基于聚類的應用層DDoS攻擊檢測方法

張志源

（晉城職業技術學院，山西 晉城 048000）

1 引言

2020年，全球突發新冠肺炎疫情，抗擊疫情成為各國緊迫任務。在疫情防控相關工作領域，大量新型互聯網產品和服務應運而生，在助力疫情防控的同時也進一步推進社會數字化轉型。與此同時，安全漏洞、數據泄露、網絡詐騙、勒索病毒等網絡安全威脅日益凸顯，有組織、有目的的網絡攻擊形勢愈加明顯，為網絡安全防護工作帶來更多挑戰。2020年我國互聯網網絡安全態勢報告[1]指出，2020年我國境內目標峰值流量超過1Gbps的大流量分布式拒絕服務攻擊（DDoS攻擊）事件異常活躍，與2019年相比，攻擊資源向境外遷移趨勢明顯。DDoS攻擊行為主要集中在OSI參考模型的應用層和傳輸層，通過在短時間內與目標服務器建立大量連接，達到過度消耗目標服務器的計算資源、存儲資源和帶寬資源，最終導致網站癱瘓，無法為正常用戶提供訪問服務。因此，近年來針對應用層DDoS攻擊的檢測方案逐漸成為研究熱點，具有一定現實意義。

2 相關研究

2.1 分布式拒絕服務(DDoS)攻擊

DDoS攻擊是指在攻擊主機的控制下，由分布在不同地理位置的傀儡機同時向目標服務器發起請求，合法請求被“淹沒”在攻擊請求中，目標服務器忙于處理無效請求而無法對合法用戶提供正常服務，當攻擊速率達到一定程度時，目標服務器就會宕機。常見的DDoS攻擊的網絡拓撲結構如圖1所示。

圖1 常見DDoS攻擊拓撲結構圖

由上述定義可知，DDoS攻擊的完整網絡拓撲結構由攻擊者、受害者和傀儡主機三部分組成。其中，攻擊者（Attacker）是真正的“幕后指使者”，他操作主控機向數量龐大的傀儡機“發號施令”，進而達到攻擊目標服務器的目的。受害者（Victim）通常是指被攻擊的一方，例如：Web服務器、DNS服務器、E-mail服務器等。傀儡機（Puppet）也是受攻擊者Attacker控制的一方，大部分情況下是普通PC，而不是Server，表面上看來它好像是整個DDoS攻擊的發起者，但實際上他是在攻擊者Attacker的控制下，接收攻擊者Attacker發送的指令從而對受害者Victim發動攻擊。

2.2 應用層DDoS攻擊檢測方法

根據檢測策略的不同，針對DDoS攻擊的檢測方法分為誤用檢測、異常檢測和協議分析三大類[2]。其中，異常檢測方法時按照正常訪問行為和異常訪問行為之間的差異來識別攻擊行為，它既可以用于檢測已知攻擊，也可以檢測新型攻擊行為，這是異常檢測方法的優勢，該方法的不足之處在于誤報率較高，因為無法描述攻擊特征，進而不能建立正常訪問行為模型。

國內外學者在應用層DDoS攻擊檢測方面做了大量工作，主要是基于數據挖掘、人工智能、信息熵、統計學、模式預測等技術。其中，景泓斐[3]等人提出了基于BP神經網絡的應用層DDoS攻擊檢測方法，該方法對CC攻擊具有較高的檢測率；張大衛[4]等人提出了一種基于K均值算法的檢測方案，該方案對于DNS放大攻擊的檢測率更高，錯誤率更低。

2.3 數據挖掘算法

K-Means是一種經典的使用廣泛的聚類方法[5]，時至今日仍然有很多基于其的改進模型提出。K-Means的思想很簡單，對于一個聚類任務（你需要指明聚成幾個類，當然按照自然想法來說不應該需要指明類數，這個問題也是當前聚類任務的一個值得研究的課題），首先隨機選擇K個簇中心，然后反復計算下面的過程直至所有簇中心不再改變（準則函數收斂），準則函數如公式（1）所示。

其中，mi表示簇Ci的中心，m表示聚類對象中的某個對象。

本文在K-Means算法的基礎上，利用粒子群算法全局搜索能力較強的特點來優化K-Means算法的初始聚類值，克服了K-Means算法易陷入局部極值的缺點，進而提高異常檢測方法的檢測性能。

3 檢測方法

本文主要提出了一種基于粒子群優化的K-Means的異常檢測方法，該方法如圖2所示。從圖中可以看出，首先從Web服務器端采集正常的用戶訪問網絡流量，經過聚類學習后形成聚類檢測模型，然后輸入混合網絡流量，即：攻擊流量+正常流量，提取流量特征后作為聚類檢測模型的輸入，根據距離進行檢測，如果歸入正常聚類簇，則說明是正常流量，否則就是攻擊流量，以此作為檢測結果的輸出。

圖2 異常檢測方法示意圖

3.1 數據預處理

數據預處理完成的主要工作是從網絡流量中獲取HTTP請求信息，然后以固定的時間窗口（T=1s）為單位提取出4個屬性，包括CN、源IP地址空間、URL長度、HTTP請求速率，組成流量特征向量，作為聚類學習和聚類檢測的輸入，這些流量特征屬性包括：

（1）CN：單位時間內捕獲到的HTTP請求數。

（2）源IP地址熵值H(SIP)：計算HTTP請求中的源IP地址熵值。當出現DDoS攻擊時，H(SIP)值會顯著增大，如圖3所示。

在接受經陰道二維腔內超聲檢查后有10例對象被診斷為恥骨直腸肌損傷，而接受經陰道三維超聲檢查后顯示有12例對象存在恥骨直腸肌損傷，相關數據對比后χ2為0.202，P=0.653＞0.05，差異不存在統計學意義。與此同時，有20例對象出現了肛門括約肌損傷。

（3）URL的熵值H(URL)：計算HTTP請求中的URL熵值。當出現Single-URL攻擊時，熵值顯著變小；當出現Random-URL攻擊時，熵值顯著變大，如圖3所示。

圖3 H（SIP）和H（URL）變化圖

（4）HTTP請求速率ANRC[6]：目標服務器在單位時間內收到的平均請求次數。當出現攻擊時，該值會明顯增大。

在上述流量特征屬性中，信息熵[7]H(SIP)和H(URL)的計算是通過公式（2）計算出來的。

其中，x為源IP地址/URL的狀態空間，Pi為每個IP/URL出現的概率，且滿足。

3.2 攻擊檢測

本階段完成的主要工作是以3.1節中提取的流量特征向量作為輸入，利用粒子群算法優化的K-Means算法進行聚類學習，并產生正常聚類結果，后計算待檢測流量特征向量與各個正常聚類之間的距離，如果此距離在所有正常聚類范圍之外，那么該特征向量被判定為異常，即：識別到了一次攻擊行為。

粒子群優化的K-Means聚類算法的主要流程如下：

（1）對聚類數k值進行編碼。蘇守寶[8]等人已證明聚類最優時k的最大值為(n為樣本總數)，因此k的取值范圍是。

（2）初始化粒子群化。隨機產生包含40個粒子的種群，設置學習因子c1=c2=1.2，慣性權重因子ω=0.8，迭代次數T=100。

（4）對粒子進行適應度計算。

（5）對每個粒子的速度和位置進行更新。根據公式(3)和公式(4)對粒子進行調整，其中，vid(t)表示粒子當前的速度，ω表示粒子飛翔的慣性系數，rand()為隨機函數，xid(t)為粒子當前的位置。

結束條件：如果種群中的準則函數MSE收斂，則停止循環，MSE由2.3節的公式（1）計算；否則重復過程(3)～(5)。

接下來，輸入待檢測流量特征向量，通過計算其與各聚類的距離來判斷是正常還是異常，并給出檢測結果。

4 實驗結果與分析

本實驗搭建了一個小型局域網，局域網中被攻擊的服務器稱作victim，Operating System為Linux，內存大小為4G，服務器軟件版本為Apache-2.4.3。本文利用ddos simulator軟件來模擬應用層DDoS攻擊，攻擊類型包括有效請求的HTTPGet和無效請求的HTTP-Get，攻擊原理是通過控制僵尸主機在短時間內向victim發送大量HTTP-Get數據包。

4.1 實驗數據處理

本文首先采集校園網某WEB服務器近一個月的HTTP請求作為正常數據，通過tcpwrite軟件任選24小時數據重現給victim。其中，前16小時的HTTP請求用來建立檢測模型，后8小時的HTTP請求用來檢測攻擊行為。為了檢驗這種檢測方法的效率如何，在實驗的后8小時內，通過局域網內多臺僵尸PC對victim發動8次DDoS攻擊，攻擊速率（單位是packets/s）分 別 為(50，200，500，1000，2000，3000，4000，5000)，相鄰兩次攻擊時間間隔為2分鐘，并記錄每次攻擊。

首先利用數據包捕獲工具Wireshark從victim服務器鏡像端獲取24小時的HTTP請求數據包，這些數據經過3.1節的數據預處理后，以10s為單位提取網絡流量特征，經過處理后的流量特征向量如表1所示。

表1 流量特征向量

接下來，本實驗將預處理過的前16小時數據進行訓練學習，訓練集大小為5760條記錄。然后，將剩下的8小時數據作為8組測試數據集對待，并記錄輸出結果（檢測率），即：DDoS攻擊數據記錄為432條。

4.2 實驗結果對比分析

通常情況下，一個算法性能的好壞主要由檢測率評價。接下來，利用4.1節獲取到的8組測試數據來分別驗證KMeans算法和粒子群優化的K-Means算法的性能，如圖4所示，由圖可知，粒子群優化的K-Means算法運行到第11次的時候，MSE已經收斂，而K-Means算法運行到82次的時候才開始收斂，并且沒有收斂到最優效果，由此可見，相同條件下，粒子群優化的K-Means算法的學習性能優于K-Means算法。然后計算檢測率TPR(True Positive Rate)，檢測率的計算方法為：被檢測為攻擊樣本數與攻擊樣本總數的比值。

圖4 K-Means和粒子群優化的K-Means算法性能比較

由K-Means算法和粒子群優化的K-Means算法分別建立的聚類檢測方法的檢測率對比情況如圖5所示，通過圖示可知，在相同攻擊速率下，粒子群優化的K-Means算法的檢測率高于K-Means算法，且檢測率隨著攻擊速率的增大而增大。當攻擊速率較低時，由于攻擊行為接近于正常的用戶瀏覽網頁，因此檢測方法可能把它當作正常數據處理，導致檢測率較低，考慮到低速率的DDoS攻擊行為基本不影響Web服務器提供正常服務，所以檢測率較低可以接受的。而隨著攻擊速率的增大，攻擊行為的流量特征屬性值變化越發明顯，攻擊行為明顯不同于正常行為，某些屬性值的差別較大，聚類檢測方法的檢測率越高，越能有效識別出攻擊事件。

圖5 兩種檢測方法的TPR比較結果

5 結語

本文提出了一種針對應用層分布式拒絕服務攻擊的檢測方法，首先在Web服務器端收集網絡流量，網絡流量經過數據預處理后生成流量特征向量，后利用粒子群優化的KMeans算法建立檢測模型，對正常網絡流量產生聚類結果，攻擊流量同樣經過數據預處理后生成流量特征向量，并計算待檢測流量特征向量與各個聚類之間的距離，如果該距離不在所有正常聚類范圍內，則認為出現了攻擊行為。實驗結果表明本方法可以有效地檢測到DDoS攻擊行為，并且與KMeans算法建立的檢測方法相比，本方法具有較高的檢測率。