基于联邦学习的DDoS攻击检测方法研究

作     者：吴斯 

作者单位：东南大学 

学位级别：硕士

导师姓名：程光

授予年度：2022年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：DDoS攻击检测 通信开销 联邦学习 MLP模型 梯度下降决策树 

摘      要：随着5G和物联网的普及,网络流量以及连接设备数量大幅度增长,网络中出现的分布式拒绝服务攻击的威胁也越来越严重。目前业界为了缓解DDoS攻击给中心服务器的带宽压力,通过部署服务器集群的方式对主网流量进行分流处理。尽管这种方式行之有效,但传统的检测方法仅仅关注单个节点的流量特征,无法刻画集群下的全局流量特征关系,造成模型泛化性不足;如果将各个边缘节点流量汇入至中心服务器进行检测,又将极大增加中心服务器的通信开销和计算压力,也无法保证流量数据的隐私安全。联邦学习技术为该环境下的DDoS攻击检测提供了新的思路。联邦学习作为一种分布式机器学习技术,只需对各个参与者模型的参数进行交互即可共同建立全局模型。该方法不仅保证数据隐私安全,还能以较小的通信开销实现各个数据源的联合训练。对此,本文提出了基于联邦学习的DDoS攻击检测方法,该方法通过联邦学习实现DDoS攻击检测模型的联合训练,以较小的通信开销实现多参与者环境下对各个节点DDoS攻击的检测和分类,该方法主要包括以下几点内容:(1)针对DDoS攻击检测面临的海量通信开销和隐私安全问题,提出了联邦学习DDoS攻击检测框架。该联邦学习框架提供了DDoS流量数据集的构建方法,对各个节点流量数据进行统一特征提取,并通过全局标准化的方式对各参与者的数据进行预处理,然后根据联邦学习的训练环境设计了统一的模型参数更新方法,并提出联邦学习环境下基于MLP的DDoS检测算法。实验结果表明,本文提出的联邦学习DDoS检测框架在6个参与者的环境下,仅需8.3MB的通信开销即可进行一轮联邦学习训练,能实现多个参与者DDoS攻击检测模型的联合训练。(2)针对联邦学习DDoS攻击检测框架由于数据分布不同造成的模型性能瓶颈问题,提出了基于联邦树型编码的DDoS攻击检测方法。该方法利用GBDT分类模型作为特征数据的编码器,通过一轮联邦学习的交互构建全局GBDT特征编码器;接着通过GBDT编码的方式的对各个参与者原始的测试样本数据进行特征编码生成新的特征向量,并将该新的编码特征作为联邦学习下的MLP多分类模型的输入,以提升联邦学习DDoS检测模型的泛化能力。实验结果表明,该方法在联邦学习DDoS检测框架下对正常流量和十种DDoS攻击流量分类准确率达92.47%,并且模型仅需102轮的联邦学习训练即可收敛,可以有效缓解数据分布不同造成的模型性能损失。(3)根据上述方法,本文设计并实现了基于联邦学习的DDoS攻击检测方法的原型系统,该系统包括数据预处理模块、联邦学习DDoS检测算法模块、联邦学习通信模块和参数更新算法模块。本文最后对设计实现的系统进行了界面展示、实际功能的验证以及系统性能的测试。