一种基于机器学习的应用层DDoS攻击检测方法

作     者：许云飞 

作者单位：南京邮电大学 

学位级别：硕士

导师姓名：周国强

授予年度：2022年

学科分类：08[工学] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 0811[工学-控制科学与工程] 

主      题：分布式拒绝服务 特征重要性评估 支持向量机 随机森林 强化学习机制 

摘      要：近年来,应用层DDoS攻击日趋猛烈,虽然当前针对应用层DDoS攻击的检测已经取得了一定的进展,但现有工作由于特征选取的片面性和随机性,只能够检测一种或其中几种特定类型的攻击,无法在多种应用层DDoS组成的混合攻击中保持较高检测率。另外,已知现有的应用层DDoS攻击检测方法都是部署在目标服务器处,攻击流量需要先进入机房入口再触发检测和清洗,当攻击流量超过目标主机机房入口的最大带宽时,入口网络会发生拥塞导致随机丢包,造成业务中断等严重后果。为了解决以上问题,本文提出了一种近攻击源部署的应用层DDoS攻击检测方法,该方法基于RF-SVM检测模型,因为特征选取的客观性和全面性使其能够在多种应用层DDoS组成的混合攻击中保持较高的检测率,同时通过将检测节点前向部署于近攻击源处,保证了目标主机不会被DDoS攻击至宕机。具体而言,本文的研究内容主要包括:（1）本文首先研究了应用层DDoS攻击检测领域中的常见检测方法,针对当前方法中关于特征选取片面性和随机性的问题,提出一种基于RF-SVM的检测模型。该模型通过基于随机森林的特征重要性评估算法对多种应用层DDoS组成的混合攻击进行了特征重要性评估和排序,结合本文给出的特征降维算法FDRFIE,保证了特征选择的客观性和全面性。（2）其次,针对现有检测方法无法保证目标主机安全性的问题,本文提出一种近攻击源部署的应用层DDoS攻击检测系统。此系统使用RF-SVM检测模型为基础构成检测节点,将检测节点部署于近攻击源处的各个网段中,每个节点负责此网段中DDoS攻击的检测。由于应用层DDoS攻击分布性强的特点,单一网段的检测节点中可能没有足够多的攻击流量样本对模型进行训练使其拥有较高精确率,节点过滤后的流量中可能仍有较多攻击流量。本文通过在检测节点中加入基于SVM置信度的强化学习机制缓解检测节点中漏报的攻击流量问题。通过此系统,攻击在发生之初就可以被部署在攻击源附近的检测节点及时发现并将其过滤,避免攻击流量到达目标主机对其进行侵害。（3）最后,本文通过CSE-CIC-IDS2018入侵检测数据集中的DDoS攻击部分对所提模型和系统进行实验分析。实验结果表明,基于RF-SVM的检测模型在多种应用层DDoS组成的混合攻击中能够保持较高的精确率,平均精确率可达85.6%,其中最高精确率可达94.6%。在保证目标主机安全性方面,本文提出的近攻击源部署的应用层DDoS攻击检测系统能够在部分检测模型精确率不足的情况下通过强化学习机制提高系统拦截率,并且在攻击源处过滤了最高90.88%的攻击流量,大大降低了目标主机的负载压力,证明了此系统的实用性和有效性。