基于近攻擊源部署的應用層DDOS檢測方法

張婷婷，唐 勇，李云天，許云飛，張衛豐

（1.炫彩互動網絡科技有限公司 江蘇南京 210019；2.中國銀行信息科技運營中心 上海 201210；3.南京郵電大學計算機學院、軟件學院、網絡空間安全學院 江蘇南京 210046）

0 引言

由于應用層DDoS 攻擊具有很強的分布性，攻擊者可通過全網搜捕傀儡機，使用抓捕到的傀儡機進行多次遞歸搜捕其它機器，依據應用層協議軟件漏洞等方法攻擊目標主機［1-3］。

現有攻擊檢測方法無法及時響應攻擊初期的網絡流量包，只能等待大規模流量進入目標主機后才能進行反應，然而此時流量值可能已經超出目標主機的承受范圍［4-5］。例如，Github 入侵事件中顯露出該類檢測系統的弊端，雖然Github 具備較強的DDoS 防御系統，能夠在短時間內恢復網絡，但仍然在沖擊下對網絡造成了一定程度的影響。

根據騰訊安全聯合綠盟科技發布的《2021 上半年全球DDoS 威脅報告》顯示，DDoS 攻擊次數連續4 年呈高速增長趨勢，并在國外個別地區更為明顯，增長率高達50%。隨著云計算、5G、AI 等技術發展，100G 以上大流量攻擊呈現高發態勢，僅2021 年上半年攻擊次數達2 544 次，同比增長50%以上。

由此可見，將檢測系統作用在目標主機處，大流量攻擊必然會造成服務器宕機。為此，本文提出一種基于近攻擊源部署的應用層DDoS 攻擊檢測方法。該方法將檢測節點前向部署于近攻擊源處，通過定時和強化學習將正常流量進行信息融合至目標處，在檢測攻擊的同時攔截攻擊流量。

1 相關工作

目前國內外針對應用層DDoS 檢測的方法可以分為基于主機負載、數據流特征和基于用戶行為3種檢測方法。

1.1 主機負載

該方法通過觀察流量包對主機資源的影響確定是否屬于攻擊流量，例如內存、帶寬占用情況。景泓斐等［6］根據應用層DDoS 攻擊特點，結合包速率、URL 信息熵、URL條件熵3 種有效特征，提出一種基于誤差逆向傳播（Back Propagation，BP）神經網絡的應用層DDoS 攻擊檢測算法。然而該算法需要觀測攻擊流量對包速率等特征的影響，此時目標主機已受到攻擊。

1.2 數據流特征

該方法通過統計網絡流量包特征進行相似性檢測，從而確定應用層DDoS 攻擊類型。張斌等［7］提出一種基于偏二叉樹SVM 多分類算法的應用層DDoS 檢測方法。首先，通過Hash 函數對多周期內不同源IP 地址建立索引，實時計算流量趨勢及源IP 地址分布差異所需的特征參數。然后，采用偏二叉樹結構SVM 分類器訓練特征參數。最后，將該方法與傳統SVM、Navie Bayes 進行比較，結果表明所提方法檢測率更高，誤檢率更低，能有效區分攻擊的具體類型。然而，該方法也需要在目標主機上進行，無法從根本上避免主機遭受DDoS 攻擊。

1.3 用戶行為檢測

該方法根據正常和攻擊用戶訪問行為間的差異進行檢測。劉澤宇等［8］提出一種基于Web 訪問路徑的防御檢測模型，根據訪問路徑軌跡、攻擊行為特點和網站鏈接規則，建立請求路徑、請求分布、路徑循環、行為時隙和路徑長度5 種異常檢測模型。通過計算合法用戶訪問網站的正常值及具有攻擊行為用戶的實時異常值之間的偏離程度，判定網絡是否遭受應用層DDoS 攻擊。

然而，該模型的缺陷是需要觀察用戶行為，即在攻擊主機后才能進行檢測，因此無法避免主機遭受DDoS 攻擊。例如，馬蘭等［9］提出一種基于隱半馬爾可夫模型檢測應用層DDoS 攻擊。首先，采用改進的前向后向算法，利用HSMM 建立動態異常檢測模型追蹤正常用戶瀏覽行為。然后，學習、預測正常用戶行為得出正常檢測區間。最后，選取訪問包大小和請求時間間隔為特征進行建模，檢測異常。

綜上所述，現如今已使用流量特征分析、行為分析、負載分析等方法檢測應用層遭受的DDoS 攻擊。然而，上述方法均在被攻擊者一端進行流量檢測，即使在較短時間內對攻擊行為進行反應，也無法避免地對網絡造成一定程度的影響。

2 基于近攻擊源部署的應用層DDoS攻擊檢測方法

為了從根本上防止主機遭受DDoS 攻擊，本文提出一種基于近攻擊源部署的應用層DDoS 攻擊檢測方法。在近攻擊源處部署檢測節點，將流量檢測工作提前在目標主機之前，避免主機受到攻擊流量干擾。同時，提出兩種信息融合機制實現檢測節點與目標主機的信息通信，使正常流量匯聚于目標主機，攔截攻擊流量。此外，通過節點、系統兩種評估指標驗證系統有效性。

2.1 模型框架

基于近攻擊源部署原則是將檢測節點盡可能部署在攻擊源的位置，每個檢測節點負責檢測最近網段攻擊任務，如果檢測到攻擊流量或判定此流量超過閾值，則將其劃分為攻擊流量進行過濾。同時，通過信息融合技術將正常流量引流至目標主機處。具體操作流程如圖1所示。

Fig.1 Detection model based on near attack source deployment圖1 基于近攻擊源部署的檢測模型

由圖1 可見，近攻擊源并非指部署于黑客所操控的攻擊主機，而是部署于網絡入口處的核心骨干網絡，相較于基于目標主機檢測而言，檢測節點在實際網絡中以DDoS清洗節點方式獨立存在，并由網絡設備保證相應流量的路由牽引和回送。

通過該方式，可保證檢測節點只接收網段流量，不會影響正常業務系統開銷，但由于檢測節點部署在網絡各處，DDoS 攻擊又具有很強的分布性，在實際部署中每個檢測節點遇到的攻擊流量占比較少，因此會導致檢測節點模型訓練不足，使部分攻擊流量到達目標主機。為了解決以上問題，本文提出融合定時信息融合機制與強化學習信息機制對模型進行改進。

2.2 定時信息融合機制

定時融合機制在每個檢測節點中部署一個定時器，當達到時間閾值時，向目標主機傳遞檢測節點流量包。檢測系統通過融合節點與主機間的信息，利用目標主機進行二次檢測以提高檢測準確率，但會增加系統性能開銷，造成傳遞信息時間增長。

由于用戶只關注系統開銷時間，因此會降低模型評估性能。為減少系統開銷，本文流量包只包含經過檢測節點降維處理后的目標IP。定時融合機制下的檢測節點結構如圖2所示。

Fig.2 Detection node structure under timing information fusion圖2 定時信息融合下的檢測節點結構

由圖2 可見，基于定時融合檢測節點具有以下優點：①檢測節點發現攻擊時，直接丟棄攻擊流量，從攻擊源處阻斷流量到達目標主機，減少網絡通信和帶寬成本；②通過數據預處理和特征降維后的數據作為信息融合載體，減少傳送信息量，降低通訊代價；③定時進行信息融合，保證檢測節點中漏報的攻擊流量在匯聚時均能被目標主機處的檢測模型識別。

基于定時融合檢測方法的具體工作流程如下：

步驟1：流量備份處理。

步驟2：檢測節點模型訓練。

步驟3：若目標IP 不為目標主機IP 的流量，系統將直接放行；否則進行數據預處理、特征降維，將處理后的數據輸入檢測模塊進行分類。

步驟4：直接丟棄攻擊流量，并進行信息記錄；正常流量包則存儲于信息融合模塊。

步驟5：定時器達到時間閾值，將此時間段中流量包發送至目標主機進行信息融合。

2.3 強化學習信息融合機制

強化學習信息融合機制提供反饋方法使各檢測節點間在處理流量包時，自行決定是否需要進行信息融合。為了使檢測節點擁有自主信息融合機制，在模塊中加入基于支持向量機置信度的強化學習算法（Hingle Loss Function Reinforcement Learning Algorithm For Support Vector Machines，SVMHLEL）進行實現［10-11］。

基于強化學習信息融合機制具體步驟為：

步驟1：流量備份處理，完成模型數據預處理、特征重要度評估和特征降維。

步驟2：訓練SVM 檢測模型，獲取超平面參數值w，b。

步驟3：定義SVM 置信度為P(n)(0

步驟4：定義激勵值rewardA、rewardB、rewardC。其中，rewardA

步驟5：檢測時，如果樣本為攻擊流量則將流量進行過濾、記錄。如果樣本為正常流量且置信度超出設定閾值M時，則作為正常流量放行。如果樣本為正常流量但置信度未超出設定閾值M時，將根據置信度所在節點區間進行下一步操作。

基于強化學習的檢測節點結構是在檢測模塊中，依據SVMHLEL 算法動態決定節點是否進行信息交融。相較于定時信息交融，強化學習信息交融具有更強的動態適應性和更小的通信代價。檢測節點結構如圖3所示。

Fig.3 Detection node structure under reinforcement learning information fusion圖3 強化學習信息融合下的檢測節點結構

3 實驗分析

3.1 測試環境

假設基于近攻擊源部署的應用層DDoS 檢測系統由3個檢測結點構成，通過不同檢測節點測試不同信息融合方式對系統性能的影響，各檢測結點相互獨立，通過信息融合方法將正常流量匯集至目標主機。檢測系統結構設計如圖4所示。

Fig.4 Application layer DDoS attack detection system architecture based on near attack source deployment圖4 基于近攻擊源部署的應用層DDoS攻擊檢測系統結構

4.2 數據集

CSE-CIC-IDS2018 入侵檢測數據集是通信安全機構和加拿大網絡安全研究所在2018 年整理的網絡攻擊記錄數據集，該數據集包含最新的網絡攻擊案例，滿足現實網絡攻擊的所有標準。由于本文主要研究應用層DDoS 攻擊，因此對數據集進行篩選，將符合要求的數據劃分為8類，如表1所示。

Table 1 Labels in CSE-CIC-IDS2018 data-set表1 CSE-CIC-IDS2018 data-set數據集標簽

由表1 可見，數據集數量過大將影響實驗處理效率，并且正常流量與攻擊流量數據不平衡也會影響模型檢測率。因此，本文對數據集進行篩選，降低正常流量在總流量的占比。同時，將數據集按照9∶1 劃分訓練集和測試集。

根據CSE-CIC-IDS2018 數據集攻擊IP 源的特點，將數據集根據src_ip 特征分為以下3 類：①172.*.*.*～192.*.*.*代表檢測節點A 的數據集；②18.*.*.*～51.*.*.*代表檢測節點B 的數據集；③52.*.*.*～171.*.*.*代表檢測節點C 的數據集。其中，A 為定時信息融合檢測節點，B、C 為強化學習信息融合檢測節點。各節點數據相互獨立，分別進行模型訓練和測試。目標主機處的檢測系統則通過CSE-CICIDS2018 攻擊數據集和切分后的正常流量數據集進行模型訓練，以確保模型檢測性能。

4.3 評估指標

本文分別從系統、節點維度進行分析。其中，前者包括系統檢測率、通信有效率和攔截率；后者包括節點檢測率、通信有效率和攔截率。定義系統中的指標為：

4.4 測試流程

在局域網中，通過CSE-CIC-IDS2018 數據集對3 個目標主機檢測節點和近攻擊源檢測節點進行SVM 的二分類模型訓練。由于檢測節點間訓練樣本數不同，檢測節點檢測率不同，訓練后的檢測率如圖5所示。

Fig.5 Node detection rate圖5 節點檢測率

由圖5 所示，目標主機處檢測節點檢測率較高，而3 個近攻擊源檢測節點的檢測率較差。因此，本文將檢測節點發送至主機的正常流量進行二次分類。

由于定時融合機制在達到時間閾值時，將時間段所有正常流量發送至目標主機檢測節點。為此，通過拆分測試數據集，檢測等量數據模擬定時操作，一旦檢測到攻擊流量，系統將進行記錄。在檢測完成后，將所有正常流量匯聚目標主機處進行二次檢測。本文將測試集分為5 等分，驗證結果如表2所示。

由表2 可見，通過定時機制進行信息融合的節點攔截率與檢測率一致，證明定時信息融合方式僅利用檢測節點分類結果作為信息發送并未提升攔截率。基于強化學習信息融合下的檢測節點中，檢測率仍然較差。因此，通過強化學習算法進行信息融合，對正常流量進行二次檢測，以確認是否進行通信。強化學習算法的訓練結果如圖6所示（彩圖掃OSID 可見，下同）。

Fig.6 Training results of reinforcement learning圖6 強化學習的訓練結果

Table 2 Node detection rate of timing information fusion表2 定時信息融合的節點檢測率 （%）

由圖6 可見，算法激勵值與置信度呈正相關，即樣本置信度越高，信息融合可能性越大。由此可知，可設定合適的信息融合閾值確定需要進行融合的樣本。檢測結果如表3所示。

Table 3 Node detection rate of reinforcement learning information fusion表3 強化學習信息融合的節點檢測率 （%）

由表3 可見，基于強化學習信息融合的檢測節點既提升了攔截率，又能保證較為優秀的通信有效率。在實際系統部署中，能夠降低系統通信代價。

為了比較兩種方式的性能差異，選用4 種節點組合方案進行檢測系統性能比較。其中，A 為定時信息融合機制節點，B 為強化學習信息融合機制節點，測試結果如表4所示。

Table 4 System performance comparison of different types of node表4 不同類型節點的系統性能對比 （%）

由表4 可知，系統檢測率與A 節點數目呈正相關性，而與通訊有效率和攔截呈負相關性。由于定時信息交融機制將所有漏報攻擊流量交付目標主機時進行二次檢測，雖然消耗了目標主機部分資源，但提高了系統檢測率。然而，強化學習將置信度低的樣本進行攔截，并未進行二次檢測，因此提高了系統通訊的有效率和攔截率。

如果服務器檢測時間和帶寬資源較少，而對系統檢測率要求不高的情況下，建議使用以B 節點為主的系統。反之則適用于以A 節點為主的檢測系統。最后，本文將4 種組合節點總體性能進行比較，具體結果見表5。

Table 5 Overall system performance of different types of node combination表5 不同類型節點組合的系統總體性能 （%）

綜上所述，基于強化學習的信息融合機制具有更好的系統總體性能，在系統帶寬資源緊張的情況下，仍能保證系統的檢測效率的攔截率。由于本文實驗是對實時流量進行檢測，如果將流量攔截、分類后，通過信息融合完成路由牽引，將影響正常業務的通信效率。

因此，在實際業務場景中，基于近攻擊源部署的應用層DDoS 攻擊檢測系統中的各節點均可異步進行系統檢測，檢測流量由流量備份提供，原始流量在經過清洗節點后，便能夠直接參與正常業務流程。

此外，基于離線學習的機器學習算法在訓練時需要花費較多時間，而在分類檢測時時耗較少，一旦清洗節點檢測到異常流量，便能立即通知系統進行流量過濾，極大降低了攻擊流量給目標主機帶來的危害。

4 結語

本文針對現有應用層DDoS 攻擊檢測方法在檢測時易受大流量影響的情況，提出基于近攻擊源部署的應用層DDoS 攻擊檢測方法。首先，將檢測節點前向部署于近攻擊源處，并利用兩種信息融合機制與主機進行通信，建立起能使目標主機免受大流量攻擊的檢測方法。然后，對模型進行基于近攻擊源檢測框架建立、信息融合機制、測試分析等測試。實驗表明，該系統具有良好的檢測效果和攔截率，能及時檢測并攔截攻擊流量，減少目標主機的流量負載。

然而，該系統的檢測率和攔截率還不足以滿足實際需求，下一步將持續優化方法性能，以期為解決應用層DDoS的大流量攻擊提出新的解決方法。