每周文章分享-164

标题: Intelligent VNF Placement to Mitigate DDoS Attacks on Industrial IoT

期刊: IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT, vol. 20, no. 2, pp. 1319-1331, JUNE 2023

作者: Guilherme Werneck de Oliveira , Michele Nogueira , Aldri Luiz dos Santos, and Daniel Macêdo Batista.

分享人: 河海大学——陈乐兰

本文介绍了一种在雾服务器上放置安全 VNF 的 ML 方法，旨在有效缓解 工业物联网（IIoT）环境中的 DDoS 攻击。该方法与类似方法的不同之处在于考虑了 NFV 性能指标，例如部署时间和 CPU/RAM 消耗。该方法基于可定制的 ML 分类技术。仿真实验评估了在受攻击的 IIoT 设备和攻击者设备附近分配安全 VNF 时考虑不同监督和无监督 ML 技术的方法的性能。结果表明当 VNF 分配在攻击者设备附近时，监督 ML 技术取得了最佳结果。

本文的创新和贡献如下：

1）通过使用经典分类技术并考虑不同的性能指标，提出并分析了用于自动安全 VNF 放置的监督和无监督 ML 模型；

2）考虑不同的性能指标，组织和讨论应用 NFV 检测和缓解物联网攻击的现有方法；

3）基于 Fog IIoT Factory 数据集和 BoT-IoT 数据集开发并公开了一个新的数据集，该数据集描述了工业物联网应用程序在雾环境中面对攻击时的执行情况。

（1）动机

性能管理假设如何使用从网络收集的指标或度量来有效地提供必要的资源，以维持交付给用户的服务质量（QoS）。为了有效地进行 NFV 的运营，必须明确定义和衡量性能指标，以展示网络的真实需求、行为和健康状况。网络行为的预测除了允许服务设计者预测其应用程序的性能之外，还可以通过预测设备的放置和资源分配为许多具有严格 QoS 要求的应用程序带来优势。因此，NFV 性能指标可以帮助机器学习做出决策，决定是否在特定位置为确定的目的使用特定的虚拟化资源。换句话说，NFV 性能管理可以得到 ML 决策的支持。

因此，本文提出了基于ML的安全 VNF 部署算法，通过组合不同的性能指标训练ML 模型进行安全 VNF 的放置决策，找到可以部署安全 VNF 的最佳雾服务器，以缓解 DDoS 攻击。为了测试这种方法的有效性，作者评估了有监督和无监督ML模型的性能。

（2）安全VNF放置的ML模型

对有监督和无监督两种学习方法进行分析，有助于我们深入了解物联网网络环境如何影响决策。至于监督学习分类，本文实现并评估了决策树、随机森林、极限梯度提升（XGBoost）、逻辑回归、支持向量机、K近邻和朴素贝叶斯。至于无监督学习，本文实现并评估了K-Means、层次聚类和高斯混合模型。

1)决策树分类器是一个二叉树，通过从根到叶节点的遍历进行预测，其中每个节点都关联一个类，在本文的案例中，就是一个部署安全VNF的特定雾服务器。它实现了基尼杂质概念来描述节点的同质性。如果一个节点的所有样本都属于同一个雾服务器，那么这个节点就是同质的，而如果一个节点的样本来自许多不同的雾服务器，那么这个节点的纯度就较低。

2)与决策树不同，随机森林创建了带有几个随机特征集或性能指标的小决策树。预测是由这些小决策树投票做出的。每个小决策树根据呈现的数据做出决定，投票最多的决定就是最终的参数化算法。XGBoost 是梯度提升决策树的一种实现，专为速度和性能而设计。它旨在最小化损失函数，为树的每个区域选择不同的最优调整值，而不是为整个树选择单一的最优调整值。基于这一概念，XGBoost根据前序树的加权误差计算其序列树的拟合，以预测作为模型目标的雾服务器。

3)除了基于树的结构之外，逻辑回归在面对一组解释（即性能指标）时估计与给定事件（安全VFN的放置）发生相关的概率。它的系数是通过最大似然方法从数据集中估计出来的，该方法找到一个系数的组合，使雾服务器被观测到的概率最大化。支持向量机的目标是在 n 维空间中找到一个超平面，其中 n 是性能指标的数量，它明确地将雾服务器分类为目标。虽然逻辑回归和支持向量机是为了对二元变量进行分类，但本文在多个雾服务器上测试了它们的行为，以寻找性能指标组合中可能存在的某种模式。

4)K近邻算法是根据k个最近邻居的识别来对新的雾服务器进行分类，也就是说，它根据(描述VNF放置决策的性能指标的)相似性来搜索相同的雾服务器组。通过该算法，我们能够观察到这里定义的工业物联网环境的高性能或低性能指标相关性如何影响模型分类。

5)对于无监督学习分类，K-Means根据雾服务器的特征对其进行评估和聚类。根据k个定义，即预测的雾服务器数量，该算法在平面上定义质心，并将雾服务器分成k个方差相等的组。层次聚类的目标是生成一系列分层的嵌套集群。它开始假设每个雾服务器作为一个单独的集群，然后识别两个可以最接近的集群，最后合并两个最大可比较集群。这种聚类层次结构被表示为一棵树，其中根是收集所有样本的唯一聚类，叶子是仅包含一个样本（即雾服务器）的聚类。作为一种概率模型，高斯混合模型认为雾服务器是由有限数量的具有未知参数或性能指标的高斯分布的混合生成的。

另一个需要分析的重要角度是性能指标对于上述模型的重要性。该分析展示了每个功能的重要性得分，描述了该功能对安全VNF放置的重要性。并且，在本文所述的背景下，它旨在显示构成模型学习的性能指标的比例贡献。

1. 实验设置

本文评估了三种类型的场景：小型（10 个 IIoT 和 10 个雾节点）、中型（25 个 IIoT 和 15 个雾节点）和大型（50 个 IIoT 和 25 个雾节点）。

在部署安全 VNF 时考虑的性能指标包括：CPU消耗（MHz）、RAM消耗（MB）、环境部署时间、方法响应时间、ML模型精度、延迟（s）、吞吐量（Mbps）、网络响应时间、处理次数数据包、大小已处理的数据包（字节）、应用程序端口、数据包费率。

在这些场景中，应用程序在IIoT节点上执行，这需要在雾节点上实例化一些微服务。图1总结了这些场景。

图 1 在 DDoS 攻击下在 IIoT 网络上部署安全 VNF

在某些时候，这些IIoT节点可能会遭受DDoS攻击，ML技术将选择一些雾节点来实例化安全VNF以缓解DDoS攻击。在所述 IIoT 网络环境中，特定雾服务器上正确的安全 VNF 放置相当于真阳性 (TP)，而真阴性 (TN)则表示模型正确预测不进行安全VNF 放置的结果。误报 (FP) 表示即使网络场景未遭受 DDoS 攻击，也进行安全VNF 的部署。同样，漏报 (FN) 表示当网络受到攻击时，却不实例化安全 VNF。

2. 实验结果

(1) 在受攻击设备附近部署VNF

本文首先分析了 ML 模型如何能够对专门放置在受攻击物联网设备附近的雾服务器上的安全 VNF 进行分类。图2总结了有监督和无监督ML模型的性能。根据准确率，所有模型的性能都很低，平均为30%。至于无监督模型，平均值甚至更低，约为5%。这种行为在训练数据和测试数据中都是相似的。它还扩展到精度，召回率和f1得分指标。

图2 在受攻击设备附近分配VNF时ML的性能

关注有监督模型，可以在图3a、3b、4a、4b、5a和5b中观察到最佳模型得到的结果。垂直轴上的每个点代表一个特定的雾服务器。橙色条表示用于实例化安全VNF的理想雾服务器。蓝色的点/线表示ML模型选择的用于实例化安全性VNF的雾服务器(一个完美的模型应该将所有蓝点放在所有橙色条的顶部)。横轴的每个点代表一个特定的工业物联网网络场景。只有正常流量，没有DDoS攻击的场景是图中没有柱状图的场景，即由零标识的雾服务器实际上不存在，它只表示不需要实例化的情况。

图3 在受攻击设备附近进行分配时，决策树分类性能和特征重要性

图3c、4c和5c分别对决策树、随机森林和XGBoost进行了总结。总的来说，对模型贡献最大的特性是与网络相关的，例如状态(每秒源到目的地数据包)、平均链路延迟、标准偏差和平均响应时间、字节(事务中的总字节数)以及与网络服务虚拟化相关的，例如CPU消耗。

图4  在受攻击设备附近进行分配时，网络性能指标对随机森林的重要性

图5 在受攻击设备附近进行分配时，网络性能指标对XGBoost的重要性

图6总结了ML模型的性能。与之前的部署策略相比，我们可以注意到所有指标的显著改善:准确性、精确度、召回率和f1分数。总的来说，训练和测试数据都增加了19%。

图 6 在攻击者设备附近分配时的性能提升

2)在攻击者附近部署VNF

与在受攻击设备附近部署 VNF 的实验结果类似，图7c、8c和9c说明了网络性能指标对 ML 决策的重要性。其中，对模型贡献最大的性能指标与网络和NFV相关。值得注意的是，对于具有最佳性能的XGBoost模型，最突出的特性是与NFV有关的 CPU消耗和部署时间，它们的总重要性约为22%。此外，对模型影响最大的网络相关特征是状态、链路容量均值、标准偏差和平均响应时间。这种行为在之前的安全VNF部署策略中也可以看到。

图7  在攻击者附近进行分配时，网络性能指标对决策树的重要性

图8  在攻击者附近进行分配时，网络性能指标对随机森林的重要性

图9  在攻击者附近进行分配时，网络性能指标对XGBoost的重要性

本文展示了一种使用 IIoT 网络的上下文指标来构建基于机器学习方法的VNF部署方案，以实现自动放置安全VNFs（例如防火墙、入侵检测系统 （IDS）和深度数据包检测 （DPI）系统等服务），从而缓解对工业物联网的分布式拒绝服务(DDoS)攻击。实验分析了用于自动安全VNF放置的有监督和无监督ML模型，组织和讨论了考虑不同网络性能指标对于应用NFV来检测和缓解物联网攻击的方法的重要性。