基于隨機森林的無線通信網(wǎng)絡HTTP洪泛攻擊檢測方法

摘要：HTTP洪泛攻擊的作用位置以及方式具有不唯一性，導致對其檢測的可靠性較低，檢測結果并不理想。為解決這一問題，文章提出基于隨機森林的無線通信網(wǎng)絡HTTP洪泛攻擊檢測方法。該方法使用梯度提升決策樹提取無線通信網(wǎng)絡中HTTP洪泛攻擊的特征，通過特征匹配機制識別滿足單一攻擊特征的數(shù)據(jù)并輸出，完成無線通信網(wǎng)絡HTTP洪泛攻擊檢測。實驗結果表明，應用文章方法得到檢測結果的F1值始終穩(wěn)定在0.96以上，應用效果較好。

關鍵詞：隨機森林；無線通信網(wǎng)絡；HTTP洪泛攻擊；梯度提升決策樹

中圖分類號：TP393 文獻標志碼：A

0 引言

超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）洪泛攻擊是一種針對萬維網(wǎng)（World Wide Web，Web）服務器或應用程序的攻擊方式［1］。當HTTP洪泛攻擊的量級達到一定程度時，可能導致整個請求接入層網(wǎng)絡的癱瘓［2］。近年來，眾多學者針對該領域開展研究，如魯頂芝［3］提出了一種以信息熵與機器學習為基礎的攻擊檢測模型，該模型的計算復雜度較高，可能會存在一定延遲，應用效果不佳；再如方正剛［4］提出了一種以通道融合Res-CNN-LSTM為基礎的虛假數(shù)據(jù)注入攻擊檢測方法，其同樣存在計算復雜度較高、實時性難以滿足要求的問題。在該背景下，針對上述方法存在的不足，本文提出基于隨機森林的無線通信網(wǎng)絡HTTP洪泛攻擊檢測方法。

1 無線通信網(wǎng)絡HTTP洪泛攻擊檢測方法設計

1.1 基于隨機森林無線通信網(wǎng)絡HTTP洪泛攻擊特征提取

為實現(xiàn)對無線通信網(wǎng)絡HTTP洪泛攻擊的有效檢測［5］，本文采用隨機森林算法中的梯度提升決策樹（Gradient Boosting Decision Trees，GBDT）提取無線通信網(wǎng)絡HTTP洪泛攻擊特征。特征提取的基礎數(shù)據(jù)構成可表示為：

X={xt，xi，xu，xq，xz，xc}（1）

其中，X表示特征提取的基礎數(shù)據(jù)構成；xt表示HTTP洪泛攻擊下無線通信網(wǎng)絡數(shù)據(jù)的時間戳；xi表示HTTP洪泛攻擊下無線通信網(wǎng)絡數(shù)據(jù)中的源互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）地址；xu表示HTTP洪泛攻擊下無線通信網(wǎng)絡數(shù)據(jù)中的目標統(tǒng)一資源定位符（Universal Resource Locator，URL）；xq表示HTTP洪泛攻擊下無線通信網(wǎng)絡的數(shù)據(jù)請求方法；xz表示HTTP洪泛攻擊下無線通信網(wǎng)絡的數(shù)據(jù)請求大小；xc表示HTTP洪泛攻擊下無線通信網(wǎng)絡數(shù)據(jù)的響應狀態(tài)碼。在上述基礎上，分別以請求頻率、請求大小分布、特定URL請求頻率、用戶代理（User-Agent，UA）的異常性以及響應狀態(tài)碼的分布為目標特征，利用梯度提升決策樹進行特征提取，其流程如圖1所示。

如圖1所示，本次設置大小固定的滑動窗口，并且在初始化階段，為每個進行特征提取的基礎無線通信網(wǎng)絡HTTP洪泛攻擊數(shù)據(jù)分配一個量化參數(shù)。在迭代過程中，使用當前特征提取樣本的量化值訓練一個決策樹，將其作為弱學習器，計算其在訓練集上的誤差。將當前弱學習器的輸出結果與其余輸出結果相結合，得到包含多個特征參量的聯(lián)合特征值。

1.2 HTTP洪泛攻擊檢測

結合1.1部分提取到的無線通信網(wǎng)絡HTTP洪泛攻擊特征，本文引入了特征匹配機制開展HTTP洪泛攻擊檢測，對于目標HTTP洪泛攻擊的特征匹配方式可表示為：

其中，S（r）表示目標HTTP洪泛攻擊的特征匹配結果；r表示待檢測目標HTTP洪泛攻擊數(shù)據(jù)；k表示大量偽造源IP地址惡意流量發(fā)送至目標主機的信息熵參數(shù)；p（sip）表示量化后的HTTP洪泛攻擊特征參量。綜上實現(xiàn)無線通信網(wǎng)絡HTTP洪泛攻擊檢測設計。

2 測試分析

2.1 測試準備

為驗證所提方法的先進性，先搭建實驗平臺。本文以ndnsim仿真平臺為基礎開展測試，先構建一個無線通信信息網(wǎng)絡模型，將其作為具體測試環(huán)境。該無線通信信息網(wǎng)絡模型配置情況如表1所示。

在自由空間下，對路徑損耗進行設置，其可表示為：

Fsp=20×lg d+20×lg f+20×lg（4×π/c）（3）

其中，F(xiàn)sp表示自由空間下的路徑損耗參數(shù)；d表示路徑傳輸距離；f表示路徑傳輸頻率；c表示光速，具體按照3×108 m/s計算。以此為基礎開展后續(xù)測試。

2.2 測試方案

本次分別設置魯頂芝［3］提出的以信息熵與機器學習為基礎的攻擊檢測模型以及方正剛［4］提出的以通道融合Res-CNN-LSTM為基礎的虛假數(shù)據(jù)注入攻擊檢測方法作為測試對照組。通過搭建的平臺，模擬興趣包洪泛攻擊（Interest Flooding Attack，IFA）狀態(tài)，以收集訓練集和測試集。

具體的執(zhí)行方式如下：

（1）在ndnsim仿真平臺上配置網(wǎng)絡拓撲結構中，差異化設置正常節(jié)點和潛在的攻擊節(jié)點。

（2）在沒有IFA攻擊的情況下運行網(wǎng)絡，發(fā)送正常的興趣包（Interest Packets）。

（3）在網(wǎng)絡中引入IFA攻擊節(jié)點，利用這些節(jié)點發(fā)送大量的、不存在的內容名稱興趣包。

（4）按照1∶1的比例收集正負樣本，其均為10000條。

（5）采集額外的2000條正負樣本作為測試集，同時分別采用3種方法進行檢測。

2.3 測試結果與分析

在對不同模型與方法的檢測效果進行分析時，本文將F1值作為具體的評價指標，得到的測試結果如圖2所示。

如圖2所示，應用魯頂芝［3］提出的以信息熵與機器學習為基礎的攻擊檢測模型，隨著洪泛攻擊數(shù)據(jù)發(fā)送頻率的增加，F(xiàn)1值呈現(xiàn)明顯的下降趨勢，當洪泛攻擊數(shù)據(jù)的發(fā)送頻率由10.0 Hz增加至50.0 Hz時，F(xiàn)1值由0.9633降低至0.8706，降幅達到了0.0927；應用方正剛［4］提出的以通道融合Res-CNN-LSTM為基礎的虛假數(shù)據(jù)注入攻擊檢測方法，受洪泛攻擊數(shù)據(jù)發(fā)送頻率增加的影響較小，整體F1值在0.90～0.95范圍內；應用本文設計檢測方法，洪泛攻擊數(shù)據(jù)發(fā)送頻率并未對檢測結果的F1值造成明顯影響，其F1值始終穩(wěn)定在0.96以上，與對照組相比，應用效果較好。

3 結語

HTTP洪泛攻擊是一種具有嚴重危害的攻擊方式。為提升HTTP洪泛攻擊檢測效果，本文提出了一種基于隨機森林的無線通信網(wǎng)絡HTTP洪泛攻擊檢測方法。該方法切實實現(xiàn)了對HTTP洪泛攻擊的有效檢測，可為提高無線通信網(wǎng)絡的安全性和可靠性提供技術參考。

參考文獻

［1］李穎之，李曼，董平，等.基于集成學習的多類型應用層DDoS攻擊檢測方法［J］.計算機應用，2022（12）：3775-3784.

［2］常顥，徐俊俊，王曉兵，等.基于對抗性自動編碼器的城市配電網(wǎng)虛假數(shù)據(jù)注入攻擊檢測［J］.山東電力技術，2024（3）：18-26.

［3］魯頂芝.SDN中基于信息熵與機器學習的DDoS攻擊檢測模型構建［J］.無線互聯(lián)科技，2024（6）：23-25.

［4］方正剛.基于通道融合的Res-CNN-LSTM電網(wǎng)虛假數(shù)據(jù)注入攻擊檢測［J］.電氣技術，2024（3）：11-17，62.

［5］徐姝琪.基于隱馬爾科夫的受攻擊光纖網(wǎng)絡活躍節(jié)點檢測方法［J］.長江信息通信，2024（3）：174-176.

HTTP flood attack detection method based on random forest

Abstract： Due to the unique position and mode of HTTP flooding attack， the reliability of its detection is low， and the detection results are not ideal. To solve this problem， the HTTP flood attack detection method based on random forest is proposed. This method uses the gradient promotion decision tree to extract the features of HTTP flooding attack in the wireless communication network， identifies and outputs the data that satisfy the single attack feature through the feature matching mechanism to complete the HTTP flooding attack detection in the wireless communication network. The experimental results show that the F1 value of the test results is always stable above 0.96， and the application effect is good.

Key words： random forest; wireless communication network; HTTP flood attack; gradient promotion decision tree