CN109040113A

CN109040113A - 基于多核学习的分布式拒绝服务攻击检测方法及装置

Info

Publication number: CN109040113A
Application number: CN201811027529.7A
Authority: CN
Inventors: 程杰仁; 唐湘滟; 黄梦醒; 张晨; 董哲; 李俊麒
Original assignee: Hainan University
Current assignee: Hainan University
Priority date: 2018-09-04
Filing date: 2018-09-04
Publication date: 2018-12-18
Anticipated expiration: 2038-09-04
Also published as: CN109040113B

Abstract

本发明公开了一种基于多核学习的分布式拒绝服务攻击检测方法及装置，所述方法包括：在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整训练集的五种特征值的权重，以得出两种训练好的多核学习模型；基于两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。本发明可以有效地降低分布式拒绝服务攻击检测的误报率和漏报率，提高对早期分布式拒绝服务攻击检测的准确性。

Description

基于多核学习的分布式拒绝服务攻击检测方法及装置

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于多核学习的分布式拒绝服务攻击检测方法及装置。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)是指攻击者利用雇佣的多台计算机对一个或者多个目标服务器分别发起拒绝服务攻击，从而使服务器无法处理合法用户的指令。利用DDoS攻击能够对网络造成巨大破坏，因此有效地检测DDoS攻击已成为亟待解决的重大问题。现有的DDoS攻击检测方法主要有：常规网络环境下基于预处理网络流预测和混合理论的DDoS检测方法；云环境下的自学习DDoS攻击检测方法；软件定义网络(Software Defined Network, SDN)下分析DDoS攻击的行为和DDoS检测方法等。

本发明的发明人在研究现有DDoS检测方法的过程中，发现现有技术至少存在以下问题：现有的DDoS检测方法的核心问题是提取特征和构建分类模型，虽然可以检测出对应的网络环境的DDoS攻击，但这些方法大多采用单一特征进行检测，未考虑到多维特征对检测结果的影响，进而导致对早期DDoS攻击的检测结果不够准确。

发明内容

为了解决现有技术存在的问题，本发明一方面提供了一种基于多核学习的分布式拒绝服务攻击检测方法，包括：在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；所述五种特征值包括网络流的地址相关度、网络流的IP流特征值、IP流交互行为特征、网络流融合特征和IP流地址半交互异常度；基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型；基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。

进一步的，所述两种训练好的多核学习模型包括：RS/M-SMKL多核学习模型和IS/M-SMKL多核学习模型；其中，所述RS/M-SMKL多核学习模型为：对正常网络流更敏感的多核学习模型；所述IS/M-SMKL多核学习模型为：对攻击网络流更敏感的多核学习模型。

进一步的，所述基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型的步骤具体包括：初始化所述五种特征值的权重；将所述训练集输入至所述两个多核学习模型；分别采用梯度上升法、梯度下降法更新权重；当采用所述梯度上升法时，将所述更新后的权重与所述五种特征值相乘，以更新所述 IS/M-SMKL多核学习模型的核心参数；若所述核心参数满足所述IS/M-SMKL多核学习模型的条件，则训练结束，得到训练好的所述IS/M-SMKL多核学习模型；当采用所述梯度下降法时，将所述更新后的权重与所述五种特征值相乘，以更新所述RS/M-SMKL多核学习模型的核心参数；若所述核心参数满足所述 RS/M-SMKL多核学习模型的条件，则训练结束，得到训练好的所述RS/M-SMKL 多核学习模型。

进一步的，所述IS/M-SMKL多核学习模型的核心参数为：δ₁；所述 IS/M-SMKL多核学习模型的条件为：g_i+1-g_i＜δ₁；所述RS/M-SMKL多核学习模型的核心参数为：δ₂；所述RS/M-SMKL多核学习模型的条件为： g_i-1-g_i＞δ₂；其中，g_i表示样本同类方差与异类均值差的比值；i表示迭代次数。

进一步的，所述基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击的具体步骤包括：将待测数据分别与所述IS/M-SMKL 多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将所述乘积输入至相应的多核学习模型；所述训练好的IS/M-SMKL多核学习模型对所述待测数据进行分类，得到第一分类结果；所述训练好的RS/M-SMKL多核学习模型对所述待测数据进行分类，得到第二分类结果；采用滑动窗口机制的协同处理方法对所述第一分类结果和所述第二分类结果进行处理，以得出分布式拒绝服务攻击的检测结果。

另一方面，本发明还提供了一种基于多核学习的分布式拒绝服务攻击检测装置，包括：特征值提取模块，用于在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；所述五种特征值包括网络流的地址相关度、网络流的IP流特征值、IP流交互行为特征、网络流融合特征和IP流地址半交互异常度；训练模块，用于基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型；检测模块，用于基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。

进一步的，所述训练模块，还用于初始化所述五种特征值的权重；所述训练模块，还用于将所述训练集输入至所述两个多核学习模型；以及用于分别采用梯度上升法、梯度下降法更新权重；当采用所述梯度上升法时，所述训练模块，还用于将所述更新后的权重与所述五种特征值相乘，以更新所述IS/M-SMKL多核学习模型的核心参数；若所述核心参数满足所述IS/M-SMKL多核学习模型的条件，则所述训练模块，还用于结束所述IS/M-SMKL多核学习模型训练,得到训练好的所述IS/M-SMKL多核学习模型；当采用所述梯度下降法时，所述训练模块，还用于将所述更新后的权重与所述五种特征值相乘，以更新所述RS/M-SMKL多核学习模型的核心参数；若所述核心参数满足所述RS/M-SMKL多核学习模型的条件，则所述训练模块，还用于结束所述RS/M-SMKL多核学习模型训练,得到训练好的所述RS/M-SMKL多核学习模型。

进一步的，所述检测模块，还用于将待测数据分别与所述IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将所述乘积输入至相应的多核学习模型；所述检测模块，还用于利用所述训练好的IS/M-SMKL多核学习模型对所述待测数据进行分类，得到第一分类结果；所述训练好的RS/M-SMKL 多核学习模型对所述待测数据进行分类，得到第二分类结果；所述检测模块，还用于采用滑动窗口机制的协同处理方法对所述第一分类结果和所述第二分类结果进行处理，以得出分布式拒绝服务攻击的检测结果。

由上可见，本发明提出的基于多核学习的分布式拒绝服务攻击检测方法，提取了五种特征值，充分考虑到多维特征对检测结果的影响，进而可以更全面的体现出DDoS攻击特点，更加准确的显示出正常网络流和攻击网络流的区别；同时，本发明基于集成学习框架，分别训练出了对正常网络流更敏感的RS/M-SM多核学习模型和对攻击网络流更敏感的IS/M-SMKL多核学习模型，并通过滑动窗口机制协同处理两种分类器识别的待测数据的类别，以检测DDoS攻击。从而有效地降低DDoS攻击检测的误报率和漏报率，提高对早期DDoS攻击检测的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例基于多核学习的分布式拒绝服务攻击检测方法流程图。

图2是本发明实施例两种多核学习模型的建立过程示意图。

图3是本发明实施例分布式拒绝服务攻击的检测过程示意图。

图4是本发明实施例基于多核学习的分布式拒绝服务攻击检测装置结构图。

图5是本发明实施例DDoS攻击和正常流特征值ACD的实验数据。

图6是本发明实施例DDoS攻击和正常流特征值IBF的实验数据。

图7是本发明实施例DDoS攻击和正常流特征值FFV的实验数据。

图8是本发明实施例DDoS攻击和正常流前10秒特征值ACD的实验数据。

图9是本发明实施例DDoS攻击和正常流前10秒特征值FFV的实验数据。

图10是本发明实施例DDoS攻击和正常流特征值MFF的实验数据。

图11是本发明实施例DDoS攻击和正常流特征值HIAD的实验数据。

图12是本发明实施例缩放攻击流和正常流4种算法DR对比图。

图13是本发明实施例缩放攻击流和正常流4种算法ER对比图。

图14是本发明实施例缩放攻击流和正常流4种算法FR对比的实验数据。

图15是本发明实施例缩小攻击流4种算法DR的实验数据。

图16是本发明实施例缩小攻击流4种算法ER对比图。

图17是本发明实施例缩小攻击流4种算法FR对比图。

图18是本发明实施例放大正常流下4种算法DR对比图。

图19是本发明实施例放大正常流下4种算法ER对比图。

图20是本发明实施例放大正常流下4种算法FR对比图。

图21是本发明实施例IS/M和RS/M收敛结果对比图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

S101，在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集。

在一个实施例中，可以选取5种基于分布式拒绝服务攻击流量的突发性、地址的分布性以及通信双方的交互性的特征提取方法，结合5种算法的特性，并删除影响较小的参数，得出用于检测DDoS攻击的五种特征值，包括网络流的地址相关度(AddressCorrelation Degree，ACD)、网络流的IP流特征值(IPFlow Features Value，FFV)、IP流交互行为特征(IP Flow Interaction Behavior Feature，IBF)、网络流融合特征(IP FlowMulti-feature Fusion，MFF)和IP流地址半交互异常度 (IP Flow Address HalfInteraction Anomaly Degree，HIAD)。其具体提取方法如下：

假设某单位时间T内网络流F为＜(t₁,s₁,d₁,p₁),(t₂,s₂,d₂,p₂),.....,(t_n,s_n,d_n,p_n)＞，其中 t_i、s_i、d_i、p_i分别表示第i(i＝1，2，……，n)个数据包的时间、源IP地址、目的IP地址、端口号。记源IP地址集A_i、目的IP地址集A_j的所有数据包形成的类为SD(A_i，A_j)，记源IP地址集A_i的所有数据包形成的类为IPS(A_i)，目的IP 地址集A_j的所有数据包形成的类为IPD(A_j)。记源IP地址集A_i使得类IPS(A_i)和类IPD(A_i)均非空的数据包为记IF(A_i)；记类IPS(A_i)中使类IPD(A_i)为空的源IP地址集A_i为SH(A_i)，SH(A_i)中不同端口号的数量记为Port(SH(A_i))；记类IPD(A_i) 中使类IPS(A_i)为空的目的IP地址集A_i为DH(A_i)，DH(A_i)中不同端口号的数量记为Port(DH(A_i))。

ACD提取：若有不同目的IP地址集A_j和A_k使得类SD(A_i，A_j)和SD(A_i，A_k) 均非空，则删除所有源IP地址集A_j的数据包所在的类。假设最后剩下的类为ACS₁， ACS₂，……，ACS_m。则有：

其中，W(ACS_i)＝θ₁Port(ACS_i)+(1-θ₁)Packet(ACS_i),(0＜θ₁＜1)Port(ACS_i)是类ACS_i中不同端口号的个数，Packet(ACS_i)是类ACS_i中数据包的个数，θ₁是加权值。

FFV提取：若目的IP地址集A_j的所有数据包形成的类只有类SD(A_i，A_j)，则删除目标IP地址集A_j的数据包所在的类。假设最后剩下的类为SDS₁，SDS₂，……， SDS_l，对这l个类进行分类，将目的IP地址相同的类的数据包分在同一类中，记目的IP地址为A_j的所有数据包形成的类为SDD(A_j)，这些类为SDD₁，SDD₂，……， SDD_m，则有：

公式(2)中，CIP(SDD_i)的计算方法见公式(3)：

其中，0≤θ₂≤1，Num(SDD_i)是类SDD_i中不同源IP地址的个数。公式 (2)中OA(Pack(A_j))，的计算方法见公式(4)：

其中，Pack(A_j)是类SDD_i中源IP地址为A_j的数据,个数，θ₃为阈值。公式(2)中OB(Port(SDD_i))，的计算方法见公式(5)：

其中，Port(SDD_i)是类SDD_i中不同目的端口号的个数，θ₄为阈值，Δt为采样时间间隔。

IBF提取：假设得到的IF类为IF₁、IF₂、…..IF_M，SH类为SH₁、SH₂、…..SH_s,， DH类为DH₁、DH₂、…..DH_D。则有：

其中,θ₅是阈值。公式(6)中M表示Δt内OP上所有IF流的数量，|S-D|表示Δt内所有HF流的源IP地址数量与目的IP地址数量的差值的绝对值。

MFF提取：假设得到的SD类为SD₁，SD₂，.....，SD_L，IF类为IF₁，IF₂，.....， IF_L。类IF_i中源IP地址A_i的数据包的数量记为sn_i，其中i＝1,2,...,M，所有的交互流类的数据包的数量记为SN；源半交互流类为SH₁，SH₂，.....，SH_s，类SH_i中不同端口号的数量记为Port(SH_i)，其中i＝1，2，…..，S；目的半交互流类为DH₁， DH₂，.....，DH_D，类DH_i中不同端口号的数量记为Port(DH_i)，其中i＝1,2,...,D。所有的SH类的数据包数量异常的加权值为：

所有的SD类的数据包数量异常加权值为：

单位时间T内网络流F的数据包数量异常加权值为：

其中，Δt为采样时间周期，θ₆，θ₇为SH类数据包数量异常阈值。Packet(SD_i) 是类SD_i中数据包的数量，i＝1，2，.....，l。交互流IF的所有HF类(SH类和 DH类)的不同端口数量异常加权值为

其中，Δt为采样时间周期，θ₈为SH类数据包数量异常阈值。则有：

HIAD提取：记所有的源半交互流SH为SH₁，SH₂，.....，SH_s。对S个SH 流分类，将目的IP地址相同的SH流分在同一类中，记具有不同源IP地址和相同目的IP地址A_i的SH流数量为hn_i，具有相同目的IP地址A_i的SH流所在的类表示为HSD(hn_i，A_i)，其中i＝1，2，…...，n_i。假设所有的HSD类为HSD₁， HSD₂，.....，HSD_k，类HSD_i中不同目的端口号的数量表示为Port(HSD_i)，其中i＝1，2，.....，k。I则有：

其中，Δt为采样时间周期，θ₉为不同目的端口阈值。

S102，基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整训练集的五种特征值的权重，以得出两种训练好的多核学习模型。

在一个实施例中，可以通过权重变量体现各维度特征值对模型的影响，结合梯度方法，可以训练出检测精度更高的多核学习模型。两种训练好的多核学习模型包括：RS/M-SMKL多核学习模型和IS/M-SMKL多核学习模型；其中， RS/M-SMKL多核学习模型为：对正常网络流更敏感的多核学习模型；IS/M-SMKL 多核学习模型为：对攻击网络流更敏感的多核学习模型。具体的模型建立过程将在图2所示的实施例中详细说明，在此先不赘述。

在一个实施例中，RS/M-SMKL注重于减少数据之间的差异，可将两类样本 (正常流样本，攻击流样本)聚集在各自的中心位置。IS/M-SMKL则重点考虑两类数据中心点的差异性，尽量增大两类样本中心点的距离，使得两类样本尽量分开，扩大了类间距，使得攻击数据更能较早的被识别。本实施例采用滑动窗口的方式，结合RS/M-MKL和IS/M-SMKL各自的优势，从而有效地降低DDoS攻击检测的误报率和漏报率，提高对早期DDoS攻击检测的准确性。

S103，基于两种训练好的多核学习模型，通过滑动窗口机制，检测DDoS攻击。

在一个实施例中，基于两种训练好的多核学习模型，通过滑动窗口机制，可以实现DDoS攻击的检测。具体的检测过程将在图3所示的实施例中详细说明，在此先不赘述。

图2是本发明实施例两种多核学习模型的建立过程示意图。

S201，初始化五种特征值的权重。

S202，将训练集输入至两个多核学习模型。

在一个实施例中，训练集包括正常样本集和攻击样本集。在计算出样本的五种特征值后，与预先初始化的各特征值权重相乘，并将与权重相乘后的五种特征值分别输入两个多核学习模型中。

S203，分别采用梯度上升法、梯度下降法更新权重。

在一个实施例中，经典的多核学习框架(SimpleMKL)定义如下：

给定训练集T＝{(x₁,y₁),(x₂,y₂),(x₃,y₃)L(x_n,y_n)}，测试集C＝{x′₁,x′₂,L x′_s}，其中x_i∈R^d，x'_k∈R^d，y_i∈(-1,+1)，R为实数集，d为数据维度，i＝1,2,L,n，k＝1,2,L,s。K₁(x,x′),K₂(x,x′),L K_M(x,x′)为R^d×R^d上的核函数，φ₁,φ₂Lφ_M为各函数对应的核映射。在SimpleMKL中，超平面的目标函数为：

其中，ω_m为每个核函数的权重，b为偏置。引入松弛因子ξ，根据结构最小原则，目标函数可被优化为：

受约束于(subject to，s.t.)

利用二阶交替优化，同时将上式整理为以d_m为变量的优化问题为：

s.t.

其中，J(d)的拉格朗日函数为：

其中，α_i，ν_i为拉格朗日算子。分别对ω_i，b，ξ_i求偏导并令导数为0，将得到的极值条件带入拉格朗日中，可进一步变为：

s.t.

采用梯度下降法对J(d)关于d进行求导，更新d，使d和α交替优化。并求出一个最优解α^*＝(α₁,α₂,…,α_n)。即原目标函数最终变为：

其中x_i∈C。当对测试集数据的类别进行判定时，只需将测试集数据带入上式x_j处，即可断定被测数据所对应的类别。

进一步的，记ACD为x₁，IBF为x₂，MFF为x₃，HIAD为x₄，FFV为x₅。其构成特征值向量为：F＝(x₁，x₂，x₃，x₄，x₅)。记权重向量为：W＝(w₁，w₂， w₃，w₄，w₅)。组合特征为CF＝F*W^T。记正常流各维均值为u₁₁，u₁₂，u₁₃，u₁₄， u₁₅，记攻击流各维均值为u₂₁，u₂₂，u₂₃，u₂₄，u₂₅。异类均值差表示为：

M＝[w₁*(u₁₁-u₂₁)]²+[w₂*(u₁₂-u₂₂)]²+[w₃*(u₁₃-u₂₃)]²+[w₄*(u₁₄-u₂₄)]²+[w₅*(u₁₅-u₂₅)]²

正常流各维度数据与正常流各维度均值的方差为：

攻击流各维度数据与攻击流各维度均值的方差为：

同类方差为S＝S₁+S₂。为了提高分类精度，同时保证函数快速收敛，一方面应尽量提高正负样本的均值差，使得两类样本在总体上尽量的远离，即增大M 值；另一方面应尽量减少相同样本间的差异，应使每个维度对应的方差尽量的小，即减小S值。结合SimpleMKL框架公式(12)，上述问题可转化为：

s.t.

其中λ取“0”或“1”。为求解上述问题，本实施例采用逐次指定各维度权重的方式，即预先给定各维度权重(第一次迭代为初始化权重，其后为每次更新后的权重)，然后利用SimpleMKL框架，结合公式(22)、(23)求出该次的最优函数。用数学形式表示为：

s.t.

根据公式(24)、(25)所求的结果可以得到最优化方程为：

记其中i表示迭代次数。对应于函数g_i维度权重的梯度为：

根据公式(27)所示的梯度，各维度权重的更新方式为：

在本步骤中，当采用梯度上升法时，执行S204、S205。当采用梯度下降法时，执行S206、S207。

S204，将更新后的权重与五种特征值相乘，并更新IS/M-SMKL多核学习模型的核心参数。

在一个实施例中，IS/M-SMKL多核学习模型的核心参数为：δ₁。

S205，若核心参数满足IS/M-SMKL多核学习模型的条件，则训练结束,得到训练好的IS/M-SMKL多核学习模型。

在一个实施例中，IS/M-SMKL多核学习模型的条件为：g_i+1-g_i＜δ₁，其中， g_i表示样本同类方差与异类均值差的比值；i表示迭代次数。在本步骤中，当λ为“1”，且核心参数满足IS/M-SMKL多核学习模型的条件，即公式(26)为 IS/M-SMKL的最优函数，训练结束。若核心参数不满足IS/M-SMKL多核学习模型的条件，取α为“1”，并将更新后的各维度权重与各维特征值相乘，进行下一轮迭代，直至满足IS/M-SMKL多核学习模型的条件。

S206，将更新后的权重与五种特征值相乘，并更新RS/M-SMKL多核学习模型的核心参数。

在一个实施例中，RS/M-SMKL多核学习模型的核心参数为：δ₂。

S207，若核心参数满足RS/M-SMKL多核学习模型的条件，则训练结束,得到训练好的RS/M-SMKL多核学习模型。

在一个实施例中，RS/M-SMKL多核学习模型的条件为：g_i-1-g_i＞δ₂，其中， g_i表示样本同类方差与异类均值差的比值；i表示迭代次数。在本步骤中，当λ为“0”，且核心参数满足RS/M-SMKL多核学习模型的条件，即公式(26)为 RS/M-SMKL的最优函数，训练结束。若核心参数不满足RS/M-SMKL多核学习模型的条件，取α为“-1”，并将更新后的各维度权重与各维特征值相乘，进行下一轮迭代，直至满足IS/M-SMKL多核学习模型的条件。

图3是本发明实施例分布式拒绝服务攻击的检测过程示意图。

S301，将待测数据分别与IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将乘积输入至相应的多核学习模型。

S302，训练好的IS/M-SMKL多核学习模型对待测数据进行分类，得到第一分类结果；训练好的RS/M-SMKL多核学习模型对待测数据进行分类，得到第二分类结果。

S303，采用滑动窗口机制的协同处理方法对第一分类结果和第二分类结果进行处理，以得出DDoS攻击的检测结果。

在一个实施例中，采用滑动窗口处理机制的协同处理方法对第一分类结果和第二分类结果进行处理的具体步骤为：首先创建一个大小为n的滑动窗口，用 IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型分别顺序对待测数据进行分类，分别得出第一分类结果和第二分类结果；然后分四种情况逐一对待测数据类别进行协同检测，(1)当IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型识别当前待测数据类别均为正常时，则为正常；(2)当IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型识别当前待测数据类别均为攻击时，则为攻击；(3)当IS/M-SMKL多核学习模型识别当前待测数据类别为正常，而 RS/M-SMKL多核学习模型识别为攻击时，则为攻击；(4)当IS/M-SMKL多核学习模型识别当前待测数据类别为攻击，而RS/M-SMKL多核学习模型识别为正常时，则将滑动窗口起点移动到当前待测数据在第一类结果中的位置，并将滑动窗口终点对应到第一类结果后续第n-1个待测数据位置，若滑动窗口内的结果均为攻击，则判定当前待测数据为攻击，否则为正常。

为了验证本发明所提供方法，本实施例还对“CAIDA DDoS Attack 2007”数据集做了实验。本发明提出的方法能够有效的提高网络早期DDoS攻击检测结果的准确性。该数据集包含2007年8月4日大约一个小时的DDoS攻击。数据集的总大小为21GB，约占一小时。攻击大约在21:13开始致使网络负荷在几分钟内以约200千位/秒到80兆位/秒得速度迅速增长。一个小时的攻击流量被分成5 分钟的文件并存储为PCAP格式。该数据集的内容为TCP网络流量数据包，每一个TCP数据包包含源地址、目的地址、源端口、目的端口、数据包大小和协议类型等。本实验采用的正常流数据持续时间共2分钟，攻击数据持续时间共5 分钟。实验采用的评价标准为：检测率(DR)、误报率(FR)、总错误率(ER)。具体的：设TP表示被正确标记正常测试样本数，FP表示被错误标记的正常测试样本数，TN表示被正确标记的攻击测试样本数，FN表示被错误标记的攻测试样本数，则有：

实验首先利用上述5种特征提取算法对数据集中的数据进行特征提取，将提取到的特征值经归一化处理后全部作为训练集。训练集中的数据可看作常规情况下网络流量变化所体现出的规律。而网络流量具有突变性与波动性，因此所采集到的网络数据虽然与常规情况有类似，但还存在一定程度的差异。为了模拟这种现象，本实验针对提取到的全部特征值，分别选取了同时对正常流特征值和攻击流特征值缩放随机倍数，只对攻击流特征值缩小随机倍数和只对正常流特征值放大随机倍数三种情况下的数据作为测试集，每种情况分包含9组实验，每组实验均采用上述3个评价标准，与传统方法做对比，以验证本发明提出方法的有效性。

分别使用5个算法对攻击数据和正常数据进行特征提取，获得正负样本集。特征提取的周期设置为1秒，其余参数为加权因子θ₁＝0.5，θ₂＝0.5，θ₃＝3，θ₄＝3，θ₅＝3，θ₆＝3，θ₇＝3，θ₈＝3，θ₉＝3。共计提取到211正样本和280个负样本。图5 至图11为5种算法下提取到的特征值。

如图5所示，因为攻击数据在早期也存在大量的双向流，这些双向流随着攻击程度的增大逐渐减小，所以早期DDoS攻击和正常流有较大的重叠。在70s之后采用ACD作为特征能够显著体现攻击流和正常流的区别。在五种特征提取算法中，ACD能够最早体现出正常流和攻击流的区别。

如图6所示，相比于ACD，IBF虽然不具备更早发现攻击流的特性，但是其特征值的分布区间更加均匀，呈现出一定的波动性。这将使该特征不易受到个别异常值的干扰。

如图7所示，FFV特征与ACD比较相似，但如图8和图9所示，在起始阶段，FFV比ACD更能体现出攻击流和正常流的区别。

如图10所示，MFF特征虽然不能较早的判断出攻击流和正常流，但其能够使攻击后半段更接近于前半段，这将使得采用方差计算损失函数时能够更稳定的体现攻击流量较均值的波动，不易使过高的值影响总体的方差。

如图11所示，由纵坐标的数值可以看出，HIAD最能体现出正常流和攻击流的差异值，同时在攻击流后半段具有更好的稳定性。在早期数据之后，该特征能够极大的区分正常流和攻击流，更多的影响分类器，做更好的决策。

综上所述，5种特征均具有各自独特的特性。为了充分利用每一种算法的特性，本文将这5种算法所提取到的特征值每种作为一维组成5维数据集。将这5 种特征值全部作为训练集，带入算法中分别训练出以增大S/M的值和以减少S/M 的值的两种多核学习模型，同时获得对应的五维权重向量。按照上述同时对正常流特征值和攻击流特征值缩放随机倍数，只对攻击流特征值缩小随机倍数和只对正常流特征值放大随机倍数三种方式，得到实验所需要的测试集，来验证算法的有效性。最后对待测数据进行分类。其中，学习率为：lr＝2*10^-2，IS/M-SMKL 多核学习模型的条件中：δ₁＝10^-2，RS/M-SMKL多核学习模型的条件中δ₁＝10^-5。滑动窗口的大小为8。多核学习的参数均为默认值，其中包含两个高斯函数，两个poly函数。SVM的参数均为默认值，核函数为linear。实验对比如图12-20所示。

由上图可以看出在三种情况下，按照三种评估标准，总体上来说算法性能从高到低依次为：本发明提供的基于多核学习的分布式拒绝服务攻击检测方法 (FADADM方法)、SVM方法、原方法、基于ARIMA时间序列模型和混沌系统的新型DoS和DDoS攻击检测算法(方法4)。本发明利用集成学习的思想训练出两种不同的模型并采用滑动窗口机制协同各模型的优点使得算法在三种情况下均能有较好的性能，该方法在DDoS攻击检测中优于其他方法。实验具体数据如表1、表2和表3所示。因为采用了梯度的方法，所以函数g_i总能朝着变化率最快的方向更新特征权重，使得方差与均值差的比值能够快速收敛，进而提高算法的速度。增大S比M值(IS/M)和减小S比M值(RS/M)的收敛过程实验如图21所示。

表1.缩放正常流和攻击流4种算法的对比结果

表2.缩小攻击流4种算法的对比结果

表3.放大正常流4种算法的对比结果

如图4所示，本实施例中，基于多核学习的分布式拒绝服务攻击检测装置包括：特征值提取模块，用于在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；五种特征值包括网络流的地址相关度、网络流的IP流特征值、IP流交互行为特征、网络流融合特征和IP流地址半交互异常度；训练模块，用于基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整训练集的五种特征值的权重，以得出两种训练好的多核学习模型；检测模块，用于基于两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。

进一步的，两种训练好的多核学习模型包括：RS/M-SMKL多核学习模型和 IS/M-SMKL多核学习模型；其中，RS/M-SMKL多核学习模型为：对正常网络流更敏感的多核学习模型；IS/M-SMKL多核学习模型为：对攻击网络流更敏感的多核学习模型。

进一步的，训练模块，还用于初始化五种特征值的权重；训练模块，还用于将训练集输入至两个多核学习模型；以及用于分别采用梯度上升法、梯度下降法更新权重；当采用梯度上升法时，训练模块，还用于将更新后的权重与五种特征值相乘，以更新IS/M-SMKL多核学习模型的核心参数；若核心参数满足 IS/M-SMKL多核学习模型的条件，则训练模块，还用于结束IS/M-SMKL多核学习模型训练,得到训练好的IS/M-SMKL多核学习模型；当采用梯度下降法时，训练模块，还用于将更新后的权重与五种特征值相乘，以更新RS/M-SMKL多核学习模型的核心参数；若核心参数满足RS/M-SMKL多核学习模型的条件，则训练模块，还用于结束RS/M-SMKL多核学习模型训练,得到训练好的RS/M-SMKL 多核学习模型。

进一步的，IS/M-SMKL多核学习模型的核心参数为：δ₁；IS/M-SMKL多核学习模型的条件为：g_i+1-g_i＜δ₁；RS/M-SMKL多核学习模型的核心参数为：δ₂；RS/M-SMKL多核学习模型的条件为：g_i-1-g_i＞δ₂；其中，g_i表示样本同类方差与异类均值差的比值；i表示迭代次数。

进一步的，检测模块，还用于将待测数据分别与IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将乘积输入至相应的多核学习模型；检测模块，还用于利用训练好的IS/M-SMKL多核学习模型对待测数据进行分类，得到第一分类结果；训练好的RS/M-SMKL多核学习模型对待测数据进行分类，得到第二分类结果；检测模块，还用于采用滑动窗口机制的协同处理方法对第一分类结果和第二分类结果进行处理，以得出分布式拒绝服务攻击的检测结果。

本实施例所示的检测装置可以用于执行图1、图2、图3所示的方法实施例，在此不再赘述。

由上可见，本发明提出的基于多核学习的分布式拒绝服务攻击检测方法，提取了五种特征值，充分考虑到多维特征对检测结果的影响，进而可以更全面的体现出DDoS攻击特点，更加准确的显示出正常网络流和攻击网络流的区别；同时，本发明基于集成学习框架，分别训练出了对正常网络流更敏感RS/M-SM多核学习模型和对攻击网络流更敏感的IS/M-SMKL多核学习模型，并通过滑动窗口机制协同处理两种分类器识别的待测数据的类别，以检测DDoS攻击。从而有效地降低DDoS攻击检测的误报率和漏报率，提高对早期DDoS攻击检测的准确性。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于多核学习的分布式拒绝服务攻击检测方法，其特征在于，包括：

在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；所述五种特征值包括网络流的地址相关度、网络流的IP流特征值、IP流交互行为特征、网络流融合特征和IP流地址半交互异常度；

基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型；

基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。

2.如权利要求1所述的方法，其特征在于：

所述两种训练好的多核学习模型包括：RS/M-SMKL多核学习模型和IS/M-SMKL多核学习模型；

其中，所述RS/M-SMKL多核学习模型为：对正常网络流更敏感的多核学习模型；所述IS/M-SMKL多核学习模型为：对攻击网络流更敏感的多核学习模型。

3.如权利要求1所述的方法，其特征在于，所述基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型的步骤具体包括：

初始化所述五种特征值的权重；

将所述训练集输入至所述两个多核学习模型；

分别采用梯度上升法、梯度下降法更新权重；

当采用所述梯度上升法时，将所述更新后的权重与所述五种特征值相乘，以更新所述IS/M-SMKL多核学习模型的核心参数；

若所述核心参数满足所述IS/M-SMKL多核学习模型的条件，则训练结束，得到训练好的所述IS/M-SMKL多核学习模型；

当采用所述梯度下降法时，将所述更新后的权重与所述五种特征值相乘，以更新所述RS/M-SMKL多核学习模型的核心参数；

若所述核心参数满足所述RS/M-SMKL多核学习模型的条件，则训练结束，得到训练好的所述RS/M-SMKL多核学习模型。

4.如权利要求3所述的方法，其特征在于：

所述IS/M-SMKL多核学习模型的核心参数为：δ₁；

所述IS/M-SMKL多核学习模型的条件为：g_i+1-g_i＜δ₁；

所述RS/M-SMKL多核学习模型的核心参数为：δ₂；

所述RS/M-SMKL多核学习模型的条件为：g_i-1-g_i＞δ₂；

其中，g_i表示样本同类方差与异类均值差的比值；i表示迭代次数。

5.如权利要求1所述的方法，其特征在于，所述基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击的具体步骤包括：

将待测数据分别与所述IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将所述乘积输入至相应的多核学习模型；

所述训练好的IS/M-SMKL多核学习模型对所述待测数据进行分类，得到第一分类结果；所述训练好的RS/M-SMKL多核学习模型对所述待测数据进行分类，得到第二分类结果；

采用滑动窗口机制的协同处理方法对所述第一分类结果和所述第二分类结果进行处理，以得出分布式拒绝服务攻击的检测结果。

6.一种基于多核学习的分布式拒绝服务攻击检测装置，其特征在于，包括：

特征值提取模块，用于在预设时间段内分别对正常网络流和攻击网络流进行采样，并提取五种特征值，得出正常样本集和攻击样本集，构成训练集；所述五种特征值包括网络流的地址相关度、网络流的IP流特征值、IP流交互行为特征、网络流融合特征和IP流地址半交互异常度；

训练模块，用于基于集成学习框架，分别采用梯度上升法和梯度下降法两种方式，自适应的调整所述训练集的所述五种特征值的权重，以得出两种训练好的多核学习模型；

检测模块，用于基于所述两种训练好的多核学习模型，通过滑动窗口机制，检测分布式拒绝服务攻击。

7.如权利要求6所述的装置，其特征在于：

8.如权利要求6所述的装置，其特征在于：

所述训练模块，还用于初始化所述五种特征值的权重；

所述训练模块，还用于将所述训练集输入至所述两个多核学习模型；以及用于分别采用梯度上升法、梯度下降法更新权重；

当采用所述梯度上升法时，所述训练模块，还用于将所述更新后的权重与所述五种特征值相乘，以更新所述IS/M-SMKL多核学习模型的核心参数；

若所述核心参数满足所述IS/M-SMKL多核学习模型的条件，则所述训练模块，还用于结束所述IS/M-SMKL多核学习模型训练,得到训练好的所述IS/M-SMKL多核学习模型；

当采用所述梯度下降法时，所述训练模块，还用于将所述更新后的权重与所述五种特征值相乘，以更新所述RS/M-SMKL多核学习模型的核心参数；

若所述核心参数满足所述RS/M-SMKL多核学习模型的条件，则所述训练模块，还用于结束所述RS/M-SMKL多核学习模型训练,得到训练好的所述RS/M-SMKL多核学习模型。

9.如权利要求6所述的装置，其特征在于：

所述IS/M-SMKL多核学习模型的核心参数为：δ₁；

所述IS/M-SMKL多核学习模型的条件为：g_i+1-g_i＜δ₁；

所述RS/M-SMKL多核学习模型的核心参数为：δ₂；

所述RS/M-SMKL多核学习模型的条件为：g_i-1-g_i＞δ₂；

10.如权利要求6所述的装置，其特征在于：

所述检测模块，还用于将待测数据分别与所述IS/M-SMKL多核学习模型和RS/M-SMKL多核学习模型的权重做乘积，并将所述乘积输入至相应的多核学习模型；

所述检测模块，还用于利用所述训练好的IS/M-SMKL多核学习模型对所述待测数据进行分类，得到第一分类结果；所述训练好的RS/M-SMKL多核学习模型对所述待测数据进行分类，得到第二分类结果；

所述检测模块，还用于采用滑动窗口机制的协同处理方法对所述第一分类结果和所述第二分类结果进行处理，以得出分布式拒绝服务攻击的检测结果。