倪永峰,閆連山,崔允賀,李賽飛

(西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,成都 611756)

作為一種新型網(wǎng)絡(luò)架構(gòu),軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)將網(wǎng)絡(luò)中的控制功能與數(shù)據(jù)轉(zhuǎn)發(fā)功能相分離,實(shí)現(xiàn)了網(wǎng)絡(luò)可編程化[1].在該網(wǎng)絡(luò)架構(gòu)中,控制功能邏輯性地集中在控制器中,其負(fù)責(zé)計(jì)算路由和下發(fā)流表.數(shù)據(jù)轉(zhuǎn)發(fā)功能由交換機(jī)實(shí)現(xiàn),其依據(jù)流表對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā).當(dāng)前SDN架構(gòu)中,控制器與交換機(jī)之間多采用OpenFlow協(xié)議進(jìn)行通信.OpenFlow協(xié)議是一種新型網(wǎng)絡(luò)協(xié)議,其定義了控制器與SDN交換機(jī)之間的通信方式及交換機(jī)處理到達(dá)報(bào)文的規(guī)則.基于此協(xié)議實(shí)現(xiàn)的SDN網(wǎng)絡(luò)能夠?qū)ζ鋬?nèi)的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理[2].自2009年提出第一版本至今,OpenFlow協(xié)議已有5個(gè)版本,其中1.3版本的OpenFlow協(xié)議是當(dāng)前使用最廣泛的南向接口協(xié)議之一.SDN架構(gòu)使得控制器具備全局可見性,因此其能夠精細(xì)化地對(duì)流量進(jìn)行調(diào)度.基于此優(yōu)勢(shì),目前SDN已成功應(yīng)用于眾多數(shù)據(jù)中心[3,4].

高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)是一種新型網(wǎng)絡(luò)攻擊,其比傳統(tǒng)攻擊手段更具威脅性和破壞性[5].APT攻擊持續(xù)時(shí)間通常可達(dá)數(shù)月甚至數(shù)年,所使用的技術(shù)較傳統(tǒng)攻擊手段更為復(fù)雜,同時(shí)較高的時(shí)間和金錢消耗決定了APT攻擊通常用于企業(yè)、軍工等重要目標(biāo).因此美國(guó)將APT攻擊納為網(wǎng)絡(luò)戰(zhàn)的范疇,并成立了專門的網(wǎng)絡(luò)部隊(duì)以應(yīng)對(duì)和發(fā)起APT 攻擊.自 2010 年 Google 遭受“極光”攻擊以來,高級(jí)持續(xù)性威脅便引起網(wǎng)絡(luò)安全界的廣泛關(guān)注.經(jīng)過長(zhǎng)期研究,眾多研究者通常將APT攻擊分為攻擊準(zhǔn)備、橫向攻擊、資料回傳、退出四個(gè)階段.2011年Tankard等人總結(jié)出了APT攻擊的流程,其中詳細(xì)敘述了APT攻擊中常用的水坑攻擊以及端口掃描等攻擊手段,并建議采用日志分析、文件完整度檢查、注冊(cè)監(jiān)控以及惡意病毒檢測(cè)等技術(shù)檢測(cè)APT攻擊[6].Li等人總結(jié)了各攻擊階段常用的攻擊手段:APT進(jìn)入階段通常使用水坑攻擊實(shí)現(xiàn),潛伏階段多使用遠(yuǎn)程控制、橫向移動(dòng)、獲取特權(quán)、隱蔽通信等手段,退出階段通常包括資料回傳、銷毀數(shù)據(jù)等步驟[7].Chandra等人研究了APT攻擊開始階段攻擊者常用的社會(huì)工程學(xué)理論,針對(duì)網(wǎng)絡(luò)資源虛擬化框架OpenStack制定了縱深防御機(jī)制[8].由于APT攻擊具有高隱蔽性,傳統(tǒng)的監(jiān)測(cè)設(shè)備不易察覺其行為目的,Stefan Rass等人提出了一種基于博弈論的APT檢測(cè)機(jī)制,該機(jī)制通過分析網(wǎng)絡(luò)行為評(píng)估網(wǎng)絡(luò)的風(fēng)險(xiǎn)性以檢測(cè)APT攻擊[9].針對(duì)APT攻擊的特點(diǎn),Ibranhim Ghafir和 Vaclav Prenosil提出了八種檢測(cè)方法,分別為惡意附件檢測(cè)、惡意域名檢測(cè)、C&C隱蔽通信檢測(cè)、惡意證書檢測(cè)、魚叉攻擊檢測(cè)、惡意文件哈希值檢測(cè)、域名流量檢測(cè)以及匿名網(wǎng)絡(luò)TOR檢測(cè)[10].

隱蔽通信是指受控主機(jī)與攻擊者控制的C&C服務(wù)器(Command and Control server)建立的能夠躲避網(wǎng)絡(luò)監(jiān)控的秘密通信,是APT攻擊各個(gè)階段必須使用的技術(shù).無論是起初的橫向攻擊或獲取資料后的回傳過程,為避免被網(wǎng)絡(luò)中安全設(shè)備檢測(cè)出異常,攻擊者都必須在受控主機(jī)與C&C服務(wù)器之間建立隱蔽通信信道.文獻(xiàn)[11]中研究發(fā)現(xiàn)常見APT攻擊的隱蔽通信均采用SSL/TLS協(xié)議,此類協(xié)議是加密協(xié)議并且采用證書的方式交換客戶端與服務(wù)器使用的密鑰.因此如果能夠檢測(cè)網(wǎng)絡(luò)中存在的惡意隱蔽通信就可以及時(shí)阻止攻擊,避免APT攻擊造成的損失.Fu等人提出了一種區(qū)分SSL流量的機(jī)制,該機(jī)制采用報(bào)文長(zhǎng)度、報(bào)文到達(dá)間隔以及流量方向作為特征值,利用C4.5機(jī)器學(xué)習(xí)算法對(duì)SSL流量進(jìn)行分類[12].Ibranhim Ghafir等人利用開源架構(gòu)Intelligence Framework[13]提出了一種SSL證書檢測(cè)機(jī)制,首先從互聯(lián)網(wǎng)中獲取IF架構(gòu)證書黑名單并建立本地黑名單列表,當(dāng)有SSL流量時(shí)提取其中的服務(wù)器證書信息,然后判斷此服務(wù)器證書是否在本地黑名單中,若不在本地黑名單中SSL報(bào)文才可通過[14].該方法依賴IF架構(gòu)中的黑名單,同時(shí)需要及時(shí)更新黑名單信息.Cao等人提出了一種兩步檢測(cè)方法,該方法首先檢測(cè)SSL/TLS服務(wù)器可信度,然后提取證書信息對(duì)證書包含的信息進(jìn)行評(píng)價(jià),最后得到證書的安全等級(jí)[11].

為增強(qiáng) SDN抵抗APT攻擊的能力,本文對(duì)APT攻擊的關(guān)鍵步驟-隱蔽通信-進(jìn)行了分析及研究,基于此,本文提出了一種高效的隱蔽通信檢測(cè)機(jī)制.該機(jī)制利用SDN的特性便捷地抓取SSL/TLS流量,并從中提取證書信息,然后計(jì)算能夠表征證書特征的特征值,并將上述特征值輸入證書可信度檢測(cè)模塊以判斷是否存在隱蔽通信.實(shí)驗(yàn)分析及結(jié)果表明本文的隱蔽通信檢測(cè)方案可以準(zhǔn)確區(qū)分正常證書和惡意證書,進(jìn)而檢測(cè)出SDN網(wǎng)絡(luò)中的隱蔽通信.

1 面向SDN網(wǎng)絡(luò)的隱蔽通信檢測(cè)機(jī)制背景

1.1 SDN架構(gòu)

當(dāng)前SDN通常采用OpenFlow協(xié)議作為南向接口協(xié)議.OpenFlow協(xié)議規(guī)定,當(dāng)交換機(jī)收到新到達(dá)的報(bào)文時(shí),其按照流表優(yōu)先級(jí)依次匹配其內(nèi)流表中的MATCH域.如圖1所示,MATCH域包含網(wǎng)絡(luò)層協(xié)議、運(yùn)輸層協(xié)議以及運(yùn)輸層協(xié)議端口等匹配項(xiàng).交換機(jī)一旦找到能匹配數(shù)據(jù)報(bào)文的流表,就根據(jù)流表ACTION域中的端口將報(bào)文轉(zhuǎn)發(fā)出去.流表ACTION域中的端口可以為報(bào)文下一跳交換機(jī)與當(dāng)前交換機(jī)所連接的端口,也可為控制器與當(dāng)前交換機(jī)連接的端口,即交換機(jī)能夠?qū)?bào)文轉(zhuǎn)發(fā)至下一跳交換機(jī)或服務(wù)器,也能夠?qū)?bào)文轉(zhuǎn)發(fā)至控制器.若交換機(jī)不能找到匹配報(bào)文的流表,則將此報(bào)文上報(bào)至控制器,由控制器計(jì)算報(bào)文在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑,并下發(fā)此報(bào)文能匹配的流表至交換機(jī).

在SDN架構(gòu)中,控制器具有全網(wǎng)拓?fù)淇梢娦?因此其能夠精確控制流量轉(zhuǎn)發(fā)路徑:將大流量從帶寬較大的鏈路轉(zhuǎn)發(fā),小流量從帶寬較小的鏈路轉(zhuǎn)發(fā),當(dāng)流量增大時(shí)能夠修改流表將數(shù)據(jù)從帶寬較小的鏈路轉(zhuǎn)至帶寬較大的鏈路.采用SDN架構(gòu)除了可以對(duì)流量精確控制之外,還能夠通過部署在交換機(jī)上的流表抓取特定類型的報(bào)文,而在傳統(tǒng)網(wǎng)絡(luò)中獲取特定協(xié)議的流量通常需要進(jìn)行流量的分類識(shí)別,因此在有選擇地抓取流量方面SDN架構(gòu)具有較大的優(yōu)勢(shì).本文正是利用SDN的這一優(yōu)勢(shì)抓取所需要的報(bào)文.

圖1 OpenFlow1.0 流表項(xiàng)結(jié)構(gòu)

1.2 SSL隱蔽通信流程

為增強(qiáng)網(wǎng)絡(luò)抵抗APT攻擊的能力,本文分析了幾種典型的APT攻擊案例,研究發(fā)現(xiàn)APT攻擊中隱蔽通信檢測(cè)的關(guān)鍵在于非法證書檢測(cè).

2009年谷歌遭遇的極光行動(dòng)是最典型的APT攻擊,在此次攻擊中攻擊者使用了SSL加密通信對(duì)受控服務(wù)器進(jìn)行控制.持續(xù)時(shí)間長(zhǎng)達(dá)五年的暗鼠行動(dòng)中,攻擊者使用了遠(yuǎn)程命令與控制通信遠(yuǎn)程控制受控服務(wù)器竊取攻擊機(jī)密資料.在APT攻擊火焰病毒與高斯病毒中,攻擊者均采用自簽名證書建立隱蔽.由上述可知,典型的APT攻擊中攻擊者均使用了隱蔽通信,并且為躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測(cè)通常采用SSL協(xié)議加密.根據(jù)SSL協(xié)議,通信雙方傳輸數(shù)據(jù)之前需協(xié)商加密算法以及交換密鑰,這些信息均在數(shù)字證書(Server Certificate)中.數(shù)字證書包含攻擊者控制的C&C服務(wù)器的身份信息,以及C&C服務(wù)器密鑰和其支持的加密算法類型.攻擊者為防止自身信息暴露均會(huì)采用非法證書.因此若能在隱蔽通信建立階段檢測(cè)出攻擊者使用的非法證書,就能檢測(cè)出網(wǎng)絡(luò)存在的隱蔽通信,從而防止網(wǎng)絡(luò)遭受進(jìn)一步的攻擊.

為獲取隱蔽通信使用的非法證書,需要對(duì)建立SSL通信的流程進(jìn)行研究.SSL通信由受控服務(wù)器中的惡意軟件發(fā)起,惡意軟件根據(jù)其內(nèi)部機(jī)制發(fā)起DNS請(qǐng)求,獲取 C&C服務(wù)器IP地址,進(jìn)而建立TCP連接,進(jìn)入 SSL握手階段.受控服務(wù)器發(fā)送ClientHello報(bào)文,C&C服務(wù)器接收ClientHello報(bào)文之后,回復(fù)帶有數(shù)字證書的ServerHello消息,其中數(shù)字證書包含C&C服務(wù)器的身份信息以及其使用的密鑰,然后受控服務(wù)器回復(fù)自身的密鑰發(fā)送給C&C服務(wù)器.最后,受控服務(wù)器與C&C服務(wù)器采用協(xié)商一致的加密算法建立通信信道,握手階段結(jié)束.SSL握手階段結(jié)束之后,受控服務(wù)器與C&C服務(wù)器進(jìn)入正常通信狀態(tài).

綜上所述,采用SSL加密的隱蔽通信在建立通信的握手階段均會(huì)使用非法證書,同時(shí)由于合法加密通信使用的證書均是由可信機(jī)構(gòu)頒發(fā)的合法證書,因此網(wǎng)絡(luò)中的合法通信不存在非法證書.因此若能檢測(cè)出網(wǎng)絡(luò)中的非法證書,就能檢測(cè)出網(wǎng)絡(luò)中存在的隱蔽通信.本文提出的面向SDN網(wǎng)絡(luò)的隱蔽通信檢測(cè)機(jī)制正是檢測(cè)網(wǎng)絡(luò)中SSL協(xié)議使用的證書是否非法.

2 面向SDN網(wǎng)絡(luò)的隱蔽通信檢測(cè)機(jī)制

2.1 面向SDN的隱蔽通信檢測(cè)機(jī)制(SD-CCD)

如圖2所示,本文假設(shè)有M個(gè)交換機(jī)和N個(gè)服務(wù)器,其中 CH為受控服務(wù)器,AT為 C&C服務(wù)器(Command and Control server),DS 為隱蔽通信檢測(cè)服務(wù)器,Controller為 SDN 控制器.根據(jù) SDN 架構(gòu),交換機(jī)S={S1,S2,S3,…}均與控制器 Controller連接.

受控服務(wù)器CH為攻擊者通過社會(huì)工程學(xué)獲取到權(quán)限的目標(biāo)網(wǎng)絡(luò)內(nèi)的服務(wù)器,其與C&C服務(wù)器建立連接并按照指令對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起掃描或嗅探以竊取網(wǎng)絡(luò)中的資料.C&C服務(wù)器AT為攻擊者控制的服務(wù)器,攻擊者通過C&C服務(wù)器與受控服務(wù)器CH進(jìn)行隱蔽通信,控制CH在目標(biāo)網(wǎng)絡(luò)中的行動(dòng),并且接收CH竊取的資料.

圖2 SDN 隱蔽通信檢測(cè)架構(gòu)

如圖2所示,本文提出的面向SDN的隱蔽通信檢測(cè)機(jī)制(Software-Defined Convert Communication Detection mechanism,SD-CCD)由運(yùn)行在隱蔽通信檢測(cè)服務(wù)器DS上的隱蔽通信檢測(cè)模塊及運(yùn)行在控制器上的流量采集模塊及溯源抑制模塊組成.其中,隱蔽通信檢測(cè)服務(wù)器DS上運(yùn)行隱蔽通信檢測(cè)模塊,該模塊包括證書提取、特征值計(jì)算以及隱蔽通信檢測(cè)算法.其主要對(duì)輸入的SSL流量進(jìn)行處理,判斷SSL流量是否為非法隱蔽通信.若為非法隱蔽通信,隱蔽通信檢測(cè)服務(wù)器發(fā)送警報(bào)事件到控制器Controller,然后由控制器進(jìn)行處理.

運(yùn)行在控制器上的流量采集模塊和溯源抑制模塊負(fù)責(zé)SSL流量的采集及對(duì)非法隱蔽通信的溯源和抑制.流量采集模塊利用OpenFlow中的流表將SSL流量導(dǎo)入隱蔽通信檢測(cè)模塊DS,溯源抑制模塊對(duì)受控服務(wù)器發(fā)起溯源并抑制其在網(wǎng)絡(luò)中的行為.控制器Controller中流量采集模塊基于SDN特性利用OpenFlow流表對(duì)網(wǎng)絡(luò)中的SSL報(bào)文進(jìn)行采集.雖然現(xiàn)行OpenFlow協(xié)議中還沒有針對(duì)SSL協(xié)議的匹配項(xiàng),但是SSL協(xié)議封裝于TCP協(xié)議中且通常使用443端口,因此本文將使用TCP協(xié)議并且目的端口與源端口均為443的報(bào)文視為SSL報(bào)文.當(dāng)?shù)谝粋€(gè)SSL報(bào)文由交換機(jī)上報(bào)至控制器,控制器計(jì)算完路由路徑并下發(fā)流表時(shí),在流表MATCH域中添加運(yùn)輸層協(xié)議為TCP且源端口和目的端口均為443的匹配項(xiàng),同時(shí)在此流表的ACTION域中添加轉(zhuǎn)發(fā)至隱蔽通信檢測(cè)服務(wù)器所在的端口,以此就可抓取所需的SSL報(bào)文.

在進(jìn)行APT攻擊時(shí),攻擊者獲取CH權(quán)限后,需與AT建立SSL通信,但此時(shí)CH所掛載的交換機(jī)S3中沒有轉(zhuǎn)發(fā)SSL報(bào)文的流表,因此不能轉(zhuǎn)發(fā)CH發(fā)出的 ClientHello 報(bào)文.根據(jù) OpenFlow 協(xié)議,S3將ClientHello報(bào)文轉(zhuǎn)發(fā)至控制器Controller,控制器計(jì)算出CH到AT的路由路徑并依次下發(fā)流表至路徑上的交換機(jī),同時(shí)計(jì)算出受控服務(wù)器CH到隱蔽通信檢測(cè)服務(wù)器DS的路徑并下發(fā)流表至路徑上的交換機(jī),由此就可在不影響正常通信的情況下將SSL流量導(dǎo)入隱蔽通信檢測(cè)服務(wù)器.

隱蔽通信檢測(cè)服務(wù)器DS對(duì)導(dǎo)入的SSL流量進(jìn)行提取,得到SSL通信中服務(wù)器所使用的證書,然后調(diào)用基于iForest的隱蔽通信檢測(cè)算法檢測(cè)此證書是否異常.若檢測(cè)結(jié)果為證書異常,即表示當(dāng)前SSL連接為非法隱蔽通信,則隱蔽通信檢測(cè)服務(wù)器DS立刻發(fā)送SSL連接異常警報(bào)事件至SDN控制器Controller.控制器收到隱蔽通信檢測(cè)服務(wù)器發(fā)送的警報(bào)后,立刻對(duì)當(dāng)前網(wǎng)絡(luò)中與使用非法證書的SSL服務(wù)器連接的客戶端進(jìn)行溯源,并下發(fā)流表至異常主機(jī)掛載的交換機(jī)以阻塞此主機(jī)發(fā)送的SSL報(bào)文,從而達(dá)到抑制非法隱蔽通信的目的.

2.2 基于iForest的隱蔽通信檢測(cè)算法(iFCCD)

基于iForest的隱蔽通信檢測(cè)算法(iFCCD)對(duì)SSL報(bào)文中提取的服務(wù)器證書進(jìn)行檢測(cè)以判斷網(wǎng)絡(luò)中是否存在隱蔽通信.其檢測(cè)精度受特征值表征證書的準(zhǔn)確度影響,因此在調(diào)用隱蔽通信檢測(cè)算法之前需提取能夠準(zhǔn)確表征證書特性的特征值.

在介紹本文提取的證書特征值之前,引入兩個(gè)集合[11],分別是最常見通用名集合(the most Frequently Appeared CommonName Set,FAS)和最常見匿名性通用名集合(the most Frequently Appeared Anonymous CommonName Set,FAAS).其中 FAS 是根據(jù)統(tǒng)計(jì)得到的頻繁使用的通用名集合,FAAS也是相同方法得到,但目前只包含兩個(gè)元素,分別為localhost和localdomain.

攻擊者制作隱蔽通信使用的證書時(shí),為保證隱蔽性,通常采用自簽名證書,并且為了避免自身信息暴露,此類證書使用者和頒發(fā)者的項(xiàng)通常較少.由于需保持通信的隱蔽性防止被網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn),攻擊者在制作證書時(shí)通常會(huì)設(shè)定較短的證書有效時(shí)間.同時(shí)攻擊者會(huì)采用隨機(jī)構(gòu)成的域名作為證書通用名,以此進(jìn)一步提高隱蔽性.本文中FAS集合和FAAS集合就是針對(duì)證書的域名而建立的,若證書的域名在FAS中說明其屬于網(wǎng)絡(luò)中常見的域名,即表示其可信度較高.若證書的域名出現(xiàn)在FAAS中說明其匿名性較強(qiáng),即表示此證書的安全性較低.

基于上述特點(diǎn),本文采用了8個(gè)特征值來表征證書,如表 1 所示,分別為:(1)是否為自簽名證書;(2)證書使用者包含的項(xiàng)數(shù);(3)證書頒發(fā)者包含的項(xiàng)數(shù);(4)證書是否被可信根驗(yàn)證通過;(5)通用名是否在FAS中;(6)通用名是否在 FAAS 中;(7)使用者通用名是否符合域名格式(CN=xxx.com);(8)證書的有效年份.上述八個(gè)特征值是從證書中提取的關(guān)鍵信息,能夠表征證書的合法性.

表1 iFCCD 采取的證書特征值

iFCCD算法采用孤立森林算法(isolation Forest algorithm,iForest),iForest是一種基于決策樹的異常檢測(cè)算法,其基于數(shù)在二叉搜索樹中的深度判斷數(shù)據(jù)是否異常,具有較高的檢測(cè)精度.相對(duì)于神經(jīng)網(wǎng)絡(luò)算法,iForest的訓(xùn)練時(shí)間短,達(dá)到相同精度的計(jì)算時(shí)間少.

本文采用的八個(gè)參數(shù)特征值對(duì)應(yīng)的當(dāng)前iForest中的評(píng)價(jià)值計(jì)算公式如下[15]:

其中,E(h(x))為特征值x在樹中的平均深度,C為當(dāng)前森林中數(shù)的平均深度,計(jì)算公式如下[15]:

隱蔽通信檢測(cè)啟動(dòng)時(shí),從配置文件中讀取已準(zhǔn)備好的訓(xùn)練數(shù)據(jù),訓(xùn)練數(shù)據(jù)均為從正常證書中提取的相關(guān)特征值,孤立森林算法使用這些特征值訓(xùn)練算法模型.假設(shè)某一特征值訓(xùn)練數(shù)據(jù)有L組,訓(xùn)練階段孤立森林有放回的取出G組數(shù)據(jù),然后構(gòu)建K棵決策樹,得到K棵決策樹組成的森林,并根據(jù)孤立森林算法計(jì)算出當(dāng)前森林的閾值thresholdi.8個(gè)孤立森林分類器均采用上述的訓(xùn)練流程.孤立森林算法訓(xùn)練完成之后,隱蔽通信檢測(cè)正式進(jìn)入檢測(cè)階段.

算法.iFCCD Input:SSL 流量Output:惡意證書檢測(cè)結(jié)果1.Begin 2. Get Hello packet in SSL 3. Extract SSL certificate 4. Calculate features of SSL certificate 5. if this certificate is Self-signed certificate then 6. append ‘1’ to eigenvalue matrix 7. else 8. append ‘0’ to eigenvalue matrix 9. end if

10. Append the length of subject to eigenvalue matrix 11. Append the length of Issuer to eigenvalue matrix 12. if the root in certificate is trusty then 13. append ‘1’ to eigenvalue matrix 14. else 15. append ‘0’ to eigenvalue matrix 16. end if 17. if domain name in FAS then 18. append ‘1’ to eigenvalue matrix 19. else 20. append ‘0’ to eigenvalue matrix 21. end if 22. if domain name in FAAS then 23. append ‘1’ to eigenvalue matrix 24. else 25. append ‘0’ to eigenvalue matrix 26. end if 27. if subject’s domain name is belong to normal format 28. then 29. append ‘1’ to eigenvalue matrix 30. else 31. append ‘0’ to eigenvalue matrix 32. end if 33. Append valid time of certificate to eigenvalue matrix 34. Send matrix to iForest 35. if the result of detection is true then 36. send result to controller 37. else 38. goto end 39. end if 40.End

進(jìn)行檢測(cè)時(shí),隱蔽通信檢測(cè)算法接收新的證書特征值矩陣,然后調(diào)用訓(xùn)練完成的算法模型判斷此證書特征值是否為異常.當(dāng)待檢測(cè)的特征值矩陣輸入時(shí),各特征值分別送入相應(yīng)的分類器.在各自的分類器中,每個(gè)決策樹返回待測(cè)特征值在樹中的層數(shù),然后得到當(dāng)前特征值在該森林中的評(píng)價(jià)值Si.在一個(gè)分類器中,若特征值評(píng)價(jià)值小于該分類器閾值,則表示當(dāng)前數(shù)據(jù)為異常數(shù)據(jù).

在iFCCD中,最后計(jì)算分類器的評(píng)價(jià)值,若該評(píng)價(jià)值小于閾值則判定當(dāng)前特征值矩陣為異常,即當(dāng)前證書為非法證書;否則判定為正常證書,如公式(4)所示:

綜上所述,為準(zhǔn)確表征證書特征,iFCCD算法采用八個(gè)特征值表征證書信息,同時(shí)使用孤立森林作為異常檢測(cè)算法,提高非法證書的檢測(cè)精度.在訓(xùn)練階段中,iForest的訓(xùn)練數(shù)據(jù)均為正常證書的特征值.在檢測(cè)階段中,iFCCD利用已訓(xùn)練的iForest模型分別對(duì)8個(gè)特征進(jìn)行判定,最后綜合判定表征證書信息的八元組矩陣是否異常,以此可判定網(wǎng)絡(luò)中是否存在隱蔽通信.

3 實(shí)驗(yàn)驗(yàn)證與分析

3.1 實(shí)驗(yàn)環(huán)境

本文采用的數(shù)據(jù)集有三個(gè):ITOC2009[16]、Contagio Malware Dump(CMD)[17]以及從本地抓取的正常HTTPS證書.訓(xùn)練數(shù)據(jù)中有100個(gè)證書,其中50個(gè)為ITOC數(shù)據(jù)集中的正常證書,50個(gè)為CMD數(shù)據(jù)集中的正常證書.測(cè)試數(shù)據(jù)有271個(gè)證書,其中包括74個(gè)CMD數(shù)據(jù)集中正常的證書,26個(gè)本地抓取的正常證書以及171個(gè)CMD數(shù)據(jù)集中的非法證書.首先提取訓(xùn)練數(shù)據(jù)集中證書的特征值,然后將訓(xùn)練證書特征值作為輸入訓(xùn)練孤立森林算法.在訓(xùn)練iForest算法模型時(shí),從100組訓(xùn)練數(shù)據(jù)中有放回地取出75組數(shù)據(jù),構(gòu)建100棵決策樹.

本文采用文獻(xiàn)[11]中提到的證書可信度計(jì)算算法(文獻(xiàn)[11]中將其簡(jiǎn)稱為CCD算法)作為對(duì)比實(shí)驗(yàn),其中計(jì)算結(jié)果小于0時(shí)視為證書非常可疑,計(jì)算結(jié)果大于0小于0.85時(shí)視為證書較可疑,大于0.85則認(rèn)為證書正常.本文使用受試者工作特征曲線(Receiver Operating Characteristic curve,ROC 曲線)衡量iFCCD與CCD兩種算法的檢測(cè)精度.

3.2 實(shí)驗(yàn)結(jié)果

本文對(duì)上述提出的檢測(cè)算法的實(shí)驗(yàn)驗(yàn)證過程如下:首先使用訓(xùn)練數(shù)據(jù)訓(xùn)練iForest模型,檢測(cè)時(shí)將數(shù)據(jù)集里的證書依次提取出來,獲得其中的證書特征值,然后將證書特征值依次送入訓(xùn)練好的iForest模型中.在衡量iFCCD與CCD兩種算法精度時(shí),通過動(dòng)態(tài)調(diào)整iForest的閾值得到的ROC曲線如圖3所示.

圖3 中,橫坐標(biāo)為誤檢率,縱坐標(biāo)為檢測(cè)精度,其中實(shí)線為本文提出的iFCCD算法得到的檢測(cè)結(jié)果,虛線為對(duì)比算法CCD的檢測(cè)結(jié)果.從圖中可以看到,iFCCD算法的誤檢率在16%時(shí)可以達(dá)到100%的檢測(cè)精度,而CCD算法要達(dá)到100%的檢測(cè)精度其誤檢率需達(dá)到24%.顯然本文提出的證書檢測(cè)算法在提高證書檢測(cè)精度的同時(shí)能夠降低誤檢率.圖3中,兩種算法的ROC曲線均在誤檢率達(dá)到一定值時(shí)快速上升,出現(xiàn)上述現(xiàn)象的原因是數(shù)據(jù)集里的非法證書的特征值基本相似.

圖3 iFCCD 及 CCD 算法 ROC 曲線圖

3.3 實(shí)驗(yàn)結(jié)果分析

為進(jìn)一步說明iFCCD及CCD算法的檢測(cè)精度,本節(jié)對(duì)iFCCD及CCD算法的檢測(cè)結(jié)果進(jìn)行了詳細(xì)分析.

數(shù)據(jù)集ITOC2009中出現(xiàn)了大量類似如下格式的非法證書:“Version=3;Issure:C=--;ST=SomeState;Validity:one year;OU=SomeOriganizationalUnit;EMAIL=root@localhost.localdomain;O=SomeOrganization;L=SomeCity;”,對(duì)于上述非法證書,CCD算法計(jì)算出的可信度為–0.1,CCD算法認(rèn)定其為非常可疑的證書,既CCD算法能夠成功檢測(cè)上述非法證書.

但是對(duì)于圖4所示的非法證書,使用CCD算法計(jì)算的可信度為0.35(屬于較可疑級(jí)別),其不能精確檢測(cè)上述非法證書.通過進(jìn)一步分析可知此證書屬于非法證書,因?yàn)槠涫褂谜唔?xiàng)中都是匿名信息符合非法證書的特征,而且證書有效時(shí)間較短.此證書相對(duì)于ITOC2009數(shù)據(jù)集的一般非法證書僅僅將使用者CN換了一個(gè)匿名,就使得CCD產(chǎn)生漏檢.雖然可以將匿名域名加入到FAAS中提高CCD的檢測(cè)精度,但匿名性域名范圍太廣無法將全部新匿名域名包含在集合中,因此采用CCD方法容易導(dǎo)致漏檢.而在采用iFCCD方法檢測(cè)上述非法證書時(shí),由于iForest 所具有的檢測(cè)精度高的優(yōu)點(diǎn),所以iFCCD方法能夠?qū)⑵渑卸榉欠ㄗC書.

與CCD算法相比,iFCCD算法的誤檢率更低.圖5所示為ITOC2009的合法證書,CCD算法計(jì)算該證書可信度為-0.1,判定其為非法證書,但是經(jīng)查詢得知此證書為根級(jí)證書屬于可信任證書,CCD算法明顯導(dǎo)致了誤檢測(cè).而iFCCD算法能夠正確判定其為合法證書.

圖4 非法證書使用者信息示例

圖5 正常證書使用者信息示例

從上述分析得知,本文提出的基于iForest的隱蔽通信檢測(cè)機(jī)制能夠在降低誤檢率的同時(shí)提高檢測(cè)精度.

4 總結(jié)

為解決SDN網(wǎng)絡(luò)中存在的隱蔽通信檢測(cè)問題,本文提出了面向SDN的隱蔽通信檢測(cè)機(jī)制,該機(jī)制利用SDN的特性準(zhǔn)確獲取網(wǎng)絡(luò)中可能存在的隱蔽通信流量.針對(duì)CCD方法較為模糊的判定結(jié)果問題,本文提出了基于iForest算法的隱蔽通信檢測(cè)算法iFCCD,該算法可以降低誤檢率、提高檢測(cè)精度,同時(shí)避免了使用經(jīng)驗(yàn)值作為閾值可能導(dǎo)致的誤檢率增高或精度降低的問題.本文提出的iFCCD方法具有較好的可擴(kuò)展性,只需改變提取證書的特征值或訓(xùn)練數(shù)據(jù)集就可運(yùn)用于不同場(chǎng)景的SDN網(wǎng)絡(luò).