蘭海燕　孫鶴玲　潘昱辰

摘? ?要：傳統(tǒng)重標極差分析法（Rescaled Range Analysis，R/S）檢測軟件定義網(wǎng)絡（SDN，Software Defined Network）流量是否存在異常時，某節(jié)點的網(wǎng)絡流量序列存在恒定值小區(qū)間內(nèi)子序列全為零值，造成標準差為零的運算錯誤，為了解決這個問題，文章提出了一種改進的重標極差法（Improvement Rescaled Range Analysis， IR/S）。算法利用微元法分析法，確定一組可用的參數(shù)，將參數(shù)引入計算數(shù)據(jù)流量序列Hurst指數(shù)，并將待計算的數(shù)據(jù)流量序列等分，同時規(guī)定序列長度為2的整數(shù)次冪，分別計算R/S值，通過擬合來判斷是否存在異常流量情況。改進后的方法能夠達到均分子序列的要求，無需計算序列的因數(shù)，使計算過程更加簡化，避免了某些長度序列因數(shù)過少、素數(shù)長度導致的擬合點過少無法收斂的現(xiàn)象，減少了由計算結(jié)果精確度帶來的誤差。將算法在Mininet環(huán)境下進行虛擬SDN仿真測試，實驗結(jié)果表明，文章中的方法能夠較顯著區(qū)分正常與異常流量，并且在探測異常時延遲較低。

關(guān)鍵詞：Hurst指數(shù);重標極差法;軟件定義網(wǎng)絡;拒絕服務攻擊;分形學

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： When traditional Rescaled Range Analysis （R/S） detects whether software defined network （SDN） traffic is abnormal， subsequences are all zero in the constant value interval existing in the network traffic series of several nodes， which causes some operation error with a standard deviation of zero. An Improved Rescaled Range Analysis （IR/S） method is proposed to solve this problem. The algorithm uses the micro-element analysis method to determine a set of available parameters which is introduced into the calculated data flow sequence Hurst exponent， and divides the data flow sequence to be calculated into equal parts. At the same time， the length of the sequence is specified as an integer power of 2， and calculate R / S values separately， to determine if there is an abnormal flow condition by fitting. The improved method can meet the requirements of homogeneous molecular sequences without calculating the sequence factors. The calculation process is more simplified， avoiding inability to converge due to too few factors of some length sequence or even too few fit points which is caused by prime length， and reducing the accuracy of the calculation results. A virtual SDN simulation test of the algorithm in Mininet environment is set up， and the experimental results show that the method can distinguish between normal and abnormal traffic significantly， and detect anomalies with a lower delay.

Key words： Hurst exponent; rescaled range analysis; software defined network; denial of service attack; fractal

1 引言

網(wǎng)絡流量與時間序列具有分形學的自相似性，正常狀態(tài)下網(wǎng)絡產(chǎn)生的流量與異常狀態(tài)下網(wǎng)絡產(chǎn)生的流量自相似性不同，利用這一特點，可以通過直接分析網(wǎng)絡所產(chǎn)生的流量序列分形特征進行相互對比，從而判斷某一狀態(tài)下的網(wǎng)絡與正常狀態(tài)的區(qū)別。由于研究序列的分形特征不太依賴對系統(tǒng)基礎性的假設，故針對各種時間序列都具有較為廣泛的適用性。這種方法無需依賴固有模式，更具備特異性，針對具體的網(wǎng)絡結(jié)構(gòu)將產(chǎn)生較好的判決效果。

自Harold Edwin Hurst研究分形序列的長期持續(xù)性提出了Hurst指數(shù)作為分形特征的一個指標以來，關(guān)于該指數(shù)的實際應用，已有各類學科的大量研究產(chǎn)生，如故障預測[1]、降雨侵蝕[2]、腦電特征識別[3]等。對于將Hurst指數(shù)應用于傳統(tǒng)的網(wǎng)絡結(jié)構(gòu)，已有較多相關(guān)研究。例如，Leland等學者采用R/S分析法和聚集方差法分別計算序列的Hurst指數(shù)[4];Pharande等學者使用R/S分析法結(jié)合分數(shù)高斯噪聲分析DoS（Denial of Service）攻擊的自相似性[5];學者Lozhkovskyi A.G.利用R/S分析法計算部分R/S序列以研究分組交換網(wǎng)的流量自相似特征[6]。但是，針對SDN中發(fā)生的相關(guān)攻擊事件卻少有推廣算法提出。目前，在SDN領域有關(guān)流量檢測算法的研究，有基于信息熵的深度神經(jīng)網(wǎng)絡檢測法[7]、主成分分析法[8]等，但少有學者利用分形學方法對SDN流量進行研究。

2 分形學與R/S分析法

根據(jù)分形學理論，存在分數(shù)維幾何形并且這種幾何大量存在于自然界。從自然山川的輪廓，到氣候變化趨勢，都是傳統(tǒng)幾何學無法精確表述的。分形學中一個重要的概念是自相似性，該概念指一個分形幾何形是由眾多更小的、與這個幾何形差別不大的小幾何形組成[9]。而理論上講，這種迭代是趨向于無窮的，從而導致使用傳統(tǒng)幾何學幾乎無法研究這類問題。如果利用分數(shù)維布朗運動作為研究對象，將會出現(xiàn)以某一尺度對該布朗運動曲線進行放縮時，曲線統(tǒng)計特性并不發(fā)生改變的特殊現(xiàn)象。該尺度放縮因數(shù)一般以指數(shù)形式2H出現(xiàn)，H即Hurst指數(shù)。H取值在0到1之間，可以表征序列的分形特征。經(jīng)過研究，H與序列特征呈現(xiàn)的關(guān)系如表1所示。

反持續(xù)性序列具有均值回復性，即一個上升值更可能出現(xiàn)在一個下降值之后，反之亦然。H越趨近于0，均值回復性越強[10]。而一個持續(xù)性序列意味著下一個值的變化方向更趨向于和上一個值的變化方向，H越趨近于1，持續(xù)性越強。

對于網(wǎng)絡流量序列、氣溫序列、金融市場序列等，都可以利用Hurst指數(shù)定量描述序列的特征，目前主流的計算方法是R/S分析法[11]。要估計Hurst指數(shù)，首先必須估計重標極差對觀察時間跨度的依賴性。將長度為N的時間序列劃分為多個較短的時間序列長度，之后對于n的每個值，計算重標極差的平均值。H定義為時間序列的時間跨度函數(shù)，這是根據(jù)重標極差的漸進性變化特點決定的。具體為：

其中，是前n個值與均值作差的累積取值范圍，是標準差，是期望，n是觀察的時間跨度（時間序列內(nèi)數(shù)據(jù)點的數(shù)量），C是一個常量。

給定一個長為n的序列，重標極差計算方法為[12]：

（6）計算重標極差序列

通過按照冪次規(guī)律擬合數(shù)據(jù)來估算Hurst指數(shù)，可以通過將作為的函數(shù)進行雙對數(shù)坐標線性擬合，擬合直線斜率即為Hurst指數(shù)值。

利用該算法，計算如圖1所示的控制器流量序列的Hurst指數(shù)。該序列以100ms為采樣間隔，采集了128個樣本點，樣本點的值為控制器正常工作時的數(shù)據(jù)包數(shù)量。在使用Python的numpy庫進行線性擬合時會提示的信息為：LinAlgError： SVD did not converge in Linear Least Squares。

產(chǎn)生該計算故障的原因在于該序列有較多長期連續(xù)0值，使用Python計算R/S序列時，由于在計算恒值序列，得到的極差和標準差均為0，做除法后得到nan值即無意義值，影響了線性擬合的收斂。故為了消除這種影響，需要對傳統(tǒng)算法進行改進以適應輸入序列的特性。

3 IR/S分析法

3.1算法設計

在實際情況下，網(wǎng)絡中一段時間內(nèi)流經(jīng)的包數(shù)量必為一個非負實數(shù)，而且可能會出現(xiàn)某些節(jié)點，尤其是SDN控制器，在一定時間內(nèi)沒有數(shù)據(jù)包通過，使得在子序列長度較短時子序列全為0值。考慮到后續(xù)對于求解R/S時在數(shù)學上要求在分母上的標準差非零，以及使用對數(shù)擬合時自變量R（n）/S（n）需大于0的數(shù)學要求，本文提出并采用的計算方法為：

3.2 對新參數(shù)的探究

鑒于計算一個序列的Hurst指數(shù)過程需要將序列等分，分別計算R/S值并最終進行擬合。在此改進算法中，規(guī)定了待計算序列長度為2的整數(shù)次冪，這樣能夠達到均分子序列的要求，計算過程更加簡化，無需計算序列的因數(shù)，也能避免某些長度序列因數(shù)過少甚至是素數(shù)長度導致的擬合點過少無法收斂。且該做法能夠使線性擬合時的取整數(shù)，減少由計算結(jié)果精確度帶來的誤差。

在本節(jié)步驟（4）中計算標準差時添加微小量 的目的是避免標準差為0帶來的分母為0，由于網(wǎng)絡流量會有較長時間持續(xù)為一恒定值0，故某個子區(qū)間Ia標準差為0的情況時有發(fā)生。但是增加標準差會導致Hurst指數(shù)值略微偏大，可令盡可能小以減少影響。

對產(chǎn)生這一趨勢的原因進行分析，不妨假設一個序列的序列是一個均值序列，即：

此時，構(gòu)造函數(shù)

考察該函數(shù)的變化趨勢，增加帶來的的變化與S有關(guān)，故對S求偏導

由偏導數(shù)可知，S增加會使增加，這里，故存在且，即會隨著S的增加而減小，其斜率隨著S增大而減小。由反比例函數(shù)性質(zhì)可得，由增加帶來的增量隨著S的減小而增加，由此更小的S，在更大的下，的減小量更多。序列越短，序列波動的程度與長序列相比更輕微，S會隨著序列長度縮短而減少。于是，較短序列長度下的會在的作用下減少更多，逆時針偏移，斜率增大，H增大，且增加會導致H進一步增加。

根據(jù)使用長度為4096的隨機序列、長度為4096的單調(diào)遞增序列、長度為4096的正弦序列進行、、、實驗得出結(jié)果可得到驗證，計算結(jié)果如表2所示。如圖2所示，對和序列Hurst指數(shù)值變化趨勢的探究中，橫坐標取以10為底的對數(shù)，可以看出更大的會使Hurst指數(shù)較原值增加更多，當越趨近于0時，值的變化越小。

在本節(jié)步驟（3）中添加的微小量保證序列不為0，從而使對數(shù)坐標有意義。取值與有關(guān)，兩者數(shù)值大小將影響Hurst指數(shù)的偏移量。使用在不同數(shù)量級區(qū)間內(nèi)取值的和計算一個隨機序列的Hurst指數(shù)并繪制出熱圖，結(jié)果如圖3所示?？梢猿醪接^察到，變大將影響Hurst指數(shù)增大，增大將影響Hurst指數(shù)減小。

首先對的影響進行分析，繼續(xù)考察函數(shù)的特性，求對R的偏微分得：

由反比例函數(shù)性質(zhì)可知，R增加會引起減小，由于，存在且，故隨著R增加而增加，且增加速率隨著R變大而減小，會隨著增大而減小，且越小的R產(chǎn)生的變化越大。當序列越短時，序列上下極值的差異性會越小，R會隨著序列長度縮短而減少。于是，較小序列長度下的會在的作用下，增加的幅度更大，從而導致擬合直線順時針偏移，斜率減小，H減小，更大的會導致H減小幅度更大。

由全微分可以得出，當，此時等號代表數(shù)量級的相等，這時最小且;當時，，此時最小且，即在這兩種情況下的改變量最小。

從圖3中可以看到一條貫穿左上角與右下角的等值點組成的線，在右下角的點為與均取0值，在這條線上的點，顏色基本一致，對應著相同數(shù)量級下的與所對應的Hurst指數(shù)值。當與取10-5或更小的值時，即使二者數(shù)量級略有差異，對Hurst指數(shù)的取值影響以及影響變化的速度有顯著減小，但當與取10-2時，即使兩個參數(shù)數(shù)量級相同，也對Hurst指數(shù)有較大的影響，基本符合上述分析結(jié)果。結(jié)合實際網(wǎng)絡流量可能的特征，在實際計算時10-5應保持在較小且相同的數(shù)量級下。經(jīng)過對單調(diào)遞增序列和正弦序列進行計算也得到類似的結(jié)果。

綜上對取值數(shù)量級范圍的討論，本文在較小的數(shù)量級取值范圍下取，作為后續(xù)計算基礎。

4 異常流量檢測

4.1 獲取待檢測數(shù)據(jù)

本文以Mininet為仿真環(huán)境建立一個虛擬SDN拓撲網(wǎng)絡，以Ryu作為SDN控制器，設置網(wǎng)絡連接帶寬均為10Mbps。網(wǎng)絡拓撲結(jié)構(gòu)如圖4所示。

進入節(jié)點h1的終端，調(diào)用SYN泛洪（SYN flood）攻擊腳本向h2發(fā)起攻擊，作為DoS的測試模塊。利用Wireshark工具獲取控制器c0、攻擊節(jié)點h1、目標節(jié)點h2的流量信息，采樣間隔為100ms，分別獲取網(wǎng)絡正常運行時的信息和發(fā)動攻擊時的流量信息。

4.2 檢測流量狀態(tài)

對于本文所用網(wǎng)絡，在正常狀態(tài)下捕獲的c0、h1、h2節(jié)點流量Hurst指數(shù)情況如表3所示。

當SYN泛洪測試開啟后，再捕獲各節(jié)點流量并計算Hurst指數(shù)，結(jié)果如表4所示。

對正常狀態(tài)下的網(wǎng)絡和存在異常流量的網(wǎng)絡各節(jié)點分別進行20次流量捕獲與計算，做出各節(jié)點流量序列Hurst指數(shù)的箱型圖，如圖5所示。

由上述實驗數(shù)據(jù)可以明顯區(qū)分出網(wǎng)絡正常狀態(tài)與SYN泛洪狀態(tài)。相比于正常狀態(tài)的網(wǎng)絡流量，控制器c0的Hurst指數(shù)明顯升高，而兩個終端節(jié)點的Hurst指數(shù)下降，但變化幅度小于控制器。故針對本文所用的網(wǎng)絡拓撲結(jié)構(gòu)，判定網(wǎng)絡內(nèi)部SYN泛洪發(fā)生與否的指標應設為控制器c0的Hurst指數(shù)。一旦c0節(jié)點的Hurst指數(shù)升高至0.7以上，則應該考慮網(wǎng)絡內(nèi)部可能發(fā)生了SYN泛洪攻擊。

如果進一步分析這種變化的原因，主要是由于SDN的特性所決定。SYN泛洪需要向被害主機發(fā)送大量以偽造IP為源地址的SYN消息，而網(wǎng)絡中突然出現(xiàn)大量新IP，導致交換機不斷匹配、更新流表[13]，從而向控制器下發(fā)大量PACKET_IN請求，控制器忙于處理PACKET_IN和PACKET_OUT，導致單位時間內(nèi)流量包急劇升高。

4.3 檢測異常時刻

獲得一個網(wǎng)絡的異常情況Hurst指數(shù)后，就可以利用其進行檢測異常發(fā)生時刻。在探測異常變化時，針對流量時間序列，用一定寬度的窗，以序列起始部分加上窗寬度的位置作為起始位置，依次向后截取序列并分析Hurst指數(shù)。對本文所用網(wǎng)絡，檢測內(nèi)部SYN泛洪事件發(fā)生時刻，使用寬度為102400ms（1024個采樣點）的窗對序列進行截取，計算控制器c0的Hurst指數(shù)變化情況并試圖得到異常流量開始的時刻。

如表5所示，是實際攻擊開始時刻與預測時刻對照表，如圖6所示是一個控制器在SYN泛洪攻擊發(fā)生時的Hurst指數(shù)變化情況。根據(jù)對照表可以看出該方法在判斷攻擊發(fā)生時刻上具有較低的延遲，一般在幾秒內(nèi)。根據(jù)變化情況圖可以看出該方法較為穩(wěn)定，異常發(fā)生時的Hurst指數(shù)與正常相比會出現(xiàn)大幅度變化。對異常發(fā)生時刻檢測效果較好。

5 結(jié)束語

SDN環(huán)境下的網(wǎng)絡流量檢測問題，與傳統(tǒng)網(wǎng)絡不同的是，SDN環(huán)境下不僅需要檢測終端情況，還應檢測SDN控制器的狀況。通過分形學中的Hurst指數(shù)，正常狀態(tài)與異常狀態(tài)的網(wǎng)絡流量序列能夠用量化的數(shù)字進行區(qū)分，這種方法不需要借助其他因素，可以從流量序列本身得到，特異性和可推廣性都較強。本文從傳統(tǒng)R/S分析法出發(fā)，通過引入新參數(shù)并從數(shù)學角度利用微元法分析了參數(shù)對算法造成的影響，通過實驗測試具體參數(shù)的影響，確定了一組可用的參數(shù)，使該算法成功克服了網(wǎng)絡流量序列可能存在的長期連續(xù)恒定0值帶來的極差、標準差為0所造成計算出錯的問題。對一段連續(xù)的序列，可以探測序列中發(fā)生的異常，這為網(wǎng)絡狀態(tài)實時檢測提供了切入點。通過實驗，展示了SDN環(huán)境下利用該算法分析異常的思路，最終計算得到該網(wǎng)絡在正常狀態(tài)下和異常狀態(tài)下的Hurst指數(shù)分別為0.55和0.85左右，對攻擊時刻判定的延遲在2s左右，證明了該算法檢測異常的可行性和準確性。

參考文獻

[1] 于群， 屈玉清， 石良. 基于相對值法和Hurst指數(shù)的電網(wǎng)停電事故自相關(guān)性分析[J]. 電力系統(tǒng)自動化， 2018， 42（01）： 55-60+124.

[2] 錢峰， 董林垚， 黃介生， 等. 基于Hurst指數(shù)與相關(guān)系數(shù)的降雨侵蝕力變異識別與分級方法[J]. 農(nóng)業(yè)工程學報， 2018， 34（14）： 140-148.

[3] 李昕， 蔡二娟， 田彥秀， 等. 一種改進腦電特征提取算法及其在情感識別中的應用[J]. 生物醫(yī)學工程學雜志， 2017， 34（04）： 510-517+528.

[4] Leland W E， Taqqu M S， Willinger W， et al. On the self-simmilar nature of ethernet traffic（extended version[J]. IEEE/ACM Transactions on Networking， 1994， 2（1）： 1-15.

[5] Pharande S， Pawar P， Wani P W， et al. Application of Hurst Parameter and Fuzzy Logic for Denial of Service Attack Detection[M]. IEEE International Advance Computing Conference， ed; 2015， 834-838.

[6] Lozhkovskyi A G. Simplified Calculation of the Hurst Coefficient by the R/S-Analysis Method[C]. Lviv， UKRAINE： IEEE， 2017： 254-257.

[7] 張龍， 王勁松. SDN中基于信息熵與DNN的DDoS攻擊檢測模型[J]. 計算機研究與發(fā)展， 2019， 05： 909-918.

[8] 左青云， 陳鳴， 王秀磊， 等. 一種基于SDN的在線流量異常檢測方法[J]. 西安電子科技大學學報， 2015， 42（01）： 155-160.

[9] Peitgen H O， Jurgens H， Saupe D. Chaos and Fractals[M]. 2004.

[10] Rejichi I Z， Aloui C. Hurst exponent behavior and assessment of the MENA stock markets efficiency[J]. Research in International Business & Finance， 2012， 26（3）： 353-370.

[11] Zhang H Y， Kang M C， Li J Q， et al. R/S analysis of reaction time in Neuron Type Test for human activity in civil aviation[J]. Physica A Statistical Mechanics & Its Applications， 2017， 469： 859-870.

[12] Qian B， Al. E. HURST EXPONENT AND FINANCIAL MARKET PREDICTABILITY[Z]. 2007.

[13] Foundation O N. openflow-switch-v1.5.1[Z]. 2015.

作者簡介：

蘭海燕（1983-），女，漢族，黑龍江綏化人，哈爾濱工程大學，博士，哈爾濱工程大學，講師;主要研究方向和關(guān)注領域：信息安全、移動邊緣計算。

孫鶴玲（1996-），女，漢族，黑龍江大慶人，哈爾濱工程大學，碩士;主要研究方向和關(guān)注領域：信息安全、移動邊緣計算。

潘昱辰（1997-），男，漢族，河南新鄉(xiāng)人，哈爾濱工程大學，碩士;主要研究方向和關(guān)注領域：人工智能、信息安全。

（本文為“2020年429首都網(wǎng)絡安全日”活動征文）