基于防空作战体系的DDoS攻击防御技术研究
- 来源:网络空间安全 smarty:if $article.tag?>
- 关键字:防空作战体系,机器学习,分布式拒绝服务 smarty:/if?>
- 发布时间:2020-07-26 08:58
摘 要:防空作战体系依托军事综合信息网、指挥专网、内部局域网等网络,连接各级作战值班室和作战阵地并实现空情共享。这类网络任务单一,防御能力较弱,易遭受敌军攻击,如分布式拒绝服务(DDoS)。基于此,文章中提出了一种新颖的入侵检测方法—KNS。这种方法基于集成学习的思想,首先分别采用K-最近邻(K-Nearest Neighbor,KNN)、朴素贝叶斯分类器(Naive Bayes Classifier,NBC)和支持向量机(Support Vector Machine,SVM)对流量进行检测,其次对检测结果进行投票策略(Voting)整合,最后获得KNS的最终检测结果。这种方法在DDoS数据集进行了测试,结果表明,KNS具有较好的异常检测检测准确性、检测率、误报率。
关键词:防空作战体系;机器学习;入侵检测;分布式拒绝服务
中图分类号: TP391.4 文献标识码:A
1 引言
随着现代战争空袭兵器的迅猛发展,陆军采取提升预警时间的方式来应对空袭兵器的快速袭击,为此陆军防空力量逐渐向日常防空作战体系发展[1,3]。防空作战体系由野战防空转化发展而来,在空军的侦察预警网络和陆军的旅、营值班室以及雷达阵地之间建设军事综合信息网、指挥专网、内部局域网等,实现空情共享[4],网络结构如图1所示。
其网络构建复杂,任务单一,防御能力较弱,敌军可能在网络内安插部件作为“肉鸡”,发送过载的命令信息导致网络奔溃,或者通过干扰器、假基站发送入侵数据包,进行DDoS攻击[2,5]。
本文提出了一种针对防空作战体系中军事综合信息网、指挥专网、内部局域网的DDoS攻击的防御检测方法—KNS。该方法基于集成学习的思想,对KNN、NBC和SVM进行集成,实现对入侵的恶意流量进行异常检测。
(1)首次將集成学习异常检测算法应用在防空作战体系中,并对DDoS攻击进行检测,据了解该项研究并无前任工作。
(2)设计了一种新颖的集成学习检测方法KNS。该方法对KNN、NB、SVM等三种基分类器进行集成,并通过Voting对结果进行整合,得到了异常检测强分类器。
(3)提出的方案将ML技术作为一种整体方法来检测恶意和非恶意流量。结果显示,所提出的KNS在应对DDoS攻击检测时,能够表现出较好的检测效果。
2 相关工作
赵桦筝等人[6]针对DDoS攻击,提出了一种报文特征提取方法,通过重构特征提高异常检测的精度。A.Saboor等人[7]提出了基于相关算法和IAFV(IP地址特征值)算法的DDoS攻击检测。他们使用带有滑动窗口的不同时间序列来提高检测率。李森等人[8]针对边防部队计算机网络DDoS攻击防范进行了研究,针对DDoS攻击进行了分析,提出了4种防范措施。Yavuzet等人[9]研究了遗传算法(GA)和近邻K(KNN),并将它们组合为检测攻击的模型。与传统的KNN分类器相比,实验混合系统提供了更为准确的结果。Saurav Nanda等人[10]使用贝叶斯网络,达到了91.68%的准确度,这表明在278,598次攻击中,他们的模型能够准确预测254,834次攻击。GisungKim等人[11]提出了一种混合学习模型来检测DDoS攻击并保护OpenFlow交换机。他们使用C4.5决策树创建了误用检测模型,然后(One Class SVM)创建了异常检测模型,以很好地应对未知攻击。赵振中等人[12]介绍了一种新颖的DDoS攻击,并且提出了一种基于数字信号处理的检测方法。Lohit Barki等人[13]使用了不同的机器学习技术,例如朴素贝叶斯(Naive Bayes)、K近邻、K-Means、K-medoids来检测DDoS攻击。他们发现,与其他公认的算法相比,朴素贝叶斯模型效果最好。
3 基分类器
3.1 KNN
KNN是一种机器学习分类方法,是数据挖掘技术的基础方法之一,其核心思想是数据样本的类别,均可以通过其周围的K个样本进行表示,其邻居的计算方式如公式(1)所示。
3.2 NBC
朴素贝叶斯分类算法是基于贝叶斯定理进行分类的算法,其原理是通过事件的先验概率,利用贝叶斯公式计算出后验概率,再通过判断后验概率,选择最大概率类作为该事件的所属类,在此,找到给定事件B的事件A的概率;A和B是事件,且P(B)≠0,计算公式如公式(2)所示。
3.3 SVM
SVM是用于解决分类问题的监督学习技术。假设支持向量是{(v1,y1),(v2,y2),…(vm,ym)},并且它们的权重是{w1,w2,w3…wm},然后使用公式(3)计算从x到每个支持向量的权重w,表示为公式(3)所示。
针对DDoS攻击,提出了基于集成学习的组合模型,并通过Voting策略对基分类器的结果进行整合,如图2所示提出了模型的体系结构。
KNN、NBC、SVM是机器学习中的监督学习算法,本文分别实现了KNN、NB和SVM异常检测结果,并和KNF检测结果进行了对比,具有更高的准确性,检测率和误报率。
5 实验结果和分析
Mininet是一种仿真工具,可帮助创建虚拟主机、控制器、交换机、主机。基于Mininet模拟环境,本文选择了Pox控制器,用于创建无线网络设置,其中一台服务器一次与另一台服务器随机通信。
MiniEdit创建的网络设置如图3所示。
创建网络设置后,包含数TCP、UDP、ICMP数据包记录的数据集被馈送到网络。然后,提取定性和定量特征,以确定每个分类器的性能。借助流量分类器模块,根据源和目的地的时间差来分离流量。在此,时间的阈值被设定为0.004秒。如果时间差小于0.004秒,则将数据包从源传输到合法用户。否则,将其视为攻击。实验一共采集数据集41260条(正常31223条,异常10037条),其中测试集12378条(正常9367条,异常流量3011条)。
本文通过四个性能指标来评估检测系统。
1)TN–正确分类的正常流量的百分比。
2)TP–正确分类的攻击流的百分比。
3)FP-错误分类为合法流(例如攻击)的百分比。
4)FN -被错误分类为合法的攻击流的百分比。
准确率:表示在数据集中正确识别异常流量的百分比,其计算定义如公式(4)所示。
提出的集成算法分别在实验数据集上进行了测试,并与KNN、NB、SVM进行了对比,结果如1表所示。
如表2所示,提出的方法能够获得准确率93.29%,检测率80.01%,误报率7.71%的检测结果,优于其他的异常检测方法。
6 结束语
本文提出了一种基于集成学习的KNS异常检测方法对防空作战体系环境下的DDoS攻击进行了检测,并基于准确性。检测率和误报率指标分析了所提出的方法。在提出的集成机器学习模型中,与简单的机器学习模型相比,KNS的准确性更高,检测率更高,误报率更低,将来计划进一步提升准确率。
参考文献
[1] 王道重,滕克难,孙媛,孙吉良.地空导弹网络化协同防空作战系统研究[J].指挥控制与仿真,2019,41(03):5-9.
[2] 魏玉人,徐育军.DDoS攻击及防御技术综述[J].软件导刊, 2017,16(03):173-175.
[3] 罗良彬,商长安,杨辉.区域防空作战体系网絡拓扑结构分析与建模[J].现代防御技术,2016,44(01):10-15.
[4] 刘子敏,唐兴诚.现代防空作战的变化导向[J].国防科技, 2005(03):67-70.
[5] 蒋南允,程光.智能电网入侵检测综述[J].网络空间安全, 2018, 9(1):89-94.
[6] 赵桦筝,黄元浦,孙岭新,杜昊,郭凯文.面向DDoS入侵检测的报文特征提取方法[J].网络空间安全,2020, 11(3):24-29.
[7] Saboor A, Aslam B. Analyses of flow based techniques to detect Distributed Denial of Service attacks[C]// International Bhurban Conference on Applied Sciences & Technology. IEEE, 2015.
[8] 李森.边防部队计算机网络DDoS攻击防范研究[J].中国信息化,2013,(18):66-67.
[9] Canbay Y, Sagiroglu S. A Hybrid Method for Intrusion Detection[C]// IEEE International Conference on Machine Learning & Applications. IEEE, 2015.
[10] Nanda S, Zafari F, Decusatis C, et al. Predicting Network Attack Patterns in SDN using Machine Learning Approach[C]// IEEE Conference on Network Function Virtualization and Software Defined Networks (IEEE NFV-SDN) 2016. IEEE, 2016.
[11] Kim G, Lee S, Kim S. A novel hybrid intrusion detection method integrating anomaly detection with misuse detection[J]. Expert Systems with Applications, 2014, 41(4):1690–1700.
[12] 赵振中,廖骏.基于DSP的Shrew DDoS攻击检测[J].网络空间安全,2019,10(6): 1-8.
[13] Barki L, Shidling A, Meti N, et al. Detection of distributed denial of service attacks in software defined networks[C]// 2016 International Conference on Advances in Computing, Communications and Informatics (ICACCI). IEEE, 2016.
刘顺余 唐强 沙智伦