超球體多類支持向量機(jī)及其在DDoS攻擊檢測中的應(yīng)用.pdf

1、分布式拒絕服務(wù)(DDoS)攻擊通過操縱“僵尸網(wǎng)絡(luò)”，向受害主機(jī)發(fā)起海量的垃圾請求，使受害主機(jī)完全超過工作負(fù)荷而無法響應(yīng)正常用戶的請求，達(dá)到拒絕服務(wù)的目的。由于“僵尸網(wǎng)絡(luò)”是由分布在全球的有安全缺陷的主機(jī)組成，受到攻擊者的幕后指揮，而且又可用虛假IP地址發(fā)起的攻擊，因此很難通過IP包中的信息來發(fā)現(xiàn)真正的攻擊者，在網(wǎng)絡(luò)上發(fā)起DDoS攻擊對攻擊者而言相對比較安全，使得這種攻擊對Intemet安全造成了極大的威脅。為了遏制DDoS在互聯(lián)網(wǎng)上泛濫

2、，必須對DDoS的防御措施進(jìn)行研究。若要有效防御DDoS攻擊，首先需要準(zhǔn)確地檢測到DDoS。由于DDoS常常使用虛假IP)地址，而TCP/IP協(xié)議并不對IP地址進(jìn)行認(rèn)證，因此無法識別哪些包使用了虛假口地址，這就給檢測DDoS帶來了困難。 DDoS檢測已經(jīng)成為網(wǎng)絡(luò)安全的研究熱點(diǎn)，已經(jīng)提出了不少檢測算法。這些算法的一個共同點(diǎn)是，尋找到DDoS攻擊的某個數(shù)值特征，根據(jù)這個數(shù)值特征來反映攻擊是否存在。一方面，由于網(wǎng)絡(luò)流的隨機(jī)性和復(fù)雜性以

3、及攻擊行為的多樣性使得通過單一特征來檢測DDoS的方法的可靠性受到質(zhì)疑，它們?nèi)菀讓⑼话l(fā)的大流量正常數(shù)據(jù)流也識別為攻擊而造成誤警率過高。為了準(zhǔn)確地檢測DDoS，必須使用多個屬性進(jìn)行檢測。另一方面，為了有效地防御DDoS，要求檢測環(huán)節(jié)能盡可能多地提供攻擊流的信息，例如同時提供攻擊強(qiáng)度、攻擊方式和攻擊協(xié)議的信息。綜合考慮，一種可行的方法是采用多類模式識別的方法，根據(jù)攻擊強(qiáng)度、攻擊方式和攻擊協(xié)議的不同，將攻擊分為24種不同的類型，尋找到一組能區(qū)

4、分各類攻擊的特征向量，然后采集不同類型攻擊的樣本，對多類學(xué)習(xí)機(jī)進(jìn)行訓(xùn)練；檢測階段，采集網(wǎng)絡(luò)流的特征數(shù)據(jù)，送到訓(xùn)練好的學(xué)習(xí)機(jī)中進(jìn)行檢驗(yàn)，以獲得的類標(biāo)來判斷是否有攻擊發(fā)生以及相應(yīng)的攻擊強(qiáng)度、攻擊方式和攻擊協(xié)議的信息。 支持向量機(jī)(SVM)是基于統(tǒng)計學(xué)習(xí)理論(SLT)的新型學(xué)習(xí)機(jī)，它集最大間隔超平面、Mercer核、凸二次規(guī)劃、稀疏解和松弛變量等技術(shù)于一身，可以克服傳統(tǒng)學(xué)習(xí)機(jī)的局部最小、維數(shù)災(zāi)難和過學(xué)習(xí)等問題，是一種性能良好的分類器。

5、標(biāo)準(zhǔn)的SVM是個二分類器，若用SVM解決多類分類問題，需要將SVM擴(kuò)展到多類。目前的主要思路是將多類問題轉(zhuǎn)化為一系列的二分類問題，然后由多個SVM進(jìn)行分類，例如常用的1-v-r和1-v-1分類器。這種方法可有效實(shí)現(xiàn)多分類功能，但因它是以間接的方式形成的分類能力，需要訓(xùn)練的SVM數(shù)量較多，所以它們的學(xué)習(xí)效率不高，不適合類別多、訓(xùn)練規(guī)模大的問題。因此，間接型多類SVM不適用于DDoS攻擊檢測。 由于DDoS分類類別比較多，需要效率更

6、高的直接型多類學(xué)習(xí)機(jī)。在前人工作的基礎(chǔ)上，建立了直接型多分類器-超球體多類支持向量機(jī)(HSMC-SVM)，的概念。建立超球的原則是，對某類樣本，在超球半徑盡可能小的情況下，包含該類樣本盡可能多。為每類樣本建立一個超球，N類樣本就建立Ⅳ個超球，在空間中形成像肥皂泡一樣的分類結(jié)構(gòu)。在判決時，測試樣本離哪個超球最近，就屬于那個超球代表的類，這就是HSMC.SVM的分類原理。它是以直接的方式形成分類能力，具有學(xué)習(xí)容量大、訓(xùn)練速度快、可擴(kuò)展性強(qiáng)的

7、優(yōu)點(diǎn)。每個超球的確定相當(dāng)于求解一個凸二次規(guī)劃(QP)問題，根據(jù)訓(xùn)練SVM的SMO算法的思想，建立了HSMC.SVM的SMO訓(xùn)練算法，并給出了“二階逼近”的工作集選擇法，使得訓(xùn)練速度進(jìn)一步提高。在加快訓(xùn)練速度方面，還采用了樣本縮減和核矩陣緩存的策略。通過理論分析已經(jīng)證明，HSMC-SVM的分類誤差有界。實(shí)驗(yàn)表明，HSMC-SVM在訓(xùn)練和測試速度上較1v-r和1-v-1分類器有較大幅度提高，但分類精度略有下降。 為了進(jìn)一步提高訓(xùn)練速

8、度和訓(xùn)練精度，將最小二乘法引入到HSMC-SVM中，提出了最小二乘超球支持向量機(jī)(LSHS-MCSVM)的概念。與HSMC-SVM相比，LSHS-MCSVM在目標(biāo)函數(shù)中使用了二次函數(shù)，將不等式約束改為等式約束，并取消了乘子的取值限制，使得LSHS-MCSVM在乘子搜索和優(yōu)化計算方面速度更快，從而加快了它的整體收斂速度。LSHS-MCSVM的訓(xùn)練仍可使用SMO算法，在“一階逼近”和“二階逼近”的工作集選擇下，LSHS-MCSVM的收斂速度

9、比基于經(jīng)驗(yàn)的工作集選擇法有進(jìn)一步提高。由于都使用球形分類結(jié)構(gòu)，LSHS-MCSVM與HSMC-SVM有類似的學(xué)習(xí)誤差上界。數(shù)值實(shí)驗(yàn)表明，在不降低分類精度的情況下，LSHS-MCSVM比HSMC-SVM有更快的訓(xùn)練速度，在某些數(shù)據(jù)集上，LSHS-MCSVM還有更高的學(xué)習(xí)精度。 為了區(qū)分不同類型的攻擊，對DDoS攻擊流進(jìn)行分析，提取了9維相對值(RV)特征向量。分別將HSMC-SVM和LSHS-MCSVM用于DDoS攻擊檢測。實(shí)驗(yàn)表