针对分布式拒绝服务（distributed denial of service，DDoS）网络攻击知识库研究不足的问题，提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建，包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类；网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模，并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling，DOTS）协议搭建分布式知识库，实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明，DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量，并具备分布式知识库间的知识更新和推理功能，表现出良好的可扩展性。

前 DDoS 攻击检测方法主要有两种：一种是基于机器学习和神经网络的攻击检测方法，通过分析正常流量与攻击流量在特征方面的差异来检测攻击；另一种是基于统计的检测方法，对正常的网络流量进行建模，通过对比当前网络流量与正常流量模型之间的相似程度来检测攻击。现有的这些方法或基于已有的数据集检测算法，或利用常规统计模型，难以适应不断变化的DDoS攻击，并需要随攻击的变化调整模型和阈值等参数，难以动态适配网络攻击的变化。

网络攻击呈现复杂化和组合化的趋势，传统的流量信息难以适用于网络攻击的分析，因此需要结构化的知识体系描绘网络攻击的特征和属性，对网络攻击进行实体关系建模。随着网络知识呈指数增长，越来越多的研究人员开始使用知识图谱管理这些知识。知识图谱将人类知识结构化形成系统，其中包含基本的知识、通用的规则以及其他结构化的信息，具有信息检索、推演决策等功能。从结构上看，知识图谱就是“实体-关系-实体”的三元组组成的一种带标记的有向属性图形。因其优秀的检索功能、高效的结构化存储功能、自适应的更新功能等特点受到了研究人员的关注。但现有的网络安全知识库，例如攻击类型枚举和分类数据库（common attack pattern enumeration and classification，CAPEC）、通用漏洞披露（common vulnerabilities andexposures， CVE）和常见缺陷列表（common weakness enumeration，CWE）等关于DDoS攻击的记录较少。此外，关于分布式知识库的构建研究则更少。因此上述知识库面对海量知识表现出交叉的扩展性，无法提供系统的DDoS攻击知识。

为检测并缓解 DDoS 攻击，需要有不断更新的知识来做支撑。因此，本文基于知识图谱的概念构建了 DDoS 攻击恶意行为知识库。该知识库以知识图谱的形式存储了 DDoS 攻击行为的各种特征以及第三方数据库中的知识，并构建了一套知识库更新、推理和反馈的系统，用于在复杂多变的网络环境下的多个网关处识别出攻击者行为，提供缓解措施，降低 DDoS 攻击引发的恶意流量强度。

本文的主要贡献有以下3点。

（1）提出 DDoS 攻击恶意行为知识库模型，设计 5 种知识图谱的数据结构模型，导入结构化数据构建DDoS攻击恶意行为知识库。

（2）设计知识图谱间交互接口，实现图谱数据传输、更新、推理和反馈功能；结合图数据库构建知识图谱实现可视化表达与查询功能。

（3）基于分布式拒绝服务开放威胁信号（DDoS open threat signaling，DOTS）协议构建分布式知识库，实现知识库间通信，并探讨了分布式知识库在恶意流量检测与防御方面的应用场景。

2 研究现状

近些年将机器学习运用到 DDoS 攻击检测的研究取得了很多进展，相比之下，利用知识图谱技术构建知识库检测 DDoS 攻击以及面向DDoS 攻击的分布式知识库构建的研究还处于初级阶段。

在网络安全知识图谱构建方向有很多研究。在网络安全本体构建方面，文献阐述了一个分层次、由许多模块化子本体组成的网络安全本体论，从抽象到具体地分为了上层、中层和领域本体。文章提出了分层的本体框架，但并未具体定义领域本体中的概念。在知识推理方面，文献论述了知识图谱的 3 类推理方法：基于规则的推理、基于分布式表示的推理和基于神经网络的推理，同时还探讨了知识图谱推理的问答、查询和关联分析的应用场景。在知识图谱可视化方面，文献阐述了知识图谱可视表达的 4 种基本方法：空间填充、节点链接图、热图和邻接矩阵，并从数据检索、图构建、度量计算、布局和渲染 5 个阶段说明了大规模知识图谱可视化的方法。在DDoS攻击检测方面，文献将知识图谱应用在DDoS检测中，从网络流量中抽取信息构成知识图谱，利用知识图谱描述两个主机之间的交互关系，然后通过对关系的分析检测出DDoS攻击源。

上述文献大多构建了新的网络安全本体和网络安全框架，并按照从网络安全知识图谱子系统到可视化子系统的顺序构建，缺乏在特定领域的适用性，因此对 DDoS 攻击这种需要对流量数据分析的模型没有很好地适配，针对 DDoS 攻击的知识图谱和知识库框架需要从流量数据开始分析建模。

此外，各种与网络安全知识图谱相关的平台也逐渐受到网络安全人员的关注。开放网络威胁情报平台（open cyber threat intelligence platform， OpenCTI）是一个开源平台，其基于结构化威胁信息表达（structured threat information expression， STIX）标准和攻击行为知识库模型（adversarial tactics, techniques, and common knowledge， ATT＆CK）框架开发了网络威胁情报知识和可观察量，目的在于构造、存储、组织与可视化有关网络威胁情报的技术和非技术信息；开源威胁情报共享平台（malware information sharing platform，MISP）是一种开源软件，用于收集、存储、分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁。但其数据导入受限于STIX2.0标准格式，并且其本体面向较高层的网络安全范畴，并未涉及底层的数据包数据等信息；而图数据库 Neo4j具有高性能的图引擎，能够快速构建知识图谱，支持多种格式的数据导入和导出，是目前知识库图谱可视化使用最广泛的平台，因此将其作为本文的知识图谱构建工具。

目前的网络安全知识图谱和知识库构建工作大多集中在单点部署方案，无法适用大型网络结构。而分布式系统因其开放和灵活的体系结构等特点成为了现在网络的通用设计方案。分布式数据库拥有强大的可扩展性和透明性，能有效地提高数据传输的效率，同时缓解单个数据库的负载。分布式数据库主要性能优化在于每个数据库可以存储相对较少的数据，执行一部分的任务，相对于单个数据库能够减少数据查找和读取时间，降低数据库负荷；但分布式数据库也存在数据库之间通信不安全、数据传输效率低等问题，因此，选择一种合适的安全传输协议是解决数据传输安全性的关键问题。

目前，DDoS检测系统存在以下两点不足。

（1）传统检测方法只针对一种或几种 DDoS攻击进行检测和分类，对细分类的 DDoS 攻击的检测和分类精确率不高；

（2）机器学习和神经网络的方法难以感知真实的网络结构与攻击完整路径，对于层出不穷的新型DDoS攻击的检测适配性较差。

针对以上不足，本文提出分布式 DDoS 攻击恶意行为知识库，其构建流程如图1 所示。基于集成学习和神经网络等算法对细分类的 DDoS 攻击进行特征提取和检测，生成存储检测 DDoS 攻击结果的恶意流量检测库；分析 DDoS 攻击的路径和特征，构建行为知识图谱攻击行为库，并基于图算法、聚类算法以及攻击溯源推理等方法实现恶意行为感知和分类，构建网络安全知识库；基于DOTS协议构建分布式知识库，实现分布式节点间的知识更新和交互功能，通过实验验证分布式知识库的数据传输性能和对 DDoS 检测的能效，并对知识库应用场景进行了设想。

3 知识库构建

DDoS攻击恶意行为知识库结构如图2所示，由恶意流量检测库和网络安全知识库两部分组成。恶意流量检测库用于收集和存储来自检测模块的不同种类 DDoS 攻击流量数据，为网络安全知识库提供结构化的数据；网络安全知识库负责收集第三方异构数据库、构建网络攻击行为库、知识图谱推理、知识库反馈等工作。

包含恶意流量检测库

恶意流量检测库收集并存储原型系统中生成的实验数据，包括正常流量、DDoS攻击恶意流量、真实标签和预测标签，并对同一流量的数据和标签进行整合，生成带有两种标签的流量数据。

恶意流量检测库以知识图谱的形式存储恶意流量数据并构建检测图谱，其图谱三元组构成见表1。知识图谱主要由实体、关系和属性3部分组成，实体是最主要的元素，代表数据的集合体；属性包含属性名称和属性值，属性名称代表对象具有的特点和特征，属性值为对应属性所指定的值；关系用于连接两个实体，代表实体之间的关联性。

首先，经过检测模块的CICFlowMeter流量特征提取工具后生成84个流特征数据，检测图谱创建流量节点实体和攻击类型实体，将84种流特征作为流量节点实体的属性来存储数据；然后，构建真实标签和预测标签来连接流量节点实体和攻击类型实体。其中，真实标签表示所连接的流量节点实体的真实攻击类型；预测标签表示所连接的流量节点实体通过检测模块检测后被标记的攻击类型。恶意流量检测知识图谱将数据存储为实体的属性并构建流量数据与攻击类型之间的关系，用于统计和计算检测模块的检测精确率，并向检测模块反馈检测精确率较低的攻击类型信息。

网络安全知识库

网络安全知识库是 DDoS 攻击恶意行为知识库中最为核心的部分，包含了数据源处理模块、恶意行为知识库构建模块、行为推理模块和行为反馈模块，负责数据结构化处理、恶意行为知识图谱构建、行为推理和反馈的工作。

数据处理模块主要从与网络安全相关的第三方数据库获取与 DDoS 攻击相关的信息并整合为统一的结构化数据，作为网络安全知识库的数据补充和信息支持。

行为库构建模块基于DDoS攻击的攻击路径、攻击时序、攻击流特征和攻击行为分别构建了实体行为感知图、恶意行为溯源图、恶意行为特征图和流量行为知识图4张知识图谱；并定义了图谱之间的交互接口，实现数据的互通和输入、输出。

行为推理模块利用图推理算法和攻击溯源推理算法对实体行为感知图和恶意行为溯源图进行推理，为攻击主机溯源和攻击主机位置感知提供依据；利用聚类算法对不同种类 DDoS 攻击的特征进行筛选。

另外还有恶意知识库和后期构建库以及应用场景等。首先，基于知识图谱构建了恶意流量检测库和网络安全知识库中的知识图谱来全面描绘 DDoS 攻击；然后，在原型系统中收集 DDoS 攻击正常、异常流量及第三方网络安全知识库中攻击、漏洞和弱点信息，基于预设的数据结构导入知识库中，构建 DDoS 攻击恶意行为知识库；最后，基于 DOTS 协议构建了分布式知识库，实现知识库之间的数据传输。通过实验，验证了 DDoS 攻击恶意行为知识库在数据传输、指导检测 DDoS 攻击、缓解恶意流量方面的性能，弥补了传统 DDoS 攻击检测方法与知识库构建的劣势，同时探讨了分布式 DDoS 攻击恶意行为知识库的各类应用场景。下一步将在优化知识库数据传输性能、完善知识库服务安全检测机制和实现知识库智能化网络控制方面进行研究，最终达到DDOS防护智能化。