基于防空作戰體系的DDoS攻擊防御技術研究

劉順余 唐強 沙智倫

摘 ? 要：防空作戰體系依托軍事綜合信息網、指揮專網、內部局域網等網絡，連接各級作戰值班室和作戰陣地并實現空情共享。這類網絡任務單一，防御能力較弱，易遭受敵軍攻擊，如分布式拒絕服務（DDoS）。基于此，文章中提出了一種新穎的入侵檢測方法—KNS。這種方法基于集成學習的思想，首先分別采用K-最近鄰（K-Nearest Neighbor，KNN）、樸素貝葉斯分類器（Naive Bayes Classifier，NBC）和支持向量機（Support Vector Machine，SVM）對流量進行檢測，其次對檢測結果進行投票策略（Voting）整合，最后獲得KNS的最終檢測結果。這種方法在DDoS數據集進行了測試，結果表明，KNS具有較好的異常檢測檢測準確性、檢測率、誤報率。

關鍵詞：防空作戰體系;機器學習;入侵檢測;分布式拒絕服務

中圖分類號： TP391.4 ? ? ? ? ?文獻標識碼：A

1 引言

隨著現代戰爭空襲兵器的迅猛發展，陸軍采取提升預警時間的方式來應對空襲兵器的快速襲擊，為此陸軍防空力量逐漸向日常防空作戰體系發展[1，3]。防空作戰體系由野戰防空轉化發展而來，在空軍的偵察預警網絡和陸軍的旅、營值班室以及雷達陣地之間建設軍事綜合信息網、指揮專網、內部局域網等，實現空情共享[4]，網絡結構如圖1所示。

其網絡構建復雜，任務單一，防御能力較弱，敵軍可能在網絡內安插部件作為“肉雞”，發送過載的命令信息導致網絡奔潰，或者通過干擾器、假基站發送入侵數據包，進行DDoS攻擊[2，5]。

本文提出了一種針對防空作戰體系中軍事綜合信息網、指揮專網、內部局域網的DDoS攻擊的防御檢測方法—KNS。該方法基于集成學習的思想，對KNN、NBC和SVM進行集成，實現對入侵的惡意流量進行異常檢測。

（1）首次將集成學習異常檢測算法應用在防空作戰體系中，并對DDoS攻擊進行檢測，據了解該項研究并無前任工作。

（2）設計了一種新穎的集成學習檢測方法KNS。該方法對KNN、NB、SVM等三種基分類器進行集成，并通過Voting對結果進行整合，得到了異常檢測強分類器。

（3）提出的方案將ML技術作為一種整體方法來檢測惡意和非惡意流量。結果顯示，所提出的KNS在應對DDoS攻擊檢測時，能夠表現出較好的檢測效果。

2 相關工作

趙樺箏等人[6]針對DDoS攻擊，提出了一種報文特征提取方法，通過重構特征提高異常檢測的精度。A.Saboor等人[7]提出了基于相關算法和IAFV（IP地址特征值）算法的DDoS攻擊檢測。他們使用帶有滑動窗口的不同時間序列來提高檢測率。李森等人[8]針對邊防部隊計算機網絡DDoS攻擊防范進行了研究，針對DDoS攻擊進行了分析，提出了4種防范措施。Yavuzet等人[9]研究了遺傳算法（GA）和近鄰K（KNN），并將它們組合為檢測攻擊的模型。與傳統的KNN分類器相比，實驗混合系統提供了更為準確的結果。Saurav Nanda等人[10]使用貝葉斯網絡，達到了91.68%的準確度，這表明在278，598次攻擊中，他們的模型能夠準確預測254，834次攻擊。GisungKim等人[11]提出了一種混合學習模型來檢測DDoS攻擊并保護OpenFlow交換機。他們使用C4.5決策樹創建了誤用檢測模型，然后（One Class SVM）創建了異常檢測模型，以很好地應對未知攻擊。趙振中等人[12]介紹了一種新穎的DDoS攻擊，并且提出了一種基于數字信號處理的檢測方法。Lohit Barki等人[13]使用了不同的機器學習技術，例如樸素貝葉斯（Naive Bayes）、K近鄰、K-Means、K-medoids來檢測DDoS攻擊。他們發現，與其他公認的算法相比，樸素貝葉斯模型效果最好。

3 基分類器

3.1 KNN

KNN是一種機器學習分類方法，是數據挖掘技術的基礎方法之一，其核心思想是數據樣本的類別，均可以通過其周圍的K個樣本進行表示，其鄰居的計算方式如公式（1）所示。

3.2 NBC

樸素貝葉斯分類算法是基于貝葉斯定理進行分類的算法，其原理是通過事件的先驗概率，利用貝葉斯公式計算出后驗概率，再通過判斷后驗概率，選擇最大概率類作為該事件的所屬類，在此，找到給定事件B的事件A的概率;A和B是事件，且P（B）≠0，計算公式如公式（2）所示。

3.3 SVM

SVM是用于解決分類問題的監督學習技術。假設支持向量是{（v1，y1），（v2，y2），…（vm，ym）}，并且它們的權重是{w1，w2，w3…wm}，然后使用公式（3）計算從x到每個支持向量的權重w，表示為公式（3）所示。

針對DDoS攻擊，提出了基于集成學習的組合模型，并通過Voting策略對基分類器的結果進行整合，如圖2所示提出了模型的體系結構。

KNN、NBC、SVM是機器學習中的監督學習算法，本文分別實現了KNN、NB和SVM異常檢測結果，并和KNF檢測結果進行了對比，具有更高的準確性，檢測率和誤報率。

5 實驗結果和分析

Mininet是一種仿真工具，可幫助創建虛擬主機、控制器、交換機、主機。基于Mininet模擬環境，本文選擇了Pox控制器，用于創建無線網絡設置，其中一臺服務器一次與另一臺服務器隨機通信。

MiniEdit創建的網絡設置如圖3所示。

創建網絡設置后，包含數TCP、UDP、ICMP數據包記錄的數據集被饋送到網絡。然后，提取定性和定量特征，以確定每個分類器的性能。借助流量分類器模塊，根據源和目的地的時間差來分離流量。在此，時間的閾值被設定為0.004秒。如果時間差小于0.004秒，則將數據包從源傳輸到合法用戶。否則，將其視為攻擊。實驗一共采集數據集41260條（正常31223條，異常10037條），其中測試集12378條（正常9367條，異常流量3011條）。

本文通過四個性能指標來評估檢測系統。

1）TN–正確分類的正常流量的百分比。

2）TP–正確分類的攻擊流的百分比。

3）FP-錯誤分類為合法流（例如攻擊）的百分比。

4）FN -被錯誤分類為合法的攻擊流的百分比。

準確率：表示在數據集中正確識別異常流量的百分比，其計算定義如公式（4）所示。

提出的集成算法分別在實驗數據集上進行了測試，并與KNN、NB、SVM進行了對比，結果如1表所示。

如表2所示，提出的方法能夠獲得準確率93.29%，檢測率80.01%，誤報率7.71%的檢測結果，優于其他的異常檢測方法。

6 結束語

本文提出了一種基于集成學習的KNS異常檢測方法對防空作戰體系環境下的DDoS攻擊進行了檢測，并基于準確性。檢測率和誤報率指標分析了所提出的方法。在提出的集成機器學習模型中，與簡單的機器學習模型相比，KNS的準確性更高，檢測率更高，誤報率更低，將來計劃進一步提升準確率。

參考文獻

[1] 王道重，滕克難，孫媛，孫吉良.地空導彈網絡化協同防空作戰系統研究[J].指揮控制與仿真，2019，41（03）：5-9.

[2] 魏玉人，徐育軍.DDoS攻擊及防御技術綜述[J].軟件導刊， 2017，16（03）：173-175.

[3] 羅良彬，商長安，楊輝.區域防空作戰體系網絡拓撲結構分析與建模[J].現代防御技術，2016，44（01）：10-15.

[4] 劉子敏，唐興誠.現代防空作戰的變化導向[J].國防科技， 2005（03）：67-70.

[5] 蔣南允，程光.智能電網入侵檢測綜述[J].網絡空間安全， 2018， 9（1）：89-94.

[6] 趙樺箏，黃元浦，孫嶺新，杜昊，郭凱文.面向DDoS入侵檢測的報文特征提取方法[J].網絡空間安全，2020， 11（3）：24-29.

[7] Saboor A， Aslam B. Analyses of flow based techniques to detect Distributed Denial of Service attacks[C]// International Bhurban Conference on Applied Sciences & Technology. IEEE， 2015.

[8] 李森.邊防部隊計算機網絡DDoS攻擊防范研究[J].中國信息化，2013，（18）：66-67.

[9] Canbay Y， Sagiroglu S. A Hybrid Method for Intrusion Detection[C]// IEEE International Conference on Machine Learning & Applications. IEEE， 2015.

[10] Nanda S， Zafari F， Decusatis C， et al. Predicting Network Attack Patterns in SDN using Machine Learning Approach[C]// IEEE Conference on Network Function Virtualization and Software Defined Networks （IEEE NFV-SDN） 2016. IEEE， 2016.

[11] Kim G， Lee S， Kim S. A novel hybrid intrusion detection method integrating anomaly detection with misuse detection[J]. Expert Systems with Applications， 2014， 41（4）：1690–1700.

[12] 趙振中，廖駿.基于DSP的Shrew DDoS攻擊檢測[J].網絡空間安全，2019，10（6）： 1-8.

[13] Barki L， Shidling A， Meti N， et al. Detection of distributed denial of service attacks in software defined networks[C]// 2016 International Conference on Advances in Computing， Communications and Informatics （ICACCI）. IEEE， 2016.