàn)結(jié)果

4.2.1ICMP流量中源/目的IP地址的熵

在流量中,基于IP地址可以將主機(jī)之間的連接關(guān)系分為以下四種:

CC: Concentrated origin and concentrated destination (1對(duì)1);

CD: Concentrated origin and dispersed destination(1對(duì)多);

DC: Dispersed origin and concentrated destination(多對(duì)1);

DD: Dispersed origin and dispersed destination (多對(duì)多).

在正常流量下,四種情況的比例會(huì)保持相對(duì)穩(wěn)定: 1)如果是CD突然增加,表示服務(wù)器已經(jīng)被攻陷,其需要向各個(gè)請(qǐng)求服務(wù)的主機(jī)發(fā)布無法服務(wù)的ICMP報(bào)文,如,端口不可達(dá)、目的地址不可達(dá)等.2)如果是DC突然增加,表示服務(wù)器正在被攻擊.如在DDoS攻擊模式下,攻擊者雇傭很多主機(jī)假裝向服務(wù)器發(fā)出了服務(wù)請(qǐng)求,服務(wù)器向這些主機(jī)發(fā)出了響應(yīng).但這些主機(jī)可能會(huì)向服務(wù)器報(bào)告ICMP差錯(cuò)報(bào)文,如,端口不可達(dá)、目的地址不可達(dá)等.

所以,利用ICMP流量中源/目的IP地址的熵檢測(cè)異常的思路如下:

1)由于攻擊的存在,IP地址池的規(guī)模會(huì)變大,也更加分散一些,導(dǎo)致熵的變化.

2)IP地址空間中源地址和目的地址的映射關(guān)系會(huì)發(fā)生變化.

下面,本節(jié)分別從源IP地址、目的IP地址兩個(gè)方面進(jìn)行分析.

①ICMP流量報(bào)文源IP地址的熵

對(duì)于不同SVM核函數(shù)和超平面計(jì)算方法,基于ICMP流量報(bào)文源IP地址熵的SVM分類結(jié)果如圖 2所示.我們看到,利用核函數(shù)的映射作用,對(duì)異常和正常樣本實(shí)現(xiàn)了非線性可分.

圖2　不同SVM核函數(shù)和超平面計(jì)算方法下的分類結(jié)果

對(duì)于不同的SVM核函數(shù)和超平面計(jì)算方法,利用ICMP流量報(bào)文源IP地址的熵進(jìn)行異常檢測(cè)結(jié)果如圖3所示.我們可以看到,在超平面計(jì)算方法都為QP的情況下,多項(xiàng)式核函數(shù)polynomial展現(xiàn)了更好的性能,檢測(cè)的準(zhǔn)確率達(dá)到了95%,而誤報(bào)率只有1.7%.而對(duì)于使用相同核函數(shù)Linear來說,兩種超平面計(jì)算方法的準(zhǔn)確率幾乎一樣,而SMO的誤報(bào)率稍微低一些.

圖3　ICMP流量中源IP地址的熵

②ICMP流量報(bào)文目的IP地址的熵

對(duì)于不同的SVM核函數(shù)和超平面計(jì)算方法,利用ICMP流量報(bào)文目的IP地址的熵進(jìn)行異常檢測(cè)的結(jié)果如圖 4所示.我們可以看到,在超平面計(jì)算方法都為QP的情況下,多項(xiàng)式核函數(shù)polynomial展現(xiàn)了更好的性能,檢測(cè)的準(zhǔn)確率達(dá)到了98.5%,而誤報(bào)率只有1.9%.

對(duì)于使用相同的核函數(shù)Linear來說,超平面計(jì)算方法LS的準(zhǔn)確率稍微高一點(diǎn)點(diǎn),達(dá)到78%,而兩種超平面計(jì)算方法的誤報(bào)率幾乎一樣.

圖4　ICMP流量中目的IP地址的熵

4.2.2ICMP報(bào)文類型的熵

ICMP報(bào)文的主要類型有兩種,即ICMP差錯(cuò)報(bào)告報(bào)文和ICMP詢問報(bào)文.

ICMP差錯(cuò)報(bào)告報(bào)主要分為5種類型: 目的地不可達(dá)(Destination unreachable),源點(diǎn)抑制(Source quench),更改路由(Redirect),超過生存時(shí)間(TTL exceeded),參數(shù)問題(Parameter problem).

ICMP詢問報(bào)文主要分為4種類型: 回送響應(yīng)(Echo Reply),回送請(qǐng)求(Echo Request),時(shí)間戳請(qǐng)求(Timestamp Request),時(shí)間戳應(yīng)答(Timestamp Reply).

所以,利用ICMP報(bào)文類型的熵進(jìn)行異常檢測(cè)的基本思路如下: 正常的情況下,ICMP流量中各個(gè)類型報(bào)文的比例相對(duì)穩(wěn)定.如果網(wǎng)絡(luò)發(fā)生了故障或者受到攻擊,某些類型報(bào)文的數(shù)量將會(huì)增加,這樣就會(huì)引起該比例的變化,其熵值從而也會(huì)發(fā)生變化.我們可從ICMP各類型報(bào)文比例的熵值來檢測(cè)網(wǎng)絡(luò)是否出現(xiàn)異常.

圖5　ICMP報(bào)文類型的熵的異常變化

上述分析可從如圖 5所示的實(shí)驗(yàn)結(jié)果得到驗(yàn)證: 在2800秒之前,ICMP報(bào)文類型的熵值一直維持在2.25～2.38之間,而當(dāng)從140周期(2800秒)開始注入端口掃描攻擊開始的,其熵值明顯地減小.其原因正是由端口掃描引起的目的地不可達(dá)ICMP報(bào)文在整體中的比例增加,使得熵值減小,從170周期開始的SYN Flood會(huì)導(dǎo)致服務(wù)器無法為正常用戶提供TCP連接服務(wù),端口不可達(dá)ICMP報(bào)文數(shù)量則會(huì)激增,也會(huì)使得熵值減小.因此,我們以ICMP報(bào)文類型的熵值是否在2.25～2.38區(qū)間來判斷網(wǎng)絡(luò)是否發(fā)生異常.

不同SVM參數(shù)下的實(shí)驗(yàn)結(jié)果如圖 6所示,我們可以看到,在超平面計(jì)算方法都為QP的情況下,多項(xiàng)式核函數(shù)的檢測(cè)準(zhǔn)確率為76%,而線性核函數(shù)為60%.對(duì)于使用相同核函數(shù)Linear來說,將超平面算法修改為SMO和LS,它們的檢測(cè)準(zhǔn)確率分別為76%和68%.

圖6　ICMP報(bào)文類型的熵

4.2.3傳輸層協(xié)議的熵

傳輸層主要包括TCP 、UDP、ICMP、GRE等四種協(xié)議.在正常的網(wǎng)絡(luò)中,TCP協(xié)議數(shù)量最大,一般都會(huì)占到80%以上,而ICMP一般維持在0.18%左右[13].而當(dāng)網(wǎng)絡(luò)中發(fā)生故障時(shí),或者受到攻擊,ICMP報(bào)文的數(shù)量將會(huì)增加.UDP協(xié)議是一種面向非連接的數(shù)據(jù)報(bào),發(fā)生UDP風(fēng)暴攻擊時(shí),該協(xié)議的出現(xiàn)概率也會(huì)提高.在正常的情況下,這四種協(xié)議的比例都是比較穩(wěn)定的,但由于TCP占比很大,所以他們的熵值比較穩(wěn)定也比較小.當(dāng)出現(xiàn)網(wǎng)絡(luò)異?；蚬魰r(shí),四種協(xié)議出現(xiàn)的概率會(huì)表現(xiàn)出異常,我們可以通過熵值的變化發(fā)現(xiàn)異常.

圖7　傳輸層協(xié)議的熵的異常變化

上述分析可從如圖 7所示實(shí)驗(yàn)結(jié)果得到驗(yàn)證: 與圖 5相對(duì)應(yīng)的是,在2800秒之前,傳輸層協(xié)議的熵值一直維持在0.55～0.6的正常區(qū)間,而從2800秒開始注入端口掃描以及SYN Flood攻擊后,由于攻擊導(dǎo)致的ICMP報(bào)文數(shù)量的快速增加,其比例從0.18上升到1.5%以上,那么整體熵值也就快速地增加.因此,我們以傳輸層協(xié)議的熵值是否在0.55～0.6區(qū)間來判斷網(wǎng)絡(luò)是否發(fā)生異常.

不同SVM參數(shù)下的實(shí)驗(yàn)結(jié)果如圖 8所示,通過觀察,我們可以得到如下結(jié)論:

1)默認(rèn)設(shè)置下的結(jié)果(Linear,QP),檢測(cè)準(zhǔn)確率是61%,誤報(bào)率是5.1%.

2)使用二次核函數(shù)(quadratic,QP),檢測(cè)準(zhǔn)確率大大上升,達(dá)到96%,誤報(bào)率只有2.7%.

3)使用多項(xiàng)式核函數(shù)(polynomial,QP),檢測(cè)準(zhǔn)確率是78%,誤報(bào)率是4.9%.

4)使用高斯徑向基核函數(shù)(RBF,QP),檢測(cè)準(zhǔn)確率是84%,誤報(bào)率4%.

5)使用序列最小優(yōu)化超平面算法(Linear,SMO),準(zhǔn)確率是71%,誤報(bào)率是3.9%.

6)使用最小二乘算法(Linear,LS),使用LS算法后,準(zhǔn)確率是65%,誤報(bào)率是3.7%.

圖8　傳輸層協(xié)議的熵

4.2.4ICMP流量的比例

熵值只是描述變量的平均消息量,是一個(gè)衡量各成分相對(duì)比例的參數(shù).如果出現(xiàn)以下情況: ICMP協(xié)議出現(xiàn)的概率增加至接近正常TCP出現(xiàn)的概率,而TCP的概率下降到對(duì)應(yīng)正常情況的ICMP協(xié)議概率,那么整體熵值將不會(huì)發(fā)生變化,仍然是正常的熵值.但是實(shí)際上,網(wǎng)絡(luò)已經(jīng)受到了攻擊.如前所述,ICMP流量正常情況下的比例一直維持在0.18%左右,當(dāng)異常時(shí),其比例會(huì)激增.所以,我們通過分析ICMP報(bào)文在整個(gè)流量中比例變化,來發(fā)現(xiàn)網(wǎng)絡(luò)異常.不同SVM參數(shù)下的實(shí)驗(yàn)結(jié)果如圖 9所示.

圖9　ICMP流量的比例

5　結(jié)論

本文使用SVM的分類方法,通過分析ICMP報(bào)文的地址空間的熵特征,ICMP中各類型報(bào)文比例的熵,TCP/ICMP/UDP/GRE四種協(xié)議的出現(xiàn)比例的熵,ICMP在整個(gè)流量中的比例變化等四個(gè)指標(biāo)的變化,進(jìn)行網(wǎng)絡(luò)異常檢測(cè).實(shí)驗(yàn)結(jié)果表明,利用上述指標(biāo)分析來判斷網(wǎng)絡(luò)異常的表現(xiàn)較好.

SDN是未來互聯(lián)網(wǎng)架構(gòu)演進(jìn)的主要方向,其控制與數(shù)據(jù)相分離的思想極大地方便了網(wǎng)絡(luò)管理.在此架構(gòu)下,還有很多有意義的工作可以做,如流量控制、流量平衡、防火墻設(shè)計(jì)等.同時(shí),我們未來將對(duì)不同的網(wǎng)絡(luò)異常數(shù)據(jù)采用不同的核函數(shù)和超平面計(jì)算方法,以進(jìn)一步提高網(wǎng)絡(luò)異常檢測(cè)機(jī)制的精確性.

參考文獻(xiàn)

1Chandola V,Banerjee A,Kumar V.Anomaly detection: A survey.ACM Computing Surveys (CSUR),2009,41(3): 15.

2?z?elik ?,Brooks R R.Deceiving entropy based DoS detection.Computers & Security,2014,9091(6): 1–7.

3Open Networking Fundation.SDN.https://www.opennetworking.org [2013-8-3].

4Tootoonchian A,Ghobadi M,Ganjali Y.OpenTM: Traffic matrix estimator for OpenFlow networks.Passive and Active Measurement.Springer Berlin Heidelberg,2010: 201–210.

5Jose L,Yu M,Rexford J.Online measurement of large traffic aggregates on commodity switches.Proc.of the USENIX HotICE workshop.2011.

6Braga R,Mota E,Passito A.Lightweight DDoS flooding attack detection using NOX/OpenFlow.2010 IEEE 35th Conference on Local Computer Networks (LCN).IEEE,2010.408–415.

7Mehdi SA,Khalid J,Khayam SA.Revisiting traffic anomaly detection using software defined networking.Recent Advances in Intrusion Detection.Springer Berlin Heidelberg,2011: 161–180.

8Giotis K,Argyropoulos C,Androulidakis G.Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments.Computer Networks,2014,62: 122–136.

9Zhang Y.An adaptive flow counting method for anomaly detection in SDN.Proc.of the Ninth ACM Conference on Emerging Networking Experiments and Technologies.ACM.2013.25–30.

10劉文懋,裘曉峰,陳鵬程,等.面向SDN環(huán)境的軟件定義安全架構(gòu).計(jì)算機(jī)科學(xué)與探索,2015,9(1): 63–70.Liu WM,Qiu XF,Chen PC,et al.SDN oriented softwaredefined security architecture.Journal of Frontiers of Computer Science & Technology,2015,9(1): 63–70.

11Jun JH,Ahn CW,Kim SH.DDos attack detection by using packet sampling and flow features.Proc.of the 29th Annual ACM Symposium on Applied Computing.New York,USA.2014.

12Gao M,Wang N.A network intrusion detection method based on improved k-means algorithm.Advanced Science and Technology Letters,2014,53(3): 429–433.

13Nox Repository Website.http://www.noxrepo.org/.

14Liu WX,Yan YE.Self-similarity and heavy-tail of ICMP traffic.Journal of Computers,2012,7(12): 2948–2954.

15鄭黎明,鄒鵬,賈焰,等.網(wǎng)絡(luò)流量異常檢測(cè)中分類器的提取與訓(xùn)練方法研究.計(jì)算機(jī)學(xué)報(bào),2012,35(4):719–730.Zhang LM,Zhou P,Jia Y,et al.How to extract and train the classifier in traffic anomaly detection system.Chinese Journal of Computers,2012,35(4): 719–730.

16Calvert KI,Doar MB,Zegura EW.Modeling internet topology.Communications Magazine,IEEE,1997,35(6): 160–163.

Anomaly Detection Method Based on ICMP Traffic for SDN

SHI Zhen-Hua1,LIU Wai-Xi2,Yang Jia-Ye2
1(Information Engineering Institute,Shaoxing Vocational & Technical College,Shaoxing 312000,China)
2(Department of Electronic and Information Engineering,Guangzhou University,Guangzhou 510006,China)

Abstract:ICMP (Internet Control Message Protocol)provides a good way to observe the status of network in real time.When the network is in fault or is attacked,the percent of ICMP traffic and the percent of packet type in ICMP characteristics will change.Since the control plane in Software-Defined Networking (SDN)can observe ICMP traffic,and the value of ICMP traffic is also small,this paper proposes a lightweight anomaly detection system based on SVM classification method to improve the accuracy and real-time performance of anomaly detection system.We name it as AD-ICMP-SDN (Anomaly Detection Method based on ICMP Traffic for SDN).The experiment results have shown that AD-ICMP-SDN can effectively improve the accuracy rate and false rate.

Key words:SDN; anomaly detection; support vector machine; ICMP

基金項(xiàng)目:①浙江省教育廳科研項(xiàng)目(Y201534903);廣東省自然科學(xué)基金(2014A030310349,2014A030313637);2014年大學(xué)生創(chuàng)新訓(xùn)練項(xiàng)目

收稿時(shí)間:2015-08-30;收到修改稿時(shí)間:2015-10-14