許鴻坡，陳 偉

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210023)

1 概 述

隨著互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)漏洞頻頻被曝光，安全技術(shù)急需跟上互聯(lián)網(wǎng)發(fā)展的步伐。但是針對(duì)有些傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，依然沒有較好的解決辦法。與此同時(shí)，越來越多的企業(yè)及用戶利用云端實(shí)現(xiàn)業(yè)務(wù)或者遠(yuǎn)程操作物聯(lián)網(wǎng)設(shè)備，此時(shí)需要通過遠(yuǎn)程控制計(jì)算機(jī)去實(shí)現(xiàn)，這就涉及到遠(yuǎn)程控制協(xié)議的使用。遠(yuǎn)程登錄協(xié)議能提供多種功能，例如遠(yuǎn)程登錄、文件傳輸、TCPIP轉(zhuǎn)發(fā)[1]，而且這些協(xié)議有助于完成自動(dòng)化批量操作[2]。而傳統(tǒng)的遠(yuǎn)程控制協(xié)議如TELNET、RDP、RLOGIN、RSH、REXEC等都是采用明文傳輸，相對(duì)較安全的SSH協(xié)議則采用加密傳輸，但是為了方便與用戶進(jìn)行交互，這些協(xié)議都采用用戶名、密碼的認(rèn)證方式遠(yuǎn)程登錄。但是用戶擔(dān)心密碼復(fù)雜容易忘記，往往選擇設(shè)置相對(duì)簡(jiǎn)單記憶的密碼，攻擊者可以將用戶普遍使用的弱密碼和設(shè)備的缺省密碼組合成密碼字典對(duì)遠(yuǎn)程控制協(xié)議的密碼認(rèn)證進(jìn)行暴力破解，通過嘗試每個(gè)弱密碼，一旦認(rèn)證通過，則暴力破解成功，黑客將控制設(shè)備，用戶信息將會(huì)泄露，更危險(xiǎn)的是設(shè)備可能成為僵尸網(wǎng)絡(luò)的一部分，成為跳板感染攻擊其他設(shè)備。

雖然字典攻擊由來已久，但是近些年由于互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)設(shè)備快速增長(zhǎng)特別是物聯(lián)網(wǎng)設(shè)備，所以存在弱密碼的設(shè)備也呈上升趨勢(shì)，導(dǎo)致字典攻擊被使用更加頻繁。2011年12月21日，黑客在網(wǎng)上公開了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫(kù)，高達(dá)600多萬個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼遭到曝光和外泄，之后有人統(tǒng)計(jì)這些密碼中有至少90%的用戶設(shè)置了弱密碼，黑客將可以利用它們制備更健壯的弱密碼字典。2016年9月30日，Mirai[3]制造者將源碼放到Github以來，Mirai及其變種感染的物聯(lián)網(wǎng)設(shè)備快速增加。據(jù)統(tǒng)計(jì)，Mirai僵尸網(wǎng)絡(luò)已累計(jì)感染超過200萬臺(tái)攝像機(jī)等IoT設(shè)備，而其中感染模塊使用的就是傳統(tǒng)的字典攻擊，感染設(shè)備的數(shù)量讓人嘆為觀止，主要原因還是眾多設(shè)備采用弱密碼或者缺省密碼。在此之后針對(duì)弱密碼的字典攻擊更多被僵尸網(wǎng)絡(luò)所使用，開放遠(yuǎn)程控制協(xié)議端口的弱密碼設(shè)備將可能淪為肉雞。所以對(duì)遠(yuǎn)程控制協(xié)議的字典攻擊檢測(cè)尤為重要。

字典攻擊檢測(cè)有兩種基本方式：一種是依賴于日志信息[4]，另一種是依賴網(wǎng)絡(luò)流量[5]。通過監(jiān)視和分析網(wǎng)絡(luò)層面或主機(jī)層面的相關(guān)網(wǎng)絡(luò)流量，可以檢測(cè)甚至阻止字典攻擊；然而，高速網(wǎng)絡(luò)和加密流量數(shù)據(jù)的使用使得這種檢測(cè)具有挑戰(zhàn)性。基于主機(jī)的檢測(cè)使用安裝在主機(jī)上的內(nèi)部軟件來監(jiān)控該主機(jī)的接收流量。該主機(jī)使用的攻擊檢測(cè)軟件還可以訪問內(nèi)部日志，如用戶的登錄活動(dòng)，正在運(yùn)行的進(jìn)程和應(yīng)用程序以及其他可用于攻擊檢測(cè)相關(guān)數(shù)據(jù)?；谥鳈C(jī)檢測(cè)的一個(gè)主要缺點(diǎn)是無法檢測(cè)到在計(jì)算機(jī)環(huán)境中當(dāng)今互聯(lián)網(wǎng)普遍存在的分布式攻擊。檢測(cè)此類攻擊需要更廣泛的視圖和網(wǎng)絡(luò)流量檢查?；诰W(wǎng)絡(luò)的檢測(cè)提供了這種功能。與僅部署在特定主機(jī)上的檢測(cè)軟件相比，它不依賴于主機(jī)的操作系統(tǒng)，且基于網(wǎng)絡(luò)流量的檢測(cè)方案更具可擴(kuò)展性。在沒有直接訪問特定主機(jī)的情況下，只有基于網(wǎng)絡(luò)的檢測(cè)才能做到為沒有保護(hù)機(jī)制的主機(jī)提供安全防護(hù)[6]。

因此，文中提出基于網(wǎng)絡(luò)流量的字典攻擊檢測(cè)。以SSH協(xié)議為例，通過分析SSH協(xié)議的通信原理和網(wǎng)絡(luò)流量指紋后，發(fā)現(xiàn)對(duì)遠(yuǎn)程控制協(xié)議認(rèn)證的字典攻擊流量與正常用戶登陸流量呈現(xiàn)不同的指紋特征，針對(duì)這些不同的指紋特征，將從校園網(wǎng)入口提取的數(shù)據(jù)包標(biāo)記好標(biāo)簽，生成訓(xùn)練數(shù)據(jù)集，通過系統(tǒng)的機(jī)器學(xué)習(xí)，最終能夠在校園網(wǎng)上檢測(cè)針對(duì)這些協(xié)議的字典攻擊。該系統(tǒng)是在網(wǎng)絡(luò)層面上對(duì)有字典攻擊的數(shù)據(jù)包進(jìn)行檢測(cè)攔截，不需要在主機(jī)上部署，在保證主機(jī)的安全條件下，減少了主機(jī)的計(jì)算內(nèi)存消耗并保證了主機(jī)的性能，同時(shí)管理員不需要通過日志查看分析是否發(fā)生字典攻擊，大大減少了管理員的工作量。

文中的主要工作包括：

(1)在不直接檢查數(shù)據(jù)包的有效載荷的情況下，通過觀察暴力破解與用戶正常登錄的流量特征，運(yùn)用機(jī)器學(xué)習(xí)的方法可以有效地將兩者區(qū)分出來；

(2)設(shè)計(jì)了一種簡(jiǎn)單高效的流量處理算法，可以快速提取大量數(shù)據(jù)流的特征數(shù)據(jù)；

(3)在網(wǎng)關(guān)層面上對(duì)數(shù)據(jù)進(jìn)行采集、分析，不需要主機(jī)參與，且若發(fā)現(xiàn)字典攻擊行為，即可在網(wǎng)關(guān)中阻止異常IP訪問主機(jī)。

2 相關(guān)文獻(xiàn)

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合并嘗試所有的可能性以破解用戶的用戶名、密碼等敏感信息。攻擊者往往借助自動(dòng)化腳本工具來發(fā)動(dòng)暴力破解攻擊。傳統(tǒng)上防御方往往采用基于主機(jī)日志的統(tǒng)計(jì)IP出現(xiàn)的頻率來檢測(cè)是否發(fā)生暴力破解行為，如今防御方更多采用基于網(wǎng)絡(luò)流量的檢測(cè)方式，一方面可以提高檢測(cè)精度和防御效果，另一方面可以減少管理員的工作量。

魏琴芳等[7]通過分析登陸用戶名密碼的正常流量與暴力破解的流量差異，提取引起差異的流量特征，然后分別對(duì)TELNET、SSH、RDP、FTP四種協(xié)議進(jìn)行檢測(cè)，但是文中只提取兩種流量特征，當(dāng)其中一種特征失效時(shí)，嚴(yán)重依賴另一種特征，容易導(dǎo)致誤報(bào)、漏報(bào)，而且數(shù)據(jù)需要在離線狀態(tài)下處理，不具有實(shí)時(shí)性，沒有對(duì)數(shù)據(jù)包過濾，可能導(dǎo)致數(shù)據(jù)包過多時(shí)耗費(fèi)的時(shí)間線性增加。Jonker等[8]指出許多入侵檢測(cè)系統(tǒng)采用平穩(wěn)的網(wǎng)絡(luò)流量識(shí)別攻擊行為的存在，這種方法存在一定的偏差，提出基于流量檢測(cè)來分析重傳和控制信息對(duì)SSH入侵檢測(cè)的影響，從而將入侵檢測(cè)結(jié)果大幅度提高16個(gè)百分點(diǎn)。Studiawan等[9]在主機(jī)層面上應(yīng)用圖論來分析SSH字典攻擊生成的日志并提出k-clique滲透以對(duì)auth.log文件進(jìn)行聚類，可以協(xié)助系統(tǒng)管理員檢查此事件，但是該方法僅適用于分布式SSH暴力破解情況，管理員還需處理日志聚類的結(jié)果，不能實(shí)時(shí)檢測(cè)和防御，而且在主機(jī)上部署系統(tǒng)一定影響主機(jī)性能。

當(dāng)前，越來越多的研究者將機(jī)器學(xué)習(xí)運(yùn)用到流量檢測(cè)中。Najafabadi等[10]提出將聚合數(shù)據(jù)包所呈現(xiàn)的數(shù)據(jù)包平均包數(shù)、字節(jié)數(shù)等信息，作為機(jī)器學(xué)習(xí)的特征以訓(xùn)練從校園網(wǎng)中獲得的數(shù)據(jù)，從而區(qū)分SSH字典攻擊和正常流量。Satoh等[2]針對(duì)傳統(tǒng)識(shí)別SSH字典攻擊的惡意流量方法存在將用戶正常的訪問流量誤認(rèn)為攻擊流量的情況，提出一種檢測(cè)SSH字典攻擊的新方法，該方法基于字典攻擊的非擊鍵行為流量有別于用戶身份認(rèn)證的擊鍵行為流量。Najafabadi等[6]針對(duì)主機(jī)層面檢測(cè)暴力破解攻擊的不足，提出一種在網(wǎng)絡(luò)流量層面基于機(jī)器學(xué)習(xí)的暴力破解攻擊方法，并比較了樸素貝葉斯等四種機(jī)器學(xué)習(xí)方法檢測(cè)的結(jié)果。Sangkatsanee等[11]提出一種基于機(jī)器學(xué)習(xí)的實(shí)時(shí)在線入侵檢測(cè)方法，他們從網(wǎng)絡(luò)流量中提取十二種特征，并計(jì)算每種特征的信息增益作為特征選擇的標(biāo)準(zhǔn)，使用多種機(jī)器學(xué)習(xí)的方法相比較，最終設(shè)計(jì)出高檢測(cè)率、低虛警率的入侵檢測(cè)系統(tǒng)，但是這個(gè)系統(tǒng)主要針對(duì)DDoS攻擊和惡意掃描行為，不能解決遠(yuǎn)程控制協(xié)議的字典攻擊。Satoh等[12]發(fā)現(xiàn)網(wǎng)絡(luò)流量無法區(qū)分SSH字典攻擊與正常的自動(dòng)化SSH登陸行為，利用SSH連接協(xié)議存在和認(rèn)證包到達(dá)時(shí)隙的長(zhǎng)短，從SSH協(xié)議結(jié)構(gòu)原理的角度，提出基于流量分析的SSH字典檢測(cè)的方法，但是沒有從骨干網(wǎng)或者校園網(wǎng)獲得真實(shí)數(shù)據(jù)集，而是自己使用模擬構(gòu)造生成的數(shù)據(jù)集，所以在真實(shí)網(wǎng)絡(luò)環(huán)境下的檢測(cè)效果沒有得到驗(yàn)證，方法也僅局限于SSH字典攻擊檢測(cè)。

3 字典攻擊檢測(cè)方法

SSH協(xié)議由三種子協(xié)議構(gòu)成，自下而上分別是SSH傳輸協(xié)議、SSH用戶認(rèn)證協(xié)議和SSH連接協(xié)議。無論用戶是否認(rèn)證成功都將經(jīng)過傳輸協(xié)議，傳輸協(xié)議保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，所以之后的傳輸數(shù)據(jù)包是無法獲得載荷信息的，而只有用戶認(rèn)證通過才能進(jìn)入連接協(xié)議，連接協(xié)議需要耗費(fèi)2～5 s的時(shí)間，所以可以作為判別用戶認(rèn)證是否成功的標(biāo)志。文中的創(chuàng)新點(diǎn)在于可以在不直接檢查數(shù)據(jù)包的有效載荷的情況下通過觀察暴力破解與用戶正常登錄的流量特征并運(yùn)用機(jī)器學(xué)習(xí)的方法可以有效地將兩者區(qū)分出來。檢驗(yàn)方法基于兩個(gè)標(biāo)準(zhǔn)：

(1)SSH用戶認(rèn)證采用基于口令認(rèn)證的驗(yàn)證方式，用戶只有輸入正確的用戶名和密碼，方可成功登錄；

(2)認(rèn)證數(shù)據(jù)包的到達(dá)時(shí)間間隔存在差異，即用戶按鍵的時(shí)間與暴力破解的非按鍵時(shí)間存在差異，作為檢測(cè)單個(gè)攻擊的標(biāo)準(zhǔn)。

3.1 C4.5決策樹

決策樹[13]通過一系列決策對(duì)樣本進(jìn)行分類，而當(dāng)前決策有助于做出后續(xù)決策。這樣的決策序列以樹結(jié)構(gòu)表示。樣本的分類是從根節(jié)點(diǎn)開始到符合決策的末端葉節(jié)點(diǎn)，其中每個(gè)末端葉節(jié)點(diǎn)表示分類類別。樣本的屬性分配給每個(gè)節(jié)點(diǎn)，每個(gè)分支的值對(duì)應(yīng)于屬性。決策樹又分為分類決策樹、回歸決策樹。具有一系列離散(符號(hào))類標(biāo)簽的決策樹稱為分類樹，而具有一系列連續(xù)(數(shù)字)值的決策樹稱為回歸樹。這里采用的是分類決策樹。

C4.5決策樹算法如下：

輸入：訓(xùn)練數(shù)據(jù)D，特征集A，閾值ε；

輸出：決策樹T。

步驟1：若D中所有實(shí)例均為同一類別Ck，則T為單節(jié)點(diǎn)樹，將Ck作為該節(jié)點(diǎn)的類標(biāo)記，返回T；

步驟2：若A=?，則T為單節(jié)點(diǎn)樹，將D中類別最大的類Ck作為該節(jié)點(diǎn)的類標(biāo)記，返回T；

步驟3：計(jì)算特征集合A中各個(gè)特征對(duì)D的信息增益比，選擇特征集合A中信息增益比最大的特征Ag；

步驟4：如果Ag的信息增益比小于閾值ε，則設(shè)置T為單節(jié)點(diǎn)樹，將D中類別最大的類Ck作為該節(jié)點(diǎn)的類標(biāo)記，返回T；

步驟5：對(duì)Ag中的每一個(gè)取值ai，依ai將D分割為非空子集Di，以Di中實(shí)例最多的類作為類標(biāo)記，構(gòu)建子節(jié)點(diǎn)，由節(jié)點(diǎn)Ag與子節(jié)點(diǎn)構(gòu)成樹T，并返回T；

步驟6：對(duì)第i個(gè)子節(jié)點(diǎn)，以Di為訓(xùn)練集，A-Ag為特征集，遞歸調(diào)用步驟1～5,得到子樹Ti，返回Ti。

建立了機(jī)器學(xué)習(xí)算法之后，將檢測(cè)模型分為兩部分，第一部分為數(shù)據(jù)預(yù)處理，生成訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集；第二部分為決策樹訓(xùn)練與預(yù)測(cè)。基于決策樹的檢測(cè)模型如圖1所示。

3.2 流量處理

機(jī)器學(xué)習(xí)模型需要訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集，而如何簡(jiǎn)單高效地從數(shù)據(jù)流中根據(jù)選取的特征獲取這些數(shù)據(jù)是非常關(guān)鍵的一步。為了更好地檢測(cè)隱蔽性的分布式字典攻擊，需要統(tǒng)計(jì)每個(gè)IP的建立SSH連接的端口號(hào)(即應(yīng)用進(jìn)程)的流量信息。因此文中提出一種算法，可以在大量待處理的數(shù)據(jù)流中快速獲取決策樹算法所需要的數(shù)據(jù)，算法如下：

步驟1：初始化i為零，并將數(shù)據(jù)流以IP地址為標(biāo)志劃分成數(shù)據(jù)流集合F；

步驟2：從數(shù)據(jù)流集合F中取出下標(biāo)為i的數(shù)據(jù)流Fip，并初始化下標(biāo)j為零，獲取Fip第一個(gè)數(shù)據(jù)包的IP地址和端口號(hào)p0，初始化每個(gè)IP的源端口數(shù)據(jù)流fport為空；

步驟3：從Fip中獲取下標(biāo)為j的數(shù)據(jù)包，并獲取其端口號(hào)pnext；

步驟4：若端口號(hào)pnext與p0相等，則fport添加該數(shù)據(jù)包，F(xiàn)ip移除該數(shù)據(jù)包；否則下標(biāo)j自增；

步驟5：Fip數(shù)據(jù)流長(zhǎng)度與下標(biāo)j相等，則統(tǒng)計(jì)該IP源端口號(hào)的數(shù)據(jù)流信息，否則返回步驟3；

步驟6：若Fip為空，下標(biāo)i自增，并統(tǒng)計(jì)該IP數(shù)據(jù)流信息；

步驟7：若F數(shù)據(jù)流長(zhǎng)度與下標(biāo)i相等，則流量處理完畢，否則返回步驟2。

圖1 基于決策樹的檢測(cè)模型

3.3 信息增益比

基于網(wǎng)絡(luò)流量特征的暴力破解檢測(cè)基本上是分類問題，檢測(cè)系統(tǒng)必須將給定的一組網(wǎng)絡(luò)數(shù)據(jù)包分類為正常訪問或字典攻擊。網(wǎng)絡(luò)數(shù)據(jù)流的各種特征為分類提供數(shù)據(jù)輸入，所以使用的特征數(shù)量會(huì)影響計(jì)算的復(fù)雜性和所需的計(jì)算機(jī)資源。因此，希望獲得盡可能少的特征且這些特征必須滿足最佳分類效果。

在本節(jié)中，提出了使用信息增益比[14]來篩選通過蜜罐系統(tǒng)捕獲和預(yù)處理的網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)特征。信息增益比參數(shù)測(cè)量每個(gè)網(wǎng)絡(luò)流量特征用于數(shù)據(jù)分類時(shí)的相關(guān)性。

首先熵的定義為度量隨機(jī)變量的不確定性。假定隨機(jī)變量X的可能取值有x1,x2,…,xn。對(duì)于每一個(gè)可能的取值xi，其概率P(X=xi)=pi,i=1,2,…,n，所以隨機(jī)變量X的熵為：

(1)

信息增益的定義：以單一特征劃分?jǐn)?shù)據(jù)集前后的熵的差值，差值越大該特征對(duì)于樣本集合D的劃分效果越好，否則相反。

信息增益正式的定義如下：設(shè)X和Y分別表示樣本屬性(x1,x2,…,xm)和類屬性(y1,y2,…,yn)的離散變量。H(Y)表示Y值的不確定性；當(dāng)X的值已知，H(Y|X)表示Y值的不確定性。當(dāng)確定一個(gè)特征屬性X將有助于減少類屬性Y的不確定性。故信息增益的數(shù)學(xué)表達(dá)式為：

G(Y;X)=H(Y)-H(Y|X)

(2)

對(duì)于集合樣本D來說，隨機(jī)變量Y的不確定度表示樣本集合D的熵，公式如下：

(3)

當(dāng)確定一個(gè)特征屬性xi(i=1,2,…,n)時(shí),類屬性Y的不確定度為：

(4)

因?yàn)樵谙嗤瑮l件下，取值較多的特征比取值較少的特征獲得的信息增益大，即信息增益容易偏向取值較多的特征，為了克服這個(gè)不足，這里采用信息增益比，公式如下：

(5)

文中X定義了分類中輸入的個(gè)別特征，Y定義了流量所屬類別。通過計(jì)算每個(gè)候選特征的信息增益，選擇少數(shù)幾個(gè)基于較高信息增益的特征用于網(wǎng)絡(luò)流量分類，這樣不僅可以保證正確性，還可以減少機(jī)器學(xué)習(xí)耗費(fèi)的時(shí)間。從網(wǎng)絡(luò)流量中提取的數(shù)據(jù)特征如表1所示。

表1 網(wǎng)絡(luò)流量特征

文中使用1～10特征作為計(jì)算信息增益比的候選特征，經(jīng)過信息增益比算法計(jì)算獲得表2展示的各個(gè)候選特征的信息增益比排序。從表2中可以看出每個(gè)IP端口號(hào)的平均時(shí)間、平均字節(jié)數(shù)、平均包數(shù)、端口號(hào)數(shù)的信息增益比較大，所以選擇這4個(gè)信息增益比值大的候選特征作為決策樹分類特征。

表2 網(wǎng)絡(luò)流量特征的信息增益比

4 實(shí)驗(yàn)過程及結(jié)果

4.1 數(shù)據(jù)集

在校園網(wǎng)中部署了三個(gè)蜜罐[15-16]，見圖2，在每個(gè)蜜罐中使用tcpdump工具捕獲SSH流量。首先使用命令“tcpdump-i eth0-w flow.pcap”抓取流量數(shù)據(jù),獲得pcap文件，接著從每個(gè)數(shù)據(jù)集中提取出具有五元組(源IP、目的IP、源端口、目的端口、協(xié)議)的網(wǎng)絡(luò)流量并過濾出源端口或目的端口為22端口的數(shù)據(jù)包，其次過濾掉沒有應(yīng)用層數(shù)據(jù)的數(shù)據(jù)包，即將具有TCP控制信息的SYN、ACK、FIN數(shù)據(jù)包丟棄，這些數(shù)據(jù)包與檢測(cè)SSH流量無關(guān)，并可以減少程序處理數(shù)據(jù)包的個(gè)數(shù)，最后將pcap文件按源IP特征進(jìn)行分割，統(tǒng)計(jì)出每個(gè)IP的信息。

圖2 分布式蜜罐架

4.1.1 源端口號(hào)特征

在網(wǎng)絡(luò)通信過程中，主機(jī)之間通過IP地址和端口建立連接，每個(gè)端口號(hào)對(duì)應(yīng)一個(gè)應(yīng)用進(jìn)程，可以發(fā)現(xiàn)無論暴力破解采用單線程方式還是多線程方式，為了保證攻擊的效率，在一段時(shí)間內(nèi)，同個(gè)主機(jī)IP都會(huì)占用大量端口，以維持不斷地與目標(biāo)主機(jī)的連接，嘗試盡可能多的應(yīng)用進(jìn)程對(duì)目標(biāo)主機(jī)進(jìn)行暴力破解；而正常用戶在一段時(shí)間內(nèi)不會(huì)與目標(biāo)主機(jī)建立如此多的連接。從這個(gè)角度出發(fā)，可以收集一段時(shí)間內(nèi)同一個(gè)源IP的端口數(shù)量，如果端口數(shù)量大于所設(shè)定的閾值，可以判定該IP存在字典攻擊行為。如圖3所示，一段時(shí)間內(nèi)每隔10秒用戶正常訪問所占用的端口數(shù)在1～2個(gè)波動(dòng)，而單線程暴力破解則在4～5個(gè)波動(dòng)，而多線程占用的端口數(shù)又是單線程數(shù)倍，即多線程的線程池個(gè)數(shù)。所以只要設(shè)定合適的閾值，在正常情況下即可區(qū)別流量類別。

圖3 端口占用數(shù)量分布

4.1.2 數(shù)據(jù)包特征

前面提到攻擊者為了保證效率一般會(huì)采取單線程或者多線程的暴力破解方式，如果攻擊者主要針對(duì)特定主機(jī)IP，會(huì)使用較大的字典，而字典數(shù)量一變大所耗費(fèi)的時(shí)間將線性增加，所以他們往往會(huì)采取多線程的攻擊方式。而像僵尸網(wǎng)絡(luò)，特別是著名的Mirai僵尸網(wǎng)路，則采用單線程的暴力破解方式。但是這兩種方式都有共同的特征，即采用自動(dòng)化暴力破解的方式(非按鍵形式)，這使得它們比用戶手動(dòng)按鍵進(jìn)行用戶認(rèn)證時(shí)間更快。

圖4 SSH認(rèn)證失敗消耗的時(shí)間

4.2 實(shí)驗(yàn)結(jié)果與評(píng)估

部署的三個(gè)蜜罐在校園網(wǎng)中運(yùn)行，在其中收集一個(gè)星期的SSH數(shù)據(jù)，并通過觀察蜜罐中的系統(tǒng)日志，標(biāo)記數(shù)據(jù)包的類型，接著拿出一部分?jǐn)?shù)據(jù)集作為訓(xùn)練數(shù)據(jù)，另外一部分作為測(cè)試數(shù)據(jù)。訓(xùn)練數(shù)據(jù)將放入C4.5決策樹程序訓(xùn)練，然后將測(cè)試數(shù)據(jù)放入程序中進(jìn)行檢驗(yàn)，最后將測(cè)試數(shù)據(jù)的分類結(jié)果與測(cè)試數(shù)據(jù)原本的分類結(jié)果作對(duì)比，統(tǒng)計(jì)測(cè)試結(jié)果。為了計(jì)算測(cè)試性能，定義了如下指標(biāo)：

誤報(bào)(FP)：屬于用戶正常訪問的流量被錯(cuò)誤地視為字典攻擊流量的數(shù)據(jù)流個(gè)數(shù)；

漏報(bào)(FN)：屬于字典攻擊流量被錯(cuò)誤視為用戶正常訪問的數(shù)據(jù)流個(gè)數(shù)；

真陽性(TP)：屬于字典攻擊流量被正確視為字典攻擊流量的數(shù)據(jù)流個(gè)數(shù)；

真陰性(TN)：屬于用戶正常訪問流量被正確視為用戶正常訪問流量的數(shù)據(jù)流個(gè)數(shù)。

用召回率表示屬于用戶正常訪問流量被視為用戶正常訪問流量的比例：

(6)

精確率表示屬于字典攻擊流量被視為字典攻擊流量的比例：

(7)

誤報(bào)率表示屬于用戶正常訪問流量被視為字典攻擊流量的比例：

(8)

漏報(bào)率表示屬于字典攻擊流量被錯(cuò)誤視為用戶正常訪問流量的比例：

(9)

總體精確度：正確識(shí)別流量的百分比：

(10)

對(duì)蜜罐網(wǎng)絡(luò)收集的SSH數(shù)據(jù)一共包括577個(gè)不同的源IP地址，經(jīng)過機(jī)器學(xué)習(xí)模型統(tǒng)計(jì)測(cè)試分類結(jié)果和性能評(píng)估，決策樹分類結(jié)果為：真陽性個(gè)數(shù)497，真陰性個(gè)數(shù)76，誤報(bào)個(gè)數(shù)1，漏報(bào)個(gè)數(shù)3。根據(jù)決策樹的分類結(jié)果對(duì)決策樹分類性能進(jìn)行評(píng)估，評(píng)估結(jié)果為召回率0.994，精確率0.997，誤報(bào)率0.006，漏報(bào)率0.013，總體精確度0.993。

從決策樹算法的分類結(jié)果和性能評(píng)估來看，總體分類正確率在99%以上，但存在個(gè)別誤報(bào)、漏報(bào)的情況，主要是數(shù)據(jù)包在傳輸過程中存在包丟失和包重傳的現(xiàn)象，導(dǎo)致數(shù)據(jù)流特征改變，影響決策樹的正確分類，對(duì)于隱蔽的字典攻擊，只有少量數(shù)據(jù)包，若其中一些包出錯(cuò)可能會(huì)改變分類結(jié)果，但對(duì)于發(fā)起大量數(shù)據(jù)包的字典攻擊來說，該機(jī)器學(xué)習(xí)模型分類效果還是非常有效的。

5 結(jié)束語

字典攻擊作為傳統(tǒng)的攻擊手段，近年來開始受到攻擊者的關(guān)注。字典攻擊一旦成功，危害無疑是巨大的，攻擊者可以獲取設(shè)備的控制權(quán)限，實(shí)施竊密等惡意活動(dòng)。因此，文中提出一種基于網(wǎng)絡(luò)流量的字典攻擊檢測(cè)，并以SSH協(xié)議為例，分析了SSH協(xié)議的原理和結(jié)構(gòu)。但由于SSH流量為加密流量，觀察不到流量的攻擊載荷信息，文中從另一個(gè)角度，通過觀察數(shù)據(jù)包包頭的信息，提取相關(guān)的攻擊特征，并運(yùn)用機(jī)器學(xué)習(xí)C4.5決策樹的方法，提高了分類識(shí)別的精確度。在數(shù)據(jù)處理方面，將無關(guān)的TCP協(xié)議控制信息過濾，減少待處理的數(shù)據(jù)包數(shù)量，同時(shí)設(shè)計(jì)了一種簡(jiǎn)單高效的數(shù)據(jù)處理算法，加快了數(shù)據(jù)處理的速度，對(duì)今后在高速網(wǎng)絡(luò)中實(shí)時(shí)在線快速檢測(cè)打下基礎(chǔ)。

傳統(tǒng)的字典攻擊防御手段是在主機(jī)層面，通過管理員觀察日志信息統(tǒng)計(jì)一段時(shí)間內(nèi)IP出現(xiàn)的頻率來判斷該IP是否正常訪問。對(duì)于當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境，僵尸網(wǎng)絡(luò)分布式暴力破解驟增和需管理主機(jī)設(shè)備數(shù)量的增長(zhǎng)，傳統(tǒng)基于主機(jī)的防御手段已不能夠緩解大量的字典攻擊。因此文中采用擴(kuò)展性更好的基于網(wǎng)絡(luò)流量的檢測(cè)，可以在網(wǎng)關(guān)層面檢測(cè)存在的暴力破解，并通過將惡意IP加入防火墻黑名單的方法，保護(hù)主機(jī)設(shè)備不被非法入侵。

在未來的工作中，對(duì)于復(fù)雜的高速網(wǎng)絡(luò)中進(jìn)行在線的實(shí)時(shí)檢測(cè)無疑是很好的工作，同時(shí)可以在字典攻擊的基礎(chǔ)上，增加對(duì)惡意掃描、分布式拒絕服務(wù)攻擊的檢測(cè)，在網(wǎng)絡(luò)流量上設(shè)計(jì)入侵檢測(cè)系統(tǒng)，從而更好地保護(hù)主機(jī)的安全。