基于節點路徑重構和ELM的無線通信網絡DDoS攻擊源追蹤

摘" 要： 在無線通信網絡中，DDoS攻擊通常涉及大量的攻擊者和惡意節點，并以多種形式發起攻擊。攻擊流量經過中間節點和反射/放大攻擊等技術手段后變得更加復雜，追蹤其溯源路徑和確定唯一的攻擊源變得復雜。為此，文中研究基于節點路徑重構和ELM的無線通信網絡DDoS攻擊源追蹤方法。通過正則化方式優化ELM的參數，檢測獲取DDoS攻擊數據包；采用路由器標記算法標記DDoS攻擊數據包，在無線通信網絡域間重構攻擊節點路徑，獲取DDoS攻擊源位置，完成無線通信網絡DDoS攻擊源追蹤。實驗結果證明：文中方法可精準檢測獲取DDoS攻擊數據包，并完成攻擊數據包的標記，且可有效重構攻擊節點路徑，追蹤到DDoS攻擊源。

關鍵詞： 節點路徑重構； ELM； 無線通信網絡； DDoS攻擊源； 正則化； 攻擊數據包； 路由器標記； 自治系統

中圖分類號： TN92?34； TP393.08" " " " " " " " " "文獻標識碼： A" " " " " " " " " " 文章編號： 1004?373X（2024）13?0093?04

Tracking of DDoS attack source in wireless communication network

based on node path reconstruction and ELM

FANG Yuxiao， HE Keren

（Changzhou University， Changzhou 213000， China）

Abstract： In wireless communication networks， DDoS （distributed denial of service） attacks usually involve a large number of attackers and malicious nodes， and the attacks are launched in multiple forms. Attack traffic becomes more complex after passing through intermediate nodes and techniques such as reflection/amplification attacks， and tracing its trace path and determining the unique attack source become complicated. Therefore， a tracking method of DDoS attack source in wireless communication network based on node path reconstruction and ELM （extreme learning machine） is studied. By regularization， the ELM parameters are optimized to detect and obtain DDoS attack packets. The router marking algorithm is used to mark DDoS attack packets， reconstruct the attack node path in the wireless communication network domain， obtain the location of DDoS attack source， and complete the tracking of DDoS attack source in the wireless communication network. Experimental results" show that the proposed method can accurately detect and obtain DDoS attack packets， and complete the marking of attack packets. In addition， this method can effectively reconstruct the path of attack nodes and trace the DDoS attack source.

Keywords： node path reconstruction; ELM; wireless communication network; DDoS attack source; regularization; attack packet; router marking; autonomous system

0" 引" 言

無線通信網絡中存在的DDoS攻擊會嚴重影響網絡可靠性，因此迫切需要有效手段及時發現、追蹤并隔離攻擊源，確保網絡的持續穩定運行[1]。然而，攻擊流量通常會經過多個中間節點傳輸，例如路由器、交換機等，導致攻擊流量的變化和擴散，使得溯源和確定唯一的攻擊源變得復雜，通過第三方節點來增加攻擊流量，進一步混淆源頭[2?3]。因此，對于DDoS攻擊源的追蹤成為了一個亟待解決的問題。

文獻[4]通過結合深度學習模型Inception V4的特征提取能力和XGBoost回歸分類器的高效預測性能，實現對無線通信網絡中DDoS攻擊源的準確追蹤。但XGBoost的性能在很大程度上取決于參數的設置，在復雜多變的無線通信網絡內，其攻擊源追蹤精度更低。文獻[5]構建通信網絡的知識圖譜，利用層次聚類算法對知識圖譜中的節點進行聚類分析，通過計算節點間的相似度和距離，確定攻擊源的位置和路徑。但知識圖譜構建過程高度依賴網絡流量、節點信息以及安全事件等數據的準確性和完整性，導致攻擊源追蹤的準確性下降。文獻[6]利用決策樹算法對攻擊源追蹤特征進行學習和分類，構建出能夠識別DDoS攻擊流量的決策樹模型，獲取攻擊流量的傳播路徑和攻擊源。條件熵和決策樹對輸入數據的質量和完整性有較高要求，如果數據存在噪聲或篡改等問題，會干擾條件熵的計算和決策樹的構建，導致追蹤失效。文獻[7]結合非線性映射能力和深度神經網絡的特征學習能力，引入非線性項，提取網絡流量的深層特征，提高了攻擊源追蹤的準確性。由于深度神經網絡的復雜性和對特定數據的依賴性，該網絡在復雜多變無線通信網絡內的泛化能力受限，從而影響攻擊源追蹤效果。

針對以上研究方法的不足，本文提出基于節點路徑重構和ELM的無線通信網絡DDoS攻擊源追蹤方法，為無線通信網絡DDoS攻擊源追蹤提供了參考和啟示。

1" 無線通信網絡DDoS攻擊源追蹤

1.1" 基于ELM的DDoS攻擊數據包檢測

利用極限學習機（Extreme Learning Machine， ELM）檢測無線通信網絡內傳輸的數據包，得到DDoS攻擊數據包[8?9]，以緩解邊界路由器的負載[10]，節約標記時間，加快DDoS數據包標記效率。令無線通信網絡傳輸的數據包樣本是[X=x1，x2，…，xN]，數據包樣本數量是[N]；在ELM內輸入第[j]個數據包樣本，DDoS攻擊數據包檢測結果為：

[yj=j=1Mi=1Nrjφwj?xi+bj] （1）

式中：[M]是隱層神經元數量；[rj]是隱層輸出權值；[wj]是輸入神經元權值；[φ?]是激活函數；[bj]是偏置。

令ELM的DDoS攻擊數據包檢測結果的期望輸出是[yj]，為得到最優的ELM參數，需要令[yj]無限接近[yj]。為此，以訓練誤差為目標函數，求解存在[rj]、[wj]、[bj]令訓練誤差目標函數[ωj]為：

[ωj=1Nj=1Nyj-yj2] （2）

由于無線通信網絡傳輸的數據包存在噪聲與離群點等問題，導致利用上述方式優化ELM參數時會存在過擬合問題[11]。為解決該問題，引入正則化理論，訓練ELM，獲取最佳的ELM參數，提升ELM的抗干擾性能。因此，依據ELM參數優化問題，構造拉格朗日方程為：

[Lr，e，α=0.5CAe22+R22-αGR-Y-e] （3）

式中：[e]是訓練誤差；[α]是拉格朗日乘子；[C]是正則化懲罰系數；[A]是單位對角矩陣；[G]為隱層輸出矩陣。

求解式（3）獲取最終的DDoS攻擊數據包檢測結果[Y]：

[Y=R*=GTAGGTAG+IC] （4）

式中：[I]是單位矩陣；[T]是轉置符號。

1.2" 無線通信網絡DDoS攻擊數據包標記

在無線通信網絡DDoS攻擊路徑長度接近閾值前，檢測獲取的DDoS攻擊數據包完成完整標記邊信息后，便不會繼續由其余路由器進行標記[12]，同時確保被攻擊目標接收的各路由器標記DDoS攻擊數據包的概率完全一致。令無線通信網絡DDoS攻擊數據包的攻擊路徑是[Z，U1yi，U2yi，…，Uηyi，V]，發起DDoS攻擊的不法分子是[Z]；被攻擊目標是[V]；檢測獲取的DDoS攻擊數據包[yi]經由的全部路由器是[U1yi，U2yi，…，Uηyi]。令[Ulyi]的標記概率是[sl]，被攻擊目標接收[Ulyi]標記的[yi]的概率是[ql]，最大程度縮減了重構攻擊節點路徑時使用的DDoS攻擊數據包數量[13]。令[Z]至[V]的距離是[d]，同時[V]接收各[Ulyi]標記[yi]的概率完全一致，均是[1d]，即[q1=q2=…=qd=1d]，[sl]與[ql]相等，則：

[s1=1-s1s2=1-s11-s2s3=…=1-s11-s2…1-sd-1sd=1d] （5）

利用路由器標記算法標記檢測獲取的DDoS數據包的具體步驟如下。

步驟1：計算DDoS數據包標記概率[sl]。在[0，1]區間內生成一個隨機數[λ]，如果[0lt;λ≤sl]，說明可以利用[Ul]標記[yi]。

步驟2：如果[Ul]決定標記[yi]，那么需要查看Flag值，如果[Flag=00]，那么說明[yi]未被標記，此時分割[yi]的IP地址，獲取四段，任意選擇一段在Edge域內標記[yi]。如果[0lt;λ≤14]，則標記[yi]的IP地址的0～7 bit信息，同時令[Offset=00]；如果[14lt;λ≤12]，則標記[yi]的IP地址的8～15 bit信息，同時令[Offset=01]；如果[12lt;λ≤34]，則標記[yi]的IP地址的16～23 bit信息，同時令[Offset=10]；如果[34lt;λ≤1]，則標記[yi]的IP地址的24～31 bit信息，同時令[Offset=11]。其中，Flag用于標記DDoS攻擊數據包的特定屬性或狀態；Offset用于標記DDoS攻擊數據在數據包中的位置。

步驟3：Edge域設置完成后，劃分[Ul]的IP地址，獲取對應的Hash值，并存至Hash域內。如果[Ul]位于邊界，那么令[Flag=10]；反之，令[Flag=01]；Edge指無線通信網絡的邊緣部分。

步驟4：如果[Flag=0]，同時[d=0]，說明[yi]被鄰近[Ul]的上游路由器標記過，無需繼續標記。

步驟5：在[λgt;sl]的情況下，如果[Flag=0]，同時[d=0]，則令[d=d+1]，轉發[yi]至[V]；反之，直接轉發[yi]至[V]，完成DDoS攻擊數據包標記。

1.3" 基于節點路徑重構的DDoS攻擊源追蹤

通過自治系統，結合DDoS攻擊數據包標記結果，在無線通信網絡域間重構攻擊節點路徑，確定發起DDoS攻擊的不法分子所在自治域，即DDoS攻擊源位置，完成無線通信網絡DDoS攻擊源追蹤。

無線通信網絡域間重構攻擊節點路徑的具體步驟如下。

步驟1：以樹的形式描繪無線通信網絡，其根節點屬于被攻擊目標所處自治域[O]。

步驟2：令標記[yi]的[Ul]所處的[O]域和[V]所處的[O]域間的路徑長度是[γ]。以[γ=0]為起點計算Edge值，依據[U1⊕U2⊕U1=U2]的性質，計算前一跳[O]域的域值。

步驟3：按照前一跳[O]域的域值構建拓撲圖，同時驗證[O]域的自治號。

步驟4：通過驗證后，在樹內添加前一跳[O]域。

步驟5：當[γ]達到閾值時，結束攻擊節點路徑重構，樹最下層的葉子節點即發起DDoS攻擊不法分子所在的[O]域，即DDoS攻擊源位置，完成無線通信網絡DDoS攻擊源追蹤。

2" 實驗分析

以某無線通信網絡為實驗對象，該無線通信網絡的拓撲結構如圖1所示。

圖1中：z1、z2、z3、z4是發起DDoS攻擊的不法分子；t1、t2、t3、t4是邊緣路由器；t5、t6、t7、t8、t9、t10是中間路由器；z0是被攻擊目標。

該無線通信網絡的相關參數如表1所示。

利用本文方法對該無線通信網絡傳輸的數據包進行DDoS攻擊數據包檢測，在該無線通信網絡傳輸的數據包內隨機選擇10個數據包，利用本文方法進行DDoS攻擊數據包檢測，檢測結果如表2所示。

分析表2可知，本文方法可有效在無線通信網絡傳輸的數據包內檢測獲取DDoS攻擊數據包，從檢測結果中得知，10個數據包內包含4個DDoS攻擊數據包與6個正常數據包，表明該方法在區分正常流量與攻擊流量方面有著良好的表現。檢測結果與實際情況完全一致，驗證了本文方法的高準確性。在實際應用中，誤報和漏報都可能影響DDoS攻擊源追蹤精度，進而對網絡安全造成嚴重影響。誤報可能導致正常流量被錯誤地阻斷，影響網絡服務的正常提供；而漏報則可能讓攻擊數據包逃脫檢測，無法追蹤到DDoS攻擊源，使其繼續對網絡造成威脅。因此，本文方法的高準確性對于提升無線通信網絡DDoS攻擊源追蹤具有重要意義。

利用本文方法對檢測獲取的DDoS攻擊數據包進行標記，DDoS攻擊數據包標記結果如表3所示。

分析表3可知，本文方法可有效標記檢測獲取的DDoS攻擊數據包，為后續DDoS攻擊源追蹤提供有利的支持。

設置該無線通信網絡在傳輸數據包時部分DDoS攻擊數據包存在信息篡改問題，利用本文方法在DDoS攻擊數據包存在信息篡改問題時重構攻擊節點路徑，確定DDoS攻擊源位置，完成DDoS攻擊源追蹤，攻擊節點追蹤結果如圖2所示。

從圖2中可以清晰地看到，即使部分DDoS攻擊數據包存在信息篡改問題時，本文方法依舊能夠成功重構4條攻擊節點路徑。這些路徑不僅準確地展示了DDoS攻擊數據包在無線通信網絡中的傳播軌跡，還提供了攻擊者的位置信息。通過重構的攻擊節點路徑可以確定4個DDoS攻擊者的位置，分別是z1、z2、z3、z4，完成DDoS攻擊源追蹤，追蹤結果與實際情況相符，這種精確追蹤能力不僅有助于快速采取行動，防止攻擊進一步擴散，還能為后續的追責和處罰提供有力的證據。實驗證明本文方法的DDoS攻擊源追蹤精度較高。

3" 結" 語

本文研究了基于節點路徑重構和ELM的無線通信網絡DDoS攻擊源追蹤方法，通過深入分析無線通信網絡數據包，結合節點路徑重構和ELM的強大學習能力，實現對DDoS攻擊源的準確追蹤。該方法不僅提高了攻擊源追蹤的效率和準確性，也為無線通信網絡的安全防護提供了新的技術手段。

參考文獻

[1] 林兆亮，李晉國，黃潤渴.V2G網絡中基于聯邦學習和CNN?BiLSTM的DDoS攻擊檢測[J].計算機應用研究，2023，40（1）：272?277.

[2] 周奕濤，張斌，劉自豪.基于多模態深度神經網絡的應用層DDoS攻擊檢測模型[J].電子學報，2022，50（2）：508?512.

[3] 孫濤，蔡江濤，郭政杰，等.SDN環境下基于動態閾值的DDoS攻擊檢測方法研究[J].內蒙古大學學報（自然科學版），2022，53（1）：98?104.

[4] RAGHUNATH K M K， VENKATESAN V K， VENKATESAN M， et al. XGBoost regression classifier （XRC） model for cyber attack detection and classification using inception V4. [J]. Journal of web engineering， 2022， 21（4）： 1295?1322.

[5] 陳志華，黃志宏.基于知識圖譜的激光通信網絡入侵攻擊源定位方法[J].應用激光，2022，42（7）：118?124.

[6] 傅友，鄒東升.SDN中基于條件熵和決策樹的DDoS攻擊檢測方法[J].重慶大學學報，2023，46（7）：1?8.

[7] RAVEENDRANADH B， TAMILSELVAN S. An accurate attack detection framework based on exponential polynomial kernel?centered deep neural networks in the wireless sensor network [J]. Transactions on emerging telecommunications technologies， 2023， 34（3）： e4726.

[8] 高文龍，周天陽，朱俊虎，等.基于雙向蟻群算法的網絡攻擊路徑發現方法[J].計算機科學，2022，49（z1）：516?522.

[9] 王飛雪，戴蓉.基于投票ELM和黑洞優化的云計算DDoS攻擊檢測[J].西南大學學報（自然科學版），2022，44（8）：205?215.

[10] 徐彬，黃春麟，吳迪，等.面向分布式網絡入侵檢測的實驗測試仿真[J].計算機仿真，2023，40（8）：413?416.

[11] 劉向舉，尚林松，方賢進，等.基于可編程協議無關報文處理的分布式拒絕服務攻擊檢測[J].計算機應用研究，2022，39（7）：2149?2155.

[12] 謝汶錦，張智斌，張三妞.基于軟件定義網絡的DDoS攻擊檢測方案[J].重慶郵電大學學報（自然科學版），2022，34（6）：1032?1039.

[13] 劉振鵬，王仕磊，郭超，等.軟件定義網絡中基于深度神經網絡的DDoS攻擊檢測[J].云南大學學報（自然科學版），2022，44（4）：729?735.