基于机器学习的DDOS攻击检测技术研究

作     者：张忠良 

作者单位：沈阳理工大学 

学位级别：硕士

导师姓名：谭小波

授予年度：2023年

学科分类：08[工学] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 0811[工学-控制科学与工程] 

主      题：分布式拒绝服务攻击 网络安全 动态阈值 流量特征 因子分解 

摘      要：分布式拒绝服务(Distributed denial of service,DDOS)攻击是一种典型的网络攻击方式,它通过占用大量资源等方式瘫痪目标主机,对网络安全具有极大的威胁性。根据攻击流量的频率,DDOS攻击可分为高速率DDOS攻击、低速率DDOS攻击和可变速率DDOS攻击。现阶段DDOS攻击检测主要使用统计方法、机器学习、深度学习三种类别,然而在检测过程中,由于可变速率攻击与低速率攻击各自的攻击特性,攻击流量与正常流量特征十分类似,现有检测方法存在检测准确性差、效率低等问题,因此本文对可变速率DDOS攻击与低速率DDOS攻击检测展开研究,具体工作如下:(1)可变速率DDOS攻击中攻击流量会随时间增加或波动,现阶段方法难以检测或响应。针对上述问题,本文使用一种基于双向长短期记忆网络的动态阈值检测方法,该方法首先将网络流量以时间切割的方式进行分段处理,提取网络流量段中的特征并转化为四种流量属性,采用滑动窗口方式采集流量段数据。其次通过分析网络环境选择合适的参数,从而生成动态阈值,同时提出关键参数冻结解冻机制,防止动态阈值参数受到攻击流量污染。最后通过双向长短期记忆网络对流量进行分析,进而判断该网络流在某时刻的数据特征是否超出动态阈值所设定的范围,超出阈值范围的网络流将被认为是DDOS攻击流量。相比传统的固定阈值算法,基于双向长短期记忆网络的动态阈值检测方法在复杂的网络环境中,检测网络流量的误报率极低,处理时间较短,检测可变速率DDOS攻击的准确率较高。(2)低速率DDOS攻击所需带宽非常小,大量的低速连接与正常流量混为一体,难以分辨。针对上述问题,本文使用因子分解法对其进行检测,该方法首先提取流量中低速率DDOS攻击特征,为了加速计算庞大的网络数据,使用相似性方法对网络流量进行初步分类,筛选出速率较低的网络流量。其次通过因子分解法检测低速率流量的数据特征,如果是低速率DDOS攻击,立即发出警告。最后通过攻击频谱记录攻击流量特性,并生成频谱,检测同源其他连接请求。通过仿真结果可知,文中使用的因子分解法对甄别低速率DDOS攻击具有误报率低,检测速度快的优点,相比传统方法性能更好。