技術(shù)報(bào)告-基于組合分類器的ddos攻擊流量分布式檢

1、基于組合分類器的DDoS攻擊流量分布式檢測(cè)模型,賈斌 jb_qd2010@bupt.edu.cn北京郵電大學(xué) 網(wǎng)絡(luò)技術(shù)研究院 信息網(wǎng)絡(luò)中心,2024/3/16,1,2024/3/16,2,互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代趨勢(shì)：大規(guī)模、高速化、復(fù)雜化；特點(diǎn)：數(shù)據(jù)流量大、數(shù)據(jù)分組到達(dá)頻率高；挑戰(zhàn)：高速、大規(guī)?；ヂ?lián)網(wǎng)業(yè)務(wù)下異常流量的高效、準(zhǔn)確檢測(cè),引言,2024/3/16,3,引言（續(xù)）,DDoS(Distributed Denial of S

2、ervice)攻擊概念：采用分布式協(xié)作的大規(guī)模DoS攻擊方式，通過聯(lián)合或控制網(wǎng)絡(luò)上的若干僵尸主機(jī)同時(shí)發(fā)起攻擊，以此產(chǎn)生大規(guī)模的數(shù)據(jù)流量并進(jìn)入被攻擊目標(biāo)；目的：消耗計(jì)算機(jī)系統(tǒng)資源或者網(wǎng)絡(luò)帶寬，致使目標(biāo)主機(jī)服務(wù)請(qǐng)求極度擁塞從而無法提供正常的網(wǎng)絡(luò)服務(wù)。,2024/3/16,4,引言（續(xù)）,DDoS攻擊流量檢測(cè)目標(biāo)：高檢測(cè)率、低誤報(bào)率；檢測(cè)能力：分布式體系架構(gòu)下對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集及分析處理；本研究提出一種基于決策樹中隨機(jī)森林算法的用于

3、DDoS攻擊流量分布式檢測(cè)模型，實(shí)驗(yàn)結(jié)果表明：采用隨機(jī)森林算法對(duì)攻擊流量進(jìn)行的分布式檢測(cè)，無論是在檢測(cè)率、正確率、精確率，還是誤報(bào)率方面均優(yōu)于Adaboost算法（參考文獻(xiàn)[2]）。,2024/3/16,5,2024/3/16,6,傳統(tǒng)的集中式攻擊流量檢測(cè)框架弊端：對(duì)攻擊流量的分析效率低下，協(xié)同處理能力差，不適合實(shí)時(shí)在線檢測(cè)；應(yīng)對(duì)方法：分布式攻擊流量檢測(cè)模型（拓展性好，能夠適應(yīng)網(wǎng)絡(luò)環(huán)境異常監(jiān)測(cè)的動(dòng)態(tài)調(diào)整與部署）。,DDoS攻擊分布式

4、檢測(cè)模型設(shè)計(jì),2024/3/16,7,DDoS攻擊分布式檢測(cè)模型設(shè)計(jì)（續(xù)）,2024/3/16,8,DDoS攻擊分布式檢測(cè)模型共分為：數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、分布式分類檢測(cè)模塊和報(bào)警響應(yīng)模塊四部分。,2024/3/16,9,基于組合分類器的隨機(jī)森林方法,決策樹-基分類器概念：通過對(duì)某個(gè)訓(xùn)練數(shù)據(jù)集的學(xué)習(xí)，以生成能夠有效的對(duì)測(cè)試數(shù)據(jù)集進(jìn)行分類的一棵樹，它是一種由結(jié)點(diǎn)和有向邊所組成的層次結(jié)構(gòu)，樹中包含三種結(jié)點(diǎn)：根結(jié)點(diǎn)、內(nèi)部結(jié)點(diǎn)和葉子結(jié)

5、點(diǎn)。它所采用的分類屬性是自頂向下，直至葉子結(jié)點(diǎn)。因此，決策樹的每一棵樹在開始階段生成時(shí)，數(shù)據(jù)都集中在根結(jié)點(diǎn)上，然后再遞歸的進(jìn)行數(shù)據(jù)分類。缺點(diǎn)：?jiǎn)慰脴洌糜趩谓Y(jié)點(diǎn)或者集中式的攻擊流量檢測(cè)模型；不適合分布式攻擊流量檢測(cè)。,2024/3/16,10,基于組合分類器的隨機(jī)森林方法（續(xù)）,隨機(jī)森林—組合分類器定義：隨機(jī)森林是一個(gè)樹形分類器的集合，每個(gè)基分類器是用CART算法構(gòu)建的沒有經(jīng)過剪枝的一棵分類回歸樹，由多棵樹所構(gòu)成的森林的輸出策略采取

6、的是針對(duì)分類的簡(jiǎn)單多數(shù)投票法。其表示如下：TC: {C (x, α_i), i=1,2,……n}，其中，x 是輸入向量，α_i 是獨(dú)立同分布的隨機(jī)向量，它決定單棵決策樹的生長(zhǎng)過程。,2024/3/16,11,隨機(jī)森林—組合分類器特點(diǎn)：（1）通過在每個(gè)結(jié)點(diǎn)處隨機(jī)選擇特征進(jìn)行分支，使得每棵決策分類樹之間的相關(guān)性達(dá)到最小化，既提高了分類精度，又有效解決了過擬合問題；（2）能預(yù)估特征屬性在分類中的重要性，由于單棵決策樹的生長(zhǎng)速度快，所以總體的

7、分類速度快，能高效處理大樣本數(shù)據(jù)，易于實(shí)現(xiàn)并行化；（3）對(duì)噪聲數(shù)據(jù)具有較強(qiáng)的健壯性。,2024/3/16,12,基于組合分類器的隨機(jī)森林方法（續(xù)）,2024/3/16,13,檢測(cè)方法基本思想與評(píng)價(jià)指標(biāo),檢測(cè)方法基本思想 隨機(jī)森林分布式檢測(cè)（Random Forest Distributed Detection, RFDD）方法：將隨機(jī)森林中每一棵決策樹，即將k個(gè)基分類器分別部署到分布式檢測(cè)系統(tǒng)中的k個(gè)從結(jié)點(diǎn)上，從而得到k種分類檢

8、測(cè)結(jié)果；在系統(tǒng)的主結(jié)點(diǎn)上建立一個(gè)集中分析處理模塊，該模塊的主要功能是：根據(jù)每個(gè)基分類器所得到的k種分類檢測(cè)結(jié)果對(duì)每條記錄進(jìn)行投票表決，從而得到對(duì)網(wǎng)絡(luò)流量正常與否的最終分類檢測(cè)結(jié)果。,2024/3/16,14,檢測(cè)方法基本思想與評(píng)價(jià)指標(biāo)（續(xù)）,評(píng)價(jià)指標(biāo),2024/3/16,15,精確率：𝑃𝑟𝑒𝑐𝑖𝑠𝑖𝑜w

9、899;= 𝑇𝑃 𝑇𝑃+𝐹𝑃 誤報(bào)率：𝐹𝐴𝑅= 𝐹𝑃 𝐹𝑃+𝑇𝑁 檢測(cè)率：𝐷𝑅= 𝑇𝑃 𝑇𝑃+

10、19865;𝑁 準(zhǔn)確率：𝐴𝑐𝑐𝑢𝑟𝑎𝑐𝑦= 𝑇𝑃+𝑇𝑁 𝑇𝑃+𝐹𝑃+𝑇𝑁+𝐹𝑁,其中：TP(True

11、 Positive): 將攻擊流量正確的預(yù)測(cè)為攻擊的記錄個(gè)數(shù)； FP(False Positive): 將正常流量記錄錯(cuò)誤的預(yù)測(cè)為攻擊的記錄個(gè)數(shù)；TN(True Negative): 將正常流量記錄正確的預(yù)測(cè)為正常的個(gè)數(shù)；FN(False Negative): 將攻擊流量錯(cuò)誤的預(yù)測(cè)為正常的記錄個(gè)數(shù)。,2024/3/16,16,實(shí)驗(yàn)及結(jié)果分析,2024/3/16,17,檢測(cè)率,正確率,實(shí)驗(yàn)及結(jié)果分析（續(xù)）,2024/3/16,18,

12、精確率,誤報(bào)率,附：參考文獻(xiàn),[1] 夏靖波，任高明. 大流識(shí)別方法綜述[J]. 控制與決策, 2013, 28(6): 801-807.[2] Hu Weiming, Gao Jun, Wang Yanguo, et al. Online Adaboost-Based Parameterized Methods for Dynamic Distributed Network Intrusion Detection [J]. IEEE

13、 Transactions on Cybernetics, 2014, 44(1): 66-82.[3] 董師師，黃哲學(xué). 隨機(jī)森林理論淺析[J]. 集成技術(shù)，2013, 2(1): 1-7.[4] 方匡南，吳見彬，朱建平，等. 隨機(jī)森林研究方法綜述[J]. 統(tǒng)計(jì)與信息論壇，2011, 26(3): 32-38.[5] A. Verikas, A. Gelzinis, M. Bacauskiene. Mining data wit

14、h random forests: A survey and results of new tests [J]. Pattern Recognition, 2011, 44(2): 330-349.[6] 周志華. 機(jī)器學(xué)習(xí) [M]. 北京：清華大學(xué)出報(bào)社，2016.[7] 王愛平，萬國(guó)偉，程志全，等. 支持在線學(xué)習(xí)的增量式極端隨機(jī)森林分類器[J]. 軟件學(xué)報(bào)，2011, 9(22): 2059-2074.[8] 郭春. 基于數(shù)據(jù)

15、挖掘的網(wǎng)絡(luò)入侵檢測(cè)關(guān)鍵技術(shù)研究[D]. 北京：北京郵電大學(xué)計(jì)算機(jī)學(xué)院，2014.[9] Chun Guo, Yajian Zhou, Yuan Ping, et al. A distance sum-based hybrid method for intrusion detection [J]. Applied Intelligence, 2014, 40(1): 178-188.[10]曹正鳳. 隨機(jī)森林算法優(yōu)化研究[D]. 北京