基于相似度計算的網(wǎng)絡攻擊分類方法

賈志淳，辛民棟，李彥諺，韓秋陽，鄭 行，邢 星

（渤海大學信息科學與技術學院，遼寧錦州121013）

0 引言

隨著基于網(wǎng)絡的計算機服務和應用程序在網(wǎng)絡系統(tǒng)上運行的大量增長，對網(wǎng)絡系統(tǒng)安全的威脅來自許多方面，這些威脅伴隨著時間的推移也在不斷的更新和進化.從宏觀角度來看，這些威脅可以分為人為威脅和自然威脅.自然威脅來自各種自然災害、不利的場地環(huán)境、電磁干擾、網(wǎng)絡設備的自然老化等.這些威脅是漫無目的的，但會對網(wǎng)絡通信系統(tǒng)造成破壞，危害通信安全.然而，人為威脅則是通過尋找系統(tǒng)的弱點，對網(wǎng)絡信息系統(tǒng)進行有目的性的攻擊.例如，以未經(jīng)授權的方式破壞、欺騙和竊取數(shù)據(jù)信息.與自然威脅相比，精心設計的人工攻擊威脅是很難防止網(wǎng)絡信息或數(shù)據(jù)的被破壞.如何正確地對網(wǎng)絡攻擊進行適當?shù)姆诸愐殉蔀橐粋€關鍵問題.

目前，研究人員［1］和服務提供商［2］越來越重視對攻擊［3］的檢測.文獻［4-25］提出了一些攻擊檢測的方法，這些方法以異常監(jiān)督的方式得到了廣泛的應用.文獻［26，27］使用支持向量機（SVM）的方式（使用KDD數(shù)據(jù)集［28］）檢測異常.文獻［29，30］建立了基于人工神經(jīng)網(wǎng)絡的IDS模型，并使用相同的數(shù)據(jù)集檢測異常.即使這些異常分布不均勻，它們也可以應用級聯(lián)分類器來檢測和分類KDD數(shù)據(jù)集的異常.與此同時，一些學者對攻擊的分類也很感興趣.但是這些工作［31，32］只關注使用機器學習模型進行異常分類的總體精度和準確性.

此外，一些常用的數(shù)據(jù)集用于檢測和分類攻擊，如KDD、CAIDA［33］、UNSW［34，35］、ISOT［36］、CDX［37］和IS?CX［38］.ISOT和CAIDA只考慮一種單一類型的攻擊——僵尸網(wǎng)絡和DDoS攻擊.ISCX和CDX并不像［39］中聲稱的那樣，它并非實際的流量.KDD數(shù)據(jù)集已經(jīng)被廣泛地應用于建立異常檢測與分類模型.KDD數(shù)據(jù)集包括四種類型的攻擊，它們具有完全不同的流量行為.本文提出了一種基于數(shù)據(jù)的屬性，計算相似度并且二次過濾對網(wǎng)絡攻擊進行分類的技術，先將數(shù)據(jù)集分成5個集群，分別是受到四種攻擊（U2R，R2L，Dos，Backdoor）的集群和未受攻擊的集群，并且提取每個集群的相關屬性值，根據(jù)集群的屬性（連接時長）先進行判斷，進行排序，過濾數(shù)據(jù)后，再通過另一屬性（連接次數(shù)）計算相似度，對數(shù)據(jù)進行二次過濾，得到最終結果，判定數(shù)據(jù)是否受到攻擊或者受到哪種攻擊.實驗結果表明，該方法比文獻［40］方法快速、準確.

1 攻擊類型信息

如今，隨著網(wǎng)絡功能變得越來越復雜，網(wǎng)絡攻擊的類型也變得多樣化.在本節(jié)中，首先重新定義和分類攻擊的類型.然后，對這些網(wǎng)絡攻擊的特征和形式進行分析.最后，解釋了使用U2R，R2L，Dos和Back?door這四種攻擊進行分類的原因.

拒絕服務攻擊（Dos）是目前最常見的一種攻擊類型.這種攻擊的終極目標是使服務器拒絕接受用戶的訪問請求，破壞系統(tǒng)內(nèi)部的正常運行，以達到阻斷用戶網(wǎng)絡連接的結果.由于攻擊者不斷地給服務器發(fā)送請求，服務器接收和處理數(shù)據(jù)包的能力達到上限，這個時候服務器將喪失處理數(shù)據(jù)的能力，導致服務器系統(tǒng)的相關服務崩潰，系統(tǒng)資源耗盡.最平常的DOS攻擊是攻擊者給服務器發(fā)送大量的合理請求，占用服務器的大量內(nèi)部空間和消耗系統(tǒng)大量資源，導致合法用戶發(fā)送的請求難以進入服務器，以及服務器無法給予用戶合理響應，最終，合法用戶將無法獲得服務.DOS攻擊的過程基本如下：攻擊者將給服務器發(fā)送大量的請求，而這些請求的地址都是假的，將不會給予服務器的合理相應，也就導致服務器接收到這些請求的時候，服務器對這些地址發(fā)送應答，但不會得到這些地址的響應，服務器長時間將處于等待的狀態(tài)，在服務器長時間得不到響應的時候，將由于連接超時而斷開服務，攻擊者將持續(xù)這種行為，大量占用服務器空間，導致服務器系統(tǒng)內(nèi)部占用的資源無法釋放，最終服務器系統(tǒng)的相關服務崩潰，服務器也就無法分配資源接收合法用戶的請求.這類攻擊在現(xiàn)實生活中是非常常見的，因為它不需要像其他攻擊一樣，它不需要獲得網(wǎng)絡訪問權限，也不需要更改合法用戶的網(wǎng)絡信息，它只是大量的占用服務器的內(nèi)部空間，消耗系統(tǒng)或者應用程序的相關服務的資源，導致合法用戶的服務請求無法得到響應.

分布式拒絕服務（DDoS），是一種基于DoS的特殊形式的分布、協(xié)作式的大規(guī)模拒絕服務攻擊.也就是說不再是單一的服務攻擊多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊.而分布式，就是在傳統(tǒng)的攻擊模式進行無規(guī)律的攻擊.由此可見，它的攻擊力度更大，危害性當然也更大了.它主要瞄準比較大的網(wǎng)站，比如商業(yè)公司，搜索引擎和政府部門的Web站點.

蠻力攻擊，如：Backdoor.在經(jīng)典術語里，后門被叫做用來維持持久交互的工具，而后門攻擊這類攻擊類型，通常都是攻擊者獲得網(wǎng)絡訪問權限，入侵應用程序的系統(tǒng)使用戶與它的服務器連接.蠻力攻擊的基本過程如下：攻擊者將入侵應用程序系統(tǒng)，獲取對系統(tǒng)資源的訪問權限，這樣它將擁有著對正常用戶開放的系統(tǒng)，攻擊者將在應用程序的原有基礎上創(chuàng)造一個后門，使正常用戶將不需要更改任何有關于賬號和密碼的信息，直接按照原來的程序訪問攻擊者創(chuàng)造的后門服務器，來對用戶信息進行操控，獲取利益.

IP地址欺騙攻擊，如SQL注入攻擊.攻擊者將對所受信任的主機進行模擬，而這種主機的IP地址是需要能夠在特定資源的訪問位置受到外部信任的的IP地址，攻擊者將口令或者數(shù)據(jù)輸入到客戶機或者應用程序系統(tǒng)中，將用戶的連接與自己模擬的數(shù)據(jù)流相連，實現(xiàn)雙向通信，攻擊者將更改自己所欺騙的IP地址的所有路由表，這種攻擊將可以實現(xiàn)欺騙防火墻，進行遠程攻擊，這種攻擊的破壞強度大，用戶如果受到攻擊將很難退出應用程序，用戶的網(wǎng)絡信息也將被盜取，也是幾類攻擊中手段最惡劣，破解難度比較大的攻擊類型之一.

端口掃描攻擊，端口掃描攻擊利用套接字編程和目標主機的一些端口來建立TCP連接、傳輸協(xié)議驗證等.目的是檢測目標主機掃描端口的活動狀態(tài)、主機提供的服務、服務的缺陷等.它們常用的掃描方法是連接掃描和碎片掃描.

在本文中，我們使用KDD數(shù)據(jù)集對攻擊進行分類.在KDD數(shù)據(jù)集中，有四種類型的攻擊：U2R、R2L、Dos和Backdoor.這些類型的攻擊是完全不同的網(wǎng)絡流量和行為.因此，我們使用U2R、R2L、Dos和Backdoor對攻擊進行分類.

2 框架

本文提出了一種基于計算訓練數(shù)據(jù)和對象數(shù)據(jù)之間的相似性來對網(wǎng)絡攻擊進行分類的方法.將數(shù)據(jù)屬性與網(wǎng)絡中四種類型的攻擊的屬性進行比較.根據(jù)獲得的匹配結果，該方法可以對這些攻擊進行分類.根據(jù)匹配結果，該方法可以對這些攻擊進行分類.

首先，我們對數(shù)據(jù)集進行分類，并將數(shù)據(jù)集中的數(shù)據(jù)劃分為5個集群，模型如圖1所示.我們需要提取每個集群中的每個對象的連接時長和連接次數(shù)，以及這些數(shù)值的平均值.

這個分類模型主要目的是將被測試的數(shù)據(jù)集中的對象進行分類，為后續(xù)的分類計算做準備.

我們將傳入的數(shù)據(jù)集進行特征提取（即提取數(shù)據(jù)集中每個對象的連接時長），將所提取的數(shù)據(jù)帶入我們設定的公式（1）-（5）中，進行第一級相似度的計算，輸出第一級相似度值（包括U2R，R2L，Dos，Backdoor和Normal）（圖2）.

對第一級分類模型中獲得的數(shù)據(jù)進行過濾，即對第一級所得的相似度值進行降序排列，選出排名前三的值，進入到第二級相似度計算，同樣將進行特征提?。刺崛?shù)據(jù)集中每個對象的連接次數(shù)），將所提取的數(shù)據(jù)帶入設定的公式（6）中，進行第二級相似度計算，根據(jù)相似度值，可以最終確定數(shù)據(jù)受到哪種攻擊或屬于正常數(shù)據(jù)（圖3）.

3 方法

3.1 第一級相似度分類

集群C包括5種小集群，C=()CDos,CBackdoor,CU2R,CR2L,CNormalData，集群C包括N個對象，其中N=N1+N2 +...+Ni，CDos,CBackdoor,CU2R,CR2L,CNormalData這5個小集群分別包括{N1,N2,...,Ni}個對象，每個小集群中每個對象連接時長為Ti，i=1,2,3,4,5.每個小集群中對象的平均連接時長為其中y，y是新傳入的數(shù)據(jù)集Y中的任意一個對象，y=0,1,...,i，j是集群C中的任意一個對象，Cj≤j≤N，而T（Dos，j）便是CDos中的第j個對象的連接時間，M表示數(shù)據(jù)集的屬性，M A，A表示5類集群的屬性，A=(1,2,3,4,5).

公式中的符號意義如下：M表示數(shù)據(jù)集的屬性，C表示的是數(shù)據(jù)集中的總集群，C=表示的是集群C中的5個集群，A表示5類集群的屬性，Y表示為新傳入的數(shù)據(jù)集表示每個小集群中對象的平均連接時長，Sim（Y，C5clusters）是數(shù)據(jù)集和5個集群之間基于連接時間的相似度，T表示的是每個集群中對象的連接時長，y表示的是數(shù)據(jù)集Y中的任意對象，j表示的是集群C中的任意對象，T（x，j）表示CDos中的第j個對象的連接時間，如T（Dos，j），T（U2R，j）等.第一級相似度分類公式如下：

根據(jù)Sim的數(shù)值，我們可以判斷它是否受到5種主要類型的攻擊.我們?yōu)榱吮ＷC數(shù)據(jù)的精確性，我們的第二級模型對數(shù)據(jù)進行了二次過濾.

3.2 第二級相似度分類

根據(jù)一級相似度分類模型得到的數(shù)據(jù)，我們對數(shù)據(jù)進行降序排序，然后選擇前三個，并使用三個數(shù)據(jù)的連接次數(shù)進行第二級相似度計算，并且計算結果的最大值是通過確定數(shù)據(jù)集所屬的集群，對攻擊進行分類.C3clusters是在第一級相似度降序排名前三名的3個集群，其中每個集群包括Ni個對象，其中i=1,2,3,4,5…，i是每個集群中的對象的連接次數(shù)表示為Si，i=1，2，3，…，每個集群中對象的平均連接次數(shù)為=1，2，3，Yi是集群中任意的對象，i=1，2，3，…，yj是集群C3clusters中任意的對象，是子集群中的任意對象的連接次數(shù)，M表示數(shù)據(jù)集的屬性，M≤A，A表示5類集群的屬性.

公式中的符號意義如下：M是數(shù)據(jù)集的屬性，A表示5類集群的屬性，C3clusters是在第一級相似度所得的值進行降序排名所得的前三名的集群，Ni是每個集群中的對象，C是數(shù)據(jù)集中的集群，Y是新傳入的數(shù)據(jù)集，S是集群中對象的連接次數(shù)，yj是集群Y中的對象，表示每個集群中對象的平均連接次數(shù)，是小集群中的任意對象的連接次數(shù)是數(shù)據(jù)集和3個集群之間基于連接次數(shù)的相似度.

第二級相似度分類公式如下：

將以上所得的值進行比較，根據(jù)結果的最大值，我們可以確定數(shù)據(jù)是否受到攻擊和受到哪個類型的攻擊，并根據(jù)其屬性對數(shù)據(jù)進行分類.

4 實驗

為了評估我們的方法，建立了一個模擬環(huán)境實驗.在實驗中，隨機選擇數(shù)據(jù)集中的集群，標記集群中的點，將對象標記為攻擊對象或不攻擊對象，并確定群集是否受到攻擊以及攻擊類型.使用數(shù)據(jù)集和第一級模型和第二級模型的計算，獲得表3中的數(shù)據(jù)并獲得這四種攻擊的相似系數(shù).將來，可以根據(jù)此數(shù)據(jù)對屬于U2R、R2L、Dos和Backdoor的攻擊還是屬于Normal Data進行分類，更重要的是判斷該模型的準確性.

我們分別標記正常點和攻擊點并進行測試，方法如下：在實驗結果的基礎上，我們根據(jù)三個參數(shù)進行分析：計算分類模型的計算真正類率（TPR）和誤報率（FAR）和召回率（RR），這對于分類模型的性能測量非常重要.真正類率（TPR）是正常數(shù)據(jù)被模型正確分類為正確數(shù)據(jù)的百分比（方程式7）.FAR是正常數(shù)據(jù)被模型錯誤分類為異常數(shù)據(jù)的百分比（方程式8）.RR與FAR相反，是正常數(shù)據(jù)被模型錯誤分類為異常數(shù)據(jù)的百分比（方程式9）.TTE為總誤差，由（方程式10）給出.這里，TP是正常數(shù)據(jù)被檢測為正常數(shù)據(jù)的數(shù)量，F(xiàn)P是異常數(shù)據(jù)被檢測為正常數(shù)據(jù)的數(shù)量，TN是異常數(shù)據(jù)被檢測為異常數(shù)據(jù)的數(shù)量；FN是正常數(shù)據(jù)被檢測為異常數(shù)據(jù)的數(shù)量.

單一類型的攻擊模型訓練僅僅具有正常流量的攻擊數(shù)據(jù).例如，Dos攻擊模型將考慮Dos攻擊和正常流量.表1給出了不考慮其他攻擊的分類模型的結果.我們可以從表2中發(fā)現(xiàn)，我們的模型控制了集群遭受的攻擊類型的分類FAR在1%以內(nèi)，RR在13%以內(nèi).它證明我們的實驗方法和模型仍然非?？尚?

表1 相似度

表2 分類結果

5 結束語

本文提出了一種基于數(shù)據(jù)的屬性，計算相似性和二次過濾的技術，分別是Dos、U2R、R2L、Backdoor和Normal data.提取數(shù)據(jù)中每個對象和五個集群中的每個對象的連接持續(xù)時間和平均持續(xù)時間，并計算相似性.并且對數(shù)據(jù)進行二次過濾，提取第一層所得數(shù)據(jù)中每個對象和五個集群中的每個對象的連接次數(shù)和平均連接次數(shù)，進一步的，保證了結果的準確性.

該方法利用相似性對攻擊進行分類，告別單一檢測攻擊，并對攻擊分類進行深入研究；改進了單層分類模型，并創(chuàng)新了四類攻擊的分類方法.擴展到不同類型攻擊的特征分類和分類準確性.選擇在我們的模型中使用KDD數(shù)據(jù)集，因為它是最新且最全面的公開數(shù)據(jù)集.實驗結果表明，相似性分類技術在分類檢測中可以達到99%的準確率.我們建立了兩種分類技術模型，傳統(tǒng)的分類和我們自己的兩種分類算法相比，結果表明，該方法的性能優(yōu)于傳統(tǒng)方法.然而，由于功能相似性和數(shù)據(jù)不平衡，并沒有計算和分類相似系數(shù)和對更多類型攻擊的期望.最后，我們強調需要更多數(shù)據(jù)或功能來區(qū)分這些攻擊.