基于SNMP的ARP攻击检测系统研究

彭勃

摘要：将Granger因果关系检验法应用于SNMP变量选择，给出了与ARP攻击相关的SNMP变量集，提出了一个ARP攻击检测架构，实验结果表明C4.5具有较好的攻击检测性能，适合用于ARP攻击检测。

关键词：ARP攻击；简单网络管理协议；入侵检测

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）04-0700-03

随着互联网的普及，电子商务以及在线购物呈逐年稳步增长态势。对于一个安全的电子商务环境来说，网络安全是其重要基石，直接影响消费者在线购物的用户体验。

当今各种高性能交换机在局域网构建中普及的同时也产生了大量网络入侵技术和嗅探工具。ARP[1]欺骗攻击抓住了协议设计的缺陷，欺骗受害主机，劫持其传输的数据包以嗅探重要信息或在受害主机中嵌入恶意代码。这些严重威胁网络安全的“中间人”攻击体现在电子商务中的场景是，当消费者完成一笔在线交易需要输入诸如账户密码和信用卡号等信息时，攻击者往往篡改受害者浏览网页，并重定向为恶意网站，亦或嵌入诸如木马、后门、网络蠕虫等恶意病毒代码，从而获取受害者机密信息造成资金损失。该文提出基于一个基于SNMP[2]流量信息进行数据挖掘的ARP攻击检测系统，以期检测出网络中异常流量从而构建一个更加安全的电子商务生态系统。

1 ARP欺骗攻击

以太网中每台主机都拥有个自的MAC（Media Access Control）地址，当一个主机向另一个主机发送数据时均以MAC地址作为身份标识。作为工作在数据链路层的ARP协议，其任务是将主机的IP地址解析为MAC地址。当它在局域网中广播ARP请求包时，与地址对应的主机在以单播方式返回的ARP应答数据包中存入其MAC地址，由于ARP协议是无状态的协议（没有TCP的三次握手过程），设计之初也是基于相互信任，即每台主机的缓存表不需对返回的地址进行认证鉴别就可动态更新将其存入本机的ARP缓存表，缓存数据遭到损坏的过程也被称为缓存污染，这给了ARP攻击以可乘之机。

ARP欺骗攻击的过程是：攻击者将其他受害主机的IP地址与攻击者自身的MAC地址绑定，向受害主机之一发送ARP欺骗应答，受害主机无回忆是否确实发送过请求，就收下应答信息并按照攻击者ARP欺骗内容直接更新自身的ARP缓存表。这导致原本由受害主机发送的数据包被转移分流至攻击者。当攻击者大量发送这些欺骗数据包时，便形成了ARP攻击。具体情形是：攻击者存储了大量受害主机的数据包以便日后分析、嗅探受害者的重要信息；导致拒绝服务，阻断受害主机与其他主机的联系；重定向受害主机原先合法网站的URL；甚至实时修改数据包内容为欺诈信息等。

2 Granger因果关系检验法

SNMP MIB变量选择也可归结为属性特征约简问题，即在大量的SNMP MIB组中选择与异常流量正相关的SNMP变量。

1969年Granger[3]从预测的角度给出因果关系定义：如果u有助于预测（或解释）y，那么u是y的Granger原因。设p为滞后长度，根据文献[4]比较自回归模型残差和自回归移动平均模型的残差，则有如下非限制方程：

零假设的检验是通过对以下约束方程参数的估算来进行：

检验统计量g服从F（a，b）分布，若大于指定的临界值（置信度），则拒绝零假设。其中F（a，b）是具有两个参数a和b的Fisher的F分布。综上所述，较高的g值表示u较强地因果关系于y。在传统意义上，对于输入输出序偶（ui，y），如果g1>g2，则意味着u1比u2更强因果关系于y。

3 分类算法

C4.5[5]按照分而治之的策略构建决策树。对于一个给定训练样本集，C4.5对每个输入属性计算其信息增益，选择信息增益比例最大的属性作为决策树的分裂属性（分裂结点），然后用该结点的不同取值建立决策树的分支结点，再对各分支的子集递归调用该方法建立决策树节点的分支，直到所有子集仅包含同一类别的数据为止，最后得到一棵决策树可用来对新样本进行分类。类似于其他决策树归纳技术，C4.5比较流行的部分原因在于其并不复杂的树构建过程以及结果的可解释性和可验证性。

支持向量机[6]（Support Vector Machine，SVM）基于统计理论的结构化风险最小原理。SVM基于一个向量空间，它可以最大边界找到最有能力区分正训练样本和负训练样本的决策平面。线性SVM的决策边界可写成如下形式：

向量[x]表示拟分类的样本属性向量，向量[w]和常数b由线性可分训练数据集学习而得到。设D={（yi，[x]i）}为训练样本集，yi∈{±1}是[x]i所属的类别（+1表示正样本，-1表示负样本），SVM算法就是寻找满足下列条件的向量[w]和常数b并使[w]最小化的过程。

线性不可分的问题也可通过引入软边界超平面或将原始数据映射到更高维空间来解决，这样训练样本在新的空间又可线性可分。

朴素贝叶斯分类器[7]基于以下贝叶斯理论：

P（X）表示随机变量X的概率，P（X|H）是给定H条件下随机变量X的概率。对于每一个变量，分别计算其条件概率。对于所有的H，P（X）总是固定的常数，先验概率P（H）可通过计算训练集中属于每个类的训练记录所占比例很容易地估计。对类条件概率P（X|H）的估计则由朴素贝叶斯分类器完成。

对于所有的C，P（X）是固定的，因此只要找出使分子最大的类即可。对于网络流量数据，该文按连续属性处理所有SNMP变量，这些预测变量服从高斯分布。

4 评估指标与实验结果

4.1 SNMP变量数据集

实验数据来源于某校网络中心核心交换机一周的监控记录数据，采用基于深度数据包探测法先行对训练数据进行类标注。Weka[8]是一个基于Java的开源数据挖掘工具。该文分类检测算法均已在Weka机器学习平台上实现。

MIB中管理的SNMP变量约有100多个，这些变量被分为10组，分别是：system组、interfaces组、at组、ip组、icmp组、tcp组等。根据领域知识选择interfaces组中22个变量，采用GCT工具分别计算变量的g值并排序，采用前6个变量作为检测算法约简后的输入特征集，如表1所示。

4.2 ARP攻击检测架构

为了比较上述三种算法的性能，搭建了一个攻击检测架构，如图1所示，分为三部分：SNMP流量特征统计计算；机器学习构建分类模型；攻击类型检测结果输出。

首先SNMP Agent从被监控网络获取混合了正常的流与攻击流的各种网络流量统计值，由数据预处理模块处理成标准格式信息并对训练数据预标注类型，存入统计信息库。SNMP变量选择模块去除不相关或与类识别关联程度较低的变量，这个精简后的特征子集输入构建分类模型模块，使用十折交叉评估法训练分类器，提高其分类精度，最后得到的分类器用于攻击检测模块，输出攻击类型结果。

4.3 评估指标与实验结果

二元分类问题的混淆矩阵如表2所示。

实验结果表明C4.5准确率较高，而SVM虽具有较低的误警率，但是SVM的丢失率最高，对ARP攻击类别不敏感，NaiveBayes整体性能不太理想，这是因为它基于概率计算，前提要求条件独立，而本文选择的6个SNMP变量并非条件独立。

5 结束语

本文将Granger因果关系检验法应用于SNMP变量选择，给出了可用于检测ARP攻击的相关SNMP变量集，提出了一个ARP攻击检测架构，实验结果表明C4.5具有较好的检测性能，适合用于ARP攻击检测。未来的工作是在多域的网络环境中寻找提高分类器适应性的方法。

参考文献：

[1] 石利平.ARP欺骗研究综述[J].计算机与现代化，2011（6）：193-198.

[2] 武孟军.精通SNMP[M].北京：人民邮电出版社，2010：58-113.

[3] 陈雄兵，张宗成.再议Granger因果检验[J].数量经济技术经济研究，2008（1）：154-160.

[4] Hamilton J D.Time Series Analysis[M].Princeton University Press，1994：129-247.

[5] 徐鹏，林森.基于C4.5决策树的流量分类方法[J].软件学报，2009，20（10）：2692-2704.

[6] Moore A W，Zuev D.Internet Traffic Classification Using Bayesian Analysis Techniques[C]//Proceedings of ACM Intl Conf. on Measurement and Modeling of Computer Systems（SIGMETRICS）.NewYork：ACM，2005：50-60.

[7] 张学工.关于统计学习理论与支持向量机[J].自动化学报，2000，26（1）：32-42.

[8] Waikato Environment for Knowledge Analysis（WEKA）3.6， [EB/OL].[2013-10-21].http：//www.cs.waikato.ac.nz/ml/weak/index.html.