基于注意力機(jī)制的DDoS攻擊檢測(cè)方法

賈 婧，王慶生+，陳永樂，郭旭敏

(1.太原理工大學(xué) 信息與計(jì)算機(jī)學(xué)院，山西 晉中 030600；2.山西青年職業(yè)學(xué)院 計(jì)算機(jī)信息與工程系，山西 太原 030000)

0 引 言

攻擊者利用傀儡機(jī)使用分布式、協(xié)作式計(jì)算機(jī)資源以網(wǎng)絡(luò)帶寬和系統(tǒng)資源為主要攻擊目標(biāo)，發(fā)送大量良性流量導(dǎo)致目標(biāo)用戶無法訪問服務(wù)[1-3]。由于DDoS攻擊具有易實(shí)施、易布控、難以防范追蹤以及攻擊流量多樣性、混合性、不確定性等特點(diǎn)，因此以區(qū)分合法流量和攻擊流量為目標(biāo)的攻擊檢測(cè)成為DDoS主要防御機(jī)制之一。其中基于統(tǒng)計(jì)學(xué)習(xí)，機(jī)器學(xué)習(xí)等淺層學(xué)習(xí)方法很難捕捉DDoS攻擊的演化本質(zhì)，導(dǎo)致DDoS攻擊檢測(cè)準(zhǔn)確率不高。同時(shí)，基于深度學(xué)習(xí)方法通過前后向序列信息去考慮特征的時(shí)空相關(guān)性，一定程度上提高了檢測(cè)準(zhǔn)確率[6]。但是對(duì)于長期序列而言，深度學(xué)習(xí)中編碼向量所能存儲(chǔ)的信息以及其相互關(guān)系受限于序列間的距離，導(dǎo)致某種程度造成序列間重要特征丟失。

因此，本文提出基于注意力機(jī)制的雙向LSTM模型應(yīng)用到DDoS攻擊檢測(cè)之中。首先，根據(jù)DDoS攻擊領(lǐng)域知識(shí)提取出網(wǎng)絡(luò)攻擊流量最相關(guān)元組特征，即多種大流量攻擊類型所具備的明顯流量特征，將其與數(shù)據(jù)預(yù)處理后的數(shù)據(jù)集進(jìn)行向量拼接。隨后，提出于BiLSTM中加入注意力機(jī)制模塊，為對(duì)序列進(jìn)行全面分析和局部探索，BiLSTM網(wǎng)絡(luò)使用所有從未來和過去的時(shí)間步長所獲得的信息，學(xué)習(xí)嵌入在原始輸入流量中的復(fù)雜流級(jí)特征表示，同時(shí)注意力模型有助于聚焦表示DDoS攻擊的隱含信息，將有限注意力資源聚焦于高價(jià)值信息，用于提高準(zhǔn)確率，降低誤報(bào)率。

1 研究現(xiàn)狀

DDoS攻擊的數(shù)量、頻率、復(fù)雜程度和影響都在急劇增長，攻擊方式變得尤為難以緩解，區(qū)分正常流量和DDoS攻擊流量特別困難。

關(guān)于統(tǒng)計(jì)方法在DDoS攻擊檢測(cè)方面的應(yīng)用，Bhuyan MH等[4]根據(jù)Hartley熵、Shannon熵、Renyi熵、廣義熵這些度量來描述網(wǎng)絡(luò)流量數(shù)據(jù)的特征進(jìn)而檢測(cè)低速率DDoS攻擊；Hoque N等[5]提取出3個(gè)特征，即源IP的熵、源的變化IP和數(shù)據(jù)包速率，計(jì)算對(duì)網(wǎng)絡(luò)流量的每個(gè)樣本使用FFSc的相似度值用于攻擊檢測(cè)。然而統(tǒng)計(jì)方法需要根據(jù)專業(yè)知識(shí)進(jìn)行特征向量提取，所以人為因素的不確定性導(dǎo)致準(zhǔn)確率有所影響；同時(shí)機(jī)器學(xué)習(xí)在此領(lǐng)域中已經(jīng)取得了不錯(cuò)的效果，Singh.K等[7]提出一種基于隨機(jī)森林分類模型的DDoS檢測(cè)方法，將數(shù)據(jù)流信息熵作為分類標(biāo)準(zhǔn)，對(duì)3種常見的DDoS攻擊方式進(jìn)行特征分析，但由于傳統(tǒng)機(jī)器學(xué)習(xí)的局限性，無法從攻擊流量的長期序列中獲取深層次特征，很難對(duì)低速率DDoS進(jìn)行檢測(cè)，準(zhǔn)確率低。近年來，深度學(xué)習(xí)在各個(gè)領(lǐng)域中卓有成效，在DDoS攻擊檢測(cè)中，利用一系列連續(xù)的網(wǎng)絡(luò)數(shù)據(jù)包獲取攻擊流量和合法流量之間的區(qū)別。Saied等[8]提出一種使用人工神經(jīng)網(wǎng)絡(luò)檢測(cè)已知和未知的DDoS攻擊的檢測(cè)方法，選擇人工神經(jīng)網(wǎng)絡(luò)(ANN)基于分離DDoS的特定特征，來檢測(cè)DDoS攻擊行為；Yuan X等[9]設(shè)計(jì)了一個(gè)遞歸的深度神經(jīng)網(wǎng)絡(luò)(RNN)，從網(wǎng)絡(luò)流量序列中學(xué)習(xí)模式，并跟蹤網(wǎng)絡(luò)攻擊活動(dòng)。

基于注意力機(jī)制的神經(jīng)網(wǎng)絡(luò)最近成為了圖像再識(shí)別、語音識(shí)別和語言翻譯等研究領(lǐng)域中的一個(gè)熱點(diǎn)[10-12]，其本質(zhì)包含兩個(gè)部分：其一，基于實(shí)現(xiàn)任務(wù)目標(biāo)，需著重于輸入目標(biāo)的哪個(gè)部分；其二，針對(duì)使用全局注意力機(jī)制計(jì)算出注意力值，從已關(guān)注部分模塊快速篩選有用信息。在DDoS攻擊檢測(cè)領(lǐng)域，注意力機(jī)制思想還未得到應(yīng)用。本文借鑒其主要思想提出基于注意力機(jī)制的雙向LSTM進(jìn)行DDoS攻擊檢測(cè)方法。

2 基于注意力機(jī)制的DDoS攻擊檢測(cè)

本文提出一種基于注意力機(jī)制的DDoS攻擊檢測(cè)方法，該方法包含領(lǐng)域知識(shí)、數(shù)據(jù)預(yù)處理、基于注意力機(jī)制的BiLSTM這3個(gè)模塊，系統(tǒng)總體結(jié)構(gòu)如圖1所示。首先，將根據(jù)領(lǐng)域知識(shí)所提取的特征向量與數(shù)據(jù)預(yù)處理后的數(shù)據(jù)流矩陣進(jìn)行向量拼接,然后經(jīng)過BiLSTM模型和注意力模型學(xué)習(xí)表示，最終通過分類器完成DDoS攻擊數(shù)據(jù)流檢測(cè)工作。

圖1 總體結(jié)構(gòu)

2.1 領(lǐng)域知識(shí)

領(lǐng)域知識(shí)[13]是某個(gè)研究領(lǐng)域中相互關(guān)聯(lián)、相互約束的概念集合，當(dāng)我們處理控制、優(yōu)化和其它問題時(shí)，我們需要利用領(lǐng)域知識(shí)來正確地設(shè)計(jì)、初始化和修改問題解決程序的參數(shù)。DDoS攻擊的本質(zhì)是攻擊者可以使用大量的“傀儡”機(jī)器短時(shí)間生成大量攻擊流量使系統(tǒng)或網(wǎng)站崩潰。當(dāng)攻擊發(fā)生時(shí)源IP地址端和目的IP地址端數(shù)據(jù)包數(shù)量差異大以及網(wǎng)絡(luò)流量中數(shù)據(jù)包的大小變化率、不同端口間增長率及時(shí)間間隔均異常增長。為了及時(shí)精確檢測(cè)DDoS攻擊，本文基于DDoS攻擊領(lǐng)域知識(shí)，提取出最相關(guān)的特征子集，即四元組流量特征。領(lǐng)域知識(shí)特征組見表1。

表1 領(lǐng)域知識(shí)特征向量組

(1)不同端口增長速率：當(dāng)發(fā)生大流量攻擊例如Smurf、ICMP、UDP攻擊時(shí)，通常攻擊者所發(fā)起的瞬時(shí)高峰流量通過隨機(jī)生成端口進(jìn)行端口掃描攻擊，端口變化速率有異常激增情況。

(2)單位時(shí)間內(nèi)數(shù)據(jù)包數(shù)量：由于DDoS大流量攻擊有瞬時(shí)、突發(fā)等特點(diǎn)，單位時(shí)間內(nèi)所產(chǎn)生的數(shù)據(jù)包急劇增加。

(3)數(shù)據(jù)包大小變化率：攻擊者通過僵尸網(wǎng)絡(luò)產(chǎn)生大量無用數(shù)據(jù)包，其內(nèi)容及字節(jié)長度一致性較高，相較于正常數(shù)據(jù)包往往大小不一。因此數(shù)據(jù)包大小變化率極低。

(4)流持續(xù)時(shí)間：當(dāng)發(fā)生TCP攻擊時(shí)，攻擊方利用3次握手協(xié)議缺陷導(dǎo)致受害者端資源被半連接隊(duì)列充滿，持續(xù)時(shí)間較正常連接變長。

2.2 基于注意力機(jī)制的BiLSTM結(jié)構(gòu)

2.2.1 注意力機(jī)制

注意力機(jī)制在深度學(xué)習(xí)中被廣泛應(yīng)用研究，其在語音識(shí)別、機(jī)器翻譯等序列數(shù)據(jù)方面取得較好的效果，其本質(zhì)是通過將足夠的注意力來突出對(duì)結(jié)果有重要貢獻(xiàn)的局部信息，而忽視不相關(guān)的信息。本文將對(duì)LSTM結(jié)構(gòu)中的注意力機(jī)制進(jìn)行過程說明：

LSTM結(jié)構(gòu)中，編碼器讀取向量的輸入序列，x=(x1,x2,…,xTx)為向量c，公式如下

st=f(xt,st-1,ct)

(1)

c=q(s1,…,sTx)

(2)

其中，st為隱藏層狀態(tài)，c為取決于LSTM隱藏狀態(tài)的輸出向量。在注意力模型中，上下文向量ct與編碼器映射輸入句子的注釋序列(h1,h2,…,hTx)密切相關(guān)，整個(gè)輸入序列的信息包含在注釋ht中，這些信息主要集中在圍繞輸入序列第t個(gè)單詞的部分，所有注釋的加權(quán)和構(gòu)成上下文向量ct，公式如下

(3)

式中：每個(gè)注釋hj的權(quán)重αtj計(jì)算公式如下

(4)

etj=a(st-1,hj)

(5)

其中，函數(shù)a(st-1,hj)是用于描述j位置附近的輸入與t位置處的輸出之間的匹配能力，權(quán)重通過使用LSTM隱藏狀態(tài)st-1和輸入語句的第j個(gè)單詞的注釋hj來計(jì)算。神經(jīng)網(wǎng)絡(luò)中的注意力機(jī)制旨在通過評(píng)估權(quán)重αtj選擇輸入中的重要輸入序列(x1,x2,…,xTx)，使得神經(jīng)網(wǎng)絡(luò)有能力專注于序列子集的輸入，即它總是選擇重要的輸入。注意力機(jī)制模型如圖2所示。

圖2 注意力機(jī)制模型

2.2.2 基于注意力機(jī)制的雙向LSTM結(jié)構(gòu)

長短期記憶網(wǎng)絡(luò)(LSTM)是RNN的最常見形式之一，旨在避免RNN等長期依賴問題，并且適合全局化處理和預(yù)測(cè)時(shí)序數(shù)據(jù)，但傳統(tǒng)LSTM的明顯缺點(diǎn)是它們僅利用先前的(單方面)信息對(duì)輸出進(jìn)行價(jià)值評(píng)估。在DDoS攻擊檢測(cè)過程中，不僅需要關(guān)注相鄰數(shù)據(jù)流，還需要關(guān)注長距離流，以確定當(dāng)前數(shù)據(jù)流是合法流量還是攻擊流量。雙向LSTM網(wǎng)絡(luò)通過前后向時(shí)間步長獲得信息，同時(shí)注意機(jī)制接受注釋以提取對(duì)攻擊檢測(cè)很重要的數(shù)據(jù)包所包含的細(xì)微特征，同時(shí)聚合并判斷這些信息對(duì)結(jié)果的貢獻(xiàn)度，形成注意力分布向量。基于注意力機(jī)制的BiLSTM結(jié)構(gòu)如圖3所示。

圖3 基于注意力機(jī)制的BiLSTM結(jié)構(gòu)

BiLSTM由2個(gè)并行運(yùn)行的LSTM組成：一個(gè)按順時(shí)針方向處理數(shù)據(jù)方向即x1到xt，而另一個(gè)設(shè)置為逆時(shí)針方向即xt到x1。在每個(gè)時(shí)間步長，BiLSTM的隱藏狀態(tài)是向前和向后隱藏狀態(tài)的串聯(lián)，此設(shè)置允許隱藏狀態(tài)以捕獲過去和將來的信息，公式如下

(6)

(7)

(8)

基本的LSTM由一個(gè)存儲(chǔ)器組成的單元，一個(gè)輸入激活功能和3個(gè)門(輸入門it，忘記門ft，輸出門ot)。LSTM網(wǎng)絡(luò)在每個(gè)單個(gè)時(shí)間步生成兩個(gè)狀態(tài)：一個(gè)單元狀態(tài)轉(zhuǎn)移到下一個(gè)時(shí)間步和隱藏狀態(tài)時(shí)間步的輸出向量。

ht-1和ct-1是隱藏狀態(tài)和單元狀態(tài)上一個(gè)時(shí)間步t-1，ht和ct分別是隱藏狀態(tài)和當(dāng)前時(shí)間步t的單元狀態(tài)，定義如下

ft=σ(Wf·[ht-1,xt]+bf)

(9)

it=σ(Wi·[ht-1,xt]+bi)

(10)

ct=ft°ct-1+it°[tanh(Wc·[ht-1,xt]+bc)]

(11)

ot=σ(Wo·[ht-1,xt]+bo)

(12)

ht=ot°tanh(ct)

(13)

權(quán)重(Wf，Wi，Wc和Wo)和偏差(bf，bi，bc和bo)都是可訓(xùn)練的參數(shù)。最后時(shí)間步長的隱藏狀態(tài)ht是整個(gè)LSTM網(wǎng)絡(luò)的輸出。

在雙向LSTM網(wǎng)絡(luò)中，聯(lián)合嵌入序列(前向)和對(duì)應(yīng)的反向嵌入序列(后向)分別輸入兩個(gè)LSTM，最終雙向LSTM的輸出為hn，之后根據(jù)公式計(jì)算其對(duì)應(yīng)的注意力權(quán)重，并對(duì)所有的隱藏向量進(jìn)行加權(quán)求和得出其最終編碼向量c，然后將所得值傳入全連接層特征轉(zhuǎn)換后，傳入最后softmax函數(shù)的輸出層計(jì)算輸出向量。該模型偽代碼如下所示。

算法1：基于注意力機(jī)制的BiLSTM算法

輸入：數(shù)據(jù)流樣本F={P(1),P(2),…P(i),…,P(N)|1≤i≤N}

輸出：樣本分類結(jié)果S

(1) For P(i)in F:

(5) End for

(7)S=softmax(fullyconnect(c))

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)數(shù)據(jù)集

本文在CAIDA-2007[14]數(shù)據(jù)集上評(píng)估了所提出的框架。此數(shù)據(jù)集包含2007年8月4日DDoS攻擊大約一小時(shí)的匿名流量跟蹤，包含UDP Flood、TCP Flood、ICMP(Ping)Flood和SYN Flood數(shù)據(jù)包。數(shù)據(jù)集中的每個(gè)數(shù)據(jù)包包含源IP地址、目的IP地址、數(shù)據(jù)包長度、協(xié)議和數(shù)據(jù)包到達(dá)時(shí)間。數(shù)據(jù)集包括213 066條網(wǎng)絡(luò)流量，其中正常流量有94 164條，攻擊流量118 902條。將總流量數(shù)據(jù)集分成60%(127 839)和40%(85 227)進(jìn)行訓(xùn)練和測(cè)試。

3.2 實(shí)驗(yàn)細(xì)節(jié)

3.2.1 數(shù)據(jù)預(yù)處理

根據(jù)領(lǐng)域知識(shí)，本文使用CICFlowMeter流量提取器[15]，對(duì)CAIDA-2007訓(xùn)練集提取[Por_inc_rate，Pac_tim_inte，Pac_size_rate，F(xiàn)low_dur]特征四元組。由于CAIDA-2007數(shù)據(jù)集屬于原始的、未經(jīng)處理的pcap格式流量集合，該格式無法輸入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，因此本文將原數(shù)據(jù)以數(shù)據(jù)流、數(shù)據(jù)包、數(shù)據(jù)包字節(jié)三級(jí)結(jié)構(gòu)轉(zhuǎn)換為神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)輸入格式，通過源地址、目的地址、傳輸層協(xié)議、源端口四元組來唯一標(biāo)記一條數(shù)據(jù)流，即這兩個(gè)ip地址間相同協(xié)議，相同源端口所進(jìn)行的會(huì)話視為同一條數(shù)據(jù)流。使用SplitCap工具按上述四元組將每條數(shù)據(jù)流樣本分割為時(shí)間順序不變的數(shù)據(jù)包M，每個(gè)數(shù)據(jù)包里的字節(jié)數(shù)為N。即每條數(shù)據(jù)流表示為N*M矩陣格式。由于N，M有所不同，采用padding補(bǔ)全或切斷數(shù)據(jù)包字節(jié)數(shù)和數(shù)據(jù)包個(gè)數(shù)使得數(shù)據(jù)流滿足模型數(shù)據(jù)輸入格式。數(shù)據(jù)流格式如圖4所示。

圖4 數(shù)據(jù)流格式

將數(shù)據(jù)流切分后的DDoS數(shù)據(jù)集和根據(jù)領(lǐng)域知識(shí)提取的特征四元組進(jìn)行向量拼接及維度重構(gòu)，構(gòu)成(N+4)*M矩陣格式作為神經(jīng)網(wǎng)絡(luò)輸入格式。由于數(shù)據(jù)包里有二進(jìn)制字符串組成，將每個(gè)字節(jié)轉(zhuǎn)換為取值范圍[0，255]的十進(jìn)制數(shù)，將協(xié)議類型布爾型轉(zhuǎn)換為二進(jìn)制數(shù)。同時(shí)，將數(shù)據(jù)轉(zhuǎn)換后的十進(jìn)制數(shù)進(jìn)行取值為[0-1]的歸一化處理，經(jīng)過處理后的數(shù)據(jù)格式可以提高模型收斂速度。

為了確定最佳數(shù)據(jù)包數(shù)M和字節(jié)數(shù)N，分別對(duì)數(shù)據(jù)包數(shù)N取100，300，500，M取500，1000，1500進(jìn)行實(shí)驗(yàn)。

3.2.2 實(shí)驗(yàn)過程

BiLSTM模型設(shè)置中，LSTM內(nèi)部神經(jīng)元個(gè)數(shù)為100，全連接層神經(jīng)元個(gè)數(shù)為128。為了克服過度擬合的問題，本文使用在模型訓(xùn)練中采用dropout技術(shù)，其丟棄率值為0.5；使用Adam優(yōu)化算法來調(diào)整學(xué)習(xí)率，初始學(xué)習(xí)率為0.001；訓(xùn)練過程中使用CAIDA-2007數(shù)據(jù)集進(jìn)行十折交叉驗(yàn)證，批量大小設(shè)置為100，epochs設(shè)置為30，其它超參數(shù)設(shè)定采用默認(rèn)值。

本文硬件實(shí)驗(yàn)環(huán)境參數(shù)如下：Intel Xeon E5-2678 V3 2.50 GHz 2，NVIDIA Tesla K40c GPU 2，128 gb RAM, 120 gb SSD。所有實(shí)驗(yàn)均TensorFlow編寫，并使用GPU進(jìn)行訓(xùn)練、測(cè)試。

為了選取最佳的流量矩陣表示格式，選取N=[500,1000,1500]，M=[100,300,500]進(jìn)行排列組合構(gòu)成9種可能，將其輸入已確定參數(shù)的Att-Bilstm模型中，最終不同格式數(shù)據(jù)流分類準(zhǔn)確率如圖5所示。

圖5 不同格式數(shù)據(jù)流分類準(zhǔn)確率

從圖中可以看出，當(dāng)M=500，N=1000時(shí)，模型性能表現(xiàn)最好，準(zhǔn)確率最高。隨著數(shù)據(jù)流需劃分?jǐn)?shù)據(jù)包個(gè)數(shù)M的減少，準(zhǔn)確率同比下降9.1%～27.9%，因?yàn)閷?duì)于DDoS攻擊檢測(cè)數(shù)據(jù)流的時(shí)序要求，每條數(shù)據(jù)流樣本處理時(shí)保留多的數(shù)據(jù)包個(gè)數(shù)有助于訓(xùn)練序列數(shù)據(jù)間時(shí)序特征；由于DDoS攻擊中產(chǎn)生大量內(nèi)容、字節(jié)大致相同的攻擊流，而數(shù)據(jù)包所包含的類別表征信息集中于前幾個(gè)數(shù)據(jù)字節(jié)數(shù)，而數(shù)據(jù)包具體內(nèi)容信息集中于后幾個(gè)字節(jié)數(shù)，因此字節(jié)數(shù)設(shè)定為1000可以獲得較高準(zhǔn)確率。通過以上實(shí)驗(yàn)分析，N=500，M=1000是最佳數(shù)據(jù)流矩陣格式。

數(shù)據(jù)流切分設(shè)置階段，以每條數(shù)據(jù)流[500,1000]的矩陣格式劃分，同時(shí)將預(yù)處理后的DDoS數(shù)據(jù)格式和根據(jù)領(lǐng)域知識(shí)提取的四元組特征進(jìn)行向量拼接及維度重構(gòu)，構(gòu)成[500，1004]矩陣的數(shù)據(jù)輸入格式。

3.3 評(píng)價(jià)標(biāo)準(zhǔn)

本實(shí)驗(yàn)采用準(zhǔn)確性，召回率和F量度作為評(píng)價(jià)標(biāo)準(zhǔn)。其中TP代表真陽性數(shù)，F(xiàn)P代表假陽性數(shù)，F(xiàn)N代表假陰性數(shù)。精度由以下定義確定：所有元素中正確分類為肯定的元素歸類所占比例，而召回率則定義為正確分類為正數(shù)的元素所占的比例

3.4 結(jié)果與分析

3.4.1 深度學(xué)習(xí)檢測(cè)結(jié)果

為了更直觀展示本文方法Att-BiLSTM的性能，與諸如RNN(循環(huán)神經(jīng)網(wǎng)絡(luò))、LSTM(長短期記憶網(wǎng)絡(luò))、BiLSTM(雙向長短期記憶網(wǎng)絡(luò))和Att-BiRNN進(jìn)行對(duì)比實(shí)驗(yàn)。不同深度學(xué)習(xí)結(jié)果見表2。

表2 不同深度學(xué)習(xí)效果對(duì)比

實(shí)驗(yàn)結(jié)果可以看出，Att-BiLSTM模型在處理DDoS攻擊檢測(cè)分類時(shí)有很好的效果。與RNN、LSTM模型相比，BiLSTM模型中的記憶單元不僅有效記錄數(shù)據(jù)流中的數(shù)據(jù)信息，而且加強(qiáng)模型對(duì)時(shí)序序列數(shù)據(jù)的雙向?qū)W習(xí)能力，從而模型達(dá)到相對(duì)較好的結(jié)果。與BiLSTM、Att-BRNN模型相比，本文模型F度量增加了0.4%～1.2%，表明Att-BiLSTM既避免了BiRNN對(duì)遠(yuǎn)端序列的長期依賴問題，同時(shí)注意力機(jī)制的加入將數(shù)據(jù)包對(duì)分類結(jié)果所產(chǎn)生的不同的貢獻(xiàn)度生成注意力權(quán)重，模型的效果進(jìn)一步提升。

同時(shí)，結(jié)果表明加入根據(jù)領(lǐng)域知識(shí)所提取的四元組特征向量與未加入相比，模型的準(zhǔn)確率提升0.5%，因此根據(jù)領(lǐng)域知識(shí)提取明顯流量特征對(duì)最終分類效果有積極影響。

3.4.2 現(xiàn)有方法對(duì)比實(shí)驗(yàn)

本文的DDoS攻擊檢測(cè)結(jié)果與基于統(tǒng)計(jì)學(xué)習(xí)，機(jī)器學(xué)習(xí)以及其它深度學(xué)習(xí)進(jìn)行檢測(cè)方法的結(jié)果對(duì)比見表3。

表3 現(xiàn)有方法效果對(duì)比

從表中可以得到，本文基于注意力機(jī)制的BiLSTM模型準(zhǔn)確率可達(dá)98.9%。同時(shí)本文選擇的對(duì)比方法文獻(xiàn)[16]、文獻(xiàn)[17]、文獻(xiàn)[21]均需要人工設(shè)計(jì)流量特征，并且在模型訓(xùn)練之前完成流量特征的提取和選擇，之后通過淺層學(xué)習(xí)實(shí)施模型的訓(xùn)練和測(cè)試，但該方法無法充分挖掘數(shù)據(jù)流的前后序列。文獻(xiàn)[19]使用靜態(tài)和動(dòng)態(tài)閾值方法來分別執(zhí)行已知DDoS攻擊與未知DDoS攻擊檢測(cè)，檢測(cè)準(zhǔn)確率高達(dá)99.95%，但是閾值的確定需要遞增地更新正常流量的統(tǒng)計(jì)信息，同時(shí)還需專業(yè)的研究知識(shí)來自定義初始閾值，這樣會(huì)使得預(yù)處理任務(wù)變得更加復(fù)雜，比本文提出的框架增加了更多訓(xùn)練時(shí)間和計(jì)算成本。本章提出深度學(xué)習(xí)加入注意力機(jī)制模塊，根據(jù)BilSTM得出數(shù)據(jù)包對(duì)應(yīng)權(quán)重向量，然后通過權(quán)衡時(shí)序序列的前后關(guān)系得出對(duì)最終結(jié)果有重要影響的向量表示。實(shí)驗(yàn)結(jié)果表明，加入注意力機(jī)制比使用傳統(tǒng)淺層機(jī)器學(xué)習(xí)，神經(jīng)網(wǎng)絡(luò)取得更好的分類效果。

3.4.3 數(shù)據(jù)集對(duì)比實(shí)驗(yàn)

為了驗(yàn)證本文所提出模型的泛化能力，基于DARPA[17]、ISCX[9]、TU-DDoS[21]、CAIDA這4個(gè)常用DDoS公開數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，數(shù)據(jù)集對(duì)比實(shí)驗(yàn)結(jié)果如圖6所示。

圖6 數(shù)據(jù)集對(duì)比實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果表明，該方法在公開的流量數(shù)據(jù)集上取得了良好效果，DARPA、CAIDA、TU-DdoS這3個(gè)數(shù)據(jù)集準(zhǔn)確率最高可達(dá)98.5%以上，ISCX數(shù)據(jù)集的檢測(cè)率略低，達(dá)96.5%。基于總體評(píng)價(jià)指標(biāo)方面，總體精度可達(dá)98.3%，由以上折線圖分析可知，本文提出的基于注意力機(jī)制的雙向LSTM的DDoS攻擊流量分類方法取得了良好的分類效果，驗(yàn)證了該方法的有效性。

4 結(jié)束語

本文提出了一種基于注意力機(jī)制的雙向LSTM的DDoS攻擊檢測(cè)方法。該模型使用雙向LSTM考慮雙向框架對(duì)所有攻擊流量的時(shí)間相關(guān)性分析并使用注意機(jī)制以便自適應(yīng)地注意那些具有對(duì)檢測(cè)結(jié)果判斷的重大影響，有效利用了Att-BiLSTM優(yōu)秀的時(shí)序特征學(xué)習(xí)能力。其次，本文引入DDoS攻擊領(lǐng)域知識(shí)，通過對(duì)多種攻擊類別分析提取出特征元組，在CAIDA-2007數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，該元組使得模型檢測(cè)準(zhǔn)確率提高0.5%。另外通過與其它現(xiàn)有研究方法進(jìn)行對(duì)比，基于注意力機(jī)制的BiLSTM在取得較高的精度和檢測(cè)率的同時(shí)，保持了較低的誤警率，比其它公開的攻擊檢測(cè)方法具有更好的綜合檢測(cè)效果，驗(yàn)證了本文提出的方法在特征學(xué)習(xí)和降低誤警率等兩方面的有效性。