李夢(mèng)洋，唐湘滟，程杰仁，劉譯夫

(1.海南大學(xué) 海南省Internet信息檢索重點(diǎn)實(shí)驗(yàn)室 海南 ?？?570228；2.海南大學(xué) 信息科學(xué)技術(shù)學(xué)院 海南 ?？?570228；3.海南大學(xué) 南海海洋資源利用國(guó)家重點(diǎn)實(shí)驗(yàn)室 海南 ?？?570228)

0 引言

近年來分布式拒絕服務(wù)(distributed denial of service，DDoS)攻擊方式層出不窮，其頻率、規(guī)模、危害等快速增長(zhǎng)[1]．大多數(shù)DDoS攻擊檢測(cè)方法趨向于混合檢測(cè)方法[2]，而且結(jié)合機(jī)器學(xué)習(xí)模型來提高正確率，包括時(shí)間序列模型[3]、支持向量機(jī)[4]、遺傳算法[5]、神經(jīng)網(wǎng)絡(luò)[6]等．尤其針對(duì)大數(shù)據(jù)環(huán)境下的DDoS檢測(cè)方法的研究[7-8]也逐漸增多，但是在大數(shù)據(jù)環(huán)境下正常數(shù)據(jù)的高流量、多樣性和突發(fā)性增加了攻擊識(shí)別的難度，使得 DDoS攻擊檢測(cè)方法仍存在較高的誤報(bào)率、漏報(bào)率，亟待提出有效的檢測(cè)方法．針對(duì)該問題，本文提出一種基于網(wǎng)絡(luò)流組合相關(guān)度與決策樹參數(shù)優(yōu)化算法的隨機(jī)森林(random forest,RF) DDoS攻擊檢測(cè)方法．

1 DDoS攻擊流特征提取

由于DDoS攻擊通常采用多對(duì)一的攻擊模式，網(wǎng)絡(luò)流的源地址與目的地址、源地址與目的端口、目的端口與目的地址均呈現(xiàn)出多對(duì)一的關(guān)系，致使攻擊呈現(xiàn)出流非對(duì)稱性的特點(diǎn)[9]．在直接或反射DDoS攻擊中，攻擊流會(huì)造成網(wǎng)絡(luò)服務(wù)不正?；虬c瘓，使得攻擊目標(biāo)不能正常回復(fù)網(wǎng)絡(luò)服務(wù)請(qǐng)求而產(chǎn)生大量只有源地址到目的地址的單向網(wǎng)絡(luò)流，致使攻擊呈現(xiàn)出流半交互性[10]．因此本文基于流非對(duì)稱性和半交互性提取特征．

假設(shè)某單位時(shí)間T內(nèi)網(wǎng)絡(luò)流F為〈(t1,s1,d1,dp1),…,(tn,sn,dn,dpn)〉，其中i=1,2，…,n.ti、si、di、dpi分別表示第i個(gè)數(shù)據(jù)包的時(shí)間、源IP地址、目的IP地址、目的端口號(hào)．對(duì)這n個(gè)數(shù)據(jù)包執(zhí)行下面的規(guī)則.

1) 記源IP地址為Am、目的IP地址為An的所有數(shù)據(jù)包形成的類為StDIP(Am,An)．對(duì)上面形成的這些類，若有不同的目的IP地址An和Ak使得類StDIP(Am,An)和StDIP(Am,Ak)均非空，則刪除所有源IP地址為Am的數(shù)據(jù)包所在的類．假設(shè)最后剩下的類為RStD1,RStD2,…,RStDm，定義網(wǎng)絡(luò)流F的地址相關(guān)統(tǒng)計(jì) (address correlation statistics,ACS)特征為：

(1)

其中:W(RStDi)=αPort(RStDi)+(1-α)Packet(RStDi),0<α<1.Port(RStDi)是類RStDi中不同端口號(hào)的個(gè)數(shù),Packet(RStDi)是類RStDi中數(shù)據(jù)包的個(gè)數(shù)，α是加權(quán)值，一般情況下α=0.5．

2) 記源IP地址為Am的所有數(shù)據(jù)包形成的類為SoIPC(Am)，目的IP地址為An的所有數(shù)據(jù)包形成的類為DeIPC(An)．若類SoIPC(Am)的源IP地址Am使得類DeIPC(Am)為空，則稱SoIPC(Am)中所有的數(shù)據(jù)包為一個(gè)源半交互流(source half interaction flow,SHI)，記為SHI(Am)，表示SHI流有源半交互性，SHI(Am)中不同端口號(hào)的數(shù)量記為Port(SHI(Am))．由此，對(duì)SoIPC類分類，得到所有源半交互流SHI，表示為SHI1,SHI2,…,SHIs．

對(duì)s個(gè)SHI流分類，將目的IP地址相同的SHI流分在同一類別中，記具有不同源IP地址和相同目的IP地址Am的SHI流數(shù)量為Msdnm，具有相同目的IP地址Am的SHI流所在類表示為SDHI(Msdnm,Am)，且m=1,2,…,l．假設(shè)所有的Msdnm≥M(M≥2，為保證攻擊檢測(cè)較大的覆蓋面，本文令M=2)的SDHI類為SDHI1,SDHI2,…,SDHIk，類SDHIi中不同目的端口號(hào)的數(shù)量表示為Port(SDHIi)，i=1,2,…,k．據(jù)此，定義網(wǎng)絡(luò)流F中單向流半交互度(unidirectional flow semi interaction，UFSI)定義為：

(2)

3) 結(jié)合1)和2)中的兩部分特征提取規(guī)則，在采樣時(shí)間Δt內(nèi)，分別計(jì)算和提取ACS和UFSI兩種特征來構(gòu)造二元特征，形成網(wǎng)絡(luò)流組合相關(guān)度(combination correlation degree，CCD):

CCDF=(w1ACSF,w2UFSIF)，

(3)

其中:w1、w2均表示權(quán)重，表示CCD特征中ACS和UFSI所占的比例．

大數(shù)據(jù)環(huán)境下的正常網(wǎng)絡(luò)流與DDoS攻擊流都具有高容量、多樣性和突發(fā)性的特性，但是CCD特征序列仍然能較好地反映正常流與攻擊流的本質(zhì)區(qū)別.首先，該特征中的兩部分統(tǒng)計(jì)特征均以DDoS攻擊的流非對(duì)稱性為基礎(chǔ)提出的，攻擊情況下CCD特征值比正常情況下的值顯著增大且持續(xù)時(shí)間較長(zhǎng)；其次，ACS特征提取的是“多對(duì)一”與“一對(duì)一”會(huì)話模式的網(wǎng)絡(luò)流的源IP地址與端口的加權(quán)統(tǒng)計(jì)特征，排除了“一對(duì)多”網(wǎng)絡(luò)流的干擾，更能較好地反映網(wǎng)絡(luò)中攻擊流與正常流之間的相關(guān)性變化，而UFSI特征提取的是網(wǎng)絡(luò)流中“多對(duì)一”會(huì)話模式的單向流的統(tǒng)計(jì)信息，更能準(zhǔn)確地刻畫網(wǎng)絡(luò)受到DDoS攻擊時(shí)單向流急劇增加的情況．這兩方面結(jié)合能夠準(zhǔn)確描述攻擊流在受害端匯聚和直接影響正常流的狀態(tài)變化，以及匯聚的攻擊流混雜在正常流中引起的CCD特征序列異常的現(xiàn)象，從而能及時(shí)、準(zhǔn)確地提取攻擊前后網(wǎng)絡(luò)的相關(guān)狀態(tài)特征，較好地區(qū)分攻擊前后的網(wǎng)絡(luò)異?，F(xiàn)象．

2 基于CCD的隨機(jī)森林的DDoS攻擊檢測(cè)方法

2.1 CCD特征序列提取

對(duì)數(shù)據(jù)集以采樣時(shí)間Δt進(jìn)行流量采樣，分別計(jì)算各采樣時(shí)間中ACS和UFSI的值，并整合為二元組合，N次采樣后，獲得CCD時(shí)間序列樣本M，M(N,Δt)={CCDi，i=1,2,…,N}，N為序列長(zhǎng)度．按照采樣時(shí)間順序提取CCD特征序列，Δt作為一個(gè)時(shí)間單位，則該序列為隨時(shí)間Δt累加，且長(zhǎng)度為N的時(shí)間特征序列．

2.2 隨機(jī)森林模型

隨機(jī)森林作為一種集成學(xué)習(xí)分類方法，具有準(zhǔn)確率較高、能有效防止過擬合、訓(xùn)練速度快、可對(duì)變量重要性排序、容易實(shí)現(xiàn)并行化等優(yōu)點(diǎn)．假設(shè)隨機(jī)森林分類器為R(x),第i棵決策樹記為ti(x),R(x)={ti(x),i∈[0,n_estimators]},其中：n_estimators表示隨機(jī)森林中決策樹的棵數(shù)；x為輸入的待分類的訓(xùn)練樣本；sign(x)∈S為x的標(biāo)記值；S為標(biāo)記類別的集合；ti(x)的輸出為S中的某個(gè)值，作為單棵決策樹對(duì)于樣本x的估計(jì)值；R(x)的輸出為{ti(x),i∈[0,n_estimators]}估計(jì)值中的眾數(shù)．在使用隨機(jī)森林進(jìn)行攻擊檢測(cè)時(shí)，x為CCD特征訓(xùn)練集利用重采樣技術(shù)隨機(jī)生成的新訓(xùn)練數(shù)據(jù)集中的值；在DDoS攻擊檢測(cè)中只有異常與正常兩種標(biāo)記，即S={-1，1}，且sign(x)只取-1來代表攻擊樣本標(biāo)記和1來代表正常樣本標(biāo)記．本文選取Gini系數(shù)作為單棵決策樹分裂的量化評(píng)價(jià)指標(biāo)．該系數(shù)既能反映所有類別樣本的比例關(guān)系以及不同類別樣本的比例變化，還能使各種樣本計(jì)算的系數(shù)值均在(0,1)之間，以便處理分析．

2.3 基于遺傳算法的隨機(jī)森林參數(shù)優(yōu)化

遺傳算法(genetic algorithm，GA)可對(duì)任意形式的約束和目標(biāo)函數(shù)在全局意義上搜索問題最優(yōu)解，具有潛在并行性、過程簡(jiǎn)單和快速隨機(jī)搜索等優(yōu)點(diǎn)． 綜合考慮隨機(jī)森林本身性能、特征樣本數(shù)量等，本文設(shè)初始種群M為30，進(jìn)化代數(shù)G為50，隨機(jī)森林子樹的棵數(shù)n_estimators的整數(shù)范圍(2，30)，子決策樹最大深度max_depth整數(shù)范圍(2，10)，變異率Pc、交叉率Pm分別為默認(rèn)值．選擇訓(xùn)練樣本K次交叉驗(yàn)證中Roc曲線下的面積(area under curve，AUC)的平均值作為判定種群中個(gè)體優(yōu)劣度的適應(yīng)度函數(shù)值，其表達(dá)式由公式(4)所示．該值越大，越接近1，越有利于個(gè)體的遺傳進(jìn)化．

(4)

隨機(jī)森林中子樹的數(shù)目和子樹的最大深度均會(huì)對(duì)隨機(jī)森林的訓(xùn)練結(jié)果有關(guān)鍵的影響：過少會(huì)導(dǎo)致訓(xùn)練不足而不能產(chǎn)生較好結(jié)果；過多會(huì)導(dǎo)致構(gòu)建RF的時(shí)間長(zhǎng)、規(guī)模復(fù)雜等問題．因此，選定子樹的最大棵數(shù)n_estimators和子樹的最大深度max_depth作為待優(yōu)化參數(shù)．基于遺傳算法的隨機(jī)森林參數(shù)優(yōu)化算法見算法1．

算法1基于遺傳算法的隨機(jī)森林參數(shù)優(yōu)化算法．

輸入：CCD特征訓(xùn)練集，初始化Pm，Pc，M，G等參數(shù)，待優(yōu)化參數(shù)n_estimators，max_depth的范圍；

輸出：最優(yōu)參數(shù)組合(n_estimators,max_depth)．

1.利用初始化Pm，Pc，M，G等參數(shù)，隨機(jī)產(chǎn)生第一代種群Pop；

2.While 繁殖代數(shù)小于Gdo

3. 在指定待優(yōu)化參數(shù)范圍內(nèi)隨機(jī)選取參數(shù)組合(n_estimators,max_depth)；

4. 基于CCD特征訓(xùn)練集訓(xùn)練指定參數(shù)組合的隨機(jī)森林；

5. 根據(jù)公式(4)計(jì)算種群Pop中每一個(gè)體的適應(yīng)度Fitness；

6. 初始化空種群newPop；

7. WhileM個(gè)子代被創(chuàng)建 do

8. 根據(jù)適應(yīng)度以輪盤選擇算法從種群Pop中選出2個(gè)個(gè)體；

9. If random (0,1)

10. 對(duì)2個(gè)個(gè)體按交叉概率Pc執(zhí)行交叉操作；

11. If random (0,1)

12. 對(duì)2個(gè)個(gè)體按變異概率Pm執(zhí)行變異操作；

13. End while

14. 將M個(gè)子代加入種群newPop中；

15. 用newPop取代Pop；

16.End while

17.選出最終代Pop中適應(yīng)度值最優(yōu)的個(gè)體，提取其中最優(yōu)參數(shù)組合；

18.return參數(shù)組合(n_estimators,max_depth)．

2.4 基于CCD的隨機(jī)森林DDoS攻擊檢測(cè)

根據(jù)前文描述，本文基于CCD特征序列優(yōu)化了參數(shù)，訓(xùn)練了RF分類器，得到了基于CCD的遺傳算法優(yōu)化的隨機(jī)森林(genetic algorithm-optimized random forest,GAORF)的DDoS攻擊檢測(cè)模型．

圖1 基于CCD的GAORF-DDoS攻擊檢測(cè)方法的流程Fig.1 Process of GAORF-DDoS attack-detection method based on CCD

基于CCD的隨機(jī)森林DDoS攻擊檢測(cè)方法識(shí)別DDoS攻擊流程如圖1所示．該模型為只需判定攻擊與否二分類問題，假設(shè)正常情況下設(shè)置檢測(cè)模型輸出標(biāo)記為1，而在受到攻擊情況下CCD特征值會(huì)不同程度地變化，則模型輸出值不同于正常情況，設(shè)置檢測(cè)模型輸出標(biāo)記為-1．判斷待測(cè)網(wǎng)絡(luò)流是否異常需將待測(cè)網(wǎng)絡(luò)流CCD特征序列輸入攻擊檢測(cè)模型，若所輸出的標(biāo)記值為-1則為攻擊．

本文前面已分析得出CCD特征序列能較好地反映大數(shù)據(jù)環(huán)境下正常流與DDoS攻擊流的不同狀態(tài)特征．RF集成了多棵決策樹，并使用bootstrap方法縮小單棵決策樹訓(xùn)練樣本集的大小，使用投票機(jī)制選取更加合理的分類結(jié)果，而且本文提出的基于遺傳算法的RF參數(shù)優(yōu)化算法有效地提高了RF的分類能力．因此本文提出基于CCD的GAORF的 DDoS攻擊檢測(cè)方法，可以快速有效地識(shí)別大數(shù)據(jù)環(huán)境下的DDoS攻擊．

3 實(shí)驗(yàn)結(jié)果與分析

本文實(shí)驗(yàn)使用CAIDA “DDoS attack 2007”數(shù)據(jù)集[11]，檢測(cè)性能評(píng)判指標(biāo)包括準(zhǔn)確率(accuracy)、漏報(bào)率(missing report rate,MR)、誤報(bào)率(false alarm rate,FR)．設(shè)采樣間隔Δt=0.1 s，ACS的權(quán)重w1=0.1，UFSI的權(quán)重w2=0.6，其中w1(0

3.1 攻擊特征比較分析

本文分別對(duì)ACS、UFSI和CCD特征進(jìn)行了多組實(shí)驗(yàn)對(duì)比分析：假定攻擊流不變，每組實(shí)驗(yàn)依次將正常流縮小至原值的1/10，以模擬攻擊流發(fā)生作用引起正常流不斷減少的情況；假定正常流不變，每組實(shí)驗(yàn)依次將攻擊流縮小至原值的1/10，以模擬攻擊流模仿正常流狀態(tài)變化減少攻擊流來逃避檢測(cè)的情況．從相同訓(xùn)練集中分別提取ACS、UFSI和CCD特征等3種特征，并分別基于3種特征訓(xùn)練RF模型生成3種分類器，再利用相同測(cè)試集對(duì)3種分類器進(jìn)行測(cè)試，以比較3種特征對(duì)正常流和攻擊流的區(qū)分能力，測(cè)試結(jié)果如圖2和圖3所示．其中CCD_MR、ACS_MR、UFSI_MR分別為基于CCD特征、基于ACS特征、基于UFSI特征的檢測(cè)方法的漏報(bào)率；CCD_FR、ACS_FR、UFSI_FR分別為基于CCD特征、基于ACS特征、基于UFSI特征的檢測(cè)方法的誤報(bào)率．如圖2所示，隨著正常流減少，3種特征均能較好地識(shí)別攻擊，其中CCD特征表現(xiàn)最好．從漏報(bào)率來看，隨著正常樣本減小，CCD_MR下降至15%，較ACS_MR和UFSI_MR低2%左右，且有明顯下降趨勢(shì)．對(duì)誤報(bào)率而言，隨著正常樣本減少，3種檢測(cè)方法的誤報(bào)率(ACS_FR、UFSI_FR、CCD_FR)雖有微弱上升，但均保持在2%左右．圖3中，隨著攻擊流減少，分別基于3種特征的檢測(cè)方法的誤報(bào)率和漏報(bào)率都沒有大幅度改變，其中CCD特征表現(xiàn)也最好．由于ACS特征統(tǒng)計(jì)“多對(duì)一”和“一對(duì)一”的網(wǎng)絡(luò)流，其中包含了正常流，故其值會(huì)隨著正常流的減少而發(fā)生相應(yīng)變化，即ACS特征能較好地反映攻擊流引起的正常流狀態(tài)異常變化，因此漏報(bào)率較低．因正常流中“多對(duì)一”的單向流相對(duì)較少，故當(dāng)正常流減少時(shí)，UFSI特征值發(fā)生細(xì)微變化，即UFSI特征能較好地反映攻擊產(chǎn)生的“多對(duì)一”單向流的半交互性，因此誤報(bào)率較低．由于CCD特征中包含了ACS特征和UFSI特征提供的兩方面統(tǒng)計(jì)信息，故基于CCD特征檢測(cè)的漏報(bào)率和誤報(bào)率都較低，相對(duì)ACS特征和UFSI特征，CCD特征能夠更好地識(shí)別DDoS攻擊．

3.2 分類模型的比較分析

考慮到支持向量機(jī)(support vector machine，SVM)分類模型是機(jī)器學(xué)習(xí)領(lǐng)域中的主流方法，本文將提出的GAORF分類模型與nu-SVM、C-SVM和一類支持向量機(jī)(one-class-SVM)等3種分類模型進(jìn)行了多組DDoS攻擊檢測(cè)實(shí)驗(yàn)對(duì)比．本實(shí)驗(yàn)將從數(shù)據(jù)集樣本中提取的CCD特征序列分別帶入了GAORF、nu-SVM、C-SVM和one-class-SVM 4種分類模型進(jìn)行訓(xùn)練和測(cè)試，各組實(shí)驗(yàn)分別通過不斷改變正常訓(xùn)練樣本數(shù)量和攻擊訓(xùn)練樣本數(shù)量來比較各種分類模型的學(xué)習(xí)分類能力和魯棒性，其中選取了攻擊早期的數(shù)據(jù)作為部分測(cè)試樣本．實(shí)驗(yàn)結(jié)果如表1和表2所示．

圖2 正常訓(xùn)練樣本變化中特征對(duì)比的誤報(bào)率和漏報(bào)率Fig.2 The false alarm rate and missing alarm rate of feature contrast with changing normal training samples

圖3 攻擊訓(xùn)練樣本變化中特征對(duì)比的誤報(bào)率和漏報(bào)率Fig.3 The false alarm rate and missing alarm rate of feature contrast with changing attack training samples

表1 正常訓(xùn)練樣本數(shù)量變化中4種算法檢測(cè)對(duì)比結(jié)果Tab.1 Comparison of four algorithms with changing numbers of normal training samples %

表2 攻擊訓(xùn)練樣本數(shù)量變化中4種算法檢測(cè)對(duì)比結(jié)果Tab.2 Comparison of four algorithms with changing numbers of attack training samples %

由表1可知，隨著正常訓(xùn)練樣本的增大，GAORF分類模型的準(zhǔn)確率保持在90%以上，誤報(bào)率保持在0.4%以下，漏報(bào)率保持在15.6%以下．一方面RF本身具有良好穩(wěn)定的分類性能，能較好地挖掘和利用CCD特征對(duì)攻擊引起的正常流狀態(tài)異常變化的表征能力；另一方面基于遺傳算法的RF參數(shù)優(yōu)化算法通過學(xué)習(xí)正常訓(xùn)練樣本集優(yōu)化了RF參數(shù)，提高了RF分類能力，因此GAORF分類模型的分類效果最好．表1中nu-SVM模型的漏報(bào)率和誤報(bào)率波動(dòng)較大，準(zhǔn)確率在87.6%以下且浮動(dòng)較大．由于測(cè)試集中包含了攻擊早期攻擊特征值較低的部分?jǐn)?shù)據(jù)，這部分特征值與正常流特征值相近，致使nu-SVM模型分類超平面難以區(qū)分從而影響了檢測(cè)結(jié)果．C-SVM分類模型在正常訓(xùn)練樣本數(shù)量大于500時(shí)，準(zhǔn)確率和漏報(bào)率分別保持在91.6%和16%，但是正常訓(xùn)練樣本數(shù)量為400時(shí)該模型出現(xiàn)誤報(bào)率為100%的情況．由于該模型中懲罰參數(shù)并不會(huì)因?yàn)橛?xùn)練樣本數(shù)量過度增加而有所改變，使模型表現(xiàn)出了較好的穩(wěn)定性；但是當(dāng)正常樣本較少時(shí)，該模型難以獲得最優(yōu)分類面，使其出現(xiàn)了誤報(bào)率驟增的情況．隨著正常訓(xùn)練樣本的增大，雖然one-class-SVM方法保持了較低的漏報(bào)率，但比其他方法誤報(bào)率高，使其準(zhǔn)確率均在70%以下．其原因?yàn)閛ne-class-SVM只能訓(xùn)練正常訓(xùn)練樣本生成分類模型，致使識(shí)別攻擊比較困難，因此難以取得較為理想的分類效果．

表2顯示，在變化攻擊樣本增大時(shí)，GAORF模型的檢測(cè)結(jié)果與其他3種SVM相比仍有很好表現(xiàn)，保持了91%以上的準(zhǔn)確率，15%的較低漏報(bào)率．一方面RF本身具有良好的穩(wěn)定分類性能，能較好地挖掘和利用CCD特征對(duì)攻擊流特性的表征能力；另一方面基于遺傳算法的RF參數(shù)優(yōu)化算法通過學(xué)習(xí)攻擊訓(xùn)練樣本集優(yōu)化了RF參數(shù)，提高了RF分類能力.因此4種分類模型中GAORF分類模型的分類效果仍然最好．C-SVM模型在檢測(cè)中保持91.6%的準(zhǔn)確率，在攻擊訓(xùn)練樣本數(shù)量大于500之后，C-SVM模型仍有16%以上較高漏報(bào)率．由于C-SVM模型在對(duì)攻擊訓(xùn)練樣本充分?jǐn)M合之后，值較大的攻擊樣本并未影響超平面，從而降低了C-SVM模型的分類能力．隨著攻擊訓(xùn)練樣本的增大，nu-SVM分類模型的漏報(bào)率波動(dòng)較大，準(zhǔn)確率較低．其原因主要是當(dāng)正常訓(xùn)練樣本不變而攻擊樣本增大時(shí)，會(huì)使得超平面有所偏移，使得該模型難以準(zhǔn)確識(shí)別測(cè)試集中部分攻擊早期特征值較低的樣本．one-class-SVM檢測(cè)模型的準(zhǔn)確率保持在70%以下，誤報(bào)率較高．由于該模型只對(duì)正常訓(xùn)練樣本進(jìn)行訓(xùn)練，增加攻擊訓(xùn)練樣本并不能改變其分類模型，因此分類結(jié)果未變．

綜合表1和表2可知，針對(duì)正常樣本和攻擊樣本的不斷變化，GAORF分類模型比各種經(jīng)典的SVM分類模型具有更強(qiáng)的學(xué)習(xí)分類能力和魯棒性．尤其在大數(shù)據(jù)環(huán)境下，樣本特征維數(shù)和數(shù)據(jù)集規(guī)模日益增長(zhǎng)，較SVM分類模型，RF更能適應(yīng)大數(shù)據(jù)的要求．

4 結(jié)論

針對(duì)大數(shù)據(jù)環(huán)境下DDoS攻擊檢測(cè)方法存在誤報(bào)率、漏報(bào)率高的問題，本文提出了一種基于組合相關(guān)度的隨機(jī)森林的DDoS攻擊檢測(cè)方法．首先定義了網(wǎng)絡(luò)流組合相關(guān)度CCD，該特征采用地址相關(guān)統(tǒng)計(jì)特征ACS和單向流半交互度UFSI來表征攻擊流的非對(duì)稱性和半交互性．本文提出的基于CCD的遺傳算法的參數(shù)優(yōu)化算法來優(yōu)化RF參數(shù)，并進(jìn)行分類訓(xùn)練以生成DDoS攻擊分類模型來檢測(cè)攻擊．實(shí)驗(yàn)表明，本文定義的CCD特征能較好地提取攻擊流特性及其引起的正常流狀態(tài)異常變化特征，提出的檢測(cè)方法比同類檢測(cè)方法有更高的準(zhǔn)確率，更低的誤報(bào)率和漏報(bào)率，較好的魯棒性，能在大數(shù)據(jù)環(huán)境下有效地檢測(cè)DDoS攻擊．