知识图谱：DDoS攻击恶意行为知识库构建.docx

知识图谱：DDoS攻击恶意行为知识库构建 本文提出了一种分布式 DDoS 攻击恶意行为知识库构建方案。 摘要：针对分布式拒绝服务（distributed denial of service，DDoS）网络攻击知识库研究不足的问题，提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建，包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类；网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模，并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling，DOTS）协议搭建分布式知识库，实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明，DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量，并具备分布式知识库间的知识更新和推理功能，表现出良好的可扩展性。 关键词：DDoS ; 分布式 ; 知识图谱 ; 恶意行为知识库 1 引言 分布式拒绝服务（distributed denial of service， DDoS）是目前针对网络应用程序最具破坏力的攻击之一。5G支持的海量终端设备接入使其受到的安全威胁进一步提升。为了应对不断发展的网络攻击，设计了一系列的网络安全数据集，如KDDCup99、NSL-KDD、UNSW-NB15、CICDDoS2019等，这些数据集为了反映现实网络的复杂性，都设计成包含正常数据和异常数据的综合数据集，但仍存在不足之处：这些数据集都以流量数据的形式存储，淡化了网络实体间的关系，难以描述网络攻击者的攻击行为和特征。因此，如何将网络现有的海量数据与知识进行规范化和集成化，设计出一个针对 DDoS 网络攻击的知识库成为了亟待解决的问题。 目前 DDoS 攻击检测方法主要有两种：一种是基于机器学习和神经网络的攻击检测方法，通过分析正常流量与攻击流量在特征方面的差异来检测攻击；另一种是基于统计的检测方法，对正常的网络流量进行建模，通过对比当前网络流量与正常流量模型之间的相似程度来检测攻击。现有的这些方法或基于已有的数据集检测算法，或利用常规统计模型，难以适应不断变化的DDoS攻击，并需要随攻击的变化调整模型和阈值等参数，难以动态适配网络攻击的变化。 网络攻击呈现复杂化和组合化的趋势，传统的流量信息难以适用于网络攻击的分析，因此需要结构化的知识体系描绘网络攻击的特征和属性，对网络攻击进行实体关系建模。随着网络知识呈指数增长，越来越多的研究人员开始使用知识图谱管理这些知识。知识图谱将人类知识结构化形成系统，其中包含基本的知识、通用的规则以及其他结构化的信息，具有信息检索、推演决策等功能。从结构上看，知识图谱就是“实体-关系-实体”的三元组组成的一种带标记的有向属性图形。因其优秀的检索功能、高效的结构化存储功能、自适应的更新功能等特点受到了研究人员的关注。但现有的网络安全知识库，例如攻击类型枚举和分类数据库（common attack pattern enumeration and classification，CAPEC）、通用漏洞披露（common vulnerabilities andexposures， CVE）和常见缺陷列表（common weakness enumeration，CWE）等关于DDoS攻击的记录较少。此外，关于分布式知识库的构建研究则更少。因此上述知识库面对海量知识表现出交叉的扩展性，无法提供系统的DDoS攻击知识。 为检测并缓解 DDoS 攻击，需要有不断更新的知识来做支撑。因此，本文基于知识图谱的概念构建了 DDoS 攻击恶意行为知识库。该知识库以知识图谱的形式存储了 DDoS 攻击行为的各种特征以及第三方数据库中的知识，并构建了一套知识库更新、推理和反馈的系统，用于在复杂多变的网络环境下的多个网关处识别出攻击者行为，提供缓解措施，降低 DDoS 攻击引发的恶意流量强度。 本文的主要贡献有以下3点。 （1）提出 DDoS 攻击恶意行为知识库模型，设计 5 种知识图谱的数据结构模型，导入结构化数据构建DDoS攻击恶意行为知识库。 （2）设计知识图谱间交互接口，实现图谱数据传输、更新、推理和反馈功能；结合图数据库构建知识图谱实现可视化表达与查询功能。 （3）基于分布式拒绝服务开放威胁信号（DDoS open threat signaling，DOTS）协议构建分布式知识库，实现知识库间通信，并探讨了分布式知识库在恶意流量检测与防御方面的应用场景。 2 研究现状 近些年将机器学习运用到 DDoS 攻击检测的研究取得了很多进展，相比之下，利用知识图谱技术构建知识库检测 DDoS 攻击以及面向DDoS 攻击的分