基于ANN與KPCA的LDoS攻擊檢測方法

吳志軍，劉亮，岳猛

（中國民航大學電子信息與自動化學院，天津 300300）

1 引言

低速率拒絕服務（LDoS, low-rate denial of service）攻擊是一種新型的DoS形式[1]。它利用網絡系統自適應機制中存在的漏洞，產生較低速率的攻擊流量。在LDoS攻擊期間，具有固定周期高速率的短脈沖攻擊分組以很短的間隔被發送到受害端。這種攻擊方式雖然無法使網絡鏈路完全癱瘓，但是其低能耗會造成網絡的虛假擁塞，對客戶端及服務器的鏈接質量造成嚴重破壞，使服務端無法正常為用戶提供服務，導致TCP連接質量大幅度下降。據統計，網絡中 80%以上的流量是 TCP流量。因此，LDoS攻擊具有巨大的潛在威脅[1]。LDoS攻擊的平均速率低，并且完全混合在網絡數據流中，不易與正常數據流量區分[2]。因此，傳統的網絡惡意流量檢測方法難以見效。

在對LDoS攻擊的檢測處理上，目前，普遍采用信號處理與網絡流量數據處理相結合的方法[3]，即將信號處理算法用于提取出的網絡特征中，這種方法對提高檢測準確度有很大幫助。然而，信號處理方法由于其自身處理數據量小的問題顯然無法應對當前網絡大數據的環境以及DDoS攻擊的廣泛性。因此，根據已有的特征與檢測算法相結合的經驗，提出一種應用隊列特征的基于核的主成分分析與神經網絡相結合的方法實現LDoS攻擊檢測。數據挖掘算法可以增大數據處理量，對加快運算速度及實時處理數據也有很大幫助。

2 相關工作

由于LDoS攻擊能隱藏在正常網絡流量中，很難將遭受LDoS攻擊后的網絡流量劃分為攻擊與正常流量，因此，其檢測和防御一直是網絡安全領域中研究的熱點和難點。許多專家學者在攻擊流量、TCP特征等多個方面進行了深入的研究，并根據不同的特征提出了多種檢測算法[1,3]。其中，最為普遍的是基于信號處理的LDoS攻擊檢測方法，這種方法是將LDoS攻擊流量進行抽樣，在時/頻域對抽樣序列統計分析，進而對得到異于正常流量的特征加以區分[4]。文獻[5]首先提出頻域檢測LDoS攻擊的方法，將采樣序列自相關后經離散傅里葉變換后得到功率譜密度，再將歸一化功率譜密度作為檢測特征進行檢測。文獻[6]依據LDoS攻擊周期性脈沖突發特點，設計實現了一種基于小波特征提取的LDoS攻擊檢測系統，將分組數目作為檢測對象，利用小波變換和神經網絡的泛化能力提取多個特征并形成分類器，進行綜合診斷。這類基于信號處理的方法檢測率高，但是有一些缺陷。首先，信號處理技術一般是粗粒度的檢測，只能在一段時間后抽樣檢測LDoS攻擊，不能區分每個脈沖；其次，這些方法只能分析未到的或發生過的流量，目前，已有學者研究出可以通過隱藏已知的流量特征來躲避已有的檢測方法的攻擊模型；第三，這類方法雖然根據流量進行特征檢測，但仍然不能區分正常與攻擊流量，只能根據特征判斷異常與正常的狀態，并且信號處理的方法要求數據采樣速率與分組傳輸速率相匹配，才能得到良好的檢測效果，這使該技術在高速率低延時的網絡環境下難以保證實時性。信號處理技術并不能檢測所有的 LDoS攻擊模型，文獻[7]提出了一種基于隨機游走算法建模的 LDoS攻擊，該攻擊可以很好地繞過頻域檢測階段。因此基于信號處理技術的檢測算法對于真實環境下檢測及過濾LDoS攻擊不夠完善，要實現硬件檢測LDoS攻擊，需要在攻擊進入路由器階段進行檢測。文獻[8]研究了基于緩存區隊列平均長度（ASPQ, average size of packet queue）的LDoS攻擊檢測方法，利用平均隊列分組長度分析攻擊分組在隊列的占有比例和攻擊大小與攻擊效果的關系提出了ASPQ值，并以此為依據在路由器端檢測出LDoS攻擊。文獻[9～13]都提出了基于AQM機制的LDoS攻擊防御方法，其核心思想都是通過改進AQM算法過濾LDoS攻擊分組或對帶寬進行重新分配來保護 TCP資源。基于路由器特征的檢測和防御方法一般具有計算量小、實時性好、容易實現的優點。

在路由器方面，使用最多的主動隊列管理（AQM, active queue management）算法有隨機早期檢測（RED, random early detection）、自適應隨機早期檢測（ARED, adaptive random early detection）、平穩隨機早期檢測（SRED, stabilized random early detection）和 BLUE算法[3]。雖然這些算法能有效控制路由器丟失分組，但是大多數沒有網絡攻擊的頑健性。文獻[14～16]指出，RED 算法將路由器平均隊列長度作為決定啟動擁塞控制機制的隨機函數的參數，增加了在隊列長度變得太大之前平滑瞬時擁塞的可能性，減少了多個流同時受分組丟棄影響的可能性，是目前最普遍的路由器主動隊列管理算法。同時，RED及其衍生算法對于LDoS攻擊非常脆弱[12]。本文基于 RED隊列算法提出了一種隊列特征，即利用平均隊列和瞬時隊列來表征 LDoS攻擊和正常狀態，并以此為依據檢測LDoS攻擊。研究發現，應用于非線性的KPCA算法可較好地處理瞬時和平均隊列，并從中提取出特征向量，再利用神經網絡實現高性能的檢測（KPCA網絡）。文獻[17]運用KPCA-SVM方法來檢測網絡攻擊，其中，檢測率達到97.2%，但是其無法檢測隱藏在流量中的低速率攻擊。文獻[18]提出使用自適應的KPCA方法檢測LDoS攻擊的流量，檢測率達到99%[18]，說明 KPCA算法在檢測 LDoS攻擊時有很高的檢測率，但是其是針對流量特征的自適應算法，不適用于隊列特征。文獻[19]提出基于擁塞參與度的LDDoS攻擊檢測及過濾方法，并通過數據證明在路由器方面計算擁塞參與度可以高效地檢測及過濾LDDoS攻擊。同理，利用路由器隊列檢測LDoS攻擊也應該達到較好的效果。因此，本文利用KPCA算法提取隊列特征，采用人工神經網絡進行檢測，這種方法既利用了KPCA對復雜特征優化處理的能力，又能結合ANN的準確性與實時性對攻擊進行檢測，提高了算法的處理能力與效率。

3 基于ANN與KPCA的攻擊檢測方法

在開展LDoS攻擊對RED隊列造成影響的研究中發現，瞬時隊列在LDoS攻擊期間波動很大，并且其平均隊列也會劇烈變化，特別是以瞬時隊列作為測量尺度表示平均隊列時，這種變化更為明顯。這種在LDoS攻擊期間RED隊列的變化是檢測LDoS攻擊的基礎。因此，通過抽樣提取隊列變化特征，利用KPCA算法對隊列特征降維，采用實時性較強的機器學習算法進行檢測。檢測方法如圖1所示。

在圖1中，首先，對LDoS攻擊進行建模，利用LDoS攻擊工具產生攻擊流量，攻擊正常網絡；然后，對瞬時隊列與平均隊列分別進行采樣，將樣本作為KPCA的輸入數據進行特征分析，輸出特征向量作為 BP神經網絡的訓練數據與測試數據，形成分類器；最后，實時檢測LDoS攻擊，并對檢測性能進行評估。

3.1 LDoS攻擊下的路由器隊列特征

RED算法對LDoS攻擊的防范能力非常脆弱，在采用RED算法的路由器遭受LDoS攻擊時，其瞬時路由器隊列會在攻擊期間表現出巨大的波動，平均隊列隨著瞬時隊列的波動產生衍生變化[8]。因此，本文基于RED隊列進行實驗并采集所需特征。RED算法的思想是根據平均隊列長度來進行擁塞控制避免擁塞，平均隊列的計算方法為指數加權（EWMA ,exponentially weighted moving average）[20]，即其中，Q(n)為平均隊列大小；q為瞬時隊列大小；W為權值。正常情況下，RED監視平均隊列的長度，當擁塞發生時隨機丟失分組。

在實際情況中，RED只有當新的數據分組到達時才會重新計算平均隊列。當擁塞發生時如果平均隊列長度很大，由于擁塞控制沒有新的數據分組到達，此時，瞬時隊列是空的[21]。擁塞發生后，當新的數據分組到達時，如果仍然按照式(1)計算平均隊列大小，則平均隊列的下降率是緩慢的，將導致短期的分組高丟失率。因此，式(1)就不再適合這種情況。理想條件下，當數據分組進入隊列時，瞬時隊列是空的。當數據分組已到達隊列大小為0的路由器時，RED通過式(2)計算平均隊列大小，即

其中，t為當前統計時間；q_e為隊列空閑的開始時間；ta為小分組特定的傳輸時間。由于瞬時隊列是空的，式(2)使平均隊列劇烈下降。

LDoS攻擊的目的是使隊列擁塞，迫使 TCP 降低擁塞窗口，事實上，LDoS攻擊可以看作反饋控制的過程，如圖2所示。

圖2 反饋控制機制

在圖2中，高速率的LDoS脈沖流攻擊路由器，使其平均隊列長度迅速增加，造成大量合法TCP丟失分組。因此，RED算法通過反饋機制向合法的TCP發送者傳遞擁塞信號。TCP發送者隨即減小擁塞窗口（CWNDS, congestion windows）降低發送速率，甚至在2個攻擊脈沖之間的空閑時間進入超時重傳狀態[16]。在這種情況下，路由器的瞬時隊列的大小迅速降低甚至變為空，導致路由器的平均隊列減少[21]。因此，RED機制逐漸降低分組丟失率，同時，TCP端超時重發數據分組狀態逐漸恢復。TCP發送端的擁塞窗口會經歷慢啟動和加性增加乘性減少（AIMD, additive increase multiplicative decrease）的過程導致路由器隊列的增加[20]。一旦路由器緩沖區被塞滿，下一個攻擊脈沖將會導致出現如上所述的擁塞過程。而網絡中隨機突發的流量變化由于其時間參數與LDoS攻擊參數不同，不會對隊列產生上述影響。

圖1 ANN與KPCA結合的LDoS攻擊檢測方法

在LDoS攻擊期間，平均和瞬時隊列長度表現出異常特征，瞬時隊列的波動導致平均隊列的劇烈波動。因此，提取平均隊列與瞬時隊列相結合的特征作為樣本進行LDoS攻擊的檢測，同時提出了一種降維處理與神經網絡相結合的方式，即KPCA聚類方法與神經網絡相結合（KPCA網絡），可以更好地檢測非線性數據，對于隊列特征的檢測率較高。

3.2 基于隊列特征的KPCA分析

PCA主要是利用較少的綜合指標代替原來較多的指標，即將給定的數據矩陣xm×n由歸于中心的樣本{ei}構成。其中，ei∈R，PCA通過式(3)將輸入數據矢量ei轉換為新的矢量，即

其中，U為正交陣，其第i列Ui是協方差矩陣C的第i個特征矢量，進行如式(4)所示的變換。

其中，Li是C的一個特征值，ui是相應的特征矢量。當僅利用前面的p個特征矢量U，得到正交矩陣S=UTX。新的分量S稱為主分量。當只使用前面的幾個特征矢量時，S中主分量的個數將減少，因此，PCA處理高階問題的效果不明顯。PCA為線性映射方法，該方法的局限性比較大，它忽視了數據之間高于2階的相互關系，對于非線性及多維的數據無法完成較優的分類[22]。基于隊列特征的異常檢測本身表現出較強的非線性，線性特征提取方法得不到好的分類效果[17]，而且分析所用的數據由平均隊列與瞬時隊列聯合表示，屬于非線性的二維空間數據。因此，引入核主成分分析法，把輸入空間映射到高維空間進行數據處理[22]，此方法能較好地提取非線性特征。設平均隊列為xi，瞬時隊列為yi，數據空間到特征空間的映射函數為?，則內積變換為

式(5)中增加了非線性映射，因此強化了非線性處理能力，這是傳統 PCA方法無法達到的，核方法完成了瞬時隊列與平均隊列多維度之間的非線性變換。

選用對非線性空間有較高處理效果的高斯徑向基函數作為核函數。KPCA提取特征的中心思想是利用核函數將輸入空間映射到特征空間，在特征空間完成PCA[17]。

基于以上分析，把平均隊列與瞬時隊列看成一個聯合樣本，并根據此樣本得到對應的KPCA隊列特征，實現KPCA算法步驟如下。

1) 確定輸入數據。輸入數據由瞬時隊列yi和平均隊列xi組成，所以將輸入定義為n×2維矩陣，即

2) 生成核矩陣。通過高斯徑向函數計算核矩陣K。

3) 將瞬時隊列yi與平均隊列xi轉化為確定的特征向量得到 {v1,… ,vn} 。

4) 對得到的特征向量按特征值的降序排列得到 {v1′,… ,vn′}。

5) 得到正交向量。利用施密特正交化得到正交向量{a1,…,an}。

6) 提取主分量。如果累積貢獻率Bt≥提取效率p，則提取t個主分量a1,…,at。

7) 計算特征向量的投影。核矩陣K在提取出的特征向量上的投影為Y=Ka，其中，a={a1,…,at}。

投影矩陣Y即平均隊列與瞬時隊列經過KPCA處理后得到的新特征序列。由于所得數據在各個類別有明顯特征，為了可以同時區分出多個特征，因此，選用有強分辨力的神經網絡分類器來判別這一特征。

3.3 基于KPCA特征的BP神經網絡檢測方法

BP神經網絡是一種按誤差逆傳播的多層前饋神經網絡，它是一個非線性模型，由輸入層、隱含層和輸出層組成，其中隱含層可以有多層[23]。由于 BP神經網絡的非線性映射特性及良好的自學習能力，其作為綜合分類器已在多個領域廣泛使用。KPCA特征根據網絡的狀態（正常、突發和遭受LDoS攻擊）分為3種：正常狀態即客戶端在無攻擊也無其他用戶干擾的情況下正常的下載狀態；突發狀態為客戶端在下載時隨機加入其他非攻擊參數配置的情況；遭受LDoS攻擊為在客戶端下載時由攻擊者發送LDoS攻擊數據分組進行攻擊。

由3.1節分析可知，在正常的網絡狀態下，如果出現與LDoS攻擊參數不匹配的TCP突發，則不會對檢測結果造成影響。因此，將BP神經網絡分為2種：未遭受LDoS攻擊和遭受到LDoS攻擊。分別采集正常網絡與遭受LDoS攻擊的隊列數據，再將經KPCA分析后的特征作為訓練集對分類器進行訓練，最后實時采集正常狀態、隨機突發狀態以及遭受LDoS攻擊狀態進行檢測。以正常狀態為例，神經網絡分類器結構如圖3所示。

圖3 3層BP神經網絡結構

在圖3中，輸入層、隱含層和輸出層神經元個數分別為n、p、q。由于所提KPCA特征為線性一維特征，因此，設此神經網絡訓練集的輸入向量bi=(b1,b2,…,bn)，即 KPCA 算法得出的特征，隱含層輸入變量hi=(hi1,hi2,…,hip)，隱含層輸出變量ho=(ho1,ho2,…,hop)，輸入層與隱含層的連接權值為wih，隱含層與輸出層的連接權值為vho，隱含層各神經元閾值為rh，輸出層各神經元閾值為so，使用logsig作為傳輸函數[23]。將n個訓練樣本全部訓練完畢后，計算全局誤差。當全局誤差達到訓練目標或最大訓練次數時，結束學習算法，BP神經網絡訓練完畢。對于訓練良好的BP神經網絡，擁有較為優秀的泛化能力，當向網絡輸入的樣本數據為測試數據時，依然能給出合適的輸出[24]，這為使用BP神經網絡作為判別 LDoS攻擊的分類器提供了可行性。根據文獻[6]中對神經網絡決策指標的定義，設置本系統的最終決策指標為

其中，輸出層輸出變量為m0與m1，輸出節點趨近0、1時，表示正常；趨近 1、0時，表示有 LDoS攻擊發生。具體實驗步驟如圖4所示。

圖4 ANN與KPCA結合的LDoS攻擊檢測總體流程

在圖 4中，首先采集到路由器之間的隊列信息，再將采集到的隊列利用KPCA算法進行特征提取，特征向量作為神經網絡的訓練組，形成分類器。將需要檢測的數據作為輸入組，完成神經網絡的訓練后，由決策指標m作為LDoS攻擊的判決依據。在未受LDoS攻擊的m和受LDoS攻擊的m之間選定閾值，如果m大于閾值就說明網絡環境遭受到LDoS攻擊。

4 實驗結果及分析

為了驗證本文方法對LDoS攻擊的檢測效果，在網絡平臺中采用真實的網絡設備搭建了測試平臺——test-bed實驗平臺，其拓撲結構如圖5所示。

該 test-bed實驗平臺是根據美國萊斯大學在Network Simulator version 2（NS-2）仿真平臺中搭建的實驗環境[1]設計的。其中，包含交換機及路由器各一臺，客戶端（client）主機5臺，LDoS攻擊者（attacker）主機一臺以及FTP服務器（FTP server）一臺。

圖5 實驗環境

client1～client5的 IP 地址分別為 10.1.20.1～10.1.20.5，攻擊者的IP地址為10.1.30.1，服務器的IP地址為10.1.10.1。RTO設置為1 s，連接的單向傳播時延在50～70 ms隨機生成，所以平均往返時間（RTT）設置為120 ms。數據分組的平均大小是1 000 B，瓶頸鏈路的緩沖區大小由確定，C為鏈路容量，為平均RTT。RED隊列的最大和最小閾值分別為50和150，權值為0.000 1。

實驗中，主機均采用Redhat 9.0操作系統，利用ShrewAttack攻擊軟件發送LDoS攻擊分組，使用RED隊列管理機制，攻擊者（attacker）運用CBR機制發送攻擊分組。受害端為FTP服務器，瓶頸鏈路為15 Mbit/s，其他鏈路為100 Mbit/s。

由于網絡應用層協議是基于TCP/IP協議的，同時，普遍的TCP版本是基于RED隊列管理算法的，因此，不同的協議不會對實驗產生影響，但為保證實驗的普適性，加入了林肯實驗室的DARPA數據集中2000年某一周美國政府網站的正常數據作為背景流量。

首先，利用iproute和tcpdump采集路由器信息，提取出平均與瞬時隊列信息。對平均隊列與瞬時隊列進行KPCA算法的處理，將分析后的結果作為神經網絡分類器的輸入進行 LDoS攻擊的檢測，并對檢測性能進行分析。本文實驗的攻擊工具 ShrewAttack和真實網絡拓撲環境是研究LDoS公認的實驗平臺，因此，所采集到的隊列特征不會對訓練數據造成較大影響，同時也不會影響分類器的泛化能力。

4.1 LDoS攻擊特征提取

在test-bed平臺中測試時，攻擊開始于第30 s，設置攻擊周期為4.5 s，脈沖長度為0.3 s。

對圖5中路由器的隊列進行采樣，同時采集平均隊列與瞬時隊列的數據，采樣時間長度為60 s。實驗證明，當攻擊速率為瓶頸鏈路大小時攻擊效果最明顯[1,2]，因此攻擊速率為15 Mbit/s，并且隨機在20～30 s啟動突發（這種突發并沒有配置LDoS攻擊參數）。根據3.1節的分析可知，平均隊列需要上一個瞬時隊列與平均隊列的聯合計算生成，當路由器隊列中無分組到達時，平均隊列不會更新，在采樣長度內會出現平均隊列少于瞬時隊列的情況，為了使平均隊列和瞬時隊列在時間和狀態上相互對應，設定平均隊列和瞬時隊列的采樣間隔均為10 ms。圖6為LDoS攻擊對RED隊列隨時間變化的影響，該隊列的基本特征如圖6(a)所示，圖6(b)是在LDoS起作用時進行局部放大的效果。

圖6 LDoS攻擊對RED隊列的影響

在圖6(a)中，一段時間后隊列趨于平穩，然而在t=30 s時，隊列波動劇烈。在圖6(b)中，放大來看，攻擊脈沖在t=52.5 s和t=57 s造成瞬時隊列劇烈波動，同時存在一段未記錄平均隊列的中斷時間（接近最小RTO），此時，平均隊列將保存最后一個值。在中斷時間后，平均隊列快速降到最小值之下。圖6(a)也顯示在正常流量的隨機突發不會呈現分布的特征，因為它的實現沒有攻擊參數配置。因此，突發不影響檢測率，除非它恰巧與LDoS攻擊具有相同的參數配置。當橫坐標為平均隊列長度，縱坐標為瞬時隊列長度時，攻擊狀態與正常狀態之間的關系顯示得比較明顯，其平均隊列隨瞬時隊列的變化如圖7所示。

圖7(a)中，橫坐標為平均隊列，縱坐標為瞬時隊列。將攻擊數據與正常數據進行比較，橫坐標為57～60，縱坐標為20～100時的區域代表正常網絡區域分布，其他的點是存在攻擊時的特征。

圖7 平均隊列與瞬時隊列的聯合特征

圖7(a)中正常流量隊列存在于某一區域內，平均隊列隨瞬時隊列的變化平穩，而存在攻擊的隊列波動很大。圖7(b)包含正常突發，通過分析，平均隊列沒有很大的變化，其與圖7(a)正常隊列在同一區域內，可以認為突發不會被錯認為攻擊脈沖。而通過KPCA分析，可以將這種二維的特征轉換為抽樣點數與特征值表示的一維特征，從而直觀地表現出二者之間的關系。

4.2 KPCA特征分析

對LDoS攻擊的隊列、正常平穩的隊列和正常的但是有突發的隊列進行采集，分別提取出實驗所需的數據特征，對于趨勢明顯的隊列特征，以3為周期進行抽樣，再將特征向量利用KPCA算法選用高斯徑向函數對其降維和聚類，得出特征曲線，如圖8所示。其中，每一點是由瞬時隊列與平均隊列聯合分析出的特征向量。

圖8(a)與圖8(b)均為正常網絡狀態，它們之間的區別在于圖8(a)無突發，而圖8(b)存在突發。二者在開始處有些差異，但由于算法的自適應性，在隨后的各點表現出相似的特征。

圖8(c)表示存在LDoS攻擊，與正常隊列趨勢差距很大。由圖8(d)可以看出，正常平穩隊列與有突發隊列曲線趨勢基本一致，但是由于時延等原因，放在一起不能定量化分析。相同地，這2組曲線雖然與攻擊曲線趨勢有區別，但是也無法直接區分，因此，需要運用更準確的方法進行分類。由于正常隊列與 LDoS攻擊隊列的特征曲線的不一致性，符合神經網絡分類器的輸入特征，因此，運用BP神經網絡進行分類處理，以完成更準確的檢測。

4.3 檢測結果

在采用BP神經網絡進行分類檢測中，將KPCA特征曲線分別作為訓練和檢測數據，對其進行分類和檢測。將所得特征分為3組，分別為正常網絡、正常網絡加隨機突發與有LDoS攻擊網絡，測試集每組10個樣本集，訓練集每組20個樣本集，每個樣本集中包含一個采樣周期內所有樣本（即總的樣本數目為20×6 000 =120 000個），輸入數據中無訓練數據中的樣本。隱藏層個數的確定通過隱含層個數與最小均方誤差的關系確定，如圖9所示。

考慮到BP神經網絡的復雜度及其學習規則，并不是隱含層節點數越多，算法性能越好。圖9中，當隱藏節點個數在 20時，均方誤差達到最低點即0.03左右，且處理當前數據量的任務時算法時間在1 s左右，與路由器平均隊列的統計時間基本相同，因此，選用隱含層節點數為20。

迭代次數和決策指標閾值η為影響神經網絡性能的關鍵因素。在測試中，當學習率為0.01，學習目標取0.05時，考慮到分類器迭代時間過長及過擬合問題，設置迭代次數為500、1 000、1 500、2 000，分別運行500次，得到反映分類器性能的ROC曲線，如圖10所示。

圖8 KPCA特征

圖9 神經網絡節點數與最小均方誤差比較

在圖10中，除2 000次迭代外，其他迭代次數的分類器性能都不高。這是由于迭代次數少的分類器對于所選特征很難達到最終訓練目標，而迭代次數為2 000的曲線更靠近左上角點，同時包含面積最大，明顯好于其他迭代次數的分類器，測試結果的達成率達到95%以上，運行時間與最短時間相差不超過2 s，雖然運行時間略有延長，但是與其他迭代次數相比較是可以接受的，且對于采樣周期 60 s來說，是可以容忍的誤差。

圖10 不同迭代次數分類器性能對比

根據文獻[6]，一般神經網絡決策指標的閾值在0.5左右。從圖10的實驗數據可以得出：神經網絡決策指標的閾值低于 0.45時，誤警率較高；高于0.65時，檢測率較低，都會在很大程度上影響檢測性能。因此，根據實驗結果，當閾值取η∈(0.45,0.65)時，可以獲得較好的檢測效果。提取2 000次迭代次數ROC曲線中閾值η∈ (0.45,0.65)內的檢測率和虛警概率，結果如表1所示。

表1 不同決策指標閾值η下工作性能

在表1中，不同η對應的檢測性能差別較大，當閾值η為0.53時，最靠近ROC曲線的左上角(0,1)點，且有最合適的檢測率和虛警概率，因此，選擇此點為最終的決策指標閾值η，通過以上參數的設置，訓練完成最終的LDoS攻擊分類器。

形成分類器后，在真實網絡下實時采集隊列信息，轉換為KPCA特征后作為輸入送入分類器中進行檢測，各分類器輸入數據如下。

1) 無突發隊列數據和有LDoS攻擊數據。

2) 有突發隊列數據和有LDoS攻擊數據。

對于每一種方案，都存在正常與存在LDoS攻擊的數據，且根據理論分析，有突發的正常流不會對LDoS攻擊的檢測造成影響。

根據神經網絡的原理，如果輸出接近于(1,0)則認為是正常網絡，如果輸出接近于(0,1)則認為是LDoS攻擊。本文實驗結果如圖11所示，檢測窗口為1 s，圖11(a)中前5 s為正常網絡，從第5 s開始有LDoS攻擊，可見此時開始檢測到攻擊；圖11(b)與圖 11(a)相同，說明網絡正常突發不會影響LDoS攻擊的檢測，而且期望輸出可以達到較理想的分類檢測效果。由于2種情況都是當LDoS攻擊出現在第一個檢測窗口（5～6 s）時就會立即被檢測，因此，也證明了所選神經網絡的實時性。實驗證明，ANN與KPCA結合的LDoS攻擊檢測的平均檢測率為94.7%，漏警概率為5.3%，虛警概率為1.7%。

圖11 神經網絡輸出結果

4.4 比較分析

KPCA網絡算法屬于不同機器學習算法的結合，利于處理大規模復雜數據及挖掘潛在特征，在評價其算法性能時，需要考慮算法的復雜度與檢測性能。本文將實驗數據分別用于歸一化互功率譜密度[5]（NCPSD, normalized cross-power spectral density）、隱馬爾可夫模型[4]（HMM, hidden Markov model）以及Adaptive-KPCA[18]檢測LDoS攻擊的方法中，從算法時間復雜度T(n)、空間復雜度S(n)以及檢測率等指標定量分析，并根據結果做出綜合評價。通常，T(n)值越低，S(n)值越低，則檢測率越高，綜合評價就越高。

1) 時間復雜度評估

信號處理算法的時間復雜度一般為O(n2)，因此，NCPSD與 HMM 時間復雜度均為O(n2)[25]。KPCA算法是一種聚類算法，計算量較大，時間復雜度為O(n3)[26]，Adaptive-KPCA[18]同樣符合該規則。

KPCA網絡將數據降維，利用新的特征作為神經網絡的輸出，所以應考慮2個方面的時間復雜度問題。一般地，KPCA算法復雜度較高，但本文方案根據路由器隊列的連續性和平穩性，在KPCA分析之前進行預處理，按特征規律進行抽樣，將其分解成一個的矩陣，大大降低了算法復雜度，其計算復雜度為。對于前饋神經網絡，算法復雜度分為測試部分與訓練部分，訓練部分T2(n)=O(m×n2)；測試部分為T3(n)=O(n1+n2+n3)=O(n2)。其中，n1與n3為輸入與輸出節點數；n2為隱含層節點數；m為輸入數據量。一般n2遠大于輸入與輸出節點數總和，而且經測試，KPCA網絡的時延主要來自預處理及KPCA變化方面，神經網絡的檢測時延很少，所以總時間復雜度為T0=T1+T2+T3。經實驗驗證，當輸入數據為n時，各個算法的平均時間頻度及時間復雜度如表2所示。

表2 算法時間復雜度

2) 空間復雜度評估

當輸入數據量為n時，KPCA網絡經抽樣與降維，可將總數據量降到。其他算法由于沒有預處理能力，輸入數據量仍為n。KPCA網絡較大幅度地降低了固定存儲空間開銷。

由于各算法循環次數和排序方式不同，執行過程各變量所占輔助空間也不同，對于數字信號處理算法，如NCPSD與HMM算法的空間復雜度為O(n)[25]，KPCA算法在特征空間中是線性相關的，其空間復雜度也為O(n)[26]，各算法的空間復雜度如表3所示。

3) 檢測性能分析

從檢測率、漏警概率和虛警概率這3個方面分析4種算法的檢測性能。檢測LDoS攻擊時，各算法性能如表4所示。

表2表示各算法的時間復雜度，表3為空間復雜度，表4代表各算法對LDoS攻擊的檢測性能。從表2～表4可以看出，KPCA網絡由于其良好的預處理能力，在時間頻度上更有優勢。空間上，基于流量特征的檢測算法的采樣率需要與分組速率保持一致，數據量遠大于路由器隊列算法，所以本文算法處理數據能力高于其他算法。

在檢測性能和實時性方面，KPCA網絡所耗費的時間都來自于KPCA處理，在神經網絡檢測方面耗時很少；在檢測性能方面，KPCA網絡明顯好于NCPSD，虛警概率優于Adaptive-KPCA，在實時性方面好于HMM，能滿足檢測LDoS攻擊的要求；且KPCA網絡檢測的特征為路由器隊列，隊列比網絡流量要復雜得多，更難提取，考慮到已經存在的能躲避頻域檢測的LDoS攻擊模型，隊列特征在檢測LDoS攻擊方面更有意義。因此，KPCA網絡檢測LDoS攻擊的綜合性能更好，且為實時防御LDoS攻擊提供了一種新思路。

5 結束語

本文在對LDoS攻擊隊列分析的基礎上，提出了基于KPCA及神經網絡的LDoS隊列特征的檢測方法，將平均及瞬時隊列遭受LDoS攻擊時的劇烈變化作為依據，經KPCA提取特征后，利用BP神經網絡進行檢測。實驗證明，該算法不僅可以分辨正常與LDoS攻擊狀態，還可以區分出正常網絡

中存在突發的情況與遭受LDoS的狀態，相比于其他方法有算法復雜度低、實時性強等優點，能有效檢測LDoS攻擊。KPCA網絡基于隊列特征的檢測方法對實際的網絡管理、防御LDoS攻擊以及設計高性能路由器有一定的借鑒意義。本文算法也存在一些局限性，例如，需要訓練數據進行支撐，對大數據預處理時間過長等，因此，該算法還有待進一步改進。在混合流中細粒度篩選出攻擊流并進行過濾是未來需要關注的問題，也是努力的方向。本文提出的隊列分布特征已經考慮了攻擊脈沖的參數，提取了每一個攻擊周期的特征，而不是以一個較長的時間采樣提取特征。因此，已經向細粒度檢測方向改進，今后將結合網絡測量、IP地址統計等方法繼續提高檢測技術。

[1] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks -the shrew vs. the mice and elephants[C]// ACM SIGCOMM. 2003∶ 25-29.

[2] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks and counter strategies[J]. IEEE/ACM Transactions on Networking, 2006, 14(4)∶683-696.

[3] 何炎祥, 劉陶, 曹強, 等.低速率拒絕服務攻擊研究綜述[J].計算機科學與探索, 2008, 2(1)∶ 1-19 HE Y X, LIU T, CAO Q, et al. A survey of low-rate denial-of-service attacks[J]. Journal of Frontiers of Computer Science and Technology,2008, 2(1)∶ 1-19

[4] 岳猛, 張才峰, 吳志軍. 隱馬爾科夫模型檢測 LDoS攻擊方法的研究[J]. 信號處理, 2015, 31(11)∶1454-1460.YUE M, ZHANG C F, WU Z J. The research of detecting LDoS attacks based on hidden Markov model[J]. Journal of Signal Processing,2015, 31(11)∶1454-1460.

[5] YU C, KAI H, KWOK Y K. Collaborative defense against periodic shrew DDoS attacks in frequency domain[J]. ACM Transactions on Information and System Security, 2005∶ 2-27.

[6] 何炎祥, 曹強, 劉陶, 等. 一種基于小波特征提取的低速率DoS檢測方法[J]. 軟件學報, 2009, 20(4)∶930-941.HE Y X, CAO Q, LIU T, et al. A low-rate DoS detection method based on feature extraction using wavelet transform[J]. Journal of Software,2009, 20(4)∶930-941.

[7] LIU X, ZHANG M, XU G. Construction of distributed LDoS attack based on one-dimensional random walk algorithm[C]//International Conference on Cloud Computing and Intelligence Systems.2012∶685-689.

[8] 張靜, 胡華平, 劉波, 等. 基于ASPQ的LDoS攻擊檢測方法[J]. 通信學報, 2012, 33(5)∶79-84.ZHANG J, HU H P, LIU B, et al. Detecting LDoS attack based on ASPQ [J]. Journal on Communications, 2012, 33(5)∶79-84.

[9] SUN J, ZUKERMAN M. An adaptive neuron AQM for a stable internet[M]//Ad Hoc and Sensor Networks, Wireless Networks, Next Generation Internet. Springer Berlin Heidelberg, 2007∶844-854.

[10] KUZMANOVIC A. The power of explicit congestion notification[J]. ACM Sigcomm Computer Communication Review, 2005,35(4)∶61-72.

[11] SARAT S, TERZIS A. On the effect of router buffer sizes on low-rate denial of service attacks[C]//International Conference on Computer Communications and Networks. 2005∶281-286.

[12] MOHAN L, JOHN J K, BIJESH M G. Shrew attack prevention in RED queue with partial flow analysis[J]. International Journal of Computer Applications, 2013, 67(8)∶9-15.

[13] 張長旺, 殷建平, 蔡志平, 等. 抗 DDoS攻擊的主動隊列管理算法[J].軟件學報, 2011, 22(9)∶2182-2192.ZHANG C W, YIN J P, CAI Z P, et al. Active queue management algorithm to counter DDoS attacks[J]. Journal of Software, 2011, 22(9)∶2182-2192.

[14] HAMLET M R, MICHEL K, BéATRICE P P. TCP and network coding∶ equilibrium and dynamic properties[J]. IEEE/ACM Transactions on Networking, 2016, 24(4)∶ 1935-1947.

[15] ZHAO Y, MA Z G, ZHENG X F, et al. An improved algorithm of nonlinear RED based on membership cloud theory[J]. Chinese Journal of Electronics, 2017, 26(3)∶ 537-543.

[16] GUIRGUIS M. BESTAVROS A, MATTA I. Exploiting the transients of adaptation for RoQ attacks on Internet re-sources[C]//IEEE ICNP.2004∶ 184-195.

[17] 高海華, 楊輝華, 王行愚, 等. 基于PCA和KPCA特征抽取的SVM網絡入侵檢測方法[J]. 華東理工大學學報（自然科學版）, 2006,32(3)∶ 321-326.GAO H H, YANG H H, WANG X Y, et al. PCA/KPCA feature extraction approach to SVM for anomaly detection[J]. Journal of East China University of Science and Technology, 2006, 32(3)∶321-326.

[18] ZHANG X Y, WU Z J, CHEN J S, et al. An adaptive KPCA approach for detecting LDoS attack[J]. International Journal of Communication Systems, 2017, 30(4)∶ 1-8.

[19] ZHANG C W, CAI Z, CHEN W, et al. Flow level detection and filtering of low-rate DDoS[J]. Computer Networks the International Journal of Computer & Telecommunications Networking,2012, 56(15)∶ 3417-3431.

[20] FENG W C, KANDLUR D D, SAHA D, et al. Stochastic fair blue∶ a queue management algorithm for enforcing fairness[C]//The 20th Joint Conference of the IEEE Computer & Communications Societies.2001∶1520-1529.

[21] MOHAN L, BIJESH M G, JOHN J K. Survey of low rate denial ofservice (LDoS) attack on RED and its counter strategies[C]//IEEE International Conference on Computational Intelligence & Computing Research. 2012∶1-7.

[22] 蘇治, 傅曉媛. 核主成分遺傳算法與 SVR選股模型改進[J]. 統計研究, 2013, 30(5)∶54-62.SU Z, FU X Y. Kernel principal component genetic algorithm and improved SVR stock selection model[J]. Statistical Research, 2013,30(5)∶54-62.

[23] LI J, YU L. Using BP neural networks for the simulation of energy consumption[C]//IEEE International Conference on Systems, Man and Cybernetics. 2014∶3542-3547.

[24] 劉陶, 何炎祥, 熊琦. 一種基于Q學習的LDoS攻擊實時防御機制及其CPN實現[J].計算機研究與發展, 2011, 48(3)∶432-439.LIU T, HE Y X, XIONG Q. A Q-learning based real-time mitigating mechanism against LDoS attack and its modeling and simulation with CPN[J]. Journal of Computer Research and Development, 2011, 48(3)∶432-439.

[25] WU Z J, ZHANG L Y, YUE M. Low-rate DoS attacks detection based on network multifractal[J]. IEEE Transactions on Dependable & Secure Computing, 2016, 13(5)∶559-567.

[26] 趙峰, 張軍英. 一種 KPCA 的快速算法[J]. 控制與決策, 2007,22(9)∶1044-1048.ZHAO F, ZHANG J Y. Fast algorithm about KPCA[J]. Control and Decision, 2007, 22(9)∶1044-1048.