虚拟专题:知识图谱 | DDoS攻击恶意行为知识库构建
來源:電信科學(xué)
DDoS攻擊惡意行為知識(shí)庫構(gòu)建
劉飛揚(yáng),?李坤,?宋飛,?周華春
北京交通大學(xué)電子信息工程學(xué)院
?摘要:針對分布式拒絕服務(wù)(distributed denial of service,DDoS)網(wǎng)絡(luò)攻擊知識(shí)庫研究不足的問題,提出了DDoS攻擊惡意行為知識(shí)庫的構(gòu)建方法。該知識(shí)庫基于知識(shí)圖譜構(gòu)建,包含惡意流量檢測庫和網(wǎng)絡(luò)安全知識(shí)庫兩部分:惡意流量檢測庫對 DDoS 攻擊引發(fā)的惡意流量進(jìn)行檢測并分類;網(wǎng)絡(luò)安全知識(shí)庫從流量特征和攻擊框架對DDoS 攻擊惡意行為建模,并對惡意行為進(jìn)行推理、溯源和反饋。在此基礎(chǔ)上基于DDoS 開放威脅信號(DDoS open threat signaling,DOTS)協(xié)議搭建分布式知識(shí)庫,實(shí)現(xiàn)分布式節(jié)點(diǎn)間的數(shù)據(jù)傳輸、DDoS攻擊防御與惡意流量緩解功能。實(shí)驗(yàn)結(jié)果表明,DDoS攻擊惡意行為知識(shí)庫能在多個(gè)網(wǎng)關(guān)處有效檢測和緩解DDoS攻擊引發(fā)的惡意流量,并具備分布式知識(shí)庫間的知識(shí)更新和推理功能,表現(xiàn)出良好的可擴(kuò)展性。
關(guān)鍵詞:DDoS ; 分布式 ; 知識(shí)圖譜 ; 惡意行為知識(shí)庫
論文引用格式:
劉飛揚(yáng), 李坤, 宋飛, 等. DDoS攻擊惡意行為知識(shí)庫構(gòu)建[J]. 電信科學(xué), 2021, 37(11): 17-32.
LIU F Y, LI K, SONG F, et al. Construction of DDoS attacks malicious behavior knowledge base construction[J]. Telecommunications Science, 2021, 37(11): 17-32.
1 引言
分布式拒絕服務(wù)(distributed denial of service, DDoS)是目前針對網(wǎng)絡(luò)應(yīng)用程序最具破壞力的攻擊之一。5G支持的海量終端設(shè)備接入使其受到的安全威脅進(jìn)一步提升。為了應(yīng)對不斷發(fā)展的網(wǎng)絡(luò)攻擊,設(shè)計(jì)了一系列的網(wǎng)絡(luò)安全數(shù)據(jù)集,如KDDCup99、NSL-KDD、UNSW-NB15、CICDDoS2019等,這些數(shù)據(jù)集為了反映現(xiàn)實(shí)網(wǎng)絡(luò)的復(fù)雜性,都設(shè)計(jì)成包含正常數(shù)據(jù)和異常數(shù)據(jù)的綜合數(shù)據(jù)集,但仍存在不足之處:這些數(shù)據(jù)集都以流量數(shù)據(jù)的形式存儲(chǔ),淡化了網(wǎng)絡(luò)實(shí)體間的關(guān)系,難以描述網(wǎng)絡(luò)攻擊者的攻擊行為和特征。因此,如何將網(wǎng)絡(luò)現(xiàn)有的海量數(shù)據(jù)與知識(shí)進(jìn)行規(guī)范化和集成化,設(shè)計(jì)出一個(gè)針對 DDoS 網(wǎng)絡(luò)攻擊的知識(shí)庫成為了亟待解決的問題。
目前 DDoS 攻擊檢測方法主要有兩種:一種是基于機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的攻擊檢測方法,通過分析正常流量與攻擊流量在特征方面的差異來檢測攻擊;另一種是基于統(tǒng)計(jì)的檢測方法,對正常的網(wǎng)絡(luò)流量進(jìn)行建模,通過對比當(dāng)前網(wǎng)絡(luò)流量與正常流量模型之間的相似程度來檢測攻擊。現(xiàn)有的這些方法或基于已有的數(shù)據(jù)集檢測算法,或利用常規(guī)統(tǒng)計(jì)模型,難以適應(yīng)不斷變化的DDoS攻擊,并需要隨攻擊的變化調(diào)整模型和閾值等參數(shù),難以動(dòng)態(tài)適配網(wǎng)絡(luò)攻擊的變化。
網(wǎng)絡(luò)攻擊呈現(xiàn)復(fù)雜化和組合化的趨勢,傳統(tǒng)的流量信息難以適用于網(wǎng)絡(luò)攻擊的分析,因此需要結(jié)構(gòu)化的知識(shí)體系描繪網(wǎng)絡(luò)攻擊的特征和屬性,對網(wǎng)絡(luò)攻擊進(jìn)行實(shí)體關(guān)系建模。隨著網(wǎng)絡(luò)知識(shí)呈指數(shù)增長,越來越多的研究人員開始使用知識(shí)圖譜管理這些知識(shí)。知識(shí)圖譜將人類知識(shí)結(jié)構(gòu)化形成系統(tǒng),其中包含基本的知識(shí)、通用的規(guī)則以及其他結(jié)構(gòu)化的信息,具有信息檢索、推演決策等功能。從結(jié)構(gòu)上看,知識(shí)圖譜就是“實(shí)體-關(guān)系-實(shí)體”的三元組組成的一種帶標(biāo)記的有向?qū)傩詧D形。因其優(yōu)秀的檢索功能、高效的結(jié)構(gòu)化存儲(chǔ)功能、自適應(yīng)的更新功能等特點(diǎn)受到了研究人員的關(guān)注。但現(xiàn)有的網(wǎng)絡(luò)安全知識(shí)庫,例如攻擊類型枚舉和分類數(shù)據(jù)庫(common attack pattern enumeration and classification,CAPEC)、通用漏洞披露(common vulnerabilities andexposures, CVE)和常見缺陷列表(common weakness enumeration,CWE)等關(guān)于DDoS攻擊的記錄較少。此外,關(guān)于分布式知識(shí)庫的構(gòu)建研究則更少。因此上述知識(shí)庫面對海量知識(shí)表現(xiàn)出交叉的擴(kuò)展性,無法提供系統(tǒng)的DDoS攻擊知識(shí)。
為檢測并緩解 DDoS 攻擊,需要有不斷更新的知識(shí)來做支撐。因此,本文基于知識(shí)圖譜的概念構(gòu)建了 DDoS 攻擊惡意行為知識(shí)庫。該知識(shí)庫以知識(shí)圖譜的形式存儲(chǔ)了 DDoS 攻擊行為的各種特征以及第三方數(shù)據(jù)庫中的知識(shí),并構(gòu)建了一套知識(shí)庫更新、推理和反饋的系統(tǒng),用于在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下的多個(gè)網(wǎng)關(guān)處識(shí)別出攻擊者行為,提供緩解措施,降低 DDoS 攻擊引發(fā)的惡意流量強(qiáng)度。
本文的主要貢獻(xiàn)有以下3點(diǎn)。
(1)提出 DDoS 攻擊惡意行為知識(shí)庫模型,設(shè)計(jì) 5 種知識(shí)圖譜的數(shù)據(jù)結(jié)構(gòu)模型,導(dǎo)入結(jié)構(gòu)化數(shù)據(jù)構(gòu)建DDoS攻擊惡意行為知識(shí)庫。
(2)設(shè)計(jì)知識(shí)圖譜間交互接口,實(shí)現(xiàn)圖譜數(shù)據(jù)傳輸、更新、推理和反饋功能;結(jié)合圖數(shù)據(jù)庫構(gòu)建知識(shí)圖譜實(shí)現(xiàn)可視化表達(dá)與查詢功能。
(3)基于分布式拒絕服務(wù)開放威脅信號(DDoS open threat signaling,DOTS)協(xié)議構(gòu)建分布式知識(shí)庫,實(shí)現(xiàn)知識(shí)庫間通信,并探討了分布式知識(shí)庫在惡意流量檢測與防御方面的應(yīng)用場景。
2 研究現(xiàn)狀
近些年將機(jī)器學(xué)習(xí)運(yùn)用到 DDoS 攻擊檢測的研究取得了很多進(jìn)展,相比之下,利用知識(shí)圖譜技術(shù)構(gòu)建知識(shí)庫檢測 DDoS 攻擊以及面向DDoS 攻擊的分布式知識(shí)庫構(gòu)建的研究還處于初級階段。
在網(wǎng)絡(luò)安全知識(shí)圖譜構(gòu)建方向有很多研究。在網(wǎng)絡(luò)安全本體構(gòu)建方面,文獻(xiàn)闡述了一個(gè)分層次、由許多模塊化子本體組成的網(wǎng)絡(luò)安全本體論,從抽象到具體地分為了上層、中層和領(lǐng)域本體。文章提出了分層的本體框架,但并未具體定義領(lǐng)域本體中的概念。在知識(shí)推理方面,文獻(xiàn)論述了知識(shí)圖譜的 3 類推理方法:基于規(guī)則的推理、基于分布式表示的推理和基于神經(jīng)網(wǎng)絡(luò)的推理,同時(shí)還探討了知識(shí)圖譜推理的問答、查詢和關(guān)聯(lián)分析的應(yīng)用場景。在知識(shí)圖譜可視化方面,文獻(xiàn)闡述了知識(shí)圖譜可視表達(dá)的 4 種基本方法:空間填充、節(jié)點(diǎn)鏈接圖、熱圖和鄰接矩陣,并從數(shù)據(jù)檢索、圖構(gòu)建、度量計(jì)算、布局和渲染 5 個(gè)階段說明了大規(guī)模知識(shí)圖譜可視化的方法。在DDoS攻擊檢測方面,文獻(xiàn)將知識(shí)圖譜應(yīng)用在DDoS檢測中,從網(wǎng)絡(luò)流量中抽取信息構(gòu)成知識(shí)圖譜,利用知識(shí)圖譜描述兩個(gè)主機(jī)之間的交互關(guān)系,然后通過對關(guān)系的分析檢測出DDoS攻擊源。
上述文獻(xiàn)大多構(gòu)建了新的網(wǎng)絡(luò)安全本體和網(wǎng)絡(luò)安全框架,并按照從網(wǎng)絡(luò)安全知識(shí)圖譜子系統(tǒng)到可視化子系統(tǒng)的順序構(gòu)建,缺乏在特定領(lǐng)域的適用性,因此對 DDoS 攻擊這種需要對流量數(shù)據(jù)分析的模型沒有很好地適配,針對 DDoS 攻擊的知識(shí)圖譜和知識(shí)庫框架需要從流量數(shù)據(jù)開始分析建模。
此外,各種與網(wǎng)絡(luò)安全知識(shí)圖譜相關(guān)的平臺(tái)也逐漸受到網(wǎng)絡(luò)安全人員的關(guān)注。開放網(wǎng)絡(luò)威脅情報(bào)平臺(tái)(open cyber threat intelligence platform, OpenCTI)是一個(gè)開源平臺(tái),其基于結(jié)構(gòu)化威脅信息表達(dá)(structured threat information expression, STIX)標(biāo)準(zhǔn)和攻擊行為知識(shí)庫模型(adversarial tactics, techniques, and common knowledge, ATT&CK)框架開發(fā)了網(wǎng)絡(luò)威脅情報(bào)知識(shí)和可觀察量,目的在于構(gòu)造、存儲(chǔ)、組織與可視化有關(guān)網(wǎng)絡(luò)威脅情報(bào)的技術(shù)和非技術(shù)信息;開源威脅情報(bào)共享平臺(tái)(malware information sharing platform,MISP)是一種開源軟件,用于收集、存儲(chǔ)、分發(fā)和共享有關(guān)網(wǎng)絡(luò)安全事件分析和惡意軟件分析的網(wǎng)絡(luò)安全指標(biāo)和威脅。但其數(shù)據(jù)導(dǎo)入受限于STIX2.0標(biāo)準(zhǔn)格式,并且其本體面向較高層的網(wǎng)絡(luò)安全范疇,并未涉及底層的數(shù)據(jù)包數(shù)據(jù)等信息;而圖數(shù)據(jù)庫 Neo4j具有高性能的圖引擎,能夠快速構(gòu)建知識(shí)圖譜,支持多種格式的數(shù)據(jù)導(dǎo)入和導(dǎo)出,是目前知識(shí)庫圖譜可視化使用最廣泛的平臺(tái),因此將其作為本文的知識(shí)圖譜構(gòu)建工具。
目前的網(wǎng)絡(luò)安全知識(shí)圖譜和知識(shí)庫構(gòu)建工作大多集中在單點(diǎn)部署方案,無法適用大型網(wǎng)絡(luò)結(jié)構(gòu)。而分布式系統(tǒng)因其開放和靈活的體系結(jié)構(gòu)等特點(diǎn)成為了現(xiàn)在網(wǎng)絡(luò)的通用設(shè)計(jì)方案。分布式數(shù)據(jù)庫擁有強(qiáng)大的可擴(kuò)展性和透明性,能有效地提高數(shù)據(jù)傳輸?shù)男?#xff0c;同時(shí)緩解單個(gè)數(shù)據(jù)庫的負(fù)載。分布式數(shù)據(jù)庫主要性能優(yōu)化在于每個(gè)數(shù)據(jù)庫可以存儲(chǔ)相對較少的數(shù)據(jù),執(zhí)行一部分的任務(wù),相對于單個(gè)數(shù)據(jù)庫能夠減少數(shù)據(jù)查找和讀取時(shí)間,降低數(shù)據(jù)庫負(fù)荷;但分布式數(shù)據(jù)庫也存在數(shù)據(jù)庫之間通信不安全、數(shù)據(jù)傳輸效率低等問題,因此,選擇一種合適的安全傳輸協(xié)議是解決數(shù)據(jù)傳輸安全性的關(guān)鍵問題。
目前,DDoS檢測系統(tǒng)存在以下兩點(diǎn)不足。
(1)傳統(tǒng)檢測方法只針對一種或幾種 DDoS攻擊進(jìn)行檢測和分類,對細(xì)分類的 DDoS 攻擊的檢測和分類精確率不高;
(2)機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的方法難以感知真實(shí)的網(wǎng)絡(luò)結(jié)構(gòu)與攻擊完整路徑,對于層出不窮的新型DDoS攻擊的檢測適配性較差。
針對以上不足,本文提出分布式 DDoS 攻擊惡意行為知識(shí)庫,其構(gòu)建流程如圖1 所示。基于集成學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)等算法對細(xì)分類的 DDoS 攻擊進(jìn)行特征提取和檢測,生成存儲(chǔ)檢測 DDoS 攻擊結(jié)果的惡意流量檢測庫;分析 DDoS 攻擊的路徑和特征,構(gòu)建行為知識(shí)圖譜攻擊行為庫,并基于圖算法、聚類算法以及攻擊溯源推理等方法實(shí)現(xiàn)惡意行為感知和分類,構(gòu)建網(wǎng)絡(luò)安全知識(shí)庫;基于DOTS協(xié)議構(gòu)建分布式知識(shí)庫,實(shí)現(xiàn)分布式節(jié)點(diǎn)間的知識(shí)更新和交互功能,通過實(shí)驗(yàn)驗(yàn)證分布式知識(shí)庫的數(shù)據(jù)傳輸性能和對 DDoS 檢測的能效,并對知識(shí)庫應(yīng)用場景進(jìn)行了設(shè)想。
圖1???分布式DDoS攻擊惡意行為知識(shí)庫構(gòu)建流程
3 知識(shí)庫構(gòu)建
DDoS攻擊惡意行為知識(shí)庫結(jié)構(gòu)如圖2所示,由惡意流量檢測庫和網(wǎng)絡(luò)安全知識(shí)庫兩部分組成。惡意流量檢測庫用于收集和存儲(chǔ)來自檢測模塊的不同種類 DDoS 攻擊流量數(shù)據(jù),為網(wǎng)絡(luò)安全知識(shí)庫提供結(jié)構(gòu)化的數(shù)據(jù);網(wǎng)絡(luò)安全知識(shí)庫負(fù)責(zé)收集第三方異構(gòu)數(shù)據(jù)庫、構(gòu)建網(wǎng)絡(luò)攻擊行為庫、知識(shí)圖譜推理、知識(shí)庫反饋等工作。
圖2???DDoS攻擊惡意行為知識(shí)庫結(jié)構(gòu)
DDoS 攻擊惡意行為知識(shí)庫基于知識(shí)圖譜構(gòu)建,以三元組的形式構(gòu)建,如式(1)所示。
其中,表示知識(shí)圖譜中實(shí)體的集合,是知識(shí)圖譜存儲(chǔ)對象的具體表示,共包含i種不同的實(shí)體;表示知識(shí)圖譜中關(guān)系的集合,是知識(shí)圖譜關(guān)聯(lián)對象的具體表示,共包含 j 種不同的關(guān)系;表示知識(shí)圖譜中屬性的集合,是知識(shí)圖譜存儲(chǔ)數(shù)據(jù)的具體表示,每種實(shí)體e或關(guān)系p都可能擁有不同的n個(gè)屬性。
3.1 惡意流量檢測庫
惡意流量檢測庫收集并存儲(chǔ)原型系統(tǒng)中生成的實(shí)驗(yàn)數(shù)據(jù),包括正常流量、DDoS攻擊惡意流量、真實(shí)標(biāo)簽和預(yù)測標(biāo)簽,并對同一流量的數(shù)據(jù)和標(biāo)簽進(jìn)行整合,生成帶有兩種標(biāo)簽的流量數(shù)據(jù)。
惡意流量檢測庫以知識(shí)圖譜的形式存儲(chǔ)惡意流量數(shù)據(jù)并構(gòu)建檢測圖譜,其圖譜三元組構(gòu)成見表1。知識(shí)圖譜主要由實(shí)體、關(guān)系和屬性3部分組成,實(shí)體是最主要的元素,代表數(shù)據(jù)的集合體;屬性包含屬性名稱和屬性值,屬性名稱代表對象具有的特點(diǎn)和特征,屬性值為對應(yīng)屬性所指定的值;關(guān)系用于連接兩個(gè)實(shí)體,代表實(shí)體之間的關(guān)聯(lián)性。
首先,經(jīng)過檢測模塊的CICFlowMeter流量特征提取工具后生成84個(gè)流特征數(shù)據(jù),檢測圖譜創(chuàng)建流量節(jié)點(diǎn)實(shí)體和攻擊類型實(shí)體,將84種流特征作為流量節(jié)點(diǎn)實(shí)體的屬性來存儲(chǔ)數(shù)據(jù);然后,構(gòu)建真實(shí)標(biāo)簽和預(yù)測標(biāo)簽來連接流量節(jié)點(diǎn)實(shí)體和攻擊類型實(shí)體。其中,真實(shí)標(biāo)簽表示所連接的流量節(jié)點(diǎn)實(shí)體的真實(shí)攻擊類型;預(yù)測標(biāo)簽表示所連接的流量節(jié)點(diǎn)實(shí)體通過檢測模塊檢測后被標(biāo)記的攻擊類型。惡意流量檢測知識(shí)圖譜將數(shù)據(jù)存儲(chǔ)為實(shí)體的屬性并構(gòu)建流量數(shù)據(jù)與攻擊類型之間的關(guān)系,用于統(tǒng)計(jì)和計(jì)算檢測模塊的檢測精確率,并向檢測模塊反饋檢測精確率較低的攻擊類型信息。
3.2 網(wǎng)絡(luò)安全知識(shí)庫
網(wǎng)絡(luò)安全知識(shí)庫是 DDoS 攻擊惡意行為知識(shí)庫中最為核心的部分,包含了數(shù)據(jù)源處理模塊、惡意行為知識(shí)庫構(gòu)建模塊、行為推理模塊和行為反饋模塊,負(fù)責(zé)數(shù)據(jù)結(jié)構(gòu)化處理、惡意行為知識(shí)圖譜構(gòu)建、行為推理和反饋的工作。
數(shù)據(jù)處理模塊主要從與網(wǎng)絡(luò)安全相關(guān)的第三方數(shù)據(jù)庫獲取與 DDoS 攻擊相關(guān)的信息并整合為統(tǒng)一的結(jié)構(gòu)化數(shù)據(jù),作為網(wǎng)絡(luò)安全知識(shí)庫的數(shù)據(jù)補(bǔ)充和信息支持。
行為庫構(gòu)建模塊基于DDoS攻擊的攻擊路徑、攻擊時(shí)序、攻擊流特征和攻擊行為分別構(gòu)建了實(shí)體行為感知圖、惡意行為溯源圖、惡意行為特征圖和流量行為知識(shí)圖4張知識(shí)圖譜;并定義了圖譜之間的交互接口,實(shí)現(xiàn)數(shù)據(jù)的互通和輸入、輸出。
行為推理模塊利用圖推理算法和攻擊溯源推理算法對實(shí)體行為感知圖和惡意行為溯源圖進(jìn)行推理,為攻擊主機(jī)溯源和攻擊主機(jī)位置感知提供依據(jù);利用聚類算法對不同種類 DDoS 攻擊的特征進(jìn)行篩選。
行為反饋模塊將 4 張知識(shí)圖譜輸出信息進(jìn)行反饋,實(shí)體行為感知圖將網(wǎng)絡(luò)環(huán)境中的正常流量和攻擊流量一并反饋給檢測模塊進(jìn)行 DDoS 攻擊的檢測;惡意行為特征圖將篩選過后的不同種類DDoS 攻擊對應(yīng)的特征反饋給檢測模塊以提高檢測精確率;惡意行為溯源圖接受檢測模塊檢測的DDoS攻擊信息,對攻擊進(jìn)行溯源推理;流量行為知識(shí)圖則為整個(gè)知識(shí)庫提供相應(yīng)的 DDoS 攻擊緩解措施等信息。
3.3 惡意行為知識(shí)圖譜
如圖3所示,構(gòu)成惡意行為知識(shí)庫的4張知識(shí)圖譜有不同的功能,承擔(dān)不同的任務(wù)并能夠相互反饋、相互作用。
圖3???惡意行為知識(shí)庫構(gòu)建
(1)流量行為知識(shí)圖
該圖主要負(fù)責(zé)惡意行為知識(shí)庫中第三方知識(shí)的存儲(chǔ)和更新,包含了網(wǎng)絡(luò)安全領(lǐng)域的各類攻擊庫、漏洞庫與弱點(diǎn)庫。將這些庫中的攻擊、漏洞和弱點(diǎn)統(tǒng)一格式化并相互關(guān)聯(lián),從而形成流量行為感知圖。將不斷更新和豐富的第三方數(shù)據(jù)庫作為知識(shí)儲(chǔ)備,流量行為感知圖不僅能為惡意行為知識(shí)庫提供先驗(yàn)的攻擊和漏洞知識(shí),還能提供不同攻擊產(chǎn)生的后果影響以及針對不同攻擊的緩解措施,從而不斷更新和擴(kuò)展惡意行為知識(shí)庫的知識(shí),動(dòng)態(tài)適配DDoS攻擊的快速變化。
(2)惡意行為特征圖
該圖主要負(fù)責(zé)DDoS攻擊的細(xì)致化分類和特征匹配,并能協(xié)助實(shí)現(xiàn)攻擊類型識(shí)別和攻擊路徑檢測等功能。該圖包含了5類DDoS攻擊、總計(jì)21種DDoS攻擊類型以及基于CICFlowMeter和統(tǒng)計(jì)方法提取的與21種攻擊類型有較高相關(guān)性的69種流量特征。作為DDoS攻擊類型和特征的映射圖,它能夠直觀地展示不同流量特征的重要性和不同 DDoS攻擊類型的特征對應(yīng)情況,并能通過特征篩選或中心度算法提取不同DDoS攻擊類型中影響力更大的流量特征,將這些特征反饋給檢測模塊以調(diào)整DDoS攻擊檢測策略,協(xié)助檢測模塊提升檢測能力。
(3)實(shí)體行為感知圖
該圖用于感知整個(gè)網(wǎng)絡(luò)的拓?fù)洵h(huán)境。海量設(shè)備的接入導(dǎo)致了網(wǎng)絡(luò)拓?fù)涞膹?fù)雜化,也為網(wǎng)絡(luò)攻擊分析提供了更多的信息。該圖存儲(chǔ)了網(wǎng)絡(luò)拓?fù)渲羞B接到接入網(wǎng)關(guān)的各個(gè)主機(jī)的五元組信息。針對使用廣泛分布主機(jī)發(fā)起的 DDoS 攻擊,實(shí)體行為感知圖基于檢測模塊的反饋能夠快速定位攻擊主機(jī)的位置和該攻擊發(fā)起的方式、路徑等信息,從而指導(dǎo)惡意行為溯源等功能。
(4)惡意行為溯源圖
該圖主要負(fù)責(zé)攻擊的溯源工作。基于前 3 張圖譜中的反饋和檢測模塊的流量信息對攻擊進(jìn)行溯源,該圖譜能夠發(fā)掘攻擊的完整路徑以及攻擊所使用的惡意操作和漏洞等信息。該圖譜包含了攻擊發(fā)起到結(jié)束時(shí)間段中攻擊主機(jī)和被攻擊主機(jī)的五元組信息和使用的攻擊類型等信息,使用這些信息模擬一次攻擊的全過程,然后對輸入的流量進(jìn)行檢測,從而識(shí)別攻擊并溯源到攻擊發(fā)起的主機(jī)。通過檢測攻擊發(fā)起到結(jié)束的完整路徑,能夠指導(dǎo)攻擊防御軟件對攻擊路徑中的薄弱環(huán)節(jié)進(jìn)行針對性打擊并采取相應(yīng)的緩解措施降低后續(xù)的惡意流量強(qiáng)度。
上述 4 張知識(shí)圖譜都設(shè)計(jì)了專門的數(shù)據(jù)導(dǎo)入和導(dǎo)出接口實(shí)現(xiàn)圖譜間的數(shù)據(jù)交互。數(shù)據(jù)導(dǎo)入接口基于本知識(shí)圖譜特定的數(shù)據(jù)模型構(gòu)建導(dǎo)入規(guī)則,將導(dǎo)入數(shù)據(jù)處理為結(jié)構(gòu)化數(shù)據(jù),使得導(dǎo)入的數(shù)據(jù)能正確地匹配知識(shí)圖譜的數(shù)據(jù)模型;數(shù)據(jù)導(dǎo)出接口基于本知識(shí)圖譜功能以及其他知識(shí)圖譜所需信息構(gòu)建導(dǎo)出模型,與其他知識(shí)圖譜的數(shù)據(jù)導(dǎo)入接口對接,進(jìn)而實(shí)現(xiàn)知識(shí)圖譜數(shù)據(jù)交互。
惡意行為知識(shí)庫的主體為上述 4 張知識(shí)圖譜及其接口構(gòu)成的惡意行為知識(shí)圖譜。在數(shù)據(jù)層面上,4張圖譜包含了各自定義的數(shù)據(jù)結(jié)構(gòu)以及基于數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)的結(jié)構(gòu)化流量數(shù)據(jù);在知識(shí)層面上, 4張圖譜包含了DDoS攻擊在時(shí)間維度、空間維度和特征維度的多元信息。因此,基于上述知識(shí)圖譜構(gòu)建的 DDoS 攻擊惡意行為知識(shí)庫能夠?qū)DoS 攻擊進(jìn)行全面的描述,進(jìn)而防御和緩解DDoS攻擊產(chǎn)生的惡意流量。
3.3.1 流量行為知識(shí)圖
該圖譜基于惡意行為本體收集各類知識(shí)庫信息(ATT&CK、CAPEC、CNNVD、CWE等)作為惡意行為基礎(chǔ)知識(shí)的補(bǔ)充。其圖譜的三元組構(gòu)成見表2。
流量行為知識(shí)圖主要是第三方數(shù)據(jù)庫中的知識(shí)數(shù)據(jù),包含各類攻擊庫,如ATT&CK、CAPEC以及各類枚舉庫,如CWE、CVE、國家信息安全漏洞庫(china national vulnerability database of information security,CNNVD)等。這些知識(shí)庫的構(gòu)建依賴專家經(jīng)驗(yàn)、威脅情報(bào)的收集、驗(yàn)證,所抽象的概念和關(guān)系是通用的建模基礎(chǔ)。
流量行為知識(shí)圖的構(gòu)建能夠提供特定環(huán)境和場景(如 DDoS 攻擊)下惡意行為的關(guān)聯(lián)知識(shí),評估惡意行為的影響范圍和深度,對這些惡意行為做出預(yù)警,并給出相應(yīng)的緩解措施。這些第三方數(shù)據(jù)庫中也包含了很多相互關(guān)聯(lián)的信息,通過將第三方數(shù)據(jù)庫的知識(shí)數(shù)據(jù)抽取,導(dǎo)入數(shù)據(jù)庫中并構(gòu)建知識(shí)圖譜,并通過關(guān)系推理的方式對知識(shí)圖進(jìn)行擴(kuò)展,從而構(gòu)建成一個(gè)包含各種關(guān)聯(lián)的攻擊、漏洞的知識(shí)圖譜。
流量行為知識(shí)圖的數(shù)據(jù)導(dǎo)入接口從第三方數(shù)據(jù)庫獲取數(shù)據(jù)并修改數(shù)據(jù)結(jié)構(gòu)以滿足該圖譜的導(dǎo)入規(guī)則;數(shù)據(jù)導(dǎo)出接口根據(jù)查詢對象輸出對應(yīng)的攻擊、漏洞和弱點(diǎn)等信息。
3.3.2 惡意行為特征圖
該圖譜基于 DDoS 攻擊和惡意行為,通過流量特征提取工具 CICFlowMeter 轉(zhuǎn)換成的數(shù)據(jù)特征集,基于閾值或統(tǒng)計(jì)方法歸納影響各類攻擊的重要特征并存儲(chǔ),是攻擊類型識(shí)別與攻擊路徑檢測的重要依據(jù)。其圖譜的三元組構(gòu)成見表3。
惡意行為特征圖采用分級的方案將 DDoS 攻擊類型細(xì)分成五大類,總計(jì)21種DDoS攻擊類型,并通過統(tǒng)計(jì)方法確定 DDoS 攻擊與流量特征的對應(yīng)關(guān)系,從而建立惡意行為特征圖。一方面展示了每種攻擊與具體流量特征種類之間存在關(guān)聯(lián),另一方面體現(xiàn)了多種攻擊類型受一種流量特征的影響,簡化了流量特征的處理難度。此外,以ID 為索引,在流量特征實(shí)體中存儲(chǔ)了每條流量的具體特征值,以用于基于特征的攻擊檢測等方案。
惡意行為特征圖的主要作用是統(tǒng)計(jì) 21 種DDoS攻擊類型所對應(yīng)的流量特征,這些對應(yīng)關(guān)系來自于惡意流量檢測庫,是使用機(jī)器學(xué)習(xí)閾值和多分類方法的結(jié)果。將這些對應(yīng)關(guān)系作為先驗(yàn)知識(shí),運(yùn)用統(tǒng)計(jì)方法檢測未標(biāo)簽流量的攻擊類型。惡意行為特征圖是知識(shí)庫對 DDoS 攻擊惡意流量識(shí)別、歸類、響應(yīng)和溯源的前提,應(yīng)用已知的行為特征對輸入流量進(jìn)行檢測識(shí)別,并調(diào)用流量行為知識(shí)圖中的攻擊和漏洞等信息,對檢測出的DDoS攻擊類型給出相應(yīng)的緩解措施。檢測結(jié)果也能作為惡意行為溯源圖的推理依據(jù),用于攻擊路徑的提取等。
惡意行為特征圖與檢測模塊直接相連,其數(shù)據(jù)導(dǎo)入接口用于導(dǎo)入 DDoS 攻擊類型與流量特征的對應(yīng)關(guān)系;數(shù)據(jù)導(dǎo)出接口用于導(dǎo)出圖算法更新后的對應(yīng)關(guān)系。
3.3.3 惡意行為溯源圖
該圖譜以知識(shí)圖譜的形式記錄一次攻擊發(fā)起到結(jié)束的過程,包含了攻擊者主機(jī)、被攻擊者主機(jī)、攻擊方式以及時(shí)間戳等實(shí)體。其圖譜的三元組構(gòu)成見表4。
惡意行為溯源圖主要作用是對引起惡意流量的攻擊行為進(jìn)行追溯,追蹤攻擊數(shù)據(jù)的來源,定位攻擊者。惡意行為溯源圖中的IP地址、端口號、傳輸協(xié)議類型和時(shí)間段等信息作為溯源的樣本可以用來分析、挖掘攻擊源頭。惡意行為特征圖所提供的不同 DDoS 攻擊的流量特征和惡意流量檢測庫所提供的第三方知識(shí)數(shù)據(jù)也能作為惡意行為溯源圖的樣本,分析 DDoS 攻擊鏈利用的惡意操作和漏洞,從而更好地指導(dǎo)溯源圖進(jìn)行攻擊行為的溯源。
惡意行為溯源圖的數(shù)據(jù)導(dǎo)入接口基于其他圖譜提供的攻擊方和被攻擊方具體信息,構(gòu)建攻擊時(shí)序圖作為知識(shí)信息;數(shù)據(jù)導(dǎo)出接口根據(jù)需求選擇性導(dǎo)出攻擊方或被攻擊方的五元組信息。
3.3.4 實(shí)體行為感知圖
該圖譜基于實(shí)驗(yàn)系統(tǒng)的拓?fù)洵h(huán)境構(gòu)建,收集所有流經(jīng)部署了行為知識(shí)庫的接入路由器的流量信息,提取實(shí)時(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并存儲(chǔ)。其圖譜的三元組構(gòu)成見表5。
實(shí)體行為感知圖記錄與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)的信息,并對拓?fù)洵h(huán)境中的設(shè)備和用戶添加多種屬性和屬性值來對設(shè)備和用戶進(jìn)行管理,進(jìn)而控制設(shè)備和用戶的接入。在收集到足夠信息之后,實(shí)體行為感知圖能夠發(fā)掘攻擊者使用設(shè)備的信息,并將攻擊信息輸出,進(jìn)行DDoS攻擊檢測。
實(shí)體行為感知圖的數(shù)據(jù)導(dǎo)入接口導(dǎo)入的數(shù)據(jù)為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)中用戶和設(shè)備的屬性;數(shù)據(jù)導(dǎo)出接口根據(jù)特定需求導(dǎo)出攻擊者設(shè)備的屬性信息。
3.4 知識(shí)庫分布式構(gòu)建方法
分布式拒絕服務(wù)開放威脅信號(DOTS)是用來承載有關(guān)受到 DDoS 攻擊的網(wǎng)絡(luò)資源或網(wǎng)絡(luò)信息的協(xié)議。這些信息由多個(gè)DOTS客戶端發(fā)送到一個(gè)或者多個(gè)DOTS服務(wù)器,對被識(shí)別為惡意流量的網(wǎng)絡(luò)行為給出一個(gè)相應(yīng)的緩解措施,因此作為分布式知識(shí)庫間的安全傳輸協(xié)議。
DOTS 本體由服務(wù)器、客戶端和客戶端控制器 3 部分組成,服務(wù)器包含緩解措施數(shù)據(jù)庫和數(shù)據(jù)收發(fā)模塊,負(fù)責(zé)處理客戶端請求并提供相應(yīng)的緩解措施;客戶端包含數(shù)據(jù)收、發(fā)模塊,向服務(wù)器發(fā)送不同的請求;客戶端控制器主要負(fù)責(zé)請求內(nèi)容的編譯,如請求保護(hù)的地址段,請求目標(biāo)服務(wù)器的地址等內(nèi)容。DOTS 擁有信令和數(shù)據(jù)兩種傳輸數(shù)據(jù)的信道,信令信道用于請求保護(hù)信息的傳輸,為DOTS客戶端向服務(wù)器發(fā)送請求以及服務(wù)器相應(yīng)請求時(shí)使用的信道;數(shù)據(jù)信道傳遞知識(shí)庫數(shù)據(jù)和配置信息,是客戶端發(fā)送知識(shí)庫配置更新命令以及知識(shí)庫之間數(shù)據(jù)交互時(shí)使用的信道。
基于 DOTS 構(gòu)建的分布式知識(shí)庫架構(gòu)如圖4所示,DOTS 客戶端控制器為主要控制部分, DOTS客戶端為主要請求發(fā)送部分,DOTS服務(wù)器為反饋提供部分并連接知識(shí)庫。基于yang-data和json 文件格式構(gòu)建知識(shí)庫數(shù)據(jù)傳輸模型,作為DOTS 數(shù)據(jù)信道的標(biāo)準(zhǔn)數(shù)據(jù)傳輸格式,客戶端傳輸知識(shí)庫配置更新文件到服務(wù)器端,服務(wù)器解析配置更新文件并對知識(shí)庫進(jìn)行知識(shí)更新以及數(shù)據(jù)傳輸?shù)炔僮鳌?/p>
圖4???基于DOTS構(gòu)建的分布式知識(shí)庫架構(gòu)
4 實(shí)驗(yàn)結(jié)果
本節(jié)進(jìn)行了分布式 DDoS 攻擊惡意行為知識(shí)庫構(gòu)建的實(shí)驗(yàn),使用 Neo4j 圖形數(shù)據(jù)庫作為知識(shí)圖譜構(gòu)建工具和可視化工具,通過編寫Cypher語句將知識(shí)信息插入知識(shí)圖譜中;基于DOTS協(xié)議構(gòu)建分布式知識(shí)庫,進(jìn)行知識(shí)庫之間數(shù)據(jù)交互實(shí)驗(yàn);探討分布式知識(shí)庫在 DDoS 攻擊檢測方面的應(yīng)用場景。實(shí)驗(yàn)環(huán)境部署在ESXi配置的集群中,軟件環(huán)境為Ubuntu18.04。
4.1 知識(shí)圖譜構(gòu)建
知識(shí)圖譜構(gòu)建實(shí)驗(yàn)主要對惡意流量檢測知識(shí)圖譜和網(wǎng)絡(luò)安全知識(shí)庫中的 4 張知識(shí)圖譜進(jìn)行構(gòu)建,編寫基于Cypher語言的代碼構(gòu)建知識(shí)圖譜的數(shù)據(jù)模型,導(dǎo)入部分?jǐn)?shù)據(jù)構(gòu)建知識(shí)圖譜可視化節(jié)點(diǎn)和關(guān)系進(jìn)行展示。
基于 Neo4j 圖形數(shù)據(jù)庫構(gòu)建的知識(shí)圖譜將數(shù)據(jù)模型進(jìn)行可視化,以節(jié)點(diǎn)鏈接圖的形式展示數(shù)據(jù)的結(jié)構(gòu)和鏈接關(guān)系。Neo4j包含的搜索引擎能根據(jù)需求針對性地查詢相關(guān)數(shù)據(jù)并對選中的數(shù)據(jù)實(shí)體進(jìn)行擴(kuò)展,從而顯示出所有關(guān)聯(lián)數(shù)據(jù)。
基于Neo4j Cypher API和JAVA開發(fā)語言編寫知識(shí)圖譜數(shù)據(jù)導(dǎo)入接口和數(shù)據(jù)導(dǎo)出接口的腳本文件,實(shí)現(xiàn)知識(shí)圖譜間的關(guān)鍵數(shù)據(jù)交互與關(guān)聯(lián)查詢。實(shí)驗(yàn)結(jié)果表明知識(shí)圖譜能夠正常進(jìn)行數(shù)據(jù)導(dǎo)入和數(shù)據(jù)導(dǎo)出。
惡意流量檢測圖如圖5 所示,該圖譜包含以下3部分的內(nèi)容。
圖5???惡意流量檢測圖
(1)DDoS攻擊流量節(jié)點(diǎn)
圖5 中顯示為深灰色節(jié)點(diǎn),每一個(gè)深灰色節(jié)點(diǎn)表示從檢測模塊中收集到的一條流信息,節(jié)點(diǎn)的屬性包括CICFlowMeter輸出的84種流特征、多分類器輸出的預(yù)測該流量攻擊類型的標(biāo)簽Pre_label 和表示該流量真實(shí)攻擊類型的標(biāo)簽Real_label。
(2)攻擊類型節(jié)點(diǎn)和正常流量節(jié)點(diǎn)
圖5中顯示為淺灰色的攻擊類型節(jié)點(diǎn)和白色的正常流量節(jié)點(diǎn),這兩種節(jié)點(diǎn)包含了檢測模塊檢測出的19種細(xì)分類的DDoS攻擊類型和1種正常流量類型。這兩種節(jié)點(diǎn)用來給深灰色的攻擊流量節(jié)點(diǎn)分類。
(3)真實(shí)標(biāo)簽關(guān)系和預(yù)測標(biāo)簽關(guān)系
真實(shí)標(biāo)簽關(guān)系在圖5中表示為real線,預(yù)測標(biāo)簽關(guān)系在圖5中表示為predict線。這兩種關(guān)系均由深灰色的DDoS攻擊流節(jié)點(diǎn)指向淺灰色的攻擊類型節(jié)點(diǎn)或白色的正常流量節(jié)點(diǎn),用來指示存儲(chǔ)的DDoS 攻擊流節(jié)點(diǎn)的預(yù)測類型和真實(shí)類型。惡意流量檢測圖的可視化顯示能快速查詢不同DDoS攻擊類型在檢測精確率和誤判傾向上的信息。
流量行為知識(shí)圖如圖6 所示,淺灰色節(jié)點(diǎn)表示CAPEC攻擊類型,深灰色節(jié)點(diǎn)表示CWE弱點(diǎn)類型,并通過 Related_weakness 的關(guān)系鏈接在一起;每個(gè)實(shí)體都包含了名稱、ID、描述、造成危害、緩解措施 5 種屬性和屬性值。在保留原有相關(guān)關(guān)系的基礎(chǔ)上,基于攻擊節(jié)點(diǎn)描述中關(guān)聯(lián)的弱點(diǎn)名稱創(chuàng)建關(guān)系來連接攻擊節(jié)點(diǎn)和弱點(diǎn)節(jié)點(diǎn),構(gòu)建起攻擊和弱點(diǎn)關(guān)聯(lián)的知識(shí)圖譜。在查詢攻擊和弱點(diǎn)時(shí),都能關(guān)聯(lián)查詢到所有的連接關(guān)系。
圖6???流量行為知識(shí)圖
惡意行為特征圖存儲(chǔ)了檢測的21種DDoS攻擊以及69種流量特征,以及實(shí)體之間的關(guān)系,如圖7所示。圖7中白色節(jié)點(diǎn)表示DDoS攻擊,黑色節(jié)點(diǎn)表示DDoS攻擊的5類攻擊種類,淺灰色節(jié)點(diǎn)表示 5 類攻擊種類各自包含的攻擊方式總計(jì)21種,深灰色節(jié)點(diǎn)表示與攻擊方式對應(yīng)的重要流量特征。
圖7???惡意行為特征圖
惡意行為溯源圖如圖8所示,包含4種實(shí)體類型,分別為惡意節(jié)點(diǎn)、被攻擊節(jié)點(diǎn)、惡意攻擊類型以及時(shí)間段。惡意源節(jié)點(diǎn)包含其IP地址以及源端口號,它既指向惡意攻擊類型,又指向被攻擊節(jié)點(diǎn),其關(guān)系屬性中定義了傳輸協(xié)議的類型;被攻擊節(jié)點(diǎn)同樣包含其IP地址及其端口號。此外,所有主機(jī)節(jié)點(diǎn)均通過指向?qū)?yīng)時(shí)間段,以便梳理攻擊與時(shí)間的關(guān)系,展示攻擊隨時(shí)間的變化規(guī)律。
圖8???惡意行為溯源圖
圖8 中深灰色節(jié)點(diǎn)表示攻擊節(jié)點(diǎn),白色節(jié)點(diǎn)表示被攻擊節(jié)點(diǎn),黑色節(jié)點(diǎn)表示深灰色攻擊節(jié)點(diǎn)所使用的攻擊方式,兩個(gè)淺灰色節(jié)點(diǎn)分別表示攻擊開始時(shí)間和攻擊結(jié)束時(shí)間。整幅圖描繪了攻擊開始時(shí)間點(diǎn),所用攻擊節(jié)點(diǎn)調(diào)用ACK Flooding攻擊方式對被攻擊節(jié)點(diǎn)發(fā)起攻擊,最后結(jié)束攻擊的全過程。
4.2 數(shù)據(jù)收集與導(dǎo)入
知識(shí)庫有兩部分?jǐn)?shù)據(jù)來源,一部分是基于系統(tǒng)生成攻擊流量和正常流量,另一部分是第三方網(wǎng)絡(luò)安全數(shù)據(jù)庫導(dǎo)入的信息。
原型系統(tǒng)基于區(qū)塊鏈技術(shù)構(gòu)建了 5G 海量設(shè)備接入的場景并收集了這些模擬設(shè)備發(fā)送的攻擊流量數(shù)據(jù)和正常流量數(shù)據(jù),共計(jì)327萬條數(shù)據(jù)。其中攻擊流量數(shù)據(jù)由僵尸網(wǎng)絡(luò)、反射放大DDoS、慢速DDoS、應(yīng)用層DDoS和網(wǎng)絡(luò)層DDoS攻擊共同組成并存入知識(shí)庫中,惡意流量檢測庫不同類型流量及其比例見表6。
知識(shí)庫導(dǎo)入第三方網(wǎng)絡(luò)安全數(shù)據(jù)庫共計(jì)3個(gè):CNNVD漏洞庫、CAPEC攻擊庫、CWE弱點(diǎn)庫。對數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行結(jié)構(gòu)化并添加關(guān)聯(lián)關(guān)系后導(dǎo)入知識(shí)庫中,導(dǎo)入數(shù)據(jù)庫類型及其數(shù)據(jù)量見表7。
數(shù)據(jù)收集完成后,基于不同的數(shù)據(jù)需求與數(shù)據(jù)模型,通過數(shù)據(jù)導(dǎo)入接口導(dǎo)入結(jié)構(gòu)化數(shù)據(jù),構(gòu)成完整的 DDoS 攻擊惡意行為知識(shí)并實(shí)現(xiàn)可視化輸出。
4.3 分布式知識(shí)庫構(gòu)造
本節(jié)對基于DOTS協(xié)議構(gòu)造的分布式知識(shí)庫進(jìn)行性能測試。分布式知識(shí)庫的實(shí)驗(yàn)拓?fù)淙鐖D9所示。在1臺(tái)物理服務(wù)器上搭建8臺(tái)虛擬機(jī),并在每臺(tái)主機(jī)上安裝適配知識(shí)庫傳輸?shù)?DOTS 協(xié)議。其中,3 臺(tái)主機(jī)啟動(dòng) DOTS 服務(wù)器并搭載網(wǎng)絡(luò)安全知識(shí)庫作為服務(wù)器的后臺(tái)數(shù)據(jù)庫,3臺(tái)主機(jī)啟動(dòng)DOTS客戶端和客戶端控制器并搭載惡意流量檢測庫用于檢測 DDoS 攻擊,2 臺(tái)主機(jī)啟動(dòng)DOTS 的 GOBGP 路由器作為被攻擊地址段和正常地址段的網(wǎng)關(guān)路由器。
圖9???分布式知識(shí)庫實(shí)驗(yàn)拓?fù)?/p>
實(shí)驗(yàn)一首先驗(yàn)證 DDoS 攻擊惡意行為知識(shí)庫的惡意流量檢測性能。正常流量①和惡意流量②首先流經(jīng)DOTS客戶端主機(jī)所在域的接入網(wǎng)關(guān),客戶端主機(jī)調(diào)用惡意流量檢測庫對輸入流量進(jìn)行檢測,檢測為正常流量的數(shù)據(jù)正常轉(zhuǎn)發(fā),檢測為惡意流量的數(shù)據(jù)則解析其攻擊的目的地址段,客戶端主機(jī)通過DOTS信令信道向服務(wù)器發(fā)送保護(hù)請求③,并將惡意流量導(dǎo)向DOTS服務(wù)器。DOTS服務(wù)器接收并處理客戶端發(fā)送的請求,通過數(shù)據(jù)信道將惡意流量解析后的相關(guān)信息傳輸?shù)骄W(wǎng)絡(luò)安全知識(shí)庫中并根據(jù)惡意流量的攻擊類型向被攻擊地址段的DOTS路由器發(fā)送緩解措施④,以指導(dǎo)DOTS路由器進(jìn)行DDoS攻擊防御。
調(diào)用惡意流量檢測庫選用檢測率高的檢測模塊對原型系統(tǒng)在1 h內(nèi)生成的正常流量和3種DDoS攻擊流量進(jìn)行檢測并存儲(chǔ)結(jié)果,檢測結(jié)果見表8。
僵尸網(wǎng)絡(luò)攻擊與正常流量的相似程度較高,因此在檢測時(shí)誤判為正常流量的次數(shù)較多,其檢測精確率為 92%,其他流量類型的檢測精確率均在95%及以上。其中,檢測為惡意DDoS攻擊的流量目的地址被更改為黑洞路由以實(shí)現(xiàn)攻擊緩解。
實(shí)驗(yàn)二驗(yàn)證了分布式知識(shí)庫的知識(shí)數(shù)據(jù)更新效率。如圖10所示,在1 h內(nèi)對單個(gè)知識(shí)庫節(jié)點(diǎn)提交了 4 次數(shù)據(jù)更新請求,柱狀圖為每次更新后的知識(shí)庫數(shù)據(jù)總量,折線圖為 DOTS 客戶端發(fā)送知識(shí)更新請求命令到知識(shí)庫更新完成所消耗的時(shí)間。Neo4j數(shù)據(jù)庫會(huì)對導(dǎo)入的數(shù)據(jù)添加唯一性約束,更新耗時(shí)會(huì)隨著知識(shí)庫已有數(shù)據(jù)量的增加而增加,因此圖10中更新耗時(shí)隨著更新次數(shù)而增加。
圖10???分布式知識(shí)庫知識(shí)數(shù)據(jù)更新
圖11以實(shí)體行為感知圖為例展示了分布式知識(shí)庫更新前后知識(shí)圖譜可視化圖形的變化。更新前的知識(shí)圖譜僅包含實(shí)體行為感知圖的數(shù)據(jù)實(shí)體結(jié)構(gòu)和屬性,在一次更新之后,新導(dǎo)入的實(shí)體節(jié)點(diǎn)根據(jù)屬性匹配自動(dòng)與已有實(shí)體相互關(guān)聯(lián),形成包含更多實(shí)體和關(guān)系的新實(shí)體行為感知圖。
圖11???分布式知識(shí)庫數(shù)據(jù)更新可視化
實(shí)驗(yàn)結(jié)果表明,對于信令信道,DOTS 服務(wù)器能夠正確響應(yīng)DOTS客戶端的請求并對申請保護(hù)的地址段執(zhí)行惡意流量緩解措施;對于數(shù)據(jù)信道,DOTS服務(wù)器能接受DOTS客戶端自定義的數(shù)據(jù)模型,提取傳輸文件中的知識(shí)庫更新資源,并對分布式知識(shí)庫進(jìn)行知識(shí)更新操作。
實(shí)驗(yàn)三驗(yàn)證了知識(shí)庫檢測DDoS攻擊的能效。利用知識(shí)庫對DDoS攻擊流量進(jìn)行在線檢測,在一定時(shí)間內(nèi)收集網(wǎng)絡(luò)入口處的流量,然后輸入到知識(shí)庫進(jìn)行檢測。對僵尸網(wǎng)絡(luò)、反射放大DDoS、應(yīng)用層DDoS和慢速DDoS攻擊進(jìn)行在線檢測,分析檢測精確率、召回率和識(shí)別攻擊的響應(yīng)時(shí)間,其結(jié)果見表9。
實(shí)驗(yàn)結(jié)果表明除僵尸網(wǎng)絡(luò)外,知識(shí)庫對其他3種DDoS攻擊在線檢測的精確率和召回率參數(shù)均在90%以上,且對攻擊的響應(yīng)時(shí)間少于2 min。僵尸網(wǎng)絡(luò)攻擊與正常流量特征較為相似,導(dǎo)致知識(shí)庫對僵尸網(wǎng)絡(luò)攻擊存在較多的誤判,使得僵尸網(wǎng)絡(luò)攻擊在線檢測參數(shù)比其他 DDoS 攻擊略低。
4.4 知識(shí)庫應(yīng)用場景
分布式 DDoS 攻擊惡意行為知識(shí)庫除了具有惡意流量檢測與知識(shí)更新功能,還能夠在查詢展示、推理反饋等多種應(yīng)用場景中發(fā)揮作用。
在查詢展示和關(guān)聯(lián)分析的應(yīng)用場景中,知識(shí)庫能對查詢對象進(jìn)行可視化展示,并提供查詢對象的關(guān)聯(lián)實(shí)體和關(guān)系。以惡意流量檢測圖為例,能夠關(guān)聯(lián)到應(yīng)用層DDoS攻擊流量的84種特征屬性、屬性值及目前檢測模塊的精確率和誤判傾向等信息;以惡意行為特征圖為例,當(dāng)查詢到應(yīng)用層DDoS攻擊時(shí),能夠關(guān)聯(lián)到其3種攻擊方式及與這 3 種攻擊方式相關(guān)性較高的流量特征;以惡意行為溯源圖為例,能夠查詢并關(guān)聯(lián)到應(yīng)用層DDoS 攻擊時(shí)序圖等攻擊過程信息。隨著分布式DDoS攻擊惡意行為知識(shí)庫的不斷更新,在DDoS攻擊查詢展示和關(guān)聯(lián)分析的應(yīng)用場景中能基于最新的數(shù)據(jù)和模型給出查詢和分析的結(jié)果以及與之關(guān)聯(lián)的其他信息。
在推理反饋的應(yīng)用場景中,知識(shí)庫能基于先驗(yàn)知識(shí)推理出新的實(shí)體或關(guān)系信息。以惡意行為特征圖為例,基于圖算法或聚類算法推理出最具影響力的特征并反饋給檢測模塊,指導(dǎo)檢測模型修改以提升檢測能力。隨著知識(shí)庫不斷積累檢測模塊反饋的特征知識(shí),能夠進(jìn)一步優(yōu)化特征推理和反饋過程,以應(yīng)對5G網(wǎng)絡(luò)中不斷提升的DDoS攻擊威脅。
5 結(jié)束語
本文提出了一種分布式 DDoS 攻擊惡意行為知識(shí)庫構(gòu)建方案,首先,基于知識(shí)圖譜構(gòu)建了惡意流量檢測庫和網(wǎng)絡(luò)安全知識(shí)庫中的知識(shí)圖譜來全面描繪 DDoS 攻擊;然后,在原型系統(tǒng)中收集 DDoS 攻擊正常、異常流量及第三方網(wǎng)絡(luò)安全知識(shí)庫中攻擊、漏洞和弱點(diǎn)信息,基于預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)導(dǎo)入知識(shí)庫中,構(gòu)建 DDoS 攻擊惡意行為知識(shí)庫;最后,基于 DOTS 協(xié)議構(gòu)建了分布式知識(shí)庫,實(shí)現(xiàn)知識(shí)庫之間的數(shù)據(jù)傳輸。通過實(shí)驗(yàn),驗(yàn)證了 DDoS 攻擊惡意行為知識(shí)庫在數(shù)據(jù)傳輸、指導(dǎo)檢測 DDoS 攻擊、緩解惡意流量方面的性能,彌補(bǔ)了傳統(tǒng) DDoS 攻擊檢測方法與知識(shí)庫構(gòu)建的劣勢,同時(shí)探討了分布式 DDoS 攻擊惡意行為知識(shí)庫的各類應(yīng)用場景。下一步將在優(yōu)化知識(shí)庫數(shù)據(jù)傳輸性能、完善知識(shí)庫服務(wù)安全檢測機(jī)制和實(shí)現(xiàn)知識(shí)庫智能化網(wǎng)絡(luò)控制方面進(jìn)行研究。
作者簡介
劉飛揚(yáng)(1997?),男,北京交通大學(xué)電子信息工程學(xué)院碩士生,主要研究方向?yàn)榫W(wǎng)絡(luò)安全 。
李坤(1997?),男,北京交通大學(xué)電子信息工程學(xué)院博士生,主要研究方向?yàn)榫W(wǎng)絡(luò)安全、智能通信 。
宋飛(1983?),男,北京交通大學(xué)電子信息工程學(xué)院教授,主要研究方向?yàn)樾畔⒕W(wǎng)絡(luò)理論及關(guān)鍵技術(shù)、信息處理與人工智能 。
周華春(1965?),男,博士,北京交通大學(xué)電子信息工程學(xué)院教授,主要研究方向?yàn)橹悄芡ㄐ拧⒁苿?dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò) 。
聯(lián)系我們:
Tel:010-81055448
? ? ? ?010-81055490
? ? ? ?010-81055534
E-mail:bdr@bjxintong.com.cn?
http://www.infocomm-journal.com/bdr
http://www.j-bigdataresearch.com.cn/
轉(zhuǎn)載、合作:010-81055307
大數(shù)據(jù)期刊
《大數(shù)據(jù)(Big Data Research,BDR)》雙月刊是由中華人民共和國工業(yè)和信息化部主管,人民郵電出版社主辦,中國計(jì)算機(jī)學(xué)會(huì)大數(shù)據(jù)專家委員會(huì)學(xué)術(shù)指導(dǎo),北京信通傳媒有限責(zé)任公司出版的期刊,已成功入選中國科技核心期刊、中國計(jì)算機(jī)學(xué)會(huì)會(huì)刊、中國計(jì)算機(jī)學(xué)會(huì)推薦中文科技期刊,以及信息通信領(lǐng)域高質(zhì)量科技期刊分級目錄、計(jì)算領(lǐng)域高質(zhì)量科技期刊分級目錄,并多次被評為國家哲學(xué)社會(huì)科學(xué)文獻(xiàn)中心學(xué)術(shù)期刊數(shù)據(jù)庫“綜合性人文社會(huì)科學(xué)”學(xué)科最受歡迎期刊。
關(guān)注《大數(shù)據(jù)》期刊微信公眾號,獲取更多內(nèi)容
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的虚拟专题:知识图谱 | DDoS攻击恶意行为知识库构建的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Java中Boolean是什么?
- 下一篇: Java对象容器——顺序容器及常用方法