基于深度徑向智能的拒絕服務攻擊檢測

袁明蘭 李 林 何守亮

1(重慶商務職業學院商貿管理系 重慶 401331)2(電子科技大學信息與軟件工程學院 四川 成都 610054)3(重慶旅游職業學院智能制造與旅游交通系 重慶 409099)

0 引 言

拒絕服務(Denial of Service, DoS)攻擊利用當今的云基礎架構來攻擊關鍵Web服務[1]，其目的是使計算機或網絡無法提供正常的服務。DoS攻擊破壞性大，危害廣，發生的頻率高，攻擊手段復雜，已經成為當今互聯網最主要威脅之一[2]。目前基于異常的DoS攻擊檢測方法主要有統計、機器學習和數據挖掘。這些方法包括兩個階段，即培訓和測試。培訓階段使模型通過識別特征和類來從訓練數據中學習；測試階段使用訓練的模型對未知數據(沒有類標簽的輸入數據)進行分類。機器學習方法主要分析數據中提取的關系，它分為監督學習、無監督學習、半監督學習和強化學習[3]。在本文中，使用監督學習作為訓練樣本已知的類標簽。

徑向基函數(Radial Basis Function，RBF)神經網絡是具有單隱層的三層前向網絡，第一層輸入層接收輸入的數據，第二層隱藏層負責將輸入空間映射到隱藏空間，第三層輸出層是對輸入模式作出的響應[4]。隱藏層中包含高斯函數，輸出響應隨著輸入數據中心位置的變化而變化，距離中心越近響應越大[5]，反之亦然。在本文中，RBF用于提取特征數據中隱藏的智能信息。

提取隱藏的特征信息和權值優化是DoS攻擊檢測系統需要解決的關鍵問題。近年來，有關DoS攻擊檢測系統的研究已取得若干成果。文獻[6]提出了一種基于熵和粒度計算的拒絕服務攻擊特征選擇算法，該算法利用熵計算每個屬性的權重來識別DoS攻擊，利用NSL-KDD數據集給出基于用戶自定義選擇粒度的潛在屬性選擇方法。文獻[7]提出了一種基于模擬退火特征選擇方法的拒絕服務攻擊檢測系統，該系統利用模擬退火算法選擇最優特征來識別拒絕服務攻擊。文獻[8]提出了一種建模網絡流量統計分布的方法，用于特定目的異常網絡(分布式拒絕服務攻擊)檢測，該方法充分利用了原始極限學習機的良好性能和計算時間比，但是其需要有簡單的更新規則，使模型隨著新流量和主機的進入而及時更新。

在研究了現有DoS攻擊檢測系統的基礎上，為了使學習快速收斂且不陷入局部最小值，本文提出一個新的DoS攻擊檢測系統，即基于深度徑向智能(DeeRaI)分析的拒絕服務攻擊檢測系統，并將積累化身(Cumulative Incarnation, CuI)算法應用于DeeRaI網絡的學習。該方法從具有不同抽象級別的RBF中提取隱藏的智能信息，逐層計算訓練樣本特征之間的相關性，為了增強學習過程，將CuI算法應用于DeeRaI網絡，以此生成最佳擬合權重。該方法縮短了學習時間，并且在不陷入局部極小值的情況下逐漸收斂。

1 具有累積化身優化的深度徑向智能

DeeRaI從第一個隱藏層中提取的RBF神經網絡的智能信息訓練網絡，用CuI算法優化DeeRaI網絡權重，生成最佳擬合權重。具有CuI優化的DeeRaI的方框示意圖如圖1所示，該方法包括2個階段，即培訓和測試，其中：訓練階段表示用實線表示;測試階段用虛線表示。

圖1 具有CuI優化的DeeRaI的方框示意圖

1.1 DeeRaI網絡設計

DeeRaI網絡是RBF和DL神經網絡的混合，它采用了s-5-4-3-2-1結構，輸入層由s個節點組成，由輸入要素的數量決定；隱藏層共有四層，第一個、第二個、第三個和第四個隱藏層中分別有5、4、3和2個節點；輸出層只有1個節點。第一個隱藏層用于形成輸入值的非線性映射，由于徑向智能的中心計算要求，本文在第一個隱藏層中選擇5個節點，使用k均值聚類法[9]計算中心；從第二個隱藏層到最后一個隱藏層是基于試錯法設計的，使用帶有激活函數整流線性單元(Rectified Linear Unit，ReLU)的DL方法[10]，采用4-3-2結構以循序漸進的方式逐層地學習提取的智能信息。

具有s-5-4-3-2-1結構的DeeRaI網絡如圖2所示。歸一化特征F1,F2,…,FS作為輸入傳遞到輸入層，輸入層的輸入神經元I1,I2,…,IS保存并傳遞輸入的值。從第一個隱藏層開始計算，隱藏的神經元表示為Hef(1≤e≤4,1≤f≤5)，其中：e表示隱藏層數；f表示隱藏層中神經元的位置。O1表示輸出層的神經元，Cout表示DeeRaI網絡的計算輸出。

圖2 DeeRaI網絡

1.2 初始權重計算

神經網絡的學習是通過權重進行的，因此神經網絡中的初始權重對檢測精度有著重要的作用，為了使網絡快速學習，既需要正權重，也需要負權重。本文所設計的權重計算過程是通過基于特征信息的最高有效位的面值為權重指定正負符號。初始權重計算模塊中的術語基于遺傳術語，所有生成解決方案的集合稱為人口，每個群體由許多稱為染色體的個體組成，染色體由基因組成，權重來自基因，通過計算DeeRaI網絡所需的權重數來生成初始權重空間。

對于第一個隱藏層到第e個隱藏層所需的權重數量WeiH1e的計算如式(1)所示，第e個隱藏層到輸出層所需的權重數量WeiHeo的計算如式(2)所示，DeeRaI網絡所需的權重總數如式(3)所示。

WeiH1e=NH1×NHe

(1)

WeiHeo=NHe×NO1

(2)

WeiTot=WeiH1e+WeiHeo

(3)

式中：NH1是第一隱藏層中的節點數；NHe是第e個隱藏層中的節點數；NO1是輸出層中的節點數。

圖3為本文設計權重的提取過程，初始種群的第i個染色體表示為s0,s1,…，sn-1。染色體的大小取決于學習所需的權重大小，假設染色體被分為WeiTot個基因，權重的大小為w，其中第一個數字決定權重的符號，剩余的數字位于小數點之后。因此，群體中個體的染色體大小計算如式(4)所示，基因Gi中提取重量Wi的數學表達式如式(5)所示。

圖3 權重提取過程

Csize=WeiTot×w

(4)

(5)

1.3 DeeRaI網絡學習

DeeRaI網絡學習被定義為能夠使用從RBF中提取的智能信息來訓練樣本的DL網絡，即通過對網絡進行樣本和權值訓練，在更短的時間內找到特征數據之間的相關性。DeeRaI網絡學習特點是減少了學習時間，并通過克服消失的梯度問題來更快地檢測到異常。

DeeRaI網絡學習將歸一化的訓練數據、五個聚類中心和初始權重作為輸入，將學習的權重作為輸出，最后將獲得的學習權重用于攻擊檢測。輸入層神經元的輸出按式(6)計算；第一個隱藏層的輸入為從RBF提取的輸入特征的智能信息，其輸出按式(7)計算；第二個隱藏層的輸入是通過將相應的權重乘以第一個隱藏層的輸出來計算的，如式(8)所示；第二個隱藏層的輸出使用激活函數ReLU計算，如式(9)所示；與第二隱藏層算法相同，第三和第四隱藏層的輸入和輸出分別采用式(8)和式(9)計算，并使用相應的隱藏層輸出和權重；輸出層通過將相應的權重與最后一個隱藏層的輸出相乘，計算DeeRaI網絡的輸出Cout，并按式(10)添加偏移，偏置項將輸出推送到適當的類。

(6)

H1r=exp-‖Oq1-Ck‖2

(7)

(8)

(9)

(10)

1.4 適者生存

適者生存(Survival of Fittest，SoF)函數可以量化解決方案的最優性，它是將特定的解決方案與其他所有解決方案進行排序，每個解決方案的適應度取決于它與問題最佳解決方案的接近程度。SoF函數首先計算數據集里每個記錄的誤差，然后計算群體中每個個體的均方根誤差(Root Mean Square Error，RMSE)，以此計算當前代中每個個體的SoF值。RMSE是根據DeeRaI學習的輸出和類標簽來計算的，如式(11)所示，每個個體的SoF值按式(12)計算，種群中的個體根據SoF值進行排序，并將前50%的個體保留給下一代使用。

(11)

(12)

式中：Tt是數據集里每條記錄的目標類；Cout是計算輸出；nt是訓練記錄的數量。

1.5 積累化身

神經網絡的權重在訓練過程中起主要作用，每代權重的隨機生成導致DeeRaI學習不能很快收斂，因此需要對DeeRaI網絡進行權重優化?，F有的遺傳算法(Genetic Algorithm, GA)和差分進化(Differential Evolution, DE)算法均以隨機方式產生新的權重。為了克服因權重的隨機選擇而導致局部極小值的問題，本文應用積累化身(CuI)算法來生成最佳權重，即通過計算最優擬合權重的累積和來生成新的權重實例。“累積化身”一詞是指新的權重實例是根據前一代精英主義的最佳擬合權重計算出來的。

權重生成累積化身的過程如下：每個個體的權重根據當前SoF值排列，在上一代中排名前50%的權重(R1至R50)被選為下一代的精英，后50%的權重是根據最佳擬合權重R1-R50計算的。第51個權重是R1和R2的平均值，第52個權重是R1、R2和R3的平均值，第53個權重是R1、R2、R3和R4的平均值，以此類推，第99個權重是R1、R2、…、R49和R50的平均值，第100個權重是51到99的平均值。因為新的權重群體是從前一代的最佳擬合權重生成的，所以這種權重優化方法可以產生更好的結果。

1.6 基于DeeRaI的DoS攻擊檢測

本文設計的基于DeeRaI的DoS攻擊檢測系統如圖4所示。DoS攻擊檢測系統的輸入是訓練階段使用的聚類中心、學習訓練數據后提取的權重，以及測試數據。針對給定的測試數據，構建DeeRaI網絡，并利用聚類中心從第一個隱藏層提取徑向智能信息，為所有層分配學習的權重，使用式(6)到式(10)逐層計算相應隱藏層的輸入和輸出。然后將計算的輸出作為輸入傳遞給檢測函數(Detection Function，DetFun)，如式(13)所示，如果DetFun的輸出為0，則給定的測試數據被歸類為正常數據，否則將其歸類為攻擊。

圖4 DeeRaI的DoS攻擊檢測

(13)

2 實 驗

為評估本文設計的系統，定義了下列性能指標：真陽性(True Positive，TP)是正確分類為攻擊的攻擊流量記錄數；真陰性(True Negative，TN)是正確分類為正常流量的流量記錄數；假陽性(False Positive，FP)是錯誤分類為攻擊的正常流量記錄數；假陰性(False Negative，FN)是錯誤分類為正常的攻擊記錄數。檢測率(Ture Positive Rate，TPR)是指在所有攻擊中檢測到的攻擊所占的比例，用式(14)計算；誤報率(False Positive Rate，FPR)是指檢測系統錯誤分類的網絡流量的百分比，用式(15)計算；準確率(Accuracy，Acc)是攻擊檢測系統準確分類的數據比例，用式(16)計算；誤差率(Error Rate，ER)是攻擊檢測系統錯誤分類的數據比例，用式(17)計算。

(14)

(15)

(16)

(17)

2.1 代數與績效指標

DeeRaI網絡學習速度與收斂的代數有關，收斂的代數越少，DeeRaI網絡學習速度越快。實驗在MATLAB R2016B上采用NSL-KDD數據集，分別利用GA、DE算法和CuI算法對DeeRaI網絡進行優化，測試訓練數據。

圖5到圖8描繪了本文方法在不同代數下的性能指標?？梢钥闯?，采用CuI算法的DeeRaI大約在第350代收斂，采用DE算法的DeeRaI網絡接近第500代收斂，采用GA的DeeRaI網絡接近第450代收斂。需要注意的是，收斂的代數越少，DeeRaI網絡學習速度越快。因此，與利用GA和DE算法的DeeRaI相比，利用CuI算法的DeeRaI學習訓練數據花費的時間更少并且沒有陷入局部最小值，并且與現有方法相比，本文方法收斂得更快。

圖5 不同代數下的檢測率

圖6 不同代數下的誤報率

圖7 不同代數下的準確率

圖8 不同代數下的誤差率

2.2 學習方法與績效指標

實驗在MATLAB R2016B上采用NSL-KDD數據集，將三種學習方法，即RBF、DL和DeeRaI，分別使用GA、DE算法和CuI算法進行優化，并將其測試數據與未優化的學習方法測試數據進行比較。

圖9到圖12描繪了不同學習方法的性能指標，可以看出，與現有的學習方法和權重優化方法相比，使用CuI算法的DeeRaI具有更高的檢測率和準確率，更低誤報率和誤差率。使用CuI算法的RBF性能不佳的原因是隱層節點的數量較少，使用CuI算法的DL性能不佳的原因是DL中沒有智能提取組件，使用CuI算法的DeeRaI性能在權重優化和特征提取方面實現了改進。

圖9 不同學習方法下的檢測率

圖10 不同學習方法下的誤報率

圖11 不同學習方法下的準確率

圖12 不同學習方法下的誤差率

2.3 實驗平臺搭建與結果驗證

為了驗證所提算法在真實物理環境下的性能，本文用5個正常用戶、1個路由器、1個100 Mbit/s網關、文件傳輸協議(File Transfer Protocol, FTP)服務器和黑客攻擊端搭建了一個DoS攻擊系統，實驗環境的網絡拓撲結構如圖13所示。網絡間的速率均為100 Mbit/s，黑客隨機發動100次攻擊，隨機選擇每次攻擊的時間起點。

圖13 實驗環境的網絡拓撲結構

表1為本文算法與現有攻擊檢測系統中半監督機器學習方法[3]和基于自動編碼器的特征學習方法[11]的準確率和誤報率。

表1 不同算法的檢測結果比較 %

可見，本文算法在準確率和誤報率方面都優于現有方法。本文通過使用激活函數ReLU從RBF網絡中提取的智能信息進行學習，利用CuI算法獲得了學習的權重，因此本文DeeRaI花費較少的學習時間，以較高的準確率實現拒絕服務檢測。

3 結 語

為了克服機器學習法梯度的消失和由于隨機選擇權重陷入局部最小值等問題，本文提出一種DeeRaI學習網絡拒絕服務(DoS)檢測系統。從第一隱藏層中提取RBF神經網絡的智能信息，將其用來訓練DeeRaI網絡，使用本文設計的方法提取DeeRaI網絡的初始權重，使用積累化身(CuI)的算法生成最佳權重，獲得的權重用于區分正常流量和DoS攻擊流量。實驗表明，本文方法在檢測率、準確性、誤報率和誤差率性能方面均優于現有的其他方法，并且比現有的權重優化方法收斂得更快。未來的工作是考慮在多個入侵檢測數據集上進行實驗，從而更全面地驗證所提算法的效果。