朱嘉豪，徐 凱，王炎豪，陸煜斌，宣 涵，沈建華

(南京郵電大學(xué) 通信與信息工程學(xué)院，南京 210003)

0 引 言

軟件定義光網(wǎng)絡(luò)(Software Defined Optical Networks，SDON)是將軟件定義網(wǎng)絡(luò)(Software Defined Networks，SDN)的概念和技術(shù)應(yīng)用于光網(wǎng)絡(luò)的一種新型網(wǎng)絡(luò)結(jié)構(gòu)[1-2]。SDON不僅可以提供快速定制化的服務(wù)，同時(shí)還能實(shí)現(xiàn)較高的資源利用率和靈活的業(yè)務(wù)供給[3]。SDON控制平面構(gòu)建靈活、開放和智能的光網(wǎng)絡(luò)體系結(jié)構(gòu)，并通過南向接口(Southbound Interface，SBI)及北向接口(Northbound Interface，NBI)實(shí)現(xiàn)靈活的服務(wù)訪問和硬件控制。但集中式的SDON控制平面在日常應(yīng)用中可能會(huì)受到惡意的攻擊或入侵，特別是當(dāng)受到攻擊者劫持時(shí)，整個(gè)光網(wǎng)絡(luò)可能會(huì)陷入癱瘓[4]。如何在SDON控制平面中實(shí)現(xiàn)異常檢測(cè)、消除安全隱患及保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，已成為熱點(diǎn)問題。Chandola等對(duì)基于統(tǒng)計(jì)學(xué)、信息論和機(jī)器學(xué)習(xí)等手段的異常檢測(cè)分析方法進(jìn)行了比較，認(rèn)為機(jī)器學(xué)習(xí)是一種具有發(fā)展前途的入侵檢測(cè)方法[5]；Sequeira等提出了一個(gè)基于主機(jī)數(shù)據(jù)收集和處理的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，可以有效識(shí)別計(jì)算機(jī)終端側(cè)偽裝者與真實(shí)用戶之間的區(qū)別[6]。對(duì)于SDON控制平面而言，亟待解決的關(guān)鍵技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)的異常檢測(cè)，許多學(xué)者將研究重點(diǎn)放在利用機(jī)器學(xué)習(xí)技術(shù)分析光網(wǎng)絡(luò)[7-10]。針對(duì)當(dāng)前SDON控制平面流量異常檢測(cè)存在的智能化和靈活性不足等問題，本文提出了一種基于機(jī)器學(xué)習(xí)的檢測(cè)策略，分別從基于點(diǎn)和序列異常的角度實(shí)現(xiàn)了檢測(cè)。

1 SDON架構(gòu)

SDON控制平面架構(gòu)路徑計(jì)算在控制器完成，路徑建立由控制器發(fā)起[11]。控制器的主要功能是通過可編程SBI管理傳輸平面進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，并支持使用NBI開發(fā)的應(yīng)用，其還允許對(duì)資源優(yōu)化進(jìn)行多層控制[12]。SDON控制器是一種軟件實(shí)體，負(fù)責(zé)監(jiān)管傳輸平面資源，并通過標(biāo)準(zhǔn)接口開放網(wǎng)絡(luò)控制能力，集成了路徑計(jì)算、網(wǎng)絡(luò)虛擬化和鏈路管理等一系列功能。如圖1所示，通過SBI，控制器可以獲取轉(zhuǎn)發(fā)平面的資源信息，實(shí)現(xiàn)連接控制功能，然后利用NBI與應(yīng)用平面連接，為應(yīng)用提供服務(wù)。

圖1 SDON架構(gòu)

控制平面是SDON體系結(jié)構(gòu)中最重要的部分，一旦受到攻擊，大多數(shù)服務(wù)便無法保證。SDON控制平面可能遇到的潛在威脅主要包括[13-15]：(1) 未經(jīng)授權(quán)的訪問。入侵者使用特定的技術(shù)手段對(duì)控制平面進(jìn)行未經(jīng)授權(quán)的訪問，因此造成信息泄漏。(2) 數(shù)據(jù)泄漏。在SDON的南端，OpenFlow交換機(jī)處理不同種類的信令消息。入侵者可以了解其模式和功能之后偽造此類包，以此形成大量請(qǐng)求，占用大量網(wǎng)絡(luò)資源，導(dǎo)致拒絕服務(wù)(Denial of Service，DoS)攻擊，使目標(biāo)用戶無法獲得網(wǎng)絡(luò)資源。(3) 數(shù)據(jù)修改。入侵者可以劫持控制器，修改網(wǎng)絡(luò)元素中的流規(guī)則，從而改變包轉(zhuǎn)發(fā)策略，導(dǎo)致SDON中的混亂。(4) DoS。SDON控制器需借助SBI與網(wǎng)元通信，入侵者可以利用其來監(jiān)視具有特定流規(guī)則的數(shù)據(jù)包，然后將其泛洪到控制器，入侵者通過劫持許多分布式主機(jī)來攻擊控制器，導(dǎo)致信道和系統(tǒng)資源被大量的攻擊流量占據(jù)。(5) 安全策略誤用?？刂破矫孢€可能受到不正確使用安全功能的影響，從而導(dǎo)致潛在的攻擊。

總的來看，控制平面受到的威脅大部分來自于各種潛在入侵行為。特別地，當(dāng)一個(gè)或多個(gè)用戶的網(wǎng)絡(luò)配置文件中的數(shù)據(jù)變得異常時(shí)，意味著SDON可能受到了潛在的攻擊。因此，引入靈活、高效和準(zhǔn)確的異常檢測(cè)機(jī)制以發(fā)現(xiàn)控制平面面臨的各種風(fēng)險(xiǎn)和威脅具有極其重要的意義。

2 基于點(diǎn)異常的檢測(cè)策略

對(duì)于動(dòng)態(tài)業(yè)務(wù)環(huán)境下的光網(wǎng)絡(luò)，客戶的行為是固定的，每個(gè)客戶的網(wǎng)絡(luò)配置參數(shù)如平均使用帶寬、源和目標(biāo)節(jié)點(diǎn)對(duì)、平均路由長度和調(diào)制格式等，一般在一定范圍內(nèi)波動(dòng)。參數(shù)突然產(chǎn)生劇烈變化就表明可能存在網(wǎng)絡(luò)入侵行為，有些變化可能是由客戶自身操作引起的，但這一般是小概率事件。

假設(shè)一棵孤立樹有兩個(gè)子節(jié)點(diǎn)(Tl,Tr)，其中包含特征q和分割值p。給定n個(gè)樣本數(shù)據(jù)X={x1,…,xn}，特征的維度為d。為了得到一棵孤立樹，遞歸地分割數(shù)據(jù)集X，并將q

一個(gè)包含n個(gè)數(shù)據(jù)的樣本集，所得孤立樹的平均路徑長度可表示為

式中，H(i)為調(diào)和數(shù)。c(n)用來將樣本x的路徑長度h(x) 標(biāo)準(zhǔn)化。

將樣本x的異常得分定義為

式中，E(h(x))為求得的路徑長度h(x)的期望。

基于孤立森林的異常檢測(cè)包括兩個(gè)步驟：訓(xùn)練階段，基于訓(xùn)練集來建立孤立樹；測(cè)試階段，使用孤立樹計(jì)算每一個(gè)測(cè)試樣本的異常分?jǐn)?shù)。訓(xùn)練階段，通過對(duì)訓(xùn)練集進(jìn)行遞歸分割建立孤立樹，一直分割到所有的樣本都被孤立，或者建立的樹達(dá)到了設(shè)定的高度值。測(cè)試階段，通過孤立森林中的每一棵樹，得到期望路徑長度E(h(x))，再由此得到每一個(gè)測(cè)試樣本的異常分?jǐn)?shù)。

當(dāng)E(h(x))→c(n)時(shí)，s→0.5，即得出的樣本x的路徑平均長度和計(jì)算出的樹的平均路徑長度基本相等時(shí)，無法判定是否異常。

當(dāng)E(h(x))→0時(shí)，s→1.0，即計(jì)算出的x的異常分?jǐn)?shù)接近于1時(shí)，可以認(rèn)為此點(diǎn)是異常的。

當(dāng)E(h(x))→n-1時(shí)，s→0，被判定為正常。

3 基于序列異常的檢測(cè)策略

基于時(shí)間序列的異常檢測(cè)思路是，通過參考更長時(shí)間內(nèi)數(shù)據(jù)的總體走勢(shì)進(jìn)行長期環(huán)比，在短期范圍出現(xiàn)頻繁操作則被認(rèn)定為非正常現(xiàn)象，存在入侵行為，對(duì)其進(jìn)行異常檢測(cè)符合網(wǎng)絡(luò)安全的預(yù)期。入侵者短時(shí)間內(nèi)的創(chuàng)建、修改和刪除光路操作會(huì)對(duì)走勢(shì)造成干擾。大部分情況下都是使用曲線對(duì)序列進(jìn)行擬合，這樣可以清晰呈現(xiàn)變化趨勢(shì)。若新出現(xiàn)的數(shù)據(jù)破壞了這種序列的走勢(shì)，曲線因此不再平滑，即說明該部分出現(xiàn)了異常。

對(duì)曲線進(jìn)行擬合有很多方式，比如滑動(dòng)平均和回歸等。本文使用指數(shù)權(quán)重移動(dòng)平均(Exponentially Weighted Moving-Average , EWMA)算法來擬合曲線[17]。在EWMA算法中，下一點(diǎn)的平均值是由上一點(diǎn)的平均值和目前點(diǎn)的實(shí)際值修正而來。而對(duì)任意一個(gè)EWMA值來說，數(shù)據(jù)的權(quán)重是不相同的，更靠近當(dāng)前值的數(shù)據(jù)有著更高的權(quán)重。得到了平均值之后，就可以基于公式判定之后出現(xiàn)的新數(shù)據(jù)是否在設(shè)定的閾值范圍之內(nèi)，即通過與實(shí)際值進(jìn)行比較，判定新數(shù)據(jù)是否超出了該范圍以決定是否判斷為入侵。

EWMA 算法的表達(dá)式為

在t=0 時(shí)刻，初始化v0=0，對(duì)vt表達(dá)式進(jìn)行標(biāo)準(zhǔn)化處理，這時(shí)t時(shí)刻的表達(dá)式為

由式(4)可知，數(shù)值的加權(quán)系數(shù)和時(shí)間呈指數(shù)關(guān)系，距離當(dāng)前時(shí)刻越遠(yuǎn)，加權(quán)系數(shù)下降越快。由此得出預(yù)測(cè)值便能進(jìn)行曲線擬合。

4 仿真實(shí)驗(yàn)及結(jié)果分析

所有訓(xùn)練數(shù)據(jù)測(cè)試均在國家科學(xué)基金會(huì)網(wǎng)絡(luò)(NSFNET)中生成，如圖2所示。對(duì)于基于點(diǎn)異常的檢測(cè)方案，假設(shè)用戶經(jīng)常使用其中的部分光節(jié)點(diǎn)，業(yè)務(wù)鏈路在這些節(jié)點(diǎn)對(duì)中建立。使用節(jié)點(diǎn)集{0、1、2、4、5 }中的隨機(jī)源—目標(biāo)對(duì)生成10 000個(gè)訓(xùn)練數(shù)據(jù)實(shí)例。為了直觀地表明結(jié)果，選擇了光網(wǎng)絡(luò)的兩個(gè)特征，即所需帶寬和路由長度。生成的帶寬遵循高斯分布，即N(15,3)，平均帶寬為15 GHz，方差為3。路由長度采用Dijkstra算法計(jì)算。

圖2 NSFNET拓?fù)鋱D

首先利用訓(xùn)練數(shù)據(jù)集進(jìn)行孤立森林訓(xùn)練。對(duì)于孤立森林算法來說，一個(gè)小子采樣就足夠用于從正常數(shù)據(jù)中區(qū)分異常。一般將subsample size設(shè)置在28=256即可保證在一個(gè)較大的數(shù)據(jù)范圍內(nèi)實(shí)現(xiàn)異常檢測(cè)。根據(jù)經(jīng)驗(yàn)值發(fā)現(xiàn)，路徑長度通常在Number of trees設(shè)置為100時(shí)收斂得最好。調(diào)整Tree height會(huì)更改異常分?jǐn)?shù)的粒度，本文經(jīng)多次試驗(yàn)發(fā)現(xiàn)，將Tree height取為8表現(xiàn)比較好。為了測(cè)試本文所提方案，仿真中使用2 000個(gè)數(shù)據(jù)實(shí)例(里面包含了30個(gè)異常數(shù)據(jù))作為測(cè)試數(shù)據(jù)集。對(duì)于異常數(shù)據(jù)，在[0,60] GHz內(nèi)隨機(jī)設(shè)置所需帶寬，隨機(jī)選擇源—目標(biāo)節(jié)點(diǎn)對(duì)。仿真結(jié)果如圖3所示，紅色的點(diǎn)聲明為入侵點(diǎn)。從中檢測(cè)出了27個(gè)異常點(diǎn)(27/30)，檢測(cè)準(zhǔn)確率為90%。

圖3 異常點(diǎn)檢測(cè)圖

圖4 異常序列檢測(cè)

5 結(jié)束語

SDON是光網(wǎng)絡(luò)未來發(fā)展的主要方向，潛在的流量異常及入侵威脅著SDON核心的控制平面，并可能對(duì)網(wǎng)絡(luò)業(yè)務(wù)的實(shí)現(xiàn)及性能產(chǎn)生嚴(yán)重影響。針對(duì)異常檢測(cè)問題，本文提出了一種基于機(jī)器學(xué)習(xí)的SDON檢測(cè)策略，采用孤立森林算法來檢測(cè)點(diǎn)異常，采用EWMA算法檢測(cè)序列異常。理論分析和仿真結(jié)果表明，本文所提檢測(cè)策略可有效提高控制平面檢測(cè)的性能，在點(diǎn)和序列異常檢測(cè)中，平均檢測(cè)準(zhǔn)確率分別達(dá)到了90%和85%。