基于投票ELM和黑洞優(yōu)化的云計算DDoS攻擊檢測*

王飛雪， 戴蓉

1. 重慶人文科技學院 計算機工程學院， 重慶 合川 401524 ； 2. 中國民用航空飛行學院 計算機學院， 四川 廣漢 618307

云計算是一種基于Internet技術， 可按需向用戶提供各種類型資源[1]， 為虛擬化互聯(lián)網技術(Internet Technology， IT)解決方案提供新的消費和支付的模型． 在云環(huán)境中， 用戶數(shù)據(jù)和應用程序分散在遠程數(shù)據(jù)中心， 無論用戶的位置和時間如何， 都可以以虛擬形式在用戶端對其進行訪問． 云計算以3種服務的形式提供資源： 軟件即服務(Software as a service， SaaS)、 平臺即服務(Platform as a service， PaaS)和基礎架構即服務(Infrastructure as a service， IaaS)． SaaS提供的資源是應用程序， PaaS提供的資源是用于開發(fā)應用程序的庫和編程語言， IaaS提供的資源是處理能力、 存儲能力和網絡帶寬． 根據(jù)用戶的不同， 云計算基礎架構可以通過4種方式進行部署： 私有云、 社區(qū)云、 公共云和混合云[2]． 云計算由于具有按需服務、 按需付費、 低成本和支撐縮放等特性， 正逐漸取代傳統(tǒng)的IT實現(xiàn)[3]． 自動縮放意味著所提供的資源可以根據(jù)用戶的需要立即放大或縮小， 何時向上擴展， 何時向下擴展， 取決于云用戶和云提供商之間的服務級別協(xié)議． 云環(huán)境中按需資源可用性的優(yōu)勢伴隨著一些安全問題． 隨著用戶機密數(shù)據(jù)存儲和應用程序部署在云服務提供商的端部， 持續(xù)服務可用性和敏感數(shù)據(jù)保護成為云計算中面臨的主要安全問題[4]．

云服務使得各種客戶端可以遠程部署基于web技術的應用程序。但是云服務的普遍使用也存在容易受到攻擊和可靠性等問題． 云計算中的服務不可用和連接性問題會完全中斷服務， 給消費者帶來巨大的商業(yè)損失． 分布式拒絕服務(Distributed Denial of Service， DDoS)攻擊[5]是針對云服務可用性的主要攻擊之一． 在DDoS攻擊中， 攻擊者在網絡中搜索稱為處理程序的易受攻擊主機， 然后在這些主機上安裝惡意程序[6]． 處理程序會找到其他一些名為bots的主機， 并在這些主機上安裝相同的惡意程序， 攻擊者通過使用命令和控制機制來控制處理程序和機器人． DDoS攻擊會導致云資源耗盡， 云提供的服務不可用， DDoS攻擊在云計算中比傳統(tǒng)的基于基礎設施的系統(tǒng)更危險， 因為攻擊者可以使用自動擴展等功能來獲取利益[7]． 當云服務器上的負載增加時， 云會自動向服務器分配額外的資源， 稱為自動擴展． 云基礎架構是多租戶的， 在DDoS攻擊期間會通過自動擴展為虛擬機提供更多資源， 導致在同一物理服務器上運行的其他虛擬機的資源短缺[8]．

DDoS攻擊可分為基于網絡層和基于應用層兩類． 基于網絡層的攻擊使用網絡層和傳輸層協(xié)議進行洪泛， 即傳輸控制協(xié)議(Transmission Control Protocol， TCP)和用戶數(shù)據(jù)報協(xié)議 (User Datagram Protocol， UDP)和網際互連協(xié)議(Internet Protocol， IP)； 基于應用層的攻擊使用變形的可擴展的標記性語言(eXtensible Markup Language，XML)消息和超文本傳輸協(xié)議(Hyper Text Transfer Protocol，HTTP)洪水[9]． 目前， DDoS攻擊的目標是云服務器， 而不是傳統(tǒng)的服務器， DDoS攻擊造成的經濟損失更為危險[10]． 針對DDoS攻擊的解決方案主要分為主動和被動兩類． 主動式解決方案可在攻擊發(fā)生之前使用各種技術區(qū)分合法用戶和攻擊者， 合法用戶在訪問資源之前必須經過防御過程， 會影響合法用戶的易用性[11]． 在被動式解決方案中， 首先在攻擊發(fā)生時對其進行檢測， 然后針對攻擊采取虛擬機遷移等緩解策略， 它為合法用戶提供了易用性．

DDoS攻擊檢測已經被許多學者研究， 并提出了各種各樣的解決方案． 但是， 這些解決方案存在檢測精度低、 誤報率高等問題． 文獻[12]提出一種基于流量特征和動態(tài)閾值的DDoS攻擊檢測算法， 該算法提取不同的流量特征， 根據(jù)DDoS攻擊的特點計算4個交通特征， 當計算出的特征值在一個時間間隔內大于閾值時會檢測到攻擊． 該閾值是動態(tài)的， 確定該算法的閾值是一項具有挑戰(zhàn)的任務， 若網絡流量異構時， 則該算法無法應用． 文獻[13]提出一種自適應人工免疫系統(tǒng)來緩解DDoS攻擊， 該方法基于構建適合被監(jiān)控環(huán)境要求的分布式傳感器網絡， 通過模擬不同的免疫反應建立隔離區(qū)， 構建免疫記憶， 根據(jù)人類生物防御機制的行為識別威脅并做出反應． 該算法需要較高的訓練時間和計算能力， 也需要大量數(shù)據(jù)進行訓練以檢測未知攻擊． 文獻[14]提出一種基于極限學習機(Extreme Learning Machine， ELM)的云計算DDoS攻擊檢測算法， 該算法首先使用數(shù)據(jù)包分析器等工具連續(xù)捕獲網絡流量， 預處理器連接到路由器， 將云服務器連接到互聯(lián)網， 然后使用單ELM作為二類和多類的分類器進行流量分類． 該算法能夠在很短的時間內訓練， 具有較高的攻擊檢測精度．

基于文獻[14]的思路， 本文提出一種基于投票極限學習機(Voting Extreme Learning Machine， V-ELM)和黑洞優(yōu)化的云計算DDoS攻擊檢測算法． 文獻[14]使用單個ELM進行攻擊檢測； 本文使用多個ELM同時進行攻擊檢測， 并使用黑洞優(yōu)化訓練所有ELM， 所有機器的結果都是在多數(shù)投票的基礎上合并得到最終結果， 多個ELM的使用提高了檢測精度． 本文算法首先歸一化符號特征值并建立訓練數(shù)據(jù)庫， 然后使用數(shù)據(jù)包分析器捕獲網絡流量生成供分類器使用的樣本． 其次， 使用黑洞優(yōu)化訓練V-ELM中的所有ELM， 在攻擊檢測過程中將樣本應用于每個ELM并計算輸出． 然后進行多數(shù)投票， 如果多數(shù)票支持攻擊， 則樣本屬于攻擊類別， 否則樣本屬于正常樣本． 為了評估系統(tǒng)的性能， 使用了NSL KDD和KDD DDoS數(shù)據(jù)集． 實現(xiàn)結果表明， 本文提出的算法在準確性、 靈敏度和特異性方面均優(yōu)于所對比的方法．

本文的主要貢獻： ① 提出了一種基于投票極限學習機(V-ELM)和黑洞優(yōu)化的云計算DDoS攻擊檢測系統(tǒng)； ② 使用黑洞優(yōu)化訓練V-ELM中的所有ELM； ③ 使用多個極端學習機器同時檢測攻擊； ④ 使用NSL KDD和KDD DDoS數(shù)據(jù)集．

1 準備工作

1.1 極限學習機

極限學習機(Extreme Learning Machine， ELM)又稱超限學習機， 是一種具有單隱層的前饋神經網絡(single hidden layer feedforward neural network， SLFN)． 極限學習機框圖如圖1所示．

圖1 極限學習機框圖

在ELM中， 輸入層與隱藏層之間的權值和隱藏層偏差是隨機初始化的． 設一個ELM有l(wèi)個隱藏的神經元， 在隱藏層中有激活函數(shù)f， 如果存在N個形式為(xi，ti)的訓練樣本， 則該網絡的輸出可以建模為：

(1)

xi=(xi1，xi2， …，xin)T∈Rn

(2)

ti=(ti1，ti2， …，tim)T∈Rm

(3)

vj=[vj1，vj2， …，vjm]T

(4)

其中，i=1，2，3，…，N，Qi是網絡輸出，uj∈Rn和bj∈R是第j個隱藏神經元的學習參數(shù)，R表示一元有序實數(shù)組，Rn表示n元有序實數(shù)組，Rm表示m元有序實數(shù)組，vj表示連接第j個隱藏神經元和輸出神經元的權值向量．

本文將所有N個樣本的方程寫成：

O=HV

(5)

(6)

(7)

T=(t1，t2， …，tN)

(8)

其中，O為網絡輸出，T為樣本的標簽向量． 為了最小化誤差‖O-T‖， 可以隨機初始化輸入隱藏權重矩陣uj和隱藏偏置bj， 通過黑洞優(yōu)化來計算隱藏的輸出權重矩陣．

1.2 云計算

云計算是一種基于因特網的技術， 以3種服務的形式提供其資源：

1) 軟件即服務(SaaS)： 云服務提供商負責運行和維護應用軟件、 操作系統(tǒng)等資源． SaaS模型在客戶看來是一個基于web的應用程序接口， 其中因特網用于提供使用web瀏覽器訪問的服務． 托管應用程序可以通過智能手機和筆記本電腦等不同的設備進行訪問． 與傳統(tǒng)軟件不同， SaaS的優(yōu)勢在于客戶無需在自己的計算機上購買、 安裝、 升級、 維護或運行軟件．

2) 平臺即服務(PaaS)： 云服務提供的資源用于開發(fā)應用程序的庫和編程語言． 云服務提供商提供、 運行、 維護系統(tǒng)軟件(即操作系統(tǒng))和其他計算資源． PaaS服務包括應用程序的設計、 開發(fā)和托管． 其他服務包括協(xié)作、 數(shù)據(jù)庫集成、 安全性、 web服務集成、 伸縮性等．

3) 基礎架構即服務(IaaS)： 云服務提供的資源包括處理能力、 存儲和網絡帶寬． 該項服務可以減少資本支出成本， 用戶僅為所需的服務付費， 可以隨時根據(jù)自己的需求擴展和縮小資源．

根據(jù)用戶不同， 可以使用不同類型的云計算基礎架構． 云計算基礎架構可以通過4種方式進行部署． ① 私有云： 僅為組織用戶設置； ② 社區(qū)云： 為兩個或多個組織的用戶設置， 將服務和基礎結構提供給具有相似興趣的組織； ③ 公共云： 它是為全球用戶建立的， 為公眾或任何組織提供基礎設施和服務， 資源被成百上千的人共享； ④ 混合云： 它由兩種或多種類型的云計算基礎架構組成． 這種類型的云是私有云和公共云的混合體． 雖然云是混合的， 但是每個云都有自己的身份， 因此有助于多個部署．

1.3 DDos攻擊

在DDoS攻擊中， 攻擊者在網絡中搜索易受攻擊的主機(稱為處理程序)， 然后在這些主機上安裝惡意程序． 處理程序會找到其他一些稱為bots的主機， 并在這些主機上安裝相同的惡意程序． 攻擊者通過使用命令和控制機制來控制處理程序和機器人， 最終攻擊由機器人執(zhí)行．

DDoS攻擊大致分為兩類：

1) 網絡層攻擊： 這些攻擊根據(jù)傳輸控制協(xié)議(Transmission Control Protocol， TCP)， 用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol， UDP)或互聯(lián)網控制報文協(xié)議(Internet Control Message Protocol， ICMP)包進行洪泛． ICMP flood，UDP flood和TCP同步(Synchronization， SYN) flood就是這類攻擊的例子．

2) 應用層攻擊： 包括HTTP洪水攻擊和XML洪水攻擊． 在HTTP洪水攻擊中， 云中的web服務器被扭曲的HTTP包淹沒． XML洪水攻擊用于使用簡單對象訪問協(xié)議(Simple Object Access Protocol， SOAP)消息的web服務中．

DDoS攻擊檢測和防御方法主要分為3類： 基于特征的DDoS攻擊檢測和防御、 基于異常的DDoS攻擊檢測和防御、 基于特征和基于異常的混合方法的DDoS攻擊檢測和防御． DDoS攻擊檢測技術分類如圖2所示． 基于特征的技術的局限性： 無法檢測到新的攻擊、 維護更新的簽名數(shù)據(jù)庫非常困難、 由于對信號的誤解導致高假陰性率． 基于異常的技術科技進一步分為統(tǒng)計、 機器學習[如人工神經網絡(Artificial Neural Network， ANN)、 支持向量機(Support Vector Machine， SVM)、 K-近鄰(K-Nearest Neighbor， KNN)等算法]和軟件定義網絡(Software Defined Network， SDN)． 統(tǒng)計技術的局限性為確定閾值是一項具有挑戰(zhàn)性的任務， 當網絡流量異構時， 則無法應用． 機器學習技術的局限性需要較高的訓練時間和計算能力， 也需要大量數(shù)據(jù)進行訓練以檢測未知攻擊．

圖2 DDoS攻擊檢測技術的分類

2 基于V-ELM和黑洞優(yōu)化的云計算DDoS攻擊檢測

基于V-ELM和黑洞優(yōu)化的云計算DDoS攻擊檢測采用投票極限學習機(ELM)作為分類器進行系統(tǒng)設計， 使用多個ELM同時檢測攻擊． 首先使用相同的訓練數(shù)據(jù)集基于黑洞優(yōu)化對V-ELM中的所有ELM進行培訓， 在攻擊檢測過程中將樣本應用于每個ELM并計算輸出， 然后進行多數(shù)投票． 如果多數(shù)票支持攻擊， 則樣本屬于攻擊類別， 否則樣本屬于正常樣本． 本文所提算法的DOS攻擊檢測模型如圖3所示， DOS攻擊檢測具體流程如圖4所示．

圖3 本文所提算法的DDoS攻擊檢測模型

圖4 本文所提算法的DDoS攻擊檢測流程圖

2.1 歸一化特征值

基于V-ELM的DDoS攻擊檢測是有監(jiān)督分類器的， 這意味著在使用分類器檢測攻擊之前， 必須使用已知類別標簽對分類器進行訓練． 為了訓練分類器， 使用了一個標記樣本數(shù)據(jù)庫． 為了建立訓練數(shù)據(jù)庫， 采用過去的網絡流量數(shù)據(jù)， 包含特定時間段內兩種類型數(shù)據(jù)包(正常和惡意數(shù)據(jù)包)的信息．

首先， 為每個包提取特征以及包的類型， 將符號特征值替換為數(shù)值， 然后執(zhí)行歸一化． 歸一化是一個在[0， 1]范圍內縮放特征值的過程． 歸一化對于學習非常重要， 因為歸一化后所有的特性都在同一個級別上， 便于不同單位或量級的指標能夠進行比較和加權． 使用式(1)進行歸一化：

(9)

2.2 創(chuàng)建訓練數(shù)據(jù)集

訓練數(shù)據(jù)集是具有(xi，ti)形式的N個樣本的數(shù)據(jù)集．xi=[xi1，xi2，xi3， …，xim]是一個長度為m的第i個樣本的所有特征向量， 這些特征用于將樣本分類為攻擊樣本或正常樣本．ti=[1， 0]或ti=[0， 1]是第i個樣本(攻擊樣本或正常樣本)的標簽向量或類型向量．

在本文中，ti=[1， 0]表示第i個樣本屬于攻擊樣本類，ti=[0， 1]表示第i個樣本屬于正常樣本類． 假設示例由4個特征字符化： 源IP、 目標IP、 源端口和目標端口， 則xi的格式為xi=[源IP， 目標IP， 源端口， 目標端口]，ti的格式為ti=[1， 0]或ti=[0， 1]． 樣本(x1，t1)=([200.10.1.2， 10.23.11， 5 000， 80]， [0， 1])表示它屬于正常樣本類．

2.3 預處理器捕獲網絡流量和生成樣本

預處理器連接路由器， 路由器將云服務器連接到因特網． 預處理器的工作是使用流量捕獲工具不斷地對網絡流量進行捕獲， 并生成樣本供分類器使用．

本文使用Wireshark數(shù)據(jù)包分析器等工具連續(xù)捕獲網絡流量， 樣品分組生成， 使用每個時段t期間的捕獲流量． 在每個時段t期間捕獲的數(shù)據(jù)保存在單獨的文件中， 對于每個文件創(chuàng)建一組示例． 從每個文件中選擇與培訓數(shù)據(jù)庫樣本相同的特征， 將符號特征值替換為數(shù)值， 并使用式(1)進行歸一化， 使特征值在[0， 1]范圍內縮放． 然后， 構造一組形式為yi=[yi1，yi2， …，yin]的樣本， 其中yi的所有特征都與xi的特征相同， 并將這組樣本應用于分類器．

2.4 基于黑洞優(yōu)化對每個ELM進行培訓

為了提高檢測的準確性， 使用多個ELM進行分類， 每個ELM都使用黑洞優(yōu)化進行培訓． 黑洞優(yōu)化是一種基于種群的算法， 可以最小化或最大化目標函數(shù)． 該算法首先生成解的總體， 然后用每個解計算目標函數(shù)． 一個解表示ELM中使用的所有權重的向量． 目標函數(shù)最小化由式(10)給出均方誤差， 然后選擇提供最小均方誤差輸出的權重向量．

(10)

其中，N是訓練數(shù)據(jù)庫中的樣本總數(shù)，Ti和Oi是第i個樣本的實際目標和ELM輸出．

目標函數(shù)最小值的解稱為黑洞， 其余的解稱為恒星． 黑洞吸引其他恒星， 因此它們的位置發(fā)生了變化． 新的位置由式(11)計算：

posi(t+1)=posi(t)+r×(posBH-posi(t))

(11)

其中，posi(t+1)和posi(t)分別代表第i星的新舊位置，posBH代表黑洞的位置，r是[0， 1]中的隨機數(shù)．posi(t+1)，posi(t)和posBH均為權重向量．

如果一顆新位置的恒星具有比黑洞更好的目標函數(shù)， 那么它的位置就會與黑洞交換． 如果一顆恒星越過黑洞的視界半徑， 它就會被黑洞吞噬， 并產生另一顆隨機位置的恒星． 黑洞視界半徑和恒星距黑洞的距離由式(12)計算．

(12)

其中，Rad表示黑洞視界半徑，Di表示恒星距黑洞的距離，fi表示恒星的目標函數(shù)值，fBH表示黑洞的目標函數(shù)值． 該分類器經過訓練， 可用于檢測攻擊． 它接受來自預處理器yi=[yi1，yi2， …，yin]形式的輸入并生成輸出Oi=[1， 0]或Oi=[0， 1]．Oi=[1， 0]表示這是一個攻擊樣本，Oi=[0， 1]表示正常樣本．

2.5 基于V-ELM的DDoS攻擊檢測

在V-ELM中， 使用k個單獨的ELM， 這些單獨的ELM用相同數(shù)量的隱藏神經元(l)初始化． 隨機初始化每個ELM的學習參數(shù)uj和bj(j=1， 2， …，l)． 然后， 使用黑洞優(yōu)化進行訓練， 在分類過程中將樣品應用到每個ELM上， 并計算輸出， 最后根據(jù)多數(shù)投票計算得出最終輸出(圖5)． 在分類階段， 一組形式為yi=[yi1，yi2， …，yin]的樣本適用于所有ELM． 取每個ELM的輸出Oi=[1， 0]或Oi=[0， 1]， 并使用多數(shù)投票獲得最終輸出．

圖5 V-ELM的工作原理

當所有k個輸出到達時， 最終輸出計算如下： 首先計算最大值max(Ci)， 然后計算max(Ci)的位置． 然后根據(jù)pos[max(Ci)]進行樣本判別，pos[max(Ci)]有兩種狀態(tài)， 本文設置為1和2． 如果，pos[max(Ci)]=1， 則為攻擊樣本；pos[max(Ci)]=2， 則為正常樣本． 如果發(fā)現(xiàn)攻擊示例， 則向云管理員生成警報．

3 實驗結果與分析

為了評估本文所提算法的性能， 所有實驗均在一臺配置為Intel Core i7 CPU @3.60Ghz和8 GB RAM的機器上進行， 所有測試均在Matlab 2014a環(huán)境下實現(xiàn)． 選取NSL KDD和KDD DDoS數(shù)據(jù)集對算法性能進行評估， NSL KDD數(shù)據(jù)集包含幾種類型的異常數(shù)據(jù)包以及正常數(shù)據(jù)包； KDD DDoS數(shù)據(jù)集包含DDoS數(shù)據(jù)包以及正常數(shù)據(jù)包． NSL KDD數(shù)據(jù)集有5 755個網絡流量實例， 其中包括2 152個正常網絡流量實例和3 603個攻擊流量實例． 由于數(shù)據(jù)集的異常實例不屬于DDoS類別， 在NSL KDD數(shù)據(jù)集中選擇出最相關的特征， 并使用選定的特征從數(shù)據(jù)集中分離出DDoS數(shù)據(jù)包， 將所選的DDoS數(shù)據(jù)包和正常數(shù)據(jù)包組成KDD DDoS數(shù)據(jù)集． KDD DDoS數(shù)據(jù)集使用懷卡托智能分析環(huán)境(Waikato Environment for Knowledge Analysis， WEKA)中的離散濾波器工具進行離散化處理獲得更好的性能． 表1給出了有關數(shù)據(jù)集更多的詳細信息， 表2給出了算法的仿真參數(shù)． 使用S型函數(shù)作為激活函數(shù)， 其定義為：

表1 數(shù)據(jù)集信息

表2 仿真參數(shù)

(13)

其中，x表示常數(shù)，e表示指數(shù)．

3.1 評價指標

為了評估算法性能， 采用3種指標進行評估： 準確度(Accuracy，Acc)、 靈敏度(Sensitivity，Sen)和特異性(specificity，Spec)．

準確度(Acc)表示攻擊檢測系統(tǒng)準確分類的數(shù)據(jù)比例， 定義為：

(14)

靈敏度(Sen)表示在所有攻擊中檢測到的攻擊所占的比例， 定義為：

(15)

特異性(Spec)表示在所有正常中檢測到的正常所占的比例， 定義為：

(16)

其中， 真陽性(True Positive，TP)定義為屬于攻擊并由分類器正確識別的樣本數(shù)； 真陰性(True Negative，TN)定義為屬于正常且由分類器正確識別的樣本數(shù)； 假陽性(False Positive，F(xiàn)P)定義為屬于正常但被分類器錯誤識別為攻擊的樣本數(shù)； 假陰性(False Negative，F(xiàn)N)定義為屬于攻擊但被分類器錯誤地識別為正常的樣本數(shù)．

3.2 實驗結果與分析

圖6給出了本文所提算法在NSL KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集均進行50次實驗的平均檢測精度， 具體實驗數(shù)據(jù)如表3所示．

表3 50次實驗的檢測精度 %

從圖6中可以看出， 本文提出的算法在NSL KDD數(shù)據(jù)集下具有較高的檢測精度， 并且NSL KDD數(shù)據(jù)集在精度上的差異幾乎可以忽略不計． 這是因為使用黑洞優(yōu)化訓練投票極限學習機中的所有ELM， 并使用多個ELM同時進行攻擊檢測， 然后將所有機器的結果在多數(shù)投票的基礎上合并得到最終結果．

圖6 實驗的檢測精度

圖7給出了在保持隱藏神經元(l)數(shù)量不變(在NSL KDD數(shù)據(jù)集中l(wèi)=1 000， 在KDD DDoS數(shù)據(jù)集中l(wèi)=60)的情況下， ELM的數(shù)量變化對檢測精度的影響情況． 具體實驗數(shù)據(jù)如表4所示．

圖7 精度隨ELM的變化情況

表4 精度隨ELM數(shù)量的變化情況 %

從圖6、 圖7中可以看出， 本文提出的算法在KDD DDoS數(shù)據(jù)集上具有較高的檢測精度， 使用NSL KDD數(shù)據(jù)集時精度幾乎沒有變化； 在KDD DDoS數(shù)據(jù)集中， 當ELM數(shù)量小于35時， 精度隨著ELM數(shù)量的增加而增加， ELM數(shù)量大于35時， 精度沒有顯著提高．

表5、 表6、 圖8和圖9給出了在NSL KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集中， 本文算法投票極限學習機(V-ELM)、 極限學習機(ELM)[14]和隨機森林(RF)[15]的性能指標． 由圖8、 圖9可以看出， 與其他算法相比， 本文算法在NSL KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集的準確性、 靈敏度和特異性均優(yōu)于所對比的方法．

表5 各算法在NSL-KDD數(shù)據(jù)集的性能指標 %

表6 各算法在KDD DDoS數(shù)據(jù)集的性能指標 %

圖8 各算法在NSL KDD數(shù)據(jù)集的性能指標

圖9 各算法在KDD DDoS數(shù)據(jù)集的性能指標

表7給出了在NSL KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集中各算法的訓練時間． 由表7可以看出， 本文算法在NSL KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集上的執(zhí)行時間比其他方法長， 這是因為ELM算法使用的是單個網絡進行攻擊檢測； RF算法對訓練樣本隨機有放回地抽取， 產生多個訓練數(shù)據(jù)的子集， 然后構造分類器進行攻擊檢測； 而本文使用多個ELM同時進行攻擊檢測， 最后根據(jù)多數(shù)投票計算得出最終輸出．

表7 各算法的訓練時間 s

圖10顯示在NSL KDD數(shù)據(jù)集下， 同時改變ELM數(shù)量(k)和隱層神經元數(shù)量(l)的攻擊檢測準確率． 準確率通過顏色變化來描述． 左上角表示最低的準確率(96.84%， )， 右下角表示最高的準確率(99.20%)． 在NSL KDD數(shù)據(jù)集情況下， 準確率隨k和l值的增加而增加．

圖10 不同k和l值下NSL KDD的平均檢測準確率

圖11顯示在KDD DDoS數(shù)據(jù)集下， 同時改變ELM數(shù)量(k)和隱層神經元數(shù)量(l)的攻擊檢測準確率． 準確率通過顏色變化來描述． 對于KDD DDoS數(shù)據(jù)集， 初始準確率隨k和l值的增加而增加， 當增加到最大值后， 準確率會隨著k和l值的增加而減小．

圖11 不同k和l值下KDD DDoS的平均檢測精度

4 結論

為了安全地使用云計算， 本文提出一種基于V-ELM和黑洞優(yōu)化的DDoS攻擊檢測算法． 該算法歸一化符號特征值并建立訓練數(shù)據(jù)庫， 使用數(shù)據(jù)包分析器捕獲網絡流量生成供分類器使用的樣本． 使用黑洞優(yōu)化訓練投票極限學習機中的所有ELM， 并使用多個ELM同時進行攻擊檢測， 得到最終結果． 如果多數(shù)票支持攻擊， 則樣本屬于攻擊類別， 否則樣本屬于正常樣本． 為了評估系統(tǒng)的性能， 本文使用了NSL-KDD數(shù)據(jù)集和KDD DDoS數(shù)據(jù)集進行測試． 實驗結果表明， 本文提出的算法在準確性、 靈敏度和特異性方面均優(yōu)于所對比的方法． 未來的工作是考慮在多個入侵檢測數(shù)據(jù)集上進行實驗， 從而更全面地驗證本文所提算法的效果．