基于軟件定義網絡的安全控制模型

陳翕

（中移鐵通有限公司信息和產品開發中心，北京 100038）

0 引言

隨著移動互聯網和物聯網的高速發展，網絡流量的時空分布呈現高度動態化、復雜化的特征。傳統網絡架構越來越難滿足現代客戶對網絡帶寬、網絡性能和網絡服務可控可靠的需求，因此，軟件定義網絡（SDN,Software Defined Network）技術應運而生。SDN 通過對傳統的網絡結構進行解耦，實現控制與轉發的分離，利用可編程的網絡控制特點提升網絡服務可控性和網絡管理靈活性[1]。SDN 雖然提升了網絡服務可控性和網絡管理的靈活性，但是由于其自身開放的可編程架構和集中控制的模式，也為黑客攻擊行為帶來了前所未有的便利性和威脅[2]，因此，SDN 的網絡安全問題成了制約其快速發展的關鍵因素。SDN 的安全研究[3]分為兩個方面：一是利用SDN架構的優勢加強傳統網絡安全；二是研究SDN 本身的安全問題。第一個問題是基于系統產生的各種告警數據和流量數據制定某種規則，控制器結合當前數據流量的現狀將指令發給邊緣設備，隨后讓邊緣設備執行阻斷行為，形成以SDN 技術為核心的入侵防御系統[4-8]。第二個問題是針對SDN 架構本身也存在安全問題，SDN 特有安全威脅主要是指控制器的安全保障問題[9-10]，控制器的安全保障成為SDN 網絡環境下的重中之重；而非SDN 特有的安全問題包括管理脆弱性和交換機脆弱性等[11-12]。

綜上所述，本文主要著眼于控制器的安全保障問題，重點解決最常見的控制器安全威脅之一——分布式拒絕服務（DDoS,Distributed Denial of Service）攻擊。該類型攻擊的手法是：攻擊者在確定攻擊目標后，向網絡發送大量的無效網絡流量，進而耗盡控制器的資源，最終使得網絡失去控制而發生癱瘓。因此，如何快速準確檢測DDoS 的攻擊引起安全管理領域專家的青睞。Bawany 等人[13]提出了一種基于SDN 的主動DDoS 防御框架（ProDefense），實驗證明該框架能夠用于檢測和緩解大規模網絡中的DDoS 攻擊；Mousavi 等人[14]提出一種使用SDN 中央控制器進行攻擊檢測的輕量級解決方案——基于目標IP 地址熵變化的檢測DDoS 攻擊；Li 等人[15]提出一種基于深度學習的DDoS 檢測模型和防御系統，從歷史網絡流量序列中學習攻擊模式，使用基于該模型的防御系統可以有效地清除軟件定義網絡中的DDoS 攻擊流量；Dharma 等人[16]提出一種基于DDoS 攻擊檢測的持續時間和DDoS 攻擊時間模式的攻擊檢測方法，以防止未來的攻擊。

通過相關的研究成果發現，雖然學者都設計了入侵檢測算法，也采用深度學習等方法來對入侵行為數據進行特征提取以此提升入侵檢測的泛化性，但大多數算法采用歷史數據集進行訓練并不能夠有效反映SDN 真實的網絡環境。因此，本文設計基于卷積神經網絡的入侵檢測模型，利用卷積神經網絡優秀的特征提取能力，設計一種可應用與入侵檢測領域的卷積神經網絡結構，采用支持向量機離線訓練一種通用的入侵檢測模型，解決SDN 集中控制面臨的“單點失效”的問題。除此之外，考慮到SDN 環境下黑客利用可編程架構制造多樣性的攻擊行為，本文設計一種在線增量學習的小樣本數據訓練方法，通過分階段對在線小樣本數據進行訓練，并對比在線訓練模型和離線訓練模型的檢測性能，對兩種模型的權重進行更新，采用集成學習的方法優化入侵檢測模型，提升實時數據檢測的準確率。

1 基于卷積神經網絡的入侵檢測模型設計

1.1 入侵模型設計思路

入侵模型的設計思路如圖1 所示，模型由歷史數據采集與處理、基于卷積神經網絡的數據特征提取與分類、構建初始入侵檢測模型以及基于在線增量學習的入侵檢測模型自適應更新四部分組成。數據采集與處理包括兩個步驟：1）基于流表項數據采集方案，采集包括原始流表持續時間、數據分組數量、優先級、源IP、目的IP 等14 項原始數據；2）通過數據預處理的方法應對不同綱量的流表數據集，采用數據標準化的方式將原始數據轉化成0-1 之間的取值，并且采用數據重構的方式構造出更有利于攻擊行為檢測的數據。

圖1 入侵模型設計思路圖

基于卷積神經網絡的數據特征提取，實際上是采用卷積神經網絡的方式實現數據特征篩選和語義表示的過程，采用卷積神經網絡的方法對大量離線數據進行訓練，學習攻擊行為發生過程中流表數據的狀態變化特征，盡可能獲取流表數據的時域變化特征。初始入侵檢測模型實際上是構建攻擊行為的識別器，該識別器通過識別原始數據的多維語義，檢測原始數據是否存在攻擊的可能性。基于在線增量學習的入侵檢測模型自適應更新，主要應對多次線下訓練開銷過大的問題，借助初始入侵檢測模型和少量在線樣本學習的入侵檢測模型，結合集成學習的方法實現入侵檢測模型的在線更新，以數據驅動的方式實現入侵檢測模型的自適應更新，具有較高的實時行和可用性。

1.2 數據采集與預處理

根據OpenFlow 的協議，將與入侵檢測相關的數據流表項進行數據直接采集，具體的流表項如表1 所示：

表1 數據流表原始數據采集名稱及描述

為了提升入侵檢測的精度，本文將上述的原始數據進行適當預處理：1）采用標準化處理不同綱量的數據；2）結合攻擊行為對流量數據的影響，通過數據重構的方式構造出更加符合入侵檢測要求的數據。

假設原始數據某一個數據表示為xij。本文采用零-均值規范化（z-score 標準化）的方法進行標準化處理，rij表示經過標準化處理的流表項數據。

其中uj表示i個樣本中第j個流表項的平均值；σj表示i個樣本中第j個流表項的方差。

攻擊行為識別的思路是對流量數據的狀態變化特征進行有效的識別，因此，構建流表數據的時域變化特征將更加精準反映DDoS 攻擊的意圖。本文考慮到DDoS攻擊行為將大量數據包從源IP 發給目標IP 的攻擊方式，著重對流量數據的時域變化特征進行重構，包括：數據包平均數量、平均流比特數、源和目標IP 數量增加、流表項數量的快速增加、流表匹配成功率下降等。重構后的流表項數據如表2 所示：

表2 重構后的流表項數據

1.3 基于卷積神經網絡的數據特征提取

采用尺寸不同卷積核對樣本進行卷積處理，形成了一個能夠表達流表項數據不同尺寸維度的綜合特征——高維語義信息和低維細節信息融合的特征，進而得到深淺層不同維度的網絡安全態勢指標的特征。卷積神經網絡的數據特征提取過程如圖2 所示：

圖2 卷積神經網絡的數據特征提取過程圖

圖2 從三個不同大小的卷積核實現流表項數據不同尺寸維度特征綜合特征提取過程。第一個卷積過程是：先用3×3 的卷積核進行卷積后，再采用2×2 的池化層進行池化完成第一次特征提取；然后采用3×3 的卷積核進行卷積，再采用2×2 的池化層進行池化完成第二次特征提取；最后采用3×3 的卷積核進行卷積，再采用2×2的池化層進行池化完成第三次特征提取，第一個卷積過程的結果是特征S1。第二個卷積過程和第三個卷積過程與第一個卷積過程類似，只是采用不同的卷積核和池化層對數據進行操作。通過對數據進行三個卷積處理后，得到特征S1、S2 和S3，通過將上述三個特征進行平鋪后，將特征進行拼接，實現流表數據綜合特征的提取，獲得流表項數據綜合語義特征——S4。

1.4 構建初始入侵檢測模型

在獲得綜合語義特征后，將特征輸入到支持向量機中，構建初始入侵檢測模型。初始入侵檢測模型的工作流程圖如圖3 所示：

圖3 入侵檢測模型工作流程圖

圖3 所示的入侵檢測模型流程包括如下步驟：

（1）輸入流表項綜合語義特征，并將特征以向量的形式發送給支持向量機。

（2）采用支持向量機和系統設定的概率閾值判斷當前流表項數據是否正常，如果正常，則將該行為標記為正常行為，然后進入下一步；否則，判斷行為是入侵行為。

（3）判斷上述行為是否完成入侵檢測，如果是，則結束流程，如果不是，則進入下一個處理步驟。

1.5 基于在線增量學習的入侵檢測模型自適應更新

為了避免多次線下重復訓練所帶來的開銷過大問題，提出一種采用在線少量數據訓練模型并結合集成學習實現入侵檢測模型持續更新的方法。上一步驟通過大量離線數據的學習得到初始入侵檢測模型，不適用于新的網絡環境的入侵檢測。除此之外，入侵檢測受到網絡部署環境的影響，因此，初始模型必須根據新的數據進行持續更新，才能保證入侵檢測的精度。因此，本文通過分階段對在線小樣本數據進行訓練，并對比在線訓練模型和離線訓練模型的檢測性能，采用在線集成學習的方法對初始的入侵檢測模型進行優化。流程如圖4 所示。

圖4 所示的在線增量學習自適應更新模型流程包括如下步驟：

圖4 在線增量學習自適應更新模型的工作流程圖

（1）分階段、分周期采用深度學習對少量在線數據進行綜合語義特征提取，結合支持向量機實現少量樣本的在線訓練，形成在線入侵檢測在線學習模型。

（2）結合模型性能反饋數據，對現有的N階段數據進行準確率統計，根據準確率的大小，采用加權平均的方法實現初始模型和N階段在線學習模型進行權重的更新。

（3）采用歸一化的方法更新每一個模型的權重，并判斷更新后的權重是否滿足閾值要求，如果不滿足，那就說明該模型的性能很差，準確率很低，需要丟棄；否則，模型保留。

（4）采用集成學習，結合不同的權重對各模型進行集成，實現入侵檢測模型的在線自適應更新。

2 實驗說明與結果分析

2.1 實驗環境說明

本文在windows 環境下采用Tenorflow 的深度學習框架，利用python 語言編寫入侵檢測算法，實現入侵檢測準確率（AC）、召回率（Recall）的結果計算。相關硬件設備型號如表3 所示。

表3 硬件設備型號表

2.2 實驗測試與結果說明

本文從三個方面對入侵檢測模型進行測試。第一，為了驗證本文設計的特征提取方法的有效性，測試不同卷積過程的特征維數對實驗結果的影響；第二，入侵檢測算法優化部分，采用不同階段在線訓練的模型，針對不同的階段的改進方案進行實驗對比；第三，為了驗證本文所提入侵檢測模型的性能，與其他文獻中所提到的模型進行實驗對比。

（1）輸入數據維數與入侵檢測模型準確率的關系

本文采集15 個周期的流表項數據，通過仿真的方式模擬隨機的攻擊行為，獲取攻擊流量數據集1 237 條，正常流量數據集3 491 條。為了實現兩類樣本集的平衡性，本文將攻擊流量數據進行復制，得到3 711 條攻擊流量數據。然后隨機抽取訓練數據集和測試數據集，兩者比例是4：6。

分別采用1 個卷積過程、2 個卷積過程、3 個卷積過程對經過標準化處理的數據集進行特征提取，每一個卷積過程都產生一定維數的特征，將上述的特征作為輸入特征，輸入到支持向量機中進行訓練，得到的入侵檢測模型準確率如圖5 所示。

從圖5 可知，當輸入數據維度大于23 維時，入侵檢測的正確率變化不大。因此本文在對流表項數據進行不同尺寸維度綜合特征提取時，盡量將選取特征控制在23 維左右，因為選取維度越多，在訓練入侵檢測模型時所花費的時間越多。因此，針對準確率變化不太明顯的卷積過程，可以適當去掉。

圖5 入侵檢測準確率

（2）入侵檢測算法優化

本文將不同階段在線訓練的模型進行集成，以得到優化后的入侵檢測算法。本實驗對比了初始模型和優化模型的準確率，從圖6 和圖7 可知，優化后模型收斂更快，訓練次數達到360 次時，優化后的模型準確率和召回率基本達到識別的要求。這是因為，初始模型不能很好應對動態多變的網絡環境，在線增量學習可在一定程度上提升收斂的速度，同時也有效提升數據的準確率和召回率。

圖6 初始模型和在線優化模型的準確率對比結果圖

圖7 初始模型和在線優化模型的召回率對比結果圖

（3）不同算法的性能結果對比

為了保證實驗的科學性，本實驗采用NSL-KDD 數據集下實驗結果進行對比，具體對比結果如表4 所示，其中AC1、Recall1、AC2、Recall2 分別表示在訓練集和測試集下的準確率、誤報率、召回率，在測試集中設定15種未知攻擊類型，因此測試集和訓練集準確率、誤報率、召回率的差異反映模型的泛化水平。測試時長是處理測試集所用時間，反映了算法的數據處理效率。對比文獻[17]中未經改進的CNN 算法，本文入侵檢測模型不僅降低了56% 的訓練時間，并具有更高的精度，這是因為本文采用線性優化的方法減少模型訓練的復雜度，從而降低了大量的訓練的時間。對比文獻[18]中的KNN-PSO 模型，本文模型在檢測未知攻擊時表現更好，具有更高的準確率和更好泛化能力，這是因為在線優化模型采用實時的數據進行模型的自適應更新，從而增加了未知攻擊行為的特征，提升了模型的泛化能力。

表4 不同入侵模型的性能對比表

3 結束語

本文針對SDN 存在的安全問題，提出了當前動態變化網絡環境下的入侵檢測模型，設計面向SDN 的入侵檢測和優化模型，采用卷積神經網絡提取綜合語義特征，結合支持向量機訓練一種通用的入侵檢測模型，解決SDN集中控制面臨的“單點失效”的問題；針對攻擊行為多樣化的特征，設計一種分階段的在線增量學習方法，結合多階段在線訓練模型進行算法集成，實現入侵檢測模型的在線自適應更新。仿真表明，本文的模型能夠較好地應對SDN 動態多變的攻擊行為，并具有較強的泛化能力；采用在線增量學習的方法使得訓練過程具有更快的收斂速度，更好的收斂穩定性，降低了過擬合的風險。總而言之，本文模型具有一定的實用性，能夠在一定程度提升入侵檢測模型的動態識別能力。