面向DDoS入侵檢測的報文特征提取方法

趙樺箏　黃元浦　孫嶺新　杜昊　郭凱文

摘? ?要：機器學習算法是當前檢測網絡入侵的主要方法。然而，現有入侵檢測方法提取攻擊報文特征的維度較小，導致檢測精度偏低。針對該問題，文章提出了面向DDoS入侵檢測的報文特征提取方法（DDoS Message Feature Extraction，DMFE）。該方法在分析DDoS攻擊過程的基礎上，根據報文協議將DDoS攻擊分為五類，并針對不同的類型提取其特征向量，增加了攻擊報文特征的維度與表達能力，有利于提升入侵檢測算法的精度。模擬實驗結果表明，DMFE與現有的其他特征提取方法相比，能夠有效地提高基于神經網絡、K-近鄰等入侵檢測方法的精度。此外，DMFE受分類算法種類影響弱，可以適用于多種機器學習算法并取得了幾乎相同的效率。

關鍵詞：網絡安全;特征提取;數據挖掘;機器學習;分布式拒絕服務攻擊

中圖分類號： TP393.08? ? ? ? ? 文獻標識碼：A

Abstract： Machine learning algorithms have been widely used in the field of network intrusion detection. However， existing intrusion detection methods extract attack message features with small dimensions， resulting in low detection accuracy. Contrapose to the above problem， a DDoS intrusion detection - oriented message feature extraction method （DMFE） is proposed. Based on the analysis of DDoS attack process， this method divides DDoS attack into five categories according to the message protocol， and extracts its feature vectors according to different types， which increases the feature dimension of attack message， improves the feature expression ability， and is conducive to improving the accuracy of intrusion detection algorithm. Simulation results indicate that compared with other feature extraction methods， DMFE feature extraction method can effectively improve the accuracy of intrusion detection methods based on neural network， k-nearest neighbor etc. In addition， due to the weak influence of classification algorithm， DMFE can be applied to a variety of machine learning algorithms and achieve almost the same efficiency.

Key words： internet security; feature extraction; data mining; machine learning; distributed denial of service

1 引言

隨著互聯網技術的不斷發展，網絡空間規模正不斷擴大，隨之而來的網絡安全威脅也日益增多。在全球，每年因大型網絡攻擊造成的經濟損失，甚至可與災難性自然災害帶來的損失相當[1]。但現有的網絡安全防護方法難以有效地應對當前多樣化的網絡攻擊方式，使得一系列網絡安全事件頻發。例如，在2019年2月5日至3月1日，美國UAlbany大學至少遭受了17次DDoS攻擊;2月初，菲律賓全國記者聯盟的網站受到DDoS（Distributed Denial of Service）攻擊，最高流量為468 GB/s，致使該網站被迫關閉了數小時。

本文通過分析DDoS攻擊過程，將基于報文協議的攻擊分為了欺騙攻擊、流量攻擊、反射攻擊、慢連接攻擊、連接耗盡攻擊五大類。……