林洪秀，邢長友，詹 熙

（中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院，南京 210007）

0 概述

大量研究表明，大部分網(wǎng)絡(luò)攻擊開始之前通常存在網(wǎng)絡(luò)偵察階段［1］。在網(wǎng)絡(luò)偵察階段，攻擊者主要獲取目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲、IP 地址塊、服務(wù)依賴關(guān)系和存在漏洞的服務(wù)器等信息，其中，網(wǎng)絡(luò)拓撲是一種非常重要的攻擊信息，攻擊者可以根據(jù)目標(biāo)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)對網(wǎng)絡(luò)中的關(guān)鍵鏈路和關(guān)鍵節(jié)點發(fā)起鏈路洪泛攻擊（Link-Flooding Attack，LFA）［2］等精準(zhǔn)攻擊，破壞目標(biāo)網(wǎng)絡(luò)的連通性。

作為一種主動欺騙防御技術(shù)，網(wǎng)絡(luò)拓撲混淆技術(shù)能夠有效對抗攻擊者實施的網(wǎng)絡(luò)拓撲推斷［3］。網(wǎng)絡(luò)拓撲混淆技術(shù)［4-5］并不刻意阻止攻擊者的攻擊行為，而是識別網(wǎng)絡(luò)中的探測流，通過策略性地混淆探測流，將真實網(wǎng)絡(luò)拓撲偽裝成混淆網(wǎng)絡(luò)拓撲，使攻擊者無法發(fā)起有效攻擊。

目前，網(wǎng)絡(luò)拓撲混淆技術(shù)在對抗基于traceroute的網(wǎng)絡(luò)拓撲推斷研究中取得了較好的成果，但面向網(wǎng)絡(luò)層析成像的拓撲混淆技術(shù)的相關(guān)研究較少，且存在一定的局限性。在網(wǎng)絡(luò)層析成像拓撲推斷中，攻擊者通過使用多種探測模式測量路徑性能相關(guān)性，從而根據(jù)測量結(jié)果推斷網(wǎng)絡(luò)拓撲結(jié)構(gòu)［6］。網(wǎng)絡(luò)拓撲混淆技術(shù)則通過對探測流進行混淆操作［7］，擾動攻擊者的測量結(jié)果，使其推斷出錯誤的網(wǎng)絡(luò)拓撲，其具體的混淆操作方法與攻擊者進行拓撲推斷時使用的性能參數(shù)類型相關(guān)，如攻擊方以時延為拓撲推斷的性能參數(shù)時，防守方通常通過延遲操作來混淆探測流，而當(dāng)攻擊方以丟包率為拓撲推斷的性能參數(shù)時，則防守方通常通過丟棄數(shù)據(jù)包操作來混淆探測流。不同性能參數(shù)對應(yīng)著攻擊方不同的探測模式，若混淆操作與探測模式不匹配，則會出現(xiàn)無法有效混淆探測流的后果，因此，準(zhǔn)確識別探測模式對于增強面向網(wǎng)絡(luò)層析成像的拓撲混淆技術(shù)具有重要意義。然而，現(xiàn)有面向網(wǎng)絡(luò)層析成像的拓撲混淆技術(shù)只能識別攻擊者的探測行為，無法進一步識別攻擊者使用的探測模式。

針對上述問題，本文提出一種既能在線識別探測行為與探測模式，又能策略性混淆探測流的方法，實現(xiàn)這一目標(biāo)主要存在以下3 個挑戰(zhàn)：1）在線檢測攻擊者的探測流對實時性的要求比較高，在追求檢測準(zhǔn)確性的同時也能保證檢測時效性具有一定的挑戰(zhàn)性；2）不同探測模式下的探測流區(qū)別較小，準(zhǔn)確識別探測包的探測模式具有一定的挑戰(zhàn)性；3）如何混淆探測流使攻擊者偵察到混淆網(wǎng)絡(luò)具有一定的挑戰(zhàn)性。

為解決以上問題，本文提出一種對抗多模式網(wǎng)絡(luò)層析成像的拓撲混淆機制M2NTO。針對第1 個挑戰(zhàn)，設(shè)計一種基于增量學(xué)習(xí)的在線決策樹分類算法，在探測流的早期階段進行識別和分類，根據(jù)分類結(jié)果對探測流的后續(xù)數(shù)據(jù)包進行相應(yīng)的混淆操作。針對第2 個挑戰(zhàn)，根據(jù)網(wǎng)絡(luò)層析成像探測流在傳輸模式上存在的區(qū)別，將探測流檢測分為2 個步驟：首先使用流量分類算法識別網(wǎng)絡(luò)中的探測流，然后再以塊的形式對識別到的探測流進行二次分類，從而得到探測流的探測模式。針對第3 個挑戰(zhàn)，根據(jù)網(wǎng)絡(luò)負載情況與探測方法判斷攻擊者使用的性能參數(shù)，結(jié)合性能參數(shù)的特點和探測模式的原理為每種性能參數(shù)設(shè)計相應(yīng)的混淆方案。

本文基于SDN［8］技術(shù)實現(xiàn)M2NTO 的原型系統(tǒng)，M2NTO 通過在網(wǎng)絡(luò)邊緣部署SDN 交換機實時捕獲端節(jié)點發(fā)出的網(wǎng)絡(luò)流數(shù)據(jù)并轉(zhuǎn)發(fā)到SDN 控制器，隨后SDN 控制器再進行特征提取、流量分類及下發(fā)流表等操作，最后，SDN 交換機根據(jù)下發(fā)的流表規(guī)則進行相關(guān)混淆操作，從而準(zhǔn)確識別探測流類別并有效混淆網(wǎng)絡(luò)層析成像探測包，達到防御基于網(wǎng)絡(luò)層析成像的拓撲探測的目的。

1 相關(guān)工作

網(wǎng)絡(luò)層析成像技術(shù)根據(jù)端到端測量結(jié)果推斷網(wǎng)絡(luò)拓撲結(jié)構(gòu)，常用的拓撲推斷算法主要有MLT（Maximum Likelihood Tree）［9］、HTE（Hierarchical Tree Estimation）［10］和RNJ（Rooted Neighbor-Joining）［11］等算法，這些方法的拓撲推斷過程主要分為測量端到端性能、計算節(jié)點相關(guān)性、重構(gòu)網(wǎng)絡(luò)拓撲3 個步驟［12］。首 先，使 用“三明治”分組列 車［13］和“背 靠背”［9］等測量方法從源節(jié)點發(fā)送一組探測包到目的節(jié)點。然后，在目的節(jié)點計算共享路徑性能（排隊時延、鏈路利用率、時延協(xié)方差等），根據(jù)相關(guān)性能的值計算目的節(jié)點對之間的相關(guān)性，共享路徑越長，相關(guān)性值越大，節(jié)點對相關(guān)性越大。最后，根據(jù)節(jié)點相關(guān)性重構(gòu)網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

網(wǎng)絡(luò)層析成像技術(shù)準(zhǔn)確推斷目標(biāo)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的前提是測量數(shù)據(jù)真實可靠，根據(jù)這個特點，HOU等［4］提出了一種先檢測后混淆的網(wǎng)絡(luò)層析成像拓撲混淆框架ProTo。ProTo 中的檢測模塊以一種輕量級的KNN 分類器識別網(wǎng)絡(luò)層析成像探測包，通過離線自訓(xùn)練和在線增量更新，可以達到較高的檢測率和較低的誤報率；混淆模塊通過延遲識別到的探測包，使攻擊者測量的網(wǎng)絡(luò)端到端性能不準(zhǔn)確，從而計算到錯誤的節(jié)點相關(guān)性，推斷出錯誤的網(wǎng)絡(luò)拓撲。LIU等［5］針對ProTo 的混淆性能存在不確定性這個問題，設(shè)計了一個多目標(biāo)優(yōu)化模型AntiTomo，根據(jù)欺騙性、安全性、低成本等目標(biāo)，在候選混淆拓撲組成的候選森林中使用貪心算法選擇最優(yōu)候選樹作為混淆網(wǎng)絡(luò)拓撲。

雖然ProTo 和AntiTomo 在對抗網(wǎng)絡(luò)層析成像拓撲推斷上起到了一定的作用，但兩者都存在一定的局限性：AntiTomo 不對網(wǎng)絡(luò)層析成像探測包進行識別，僅通過增加網(wǎng)絡(luò)鏈路的端到端時延來混淆網(wǎng)絡(luò)拓撲，這種混淆操作會影響正常數(shù)據(jù)包的傳輸，降低網(wǎng)絡(luò)性能甚至影響網(wǎng)絡(luò)功能；ProTo 只能檢測到攻擊者基于網(wǎng)絡(luò)層析成像的探測行為，無法進一步識別其使用的測量方法類型，且只能在網(wǎng)絡(luò)層析成像的性能參數(shù)為排隊時延的情況下進行混淆操作。

2 基于網(wǎng)絡(luò)層析成像的拓撲探測及對抗模型

2.1 基于網(wǎng)絡(luò)層析成像的拓撲探測模型

圖1 是攻擊者利用源節(jié)點s1和目的節(jié)點｛d1，d2，d3，d4，d5｝形成的1×5 探測網(wǎng)絡(luò)。在網(wǎng)絡(luò)拓撲端到端探測過程中，攻擊者在源節(jié)點s1發(fā)出一組探測分組，這些探測分組將沿著相應(yīng)的路由到達目的節(jié)點。在基于層析成像的網(wǎng)絡(luò)拓撲探測模型中，為了推斷目標(biāo)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，攻擊者需要測量任意2 個目的節(jié)點間的相關(guān)性，因此，需要組合測量到所有目的節(jié)點對之間的性能，最后推斷出整個目標(biāo)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。為了準(zhǔn)確計算節(jié)點間的相關(guān)性，在實際測量中攻擊者往往多次測量計算均值，通常需要向每個節(jié)點對發(fā)送幾百甚至上千個探測包。因此，在攻擊者探測期間，網(wǎng)絡(luò)中可以觀測到具有相同模式的大量流量。

圖1 基于網(wǎng)絡(luò)層析成像的拓撲推斷方法Fig.1 Topology inference method based on network tomography

網(wǎng)絡(luò)層析成像常用的測量方法如圖2 所示，“三明治”分組列車測量方法的探測包組由3 個數(shù)據(jù)包組成，2 個小數(shù)據(jù)包夾著一個大數(shù)據(jù)包，小數(shù)據(jù)包發(fā)送到同一個目的節(jié)點，大數(shù)據(jù)包j1被發(fā)送到另一個目的節(jié)點；“背靠背”探測方法的探測包組通常由2 個相同大小的數(shù)據(jù)包組成，從根節(jié)點相繼發(fā)送，到達中間節(jié)點f后分開，直至到達2 個不同的目的節(jié)點。

圖2 基于網(wǎng)絡(luò)層析成像的拓撲探測方法Fig.2 Topology probe method based on network tomography

2 種測量方法的探測模式不同，節(jié)點相關(guān)性計算的思想也不同。在“三明治”分組列車探測方法中，大數(shù)據(jù)包j1大小通常超過1 000 Byte，在鏈路中的傳輸時延較大，導(dǎo)致小數(shù)據(jù)包p2在節(jié)點f處的排隊時延較長，使得節(jié)點i和節(jié)點j的共享路徑越長，數(shù)據(jù)包p1和大數(shù)據(jù)包j1經(jīng)過的節(jié)點越多，在目的節(jié)點di觀測到2 個小數(shù)據(jù)包的時延差值就越大，節(jié)點di和節(jié)點dj相關(guān)性越大。“背靠背”探測方法的本質(zhì)是模擬多播網(wǎng)絡(luò)，由于2 個數(shù)據(jù)包之間的時間間隔極小，可以認為2 個數(shù)據(jù)包在共享鏈路上所經(jīng)過的網(wǎng)絡(luò)狀況相同，在目的節(jié)點計算端到端單向時延或丟包率，根據(jù)時延協(xié)方差或丟包率計算2 個節(jié)點的共享路徑長度，時延協(xié)方差或丟包率越大，共享路徑越長。

2.2 對抗網(wǎng)絡(luò)層析成像的拓撲混淆模型

針對上述探測過程，本文設(shè)計的網(wǎng)絡(luò)拓撲混淆模型如圖3 所示，主要分為網(wǎng)絡(luò)流量監(jiān)聽與處理、探測流量識別與分類和探測流量混淆操作3 個階段。在網(wǎng)絡(luò)流量監(jiān)聽與處理階段，完成監(jiān)聽網(wǎng)絡(luò)實時數(shù)據(jù)流、提取數(shù)據(jù)流特征以及特征選擇等處理操作。在探測流量識別與分類階段，將處理好的數(shù)據(jù)送入分類器進行分類，得到網(wǎng)絡(luò)流類型的分類結(jié)果，之后根據(jù)新到達的數(shù)據(jù)動態(tài)更新該分類器。在探測流量混淆操作階段，首先結(jié)合流量分類的結(jié)果和網(wǎng)絡(luò)負載情況判斷攻擊者使用的網(wǎng)絡(luò)性能參數(shù)，然后根據(jù)混淆網(wǎng)絡(luò)拓撲生成算法構(gòu)建混淆網(wǎng)絡(luò)拓撲并計算混淆操作中用到的性能參數(shù)，最后根據(jù)得到的性能參數(shù)對K-cast 探測流進行相應(yīng)的混淆操作。

圖3 對抗網(wǎng)絡(luò)層析成像的拓撲混淆模型Fig.3 Topology obfuscation model against network tomography

需要說明的是，由于流量分類階段初始分類器的構(gòu)建需要帶標(biāo)簽的數(shù)據(jù)集進行訓(xùn)練，因此在流量檢測系統(tǒng)上線前還需要經(jīng)過一個離線處理階段。在離線處理階段，首先收集網(wǎng)絡(luò)流數(shù)據(jù)提取網(wǎng)絡(luò)流的特征，并人工對樣本進行標(biāo)記生成初始訓(xùn)練集和初始探測流數(shù)據(jù)集，以備后續(xù)使用初始訓(xùn)練集和探測流數(shù)據(jù)集訓(xùn)練分類器得到初始分類器。

3 網(wǎng)絡(luò)層析成像探測流量在線識別與混淆機制

3.1 網(wǎng)絡(luò)流量監(jiān)聽與處理

在入口節(jié)點監(jiān)聽端節(jié)點發(fā)出的數(shù)據(jù)包，解析數(shù)據(jù)包的五元組信息（<源IP，目的IP，源端口，目的端口，協(xié)議類型>），根據(jù)五元組信息判斷當(dāng)前數(shù)據(jù)包所屬的網(wǎng)絡(luò)流，并對網(wǎng)絡(luò)流進行信息統(tǒng)計與特征提取。MOORE 等［14］提出了248 個可以 用于機 器學(xué)習(xí)流量分類的流量特征，但這些特征大多都無法在線提取，因此，許多關(guān)于在線流量分類的研究通常把前n個數(shù)據(jù)包的統(tǒng)計信息作為流特征［15］。HUANG 等［16］通過實驗證明了僅使用網(wǎng)絡(luò)流的前幾個數(shù)據(jù)包進行分類能同時兼顧效率與精度。由于網(wǎng)絡(luò)層析成像技術(shù)使用的網(wǎng)絡(luò)探測方法具有固定的傳輸模式，且其早期子流的特征能夠基本反映整條流的網(wǎng)絡(luò)特征，因此本文以網(wǎng)絡(luò)流前5 個數(shù)據(jù)包的統(tǒng)計特征和到達時間及五元組信息作為網(wǎng)絡(luò)流的特征，如表1 所示。

表1 網(wǎng)絡(luò)流特征信息Table 1 Network traffic characteristics information

1）IP 地址距離

IP 地址可以標(biāo)識端節(jié)點的網(wǎng)絡(luò)位置，IP 地址距離是源/目的IP 地址相與的結(jié)果，可以度量2 個IP 地址的距離。給定源IP 地址［10.0.0.1］和目的IP 地址［10.0.0.2］，逐位相與結(jié)果為1，表明2 個地址非常接近，可能位于同一子網(wǎng)中。

2）數(shù)據(jù)包大小的方差

網(wǎng)絡(luò)層析成像在探測時不同探測流的數(shù)據(jù)包大小可能不同，但在同一條探測流中的數(shù)據(jù)包大小通常是一致的。為了使這種特性更好地應(yīng)用到分類中，對數(shù)據(jù)包的大小進行方差計算，數(shù)據(jù)包大小波動越小，方差越小。

3）時間間隔

網(wǎng)絡(luò)層析成像探測數(shù)據(jù)包以恒定的時間間隔傳輸，以消除隨機測量噪聲。在數(shù)據(jù)收集階段記錄了每條流的前5 個數(shù)據(jù)包的到達時間，再增加5 個數(shù)據(jù)包之間的時間間隔特征。

4）時間間隔方差

不同探測流的探測包時間間隔大小可能不相同，但在同一條探測流內(nèi)的探測包時間間隔是一樣的。因此，采用時間間隔方差來衡量數(shù)據(jù)包時間間隔的波動。

5）反向流

網(wǎng)絡(luò)層析成像從同一個源節(jié)點發(fā)出探測包，在目的節(jié)點觀測探測包的性能，不要求有從目的節(jié)點到源節(jié)點的反向流。然而，很多正常的網(wǎng)絡(luò)流是有反向流的，如實時視頻語音通話、網(wǎng)站表單驗證等，因此，是否存在反向流也是檢測探測流的一個特征。

網(wǎng)絡(luò)層析成像探測流因其特殊的測量方式，IP地址距離、數(shù)據(jù)包大小方差、時間間隔等特征存在明顯的規(guī)律，與正常網(wǎng)絡(luò)流區(qū)別較大，但是探測流之間的區(qū)別較小，如“三明治”探測方法中的2 個小數(shù)據(jù)包與“背靠背”探測方法中的數(shù)據(jù)包IP 地址距離、數(shù)據(jù)包大小、時間間隔等特征區(qū)別較小，無法根據(jù)單個探測流的特征識別探測模式，而探測流的主要區(qū)別在于探測流之間的整體傳輸模式，需要提取多個探測流之間的相關(guān)關(guān)系來區(qū)分傳輸模式。因此，本文將網(wǎng)絡(luò)層析成像探測流分類過程分為2 步：首先，以單條流的特征來識別網(wǎng)絡(luò)流中的探測流；然后，從識別到探測流開始，以連續(xù)到達的k條探測流視為一塊，以塊的形式提取探測流相關(guān)關(guān)系特征，識別探測流塊的傳輸模式?？紤]到探測流與正常數(shù)據(jù)流的區(qū)別，在第1 步中使用如表2 所示的特征。

表2 探測行為識別采用的特征信息Table 2 Feature information used for probe behavior recognition

第2 步要對識別出的探測流類型進行分類?？紤]到探測流之間的區(qū)別主要在于傳輸模式的差異，而單個探測流不易識別其傳輸模式，此處須通過提取由k條探測流構(gòu)成的探測流塊的特征進行分類，因此第2 步使用如表3 所示的特征。

表3 探測流分類采用的特征信息Table 3 Feature information used for probe traffic classification

3.2 探測流量識別與分類

考慮到?jīng)Q策樹［17］在處理離散特征上的優(yōu)勢，而上述提取的特征多為離散值，因此，本文使用決策樹作為基礎(chǔ)分類器?？紤]到網(wǎng)絡(luò)流的特征會隨著網(wǎng)絡(luò)狀態(tài)的波動而不斷發(fā)生改變，普通算法無法處理應(yīng)對這種不斷發(fā)生變化的情況。增量學(xué)習(xí)的方法是漸進地進行知識學(xué)習(xí)、修正和加強已有的知識的過程［18］，其能適應(yīng)不斷變化的網(wǎng)絡(luò)流，在學(xué)到與當(dāng)前網(wǎng)絡(luò)狀態(tài)匹配的特征時，還能保存大部分以前已經(jīng)學(xué)到的知識［19］。因此，本文結(jié)合決策樹算法與增量學(xué)習(xí)，設(shè)計了一種在線流量檢測方法，使其能夠適應(yīng)不斷變化的網(wǎng)絡(luò)狀況，達到較高的流量檢測精度。該檢測機制主要分成3 步：

1）初始決策樹生成?；陔x線處理階段提取的初始訓(xùn)練集和探測流數(shù)據(jù)集創(chuàng)建2 棵初始決策樹T1和T2，其中T1用于探測流識別，T2用于探測流分類。

2）探測行為識別。使用T1識別新到達的網(wǎng)絡(luò)流是否為探測流，若識別結(jié)果為正常數(shù)據(jù)流則直接傳輸，否則，使用T2對該探測流進行二次分類。識別完成后將該網(wǎng)絡(luò)流數(shù)據(jù)加入訓(xùn)練集，然后根據(jù)訓(xùn)練集中網(wǎng)絡(luò)流樣本特征的到達時間更新樣本權(quán)重，最后，根據(jù)更新后的訓(xùn)練集對決策樹T1進行更新。

3）探測流分類。將T1最新識別出的探測流與其前k-1 個被識別出的探測流合并成探測流塊，使用T2以提取該探測流塊的特征進行二次分類，識別出新到達的探測流的模式，識別完成后將該探測流數(shù)據(jù)加入探測流數(shù)據(jù)集，然后根據(jù)探測流數(shù)據(jù)集中樣本的到達時間更新樣本權(quán)重，最后，根據(jù)更新后的探測流數(shù)據(jù)集對決策樹T2進行更新。

下面從初始決策樹生成、探測行為識別和探測流分類這3 個方面詳細介紹本文提出的探測流量在線檢測機制。

3.2.1 初始決策樹生成

在流量檢測系統(tǒng)上線前，需要構(gòu)建初始決策樹T1和T2。決策樹模型呈樹形結(jié)構(gòu)，如何確定內(nèi)部分支節(jié)點是創(chuàng)建決策樹的關(guān)鍵。在流量識別中，選擇特征屬性的順序決定了決策樹的內(nèi)部分支結(jié)構(gòu)，直接影響到分類的性能。

信息熵增益率是選擇最佳特征的常用方法之一，表示特征使數(shù)據(jù)集分類的不確定性減少的程度，信息增益大的特征分類能力更強。對于一個包含K類樣本的數(shù)據(jù)集D，其信息熵的計算公式如下：

其中：Ck表示數(shù)據(jù)集中屬于類k的樣本；Pk為樣本的類屬性為k的概率；Wk表示Ck中樣本權(quán)重的總和；WD為所有樣本權(quán)重的總和。在數(shù)據(jù)集樣本權(quán)重都為1時，Pk=|Ck|/|D|，|Ck|表示Ck中的樣本個數(shù)，|D|表示數(shù)據(jù)集D的總樣本個數(shù)。攻擊者在網(wǎng)絡(luò)層析成像探測時為了達到隱蔽性的目的，探測包造成的網(wǎng)絡(luò)負載通常為鏈路帶寬的1%～2%，而總體網(wǎng)絡(luò)負載比例一般在30%～70%之間，這會導(dǎo)致數(shù)據(jù)集中正常網(wǎng)絡(luò)流的樣本數(shù)量大于探測流的樣本數(shù)量。為了解決數(shù)據(jù)集類別不平衡的問題，本文給小類樣本賦予更高的權(quán)重，權(quán)重大小由數(shù)據(jù)集中大類樣本數(shù)量與小類樣本數(shù)量的比例決定，大類與小類之間的權(quán)重關(guān)系如下：

其 中：wk1和wk2分別為 類k1和 類k2的樣本權(quán)重；|Ck1|為類Ck1樣本個數(shù)；|Ck2|為類Ck2樣本個數(shù)。本文將大類即正常數(shù)據(jù)流這一類的權(quán)重設(shè)定1，則探測流數(shù)據(jù)的權(quán)重為|Cnormal|/|Cprob|，其中：|Cnormal|為正常網(wǎng)絡(luò)流樣本個數(shù)；|Cprob|為探測流樣本個數(shù)。

設(shè)數(shù)據(jù)集D的特征集為A={A1,A2,…,An}，每個特征Ai能取ni個不同的值{ai,1,ai,2,…,ai,ni}。根據(jù)特征Ai的取值可以將數(shù)據(jù)集D分為ni個子集D1,D2,…,Dni，|Dj|為子集Dj中的樣 本個數(shù)|D|，Wij代表分支ai，j的權(quán)重，其值為子集Dj中樣本權(quán)重總和。記子集Dj中樣本類屬性為p的樣本的集合為Djp，Wijp表示Djp中樣本權(quán)重的總和。特征Ai的條件信息熵為：

其中：Pi是特征Ai取值為ai的概率。信息增益的定義為：

信息增益的值與訓(xùn)練數(shù)據(jù)集相關(guān)，當(dāng)訓(xùn)練數(shù)據(jù)集的信息熵大時，信息增益值會偏大。因此，使用信息增益率進行改進：

在初始決策樹T1的生成過程中，首先利用離線階段收集的初始數(shù)據(jù)集D1和特征集A（如表2 所示），計算初始數(shù)據(jù)集D1的信息熵和每個特征的信息增益率，然后根據(jù)信息增益率的值選出最佳分裂特征，以最佳分裂特征為根節(jié)點，并根據(jù)最佳分裂特征劃分子集，用剩余的特征遞歸構(gòu)建子樹，最后得到完整的決策樹T1。初始決策樹T2的創(chuàng)建步驟與創(chuàng)建T1一樣，區(qū)別在于初始數(shù)據(jù)集和特征集。初始數(shù)據(jù)集D2是從數(shù)據(jù)集D1中分類出來的探測流集合，特征集B如表3 所示。

在初始決策樹訓(xùn)練完成后，用分層交叉驗證法對決策樹進行后剪枝，提升決策樹分類的泛化能力。

3.2.2 探測行為識別

流量檢測系統(tǒng)在線后，入口交換機監(jiān)聽到實時網(wǎng)絡(luò)流，根據(jù)決策樹T1識別網(wǎng)絡(luò)流中攻擊者發(fā)出的探測流。由于網(wǎng)絡(luò)流的特征會隨時間發(fā)生變化，而當(dāng)前流與最近到達的流相關(guān)性高，與最開始到達的流相關(guān)性低，因此本文引入衰落模型的概念，根據(jù)流到達的先后順序?qū)?shù)據(jù)進行加權(quán)。本文應(yīng)用一個具有指數(shù)函數(shù)的衰落模型來設(shè)置樣本e的權(quán)重：

其中：λ為衰落因子，0<λ<1。為減少實時更新數(shù)據(jù)集實例權(quán)重的時間花銷，根據(jù)網(wǎng)絡(luò)流到達的順序?qū)?shù)據(jù)集中的樣本進行編號，第一個到達的網(wǎng)絡(luò)流樣本序號設(shè)置為1，最新到達的實例序號為t，Δt是當(dāng)前樣本的序號與數(shù)據(jù)集中樣本序號的差值。wk是樣本的類別權(quán)重，表示類別為k的樣本的權(quán)重大小。每新到達一個流時，都更新數(shù)據(jù)集中樣本的權(quán)重。樣本權(quán)重更新會引起特征權(quán)重的變化，即決策樹中每個節(jié)點分支的權(quán)重發(fā)生改變，而權(quán)重過小的分支意味著很少或者很舊的樣本屬于這一特征的分類決策下，對整體分類貢獻不大，因此，對這類分支予與刪除操作，而權(quán)重較大且不純的分支則進行繼續(xù)生長。

探測流模式識別的在線更新算法如算法1 所示。算法輸入數(shù)據(jù)集D和決策樹T，以及相關(guān)參數(shù)即衰落因子λ、節(jié)點權(quán)重下界參數(shù)α、節(jié)點權(quán)重上界參數(shù)β，輸出更新后的數(shù)據(jù)集D'和決策樹T'。該算法首先計算數(shù)據(jù)集中的每個樣本與當(dāng)前樣本的序號差值（第2 行），接著根據(jù)式（6）更新樣本權(quán)重（第3 行），然后再計算節(jié)點權(quán)重的平均值（第5 行），從根節(jié)點開始遍歷決策樹中所有節(jié)點（第6 行），根據(jù)新的樣本權(quán)重更新節(jié)點分支的權(quán)重值（第8 行），若該分支為葉子節(jié)點分支且權(quán)重值大于上界閾值（參數(shù)β與節(jié)點權(quán)重平均值的乘積），就為該分支創(chuàng)建子樹（第9～10 行），并剪枝權(quán)重小于下界閾值（參數(shù)α與節(jié)點權(quán)重平均值的乘積）的分支（第11～12 行）。

算法1OnlineUpdate

3.2.3 探測流分類

在識別出探測流后，要進一步區(qū)分探測流的模式。探測流分類算法如算法2 所示。新的網(wǎng)絡(luò)流e到達后，首先根據(jù)決策樹T1區(qū)分出探測流和正常流（第1 行），并將分類結(jié)果加入到原始數(shù)據(jù)集（第2～3 行），然后根據(jù)在線更新算法對決策樹T1和原始數(shù)據(jù)集D1進行更新（第4 行）。如果新到達的流是識別為正常數(shù)據(jù)流（第5 行），直接輸出分類結(jié)果（第6 行）；否則用列表tmpProbData 存儲探測流數(shù)據(jù)（第8 行），直到收集滿k個探測流（第10 行），提取這k個探測流的特征（第11 行），根據(jù)決策樹T2進行分類（第12 行），將分類結(jié)果和探測流數(shù)據(jù)加入到探測流數(shù)據(jù)集中（第13～14 行），并進行更新（第15 行），以及將列表清空，等待下一個探測流進入（第16 行），最后輸出探測流模式的類別（第18 行）。

算法2Attack flow classification

3.3 探測流量混淆操作

在識別出探測包，并對探測包的模式進行準(zhǔn)確分類后，需要對探測包進行相應(yīng)的混淆操作，具體的混淆操作方法與探測包的探測模式和使用的性能參數(shù)類型相關(guān)。為了使攻擊者推斷出混淆后的網(wǎng)絡(luò)拓撲，需要將攻擊者測量的端到端性能修改成混淆網(wǎng)絡(luò)拓撲的性能，本文基于文獻［5］提出的方法構(gòu)建混淆網(wǎng)絡(luò)拓撲和計算混淆網(wǎng)絡(luò)拓撲的相關(guān)性能。

性能參數(shù)類型與探測模式有關(guān)，網(wǎng)絡(luò)層析成像拓撲推斷常用的網(wǎng)絡(luò)性能參數(shù)有排隊時延、時延協(xié)方差和成功傳輸率，排隊時延可以通過“三明治”分組列車探測方法得到，時延協(xié)方差和成功傳輸率通過“背靠背”探測方法得到。相關(guān)研究表明［10，12］，不同性能參數(shù)在網(wǎng)絡(luò)環(huán)境中的適應(yīng)情況不同，當(dāng)網(wǎng)絡(luò)負載較小時，網(wǎng)絡(luò)中的時延和丟包較少，測量分組在共享鏈路中的時延變化較小，因此，時延協(xié)方差和成功傳輸率性能參數(shù)不適用于網(wǎng)絡(luò)負載較小的網(wǎng)絡(luò)環(huán)境，而當(dāng)性能參數(shù)為排隊時延時，端到端時延完全由“三明治”測量中的大數(shù)據(jù)包產(chǎn)生的，測量結(jié)果較為準(zhǔn)確，推斷的網(wǎng)絡(luò)拓撲準(zhǔn)確性最高；當(dāng)網(wǎng)絡(luò)負載適中時，網(wǎng)絡(luò)中的背景流量較多，影響排隊時延的概率增大，而測量分組在共享鏈路中的時延變化較大，節(jié)點間共享鏈路的時延方差較大，時延協(xié)方差性能參數(shù)推斷的網(wǎng)絡(luò)拓撲準(zhǔn)確性最高；當(dāng)網(wǎng)絡(luò)負載較大時，網(wǎng)絡(luò)中丟包較多，丟包率較大，導(dǎo)致測量的樣本數(shù)量大大減少，使得時延協(xié)方差和排隊時延性能參數(shù)測量準(zhǔn)確率下降，而采用成功傳輸率性能參數(shù)可以較好地反映節(jié)點間共享鏈路的情況。

因此，本文結(jié)合網(wǎng)絡(luò)負載情況推斷攻擊者使用的端到端性能參數(shù)類型。如果探測包的探測模式是“三明治”分組列車，那么攻擊者采用性能參數(shù)為排隊時延；如果探測包的探測模式是“背靠背”探測，需要網(wǎng)絡(luò)負載信息進行輔助判斷，如果網(wǎng)絡(luò)負載較輕，那么攻擊者采用性能參數(shù)是時延協(xié)方差，否則攻擊者采用性能參數(shù)是成功傳輸率。

本文為每種性能參數(shù)都設(shè)計了相應(yīng)的混淆操作方案。以圖4 為例，假設(shè)在真實網(wǎng)絡(luò)中，攻擊者從源節(jié)點S發(fā)出一組探測包，分別到達目的節(jié)點i和目的節(jié) 點j，P（i，j）為節(jié)點i和節(jié)點j的父節(jié) 點。鏈 路(S→P(i,j))為節(jié)點i和節(jié)點j的共享路徑，XP,(i,j)為共享路徑的性能，Xi,(i,j)為鏈路(P(i,j) →i)的性能，Xj,(i,j)為鏈路(P(i,j) →j)的性能，Yi,(i,j)和Yj,(i,j)分別為攻擊者在目的節(jié)點i和目的節(jié)點j測量到的端到端性能。根據(jù)文獻［5］可以計算得到混淆網(wǎng)絡(luò)中節(jié)點i和節(jié)點j的相關(guān)性能為XP',(i,j)，為了將真實網(wǎng)絡(luò)拓撲偽裝成混淆網(wǎng)絡(luò)拓撲，還需計算混淆網(wǎng)絡(luò)的端到端性能Yi',(i,j)和Yj',(i,j)，將真實網(wǎng)絡(luò)的端到端性能Yi,(i,j)和Yj,(i,j)修改成混淆網(wǎng)絡(luò)的端到端性能Yi',(i,j)和Yj',(i,j)，每種性能參數(shù)的混淆操作方案和計算過程如圖4 所示。

1）排隊時延

排隊時延由“三明治”測量包中的大數(shù)據(jù)包在經(jīng)過節(jié)點和鏈路時產(chǎn)生，導(dǎo)致跟在其后的第2 個小數(shù)據(jù)包與第1 個小數(shù)據(jù)包到達目的節(jié)點的時間隔間變大。因此，排隊時延性能參數(shù)的混淆操作只需延遲“三明治”分組列車中的第2 個小數(shù)據(jù)包，延遲時間Dt為混淆網(wǎng)絡(luò)端到端時延Yi',(i,j)與真實網(wǎng)絡(luò)的端到端時延Yi,(i,j)的差：

需要說明的是，在實際的網(wǎng)絡(luò)操作中，增加探測包的時延和丟棄概率比減少探測包的時延和丟棄概率簡單得多，因此在與時延相關(guān)的性能參數(shù)混淆操作中，本文一律采取延遲探測包，在成功傳輸率性能參數(shù)的混淆操作中采取丟棄探測包。

2）時延協(xié)方差

節(jié)點i和節(jié)點j的時延協(xié)方差由“背靠背”探測方法測量的端到端時延計算得到，根據(jù)網(wǎng)絡(luò)層析成像中鏈路獨立性假設(shè)，節(jié)點對的端到端時延協(xié)方差為共享路徑時延的方差：

根據(jù)式（9）所示的協(xié)方差計算公式可以得到混淆網(wǎng)絡(luò)拓撲的端到端時延協(xié)方差計算公式，如式（10）所示：

在實際的網(wǎng)絡(luò)探測中，攻擊者會向每個節(jié)點對發(fā)送多個探測包組，以消除測量誤差。而根據(jù)文獻［6］計算混淆網(wǎng)絡(luò)的相關(guān)時延時，一個節(jié)點對通過計算只能得到唯一確定的相關(guān)時延XP′,(i,j)，因此，將式（10）簡化為：

在已知XP',(i,j)和Xi,(i,j)的情況下求解Yi'(i,j)和Yj',(i,j)，有無數(shù)多個解。時延協(xié)方差性能參數(shù)的每次混淆操作取其中一組滿足Yi',(i,j)≥Yi,(i,j),Yj',(i,j)≥Yj,(i,j)的解，根據(jù)解Yi',(i,j)和Yj',(i,j)同時延遲“背靠背”測量中的2 個探測包。到達目的節(jié)點i的探測包延遲時間Cov_delay(i)為：

3）成功傳輸率

成功傳輸率表示探測包在目的節(jié)點被成功接收的概率，節(jié)點i和節(jié)點j的共享給路徑越長，成功傳輸率越小。假設(shè)XP',(i,j)為混淆網(wǎng)絡(luò)中節(jié)點i和節(jié)點j在共享路徑(S→P(i,j))的成功傳輸率，Xi,(i,j)為鏈路(P(i,j) →j)的成功傳輸率，Xj,(i,j)為鏈路(P(i,j) →j)的成功傳輸率，那么混淆網(wǎng)絡(luò)的端到端成功傳輸率為：

成功傳輸率性能參數(shù)的混淆操作為以一定的概率丟棄探測包，到達目的節(jié)點i的探測包被丟棄的概率為：

綜上所述，在探測流量的混淆操作中，當(dāng)攻擊者以排隊時延作為拓撲推斷的性能參數(shù)時，需要在目的節(jié)點i處的出口節(jié)點上延遲“三明治”分組列車中的第二個小探測包，延遲操作的具體實現(xiàn)是將探測包存入特殊的隊列中，延遲時間由式（7）計算得到；當(dāng)攻擊者以時延協(xié)方差作為拓撲推斷的性能參數(shù)時，需要在目的節(jié)點i和節(jié)點j處的2 個出口節(jié)點上分別的對“背靠背”探測中的兩個探測包進行延遲，延遲時間由式（12）計算得到；當(dāng)攻擊者以成功傳輸率作為拓撲推斷的性能參數(shù)時，需要在目的節(jié)點i和節(jié)點j處的2 個出口節(jié)點上以一定的概率丟棄探測包，丟包概率由式（14）計算得到。

4 實現(xiàn)與評估

4.1 原型系統(tǒng)實現(xiàn)

本文利用SDN 控制器可以對網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備進行編程的特點，在SDN 環(huán)境中實現(xiàn)了M2NTO 的原型系統(tǒng)，其原型架構(gòu)如圖5 所示。考慮到SDN 交換機的部署成本，M2NTO 只在入口節(jié)點和出口節(jié)點部署SDN 交換機。在入口SDN 交換機處監(jiān)聽端節(jié)點發(fā)出的網(wǎng)絡(luò)流，在接入端口收到數(shù)據(jù)包后根據(jù)流表項中的動作進行操作，若沒有匹配的流表項則以Packet_in 的消息形式轉(zhuǎn)發(fā)至SDN 控制器。SDN 控制器對捕獲到的網(wǎng)絡(luò)流進行識別和分類，根據(jù)網(wǎng)絡(luò)層析探測包的類型制定相應(yīng)的拓撲混淆策略，并通過下發(fā)流表項將混淆策略部署到出口SDN 交換機，出口SDN 交換機根據(jù)流表信息對探測包進行丟棄、延遲等混淆操作。

M2NTO 原型系統(tǒng)實現(xiàn)如圖6 所示。在控制層，使用RYU 控制器［20］進行數(shù)據(jù)包特征處理和探測包檢測，根據(jù)檢測結(jié)果制定相應(yīng)的流表策略并下發(fā)到SDN 交換機。在數(shù)據(jù)層，使用Mininet 仿真軟件［21］實現(xiàn)網(wǎng)絡(luò)拓撲構(gòu)建和數(shù)據(jù)包處理相關(guān)的任務(wù)，包括數(shù)據(jù)包捕獲和轉(zhuǎn)發(fā)等操作。

圖6 系統(tǒng)實現(xiàn)Fig.6 System implementation

RYU 控制器主要由3 個模塊組成：流量監(jiān)聽器，流量檢測器，流表管理器。流量監(jiān)聽器負責(zé)捕獲OpenFlow 交換機接收的數(shù)據(jù)包，并對數(shù)據(jù)包進行預(yù)處理，例如提取數(shù)據(jù)包的基本特征（如IP 地址、網(wǎng)絡(luò)服務(wù)、連接時間等）。流量檢測器負責(zé)對數(shù)據(jù)包進行分類，檢測模型設(shè)計為在線增量監(jiān)督學(xué)習(xí)框架，分為離線訓(xùn)練和在線更新兩部分，根據(jù)實時流量動態(tài)更新數(shù)據(jù)集和分類模型。流表管理器負責(zé)根據(jù)流量檢測結(jié)果設(shè)計流表項，將流表項下發(fā)給出口SDN 交換機。

4.2 性能評估分析

為評估防御系統(tǒng)的性能，本文基于Mininet 構(gòu)建Internet Topology Zoo［22］中 的3 種真實 網(wǎng)絡(luò)拓 撲，分別代表小型網(wǎng)絡(luò)、中型網(wǎng)絡(luò)和大型網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓撲信息如表4 所示。本文遵循樹結(jié)構(gòu)進行網(wǎng)絡(luò)層析成像端到端測量，將拓撲中度數(shù)較低的節(jié)點（degree ≤2）視為端節(jié)點，并隨機選擇一個端節(jié)點作為源節(jié)點，其他端節(jié)點作為接收節(jié)點。隨后，計算源節(jié)點到每個目的節(jié)點的最短路徑，將所有最短路徑組成網(wǎng)絡(luò)層析成像探測網(wǎng)絡(luò)。由于目前沒有網(wǎng)絡(luò)層析成像測量的公開數(shù)據(jù)集，因此本文用Python 的scapy 模塊［23］生成網(wǎng)絡(luò)層析成像探測包，從源節(jié)點發(fā)送到各個目的節(jié)點。同時，通過運行不同的網(wǎng)絡(luò)應(yīng)用程序來收集各種類型的網(wǎng)絡(luò)流，包括網(wǎng)頁瀏覽、文件傳輸、在線聊天和視頻流等，并將這些數(shù)據(jù)包作為實驗網(wǎng)絡(luò)的背景網(wǎng)絡(luò)流量進行重放，通過這種方式模擬真實的使用場景。

表4 網(wǎng)絡(luò)拓撲信息Table 4 Network topology information

作為經(jīng)典的網(wǎng)絡(luò)層析成像拓撲推斷方法，RNJ算法［14］推斷準(zhǔn)確率高、計算復(fù)雜度低，本文假設(shè)攻擊者使用RNJ 算法推斷目標(biāo)網(wǎng)絡(luò)拓撲。實驗相關(guān)參數(shù)初始設(shè)置為λ=0.999 9、α=0.8、β=1.2、k=3，初始數(shù)據(jù)集的大小為1 000。本文在相同的實驗設(shè)置下重復(fù)執(zhí)行了100 次評估實驗，并將其平均值作為最后的評估結(jié)果。

為了評估M2NTO 的流量檢測性能，在實驗中將M2NTO 與另外幾種經(jīng)典分類算法進行了對比：

1）M2NTO：使用基于在線增量更新的動態(tài)決策樹算法對探測流量進行實時檢測與分類。

2）ProTo：使用增量更新的半監(jiān)督KNN 算法檢測探測流量檢測，不對探測流量的類型進行分類，統(tǒng)一對探測流執(zhí)行延遲的拓撲混淆操作。

3）No update：使用沒有在線增量更新的決策樹算法檢測流量。

4）Random Forest：使用隨機森林算法檢測探測流量，并對探測流量的測量模式進行分類。

5）SVM：使用SVM 算法檢測探測流量，并對探測流量的測量模式進行分類。

6）s-M2NTO：不進行兩步分類，直接使用增量更新的動態(tài)決策算法對網(wǎng)絡(luò)流進行多分類。

4.2.1 流量檢測性能評估

為評估M2NTO 在線流量檢測的性能，本文使用了以下3 個性能指標(biāo)：

1）探測流檢測率：正確區(qū)分探測流和正常網(wǎng)絡(luò)流的概率，即分類正確的網(wǎng)絡(luò)流數(shù)量在所有網(wǎng)絡(luò)流數(shù)量中的所占比例。假設(shè)網(wǎng)絡(luò)流集D={(x1,y1),(x2,y2),…,(xn,yn)}，其 中，x為網(wǎng)絡(luò) 流，y={'normal'，'prob'}為網(wǎng)絡(luò)流類別，yi='normal'表示網(wǎng)絡(luò)流xi的真實類別是正常網(wǎng)絡(luò)流。若yi'為第一棵決策樹對網(wǎng)絡(luò)流xi的分類結(jié)果，則探測流的檢測率為：

2）誤報率：正常網(wǎng)絡(luò)流被識別為探測流的概率，即被錯誤識別的正常網(wǎng)絡(luò)流數(shù)量占所有正常網(wǎng)絡(luò)流數(shù)量之比。錯誤識別的正常網(wǎng)絡(luò)流會視為探測流而被延遲或者丟棄，對網(wǎng)絡(luò)性能造成一定的影響。因此，在網(wǎng)絡(luò)層析成像流量檢測中應(yīng)盡可能降低誤報率。誤報率的定義為：

3）探測流分類準(zhǔn)確率：探測流的類型分類正確的概率，即探測流的類型分類正確的數(shù)量占所有探測流數(shù)量的比例。假設(shè)探測流數(shù)據(jù)集Dprob={(x1',z1),(x2',z2),…,(xm',zm）}，其中，zi是探測流xi'的真實類別，第2 棵決策樹分類的結(jié)果為zi'，則探測流量分類率為：

如圖7 所示，本文評估了在初始設(shè)置下不同流量檢測機制在不同規(guī)模的網(wǎng)絡(luò)中的檢測性能。由于ProTo 算法只能識別探測行為，探測流分類使用文本提出的動態(tài)決策樹機制進行分類。從圖中可看出，直接進行多分類的方法探測流識別準(zhǔn)確率和分類正確率較低，誤報率較其他方法高，而增量更新決策樹算法的檢測率、誤報率和探測流分類準(zhǔn)確率都要優(yōu)于其他幾種流量檢測機制，在3 種不同規(guī)模的探測網(wǎng)絡(luò)中本文提出的增量更新決策樹流量檢測算法識別探測流的準(zhǔn)確率都達到了98%，誤報率維持在2%左右，探測流分類準(zhǔn)確率達到95%以上。實驗結(jié)果表明本文提出的網(wǎng)絡(luò)層析成像流量檢測機制能夠準(zhǔn)確識別網(wǎng)絡(luò)層析成像探測模式，抵御攻擊者實施的基于網(wǎng)絡(luò)層析成像技術(shù)的網(wǎng)絡(luò)拓撲推斷。

圖7 流量檢測性能Fig.7 Traffic detection performance

初始訓(xùn)練數(shù)據(jù)集的規(guī)模對流量檢測系統(tǒng)的性能有很大的影響，不同初始訓(xùn)練集規(guī)模下的檢測性能如表5 所示。

表5 不同初始訓(xùn)練集規(guī)模下的檢測性能Table 5 Detection performance under different initial training set sizes

由表5 可以看出，當(dāng)初始訓(xùn)練集規(guī)模從500 增加到3 000 時，不同規(guī)模的網(wǎng)絡(luò)中的探測流檢測率和探測流類型分類正確率都大幅提高，同時誤報率也有所下降。

決策樹根據(jù)節(jié)點密度的下限和上限值動態(tài)更新，枝剪節(jié)點密度低于下限的節(jié)點，分裂節(jié)點密度大于上限的節(jié)點。決策樹的復(fù)雜度和分類準(zhǔn)確率與參數(shù)α和β有關(guān)，圖8 顯示了α和β取不同值時，隨著時間推移網(wǎng)絡(luò)流數(shù)量增加探測流檢測率、誤報率和探測流分類準(zhǔn)確率的變化。實驗結(jié)果表明，流量檢測機制在線后，隨著網(wǎng)絡(luò)中流的數(shù)量增加，探測流的檢測率和分類準(zhǔn)確率也隨之增大，誤報率隨之下降，并且檢測率和分類準(zhǔn)確率呈現(xiàn)隨著α的增大和β的減小而增加的趨勢。然而，并不是β值越大越好，過度的生長會導(dǎo)致決策樹過于復(fù)雜，增加動態(tài)更新和分類過程的時間花銷。實時流量檢測系統(tǒng)要對準(zhǔn)確率和實時性進行平衡，在保證高準(zhǔn)確率的同時也能夠?qū)崟r到達的流進行快速分類，減少對網(wǎng)絡(luò)性能的影響。

圖8 參數(shù)α 和β 對檢測性能的影響Fig.8 Influence of parameters α and β on detection performance

此外，探測流是以塊為單位提取特征，探測流分類的準(zhǔn)確率還與塊的大小即k值相關(guān)。圖9 展示了探測流分類準(zhǔn)確率與k值的關(guān)系，在k=3 時探測流分類準(zhǔn)確率最高。這是因為“三明治”探測是以3 個小包夾著一個大包的數(shù)據(jù)包組的方式進行探測，4 個探測流為一塊提取的特征更具代表性。

圖9 探測流分類準(zhǔn)確率與k 值的關(guān)系Fig.9 Relation between classification accuracy of probe flow and the value of k

4.2.2 混淆效果評估

網(wǎng)絡(luò)拓撲混淆的目標(biāo)是混淆攻擊者的測量結(jié)果使其推斷出虛假的網(wǎng)絡(luò)拓撲，攻擊者推斷的虛假拓撲與真實網(wǎng)絡(luò)拓撲之間的差距越大表示混淆效果越好，網(wǎng)絡(luò)拓撲混淆機制對抗網(wǎng)絡(luò)層析成像探測行為的有效性越高。樹編輯距離是衡量兩棵樹之間差異性的常用指標(biāo)［24］，表示通過替換、插入、刪除等編輯操作將一棵樹轉(zhuǎn)換為另一顆樹的成本。為了使評估更加直觀，本文使用相似度分數(shù)進行評估，其公式如下：

Ssimi的取值范圍為［0，1］，TED(T')表示真實網(wǎng)絡(luò)拓撲T轉(zhuǎn)化為攻擊者推斷的虛假網(wǎng)絡(luò)拓撲T'之間的編輯成本，TED(T)表示從頭構(gòu)建T所需的編輯成本，TED(T')表示從頭構(gòu)建T'的編輯成本。真實網(wǎng)絡(luò)拓撲與攻擊者推斷的虛假拓撲相似度越大，Ssimi的值越大，當(dāng)兩個網(wǎng)絡(luò)拓撲完全相同時，Ssimi=1。

由于攻擊者在用網(wǎng)絡(luò)層析成像技術(shù)進行拓撲探測時，會根據(jù)網(wǎng)絡(luò)負載情況調(diào)整探測模式并選擇不同的網(wǎng)絡(luò)性能指標(biāo)作為端到端性能參數(shù)，因此，本文比較了當(dāng)網(wǎng)絡(luò)負載不同時，ProTo 拓撲混淆機制、AntiTomo 拓撲混淆機制和本文所提出的拓撲混淆機制在3 個不同規(guī)模的網(wǎng)絡(luò)拓撲中的混淆效果。

實驗結(jié)果如圖10 所示，在網(wǎng)絡(luò)沒有任何防護措施時，攻擊者推斷的網(wǎng)絡(luò)拓撲與真實網(wǎng)絡(luò)拓撲的相似度較大。ProTo 和AntiTomo 只有在網(wǎng)絡(luò)負載較低時才能降低攻擊推斷的網(wǎng)絡(luò)拓撲與真實網(wǎng)絡(luò)拓撲的相似性，混淆效果隨著網(wǎng)絡(luò)負載增加而變差，而M2NTO 在網(wǎng)絡(luò)負載較小、網(wǎng)絡(luò)負載適中和網(wǎng)絡(luò)負載較大的情況下都能顯著降低攻擊者推斷的網(wǎng)絡(luò)拓撲與真實網(wǎng)絡(luò)拓撲的相似性。這是因為AntiTomo 和ProTo 都只通過增加探測包的排隊時延來混淆探測包的測量結(jié)果，而排隊時延由“三明治”分組列車方法測量得到，但“三明治”分組列車測量方法只有在網(wǎng)絡(luò)負載較小的時候測量結(jié)果較為準(zhǔn)確，隨著網(wǎng)絡(luò)負載增大，出現(xiàn)鏈路擁塞的概率加大，探測包的排隊時延會受到鏈路擁塞的影響，測量的準(zhǔn)確降低，導(dǎo)致混淆效果變差，并且網(wǎng)絡(luò)負載發(fā)生變化，攻擊者可能會采用其他測量方法和其他性能指標(biāo)，AntiTomo 不識別網(wǎng)絡(luò)層析成像探測包，ProTo 沒有對探測包的測量方法進行分類，兩者都感知不到攻擊者探測策略的變換。而M2NTO 不僅識別探測包的測量方法類型，還會根據(jù)網(wǎng)絡(luò)負載變化調(diào)整混淆操作，可以有效對抗基于網(wǎng)絡(luò)層析成像的拓撲推斷。

圖10 拓撲混淆性能對比Fig.10 Topology obfuscation performance comparison

4.2.3 實時性評估

在線分類對實時性有很高的要求，實時性的要求包含兩個方面：快速的線上檢測和快速的模型更新。為評估本文提出的網(wǎng)絡(luò)層析成像流量檢測機制的實時 性，本文在8 核2.30 GHz Intel?CoreTMi7-10875H CPU 和16 GB RAM 的電腦上，測試了在不同數(shù)據(jù)集規(guī)模中動態(tài)決策樹模型更新和網(wǎng)絡(luò)層析成像探測流檢測與分類所消耗的平均時長，如圖11 所示。模型更新和探測流實時檢測分類的平均時長隨著數(shù)據(jù)集規(guī)模增大而增加，在數(shù)據(jù)集規(guī)模為5 000時，識別探測流的平均時長約為2.4 ms，模型更新時間為1.5 ms，這說明探測流量檢測機制可以在極短的時間內(nèi)識別探測流，從而適應(yīng)高速網(wǎng)絡(luò)流環(huán)境。

圖11 探測流檢測與模型更新效率Fig.11 Efficiency of probe flow detection and model update

5 結(jié)束語

作為一種典型的網(wǎng)絡(luò)偵察方法，攻擊者使用網(wǎng)絡(luò)層析成像技術(shù)可以準(zhǔn)確推斷目標(biāo)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，精準(zhǔn)攻擊網(wǎng)絡(luò)中的關(guān)鍵鏈路和關(guān)鍵節(jié)點。為了對抗基于網(wǎng)絡(luò)層析成像的拓撲推斷，本文提出了對抗多模式網(wǎng)絡(luò)層析成像的拓撲混淆機制M2NTO。M2NTO 的主要思想是使用增量更新的動態(tài)決策樹算法識別攻擊者的多樣化探測行為，在此基礎(chǔ)上根據(jù)測量方法類型和網(wǎng)絡(luò)負載情況判斷攻擊者進行網(wǎng)絡(luò)層析成像拓撲推斷使用的網(wǎng)絡(luò)性能參數(shù)，再對探測包進行相應(yīng)的混淆操作，從而使攻擊者得到錯誤的測量結(jié)果，推斷出虛假的網(wǎng)絡(luò)拓撲。最后，利用SDN 技術(shù)實現(xiàn)了M2NTO 的原型系統(tǒng)，并在幾種不同規(guī)模的網(wǎng)絡(luò)中進行了仿真實驗。實驗結(jié)果顯示，M2NTO 能夠以較高的準(zhǔn)確率和實時性識別網(wǎng)絡(luò)層析成像探測包和探測模式，在不同網(wǎng)絡(luò)負載情況下也能達到較好的混淆效果。在下一步的工作中，作者將進一步優(yōu)化探測流量檢測算法，并結(jié)合多源混淆拓撲生成算法繼續(xù)擴展M2NTO，提升混淆效果。