康 重 趙恭震

國際關(guān)系學(xué)院 北京 100091

引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)內(nèi)容變得越來越豐富，網(wǎng)絡(luò)應(yīng)用已經(jīng)進入各個領(lǐng)域，網(wǎng)絡(luò)系統(tǒng)也變得越來越復(fù)雜，這帶來了許多潛在的網(wǎng)絡(luò)安全隱患。常見的網(wǎng)絡(luò)安全隱患包括暴力破解攻擊、蠕蟲病毒、惡意軟件攻擊、網(wǎng)絡(luò)攻擊和掃描攻擊等[1]。拒絕服務(wù)攻擊(Denial of Service，DoS)攻擊是最嚴重和典型的網(wǎng)絡(luò)攻擊之一[2]。這種拒絕服務(wù)攻擊，將耗盡目標主機上的資源，并阻止合法用戶成功訪問網(wǎng)絡(luò)系統(tǒng)資源。分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)基于DoS攻擊，攻擊者控制大量僵尸主機，并將大量虛假網(wǎng)絡(luò)流量發(fā)送到目標主機。DDoS目標是消耗目標主機上的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，使目標宿主癱瘓[3]。DDoS是網(wǎng)絡(luò)黑客使用的最受歡迎的網(wǎng)絡(luò)攻擊方法之一，具有分布式和大規(guī)模協(xié)作操作的特點。

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，DDoS攻擊在互聯(lián)網(wǎng)上的發(fā)生率已經(jīng)很普遍，DDoS攻擊已經(jīng)成為影響網(wǎng)絡(luò)設(shè)備安全的重要因素。2018年，遭受到DDoS攻擊并產(chǎn)生影響的企業(yè)數(shù)量比2017年成倍增加[4]。在我國超過8成的企業(yè)在近一年都遭受過DDoS攻擊，57%的企業(yè)遭受攻擊的頻次低于10次，但是存在2%的企業(yè)遭受DDoS攻擊次數(shù)超過100次。DDoS攻擊最高流量峰值在100～300G之間的企業(yè)占我國企業(yè)的30%，高流量的攻擊對我國企業(yè)造成很嚴重的影響。DDoS攻擊正在危害各個行業(yè)，所導(dǎo)致的經(jīng)濟損失達到數(shù)億，同時DDoS的攻擊方式趨于多樣化，嚴重的話還會影響國家的信息安全。因此，如何有效準確地檢測DDoS攻擊是研究人員和網(wǎng)絡(luò)安全專業(yè)人員今后應(yīng)該重點研究的內(nèi)容。

隨著人工智能的快速發(fā)展，人們的生活方式迎來了巨大的變化。人工智能主要用于研究使計算機來模擬人的某些思維過程和智能行為，通過相關(guān)的人工智能算法去檢測DDoS攻擊已經(jīng)成為研究者和相關(guān)網(wǎng)絡(luò)安全人員的研究方向。

1 DDoS攻擊

DDoS攻擊通常使用客戶端/服務(wù)器技術(shù)，攻擊者控制多個僵尸主機，并將它們組合到一個攻擊平臺中，以對一個或多個目標發(fā)起DDoS攻擊。攻擊者通常使用網(wǎng)絡(luò)攻擊技術(shù)在控制計算機上安裝主DDoS控制程序，代理程序已安裝在互聯(lián)網(wǎng)上的許多計算機上。主控制程序與許多代理進行通信以控制和實施DDoS攻擊，在攻擊期間，代理程序收到指令后便立即發(fā)起攻擊，客戶端/服務(wù)器技術(shù)使主控制程序能夠在幾秒鐘內(nèi)激活成千上萬的代理操作，以便快速實施DDoS攻擊。

高速互聯(lián)網(wǎng)的普及不僅為所有人提供了便利，而且也為DDoS攻擊提供了非常有利的條件。在低速網(wǎng)絡(luò)時代，兼顧所經(jīng)過路由器的跳數(shù)，黑客選擇實施攻擊的傀儡機時，通常會優(yōu)先考慮離目標網(wǎng)絡(luò)距離近的機器來達到更好的攻擊效果?，F(xiàn)在攻擊者可以在其他城市或者更遠的地方發(fā)動攻擊，大量的傀儡機可以在更大的范圍內(nèi)實施布局，提供更為靈活的攻擊方式。如今，DDoS攻擊次數(shù)和復(fù)雜程度不斷提高，使得它們越來越難以防御。

1.1 攻擊原理

DDoS攻擊是攻擊者控制大量的傀儡機向目標主機發(fā)送大量偽造的網(wǎng)絡(luò)流量，目的是耗盡目標主機的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，從而使目標主機拒絕為正常接入用戶提供響應(yīng)服務(wù)，進而產(chǎn)生網(wǎng)絡(luò)癱瘓[5]。DDoS攻擊原理如圖1所示。

圖1 DDoS攻擊原理圖

攻擊者通過主控端運行控制程序來執(zhí)行DDoS攻擊，而每臺主控機操控大量的傀儡機。當大量的傀儡主機同時對目的主機進行訪問或者發(fā)送大量的數(shù)據(jù)包時，目的主機無法同時響應(yīng)這些訪問或者數(shù)據(jù)包，導(dǎo)致目的主機資源的耗盡或者大量的無用資源占據(jù)網(wǎng)絡(luò)。當正常用戶訪問目的主機時，無法正常訪問獲取相應(yīng)的資源。

1.2 常見的DDoS攻擊類型

DDoS攻擊可分為三種主要類型：網(wǎng)絡(luò)流量攻擊，連接攻擊和特殊協(xié)議漏洞攻擊[6]。網(wǎng)絡(luò)流量型攻擊主要是消耗目標主機的帶寬資源，例如IPFlood、ICMPFlood、SYNFlood、UDPFlood攻擊等。連接型攻擊主要是攻擊者通過建立TCP連接，依據(jù)TCP協(xié)議向目的主機發(fā)送大量虛假數(shù)據(jù)包，進而實現(xiàn)對目標主機系統(tǒng)資源的消耗，例如TCP SYN Flood、Smurf和Ping of Death攻擊等。特殊協(xié)議攻擊主要在應(yīng)用層利用HTTP協(xié)議的某些內(nèi)容，例如使用HTTP協(xié)議標頭要以連續(xù)字符串“ ”結(jié)尾的性質(zhì)。如果攻擊者發(fā)送了HTTP Get請求，需要發(fā)送一個緩慢且無用的頭字段，并且不發(fā)送結(jié)束標志，相應(yīng)的服務(wù)器資源會被占用；在HTTP Post請求中，允許在HTTP的頭部中聲明Content-Length，攻擊者發(fā)送頭部后，不發(fā)送body部分同樣可以達到資源消耗的目的。

2 基于人工智能的檢測方法

當前DDoS攻擊的檢測方法有很多種，隨著人工智能的飛速發(fā)展，它已逐漸成為檢測DDoS攻擊的常用方法?；谌斯ぶ悄艿腄DoS檢測方法主要是在此領(lǐng)域使用相關(guān)算法，人工智能算法主要分為機器學(xué)習和深度學(xué)習。基于機器學(xué)習的檢測方法主要通過網(wǎng)絡(luò)數(shù)據(jù)分類來實現(xiàn)DDoS入侵檢測，該算法的分類器將網(wǎng)絡(luò)流量分成正常流量和攻擊流量。機器學(xué)習的方法可以通過數(shù)據(jù)挖掘的方式剖析網(wǎng)絡(luò)數(shù)據(jù)，同時具有自適應(yīng)性，可以根據(jù)網(wǎng)絡(luò)環(huán)境的變化來調(diào)整算法自身參數(shù)，所以基于機器學(xué)習的方法越來越受到研究者的青睞?；谏疃葘W(xué)習的檢測方法主要是通過建立相應(yīng)的深度神經(jīng)網(wǎng)絡(luò)來進行的，常見的神經(jīng)網(wǎng)絡(luò)包括卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)。在網(wǎng)絡(luò)數(shù)據(jù)量過多、輸入特征和選擇特征不明顯的情況下，深度學(xué)習算法較機器學(xué)習算法更加穩(wěn)定。但是，由于深度學(xué)習算法自身復(fù)雜度過高而對資源占有率較大，所以兩者各有優(yōu)缺點，我們要根據(jù)實際情況進行選擇。

本文對相關(guān)基于人工智能的方法進行了相應(yīng)的總結(jié)，將其分為基于分類、基于聚類、基于深度學(xué)習的檢測方法，闡明不同檢測方法的特征和應(yīng)用場景，以便研究人員可以專注于相關(guān)研究。

2.1 基于分類的檢測算法

分類算法是一種輸出為離散型隨機變量的監(jiān)督學(xué)習算法，分為單一分類算法和集成分類算法，常適用于類別或其可能性的預(yù)測，不能進行數(shù)值的預(yù)測[7]。常用的算法主要包括隨機森林、神經(jīng)網(wǎng)絡(luò)、決策樹、樸素貝葉斯和支持向量機。樸素貝葉斯(Naive Bayes)是一種基于條件概率和計數(shù)的簡單算法，可通過訓(xùn)練大量數(shù)據(jù)來更新概率。支持向量機是一種基于內(nèi)核函數(shù)的技術(shù)，可以將特征向量映射到整個內(nèi)核函數(shù)的高維空間。接下來，進行線性判別函數(shù)的建立。決策樹是二叉樹，葉節(jié)點的各種分類可以表示為分類樹和回歸樹。回歸樹的葉節(jié)點是恒定的。隨機森林在決策樹中收集了大量子節(jié)點。按類別投票，然后選擇投票最多的類別作為決策結(jié)果。神經(jīng)網(wǎng)絡(luò)是用于對非線性可分離數(shù)據(jù)進行分類的基本配置方法，基本組成包括輸入層、隱含層和輸出層。

陳靜[8]等人分析了云計算服務(wù)中LDDoS的攻擊特征和風險，并提出了一種基于分類算法的檢測方法。該方法將主成分分析方法提取LDDoS攻擊流量的特征作為神經(jīng)網(wǎng)絡(luò)上的輸入，通過SVM支持向量機模型進行識別分類，實現(xiàn)對網(wǎng)絡(luò)流量的判斷。文獻[9]對傳統(tǒng)的隨機森林算法進行了改進，通過對不同的決策樹賦予不同的權(quán)值以及對每個決策樹賦予不同的權(quán)重，實現(xiàn)了對特征屬性進行降噪聲和消除相關(guān)性處理，使得檢測更準確。陳超[10]等人介紹了雙向流的概念，并使用GHSOM算法對SDN提取的四個特征向量進行快速分析和分類，并為目標IP提供完整的信息，提出了基于IP地址四元組特征的DDoS檢測方法。陳莉[11]等人基于二分類思想，從DDoS攻擊特點出發(fā)，將流表項速率、源IP地址熵等特征向量作為輸入，建立了基于BP神經(jīng)網(wǎng)絡(luò)為核心的DDoS攻擊檢測模型，利用BP分類算法對流量特性向量進行處理，通過模型的輸出特征值判斷是否存在攻擊。

2.2 基于聚類的檢測算法

一般而言，聚類指將沒有分類標簽的數(shù)據(jù)集，分為若干個簇的過程，是一種無監(jiān)督的分類方法[12]。在大數(shù)據(jù)時代背景下，隨著數(shù)據(jù)量的不斷增加及其數(shù)據(jù)形態(tài)的日益多樣化，聚類算法的應(yīng)用更加廣泛；同時對算法本身也提出了更高的要求[13]。常用的聚類算法主要包括K-means、AP聚類和GMM模型。K-Means是一種基于最小化誤差函數(shù)將數(shù)據(jù)劃分為預(yù)定數(shù)量的K個類別的算法。該算法將數(shù)據(jù)分為K部分，無需監(jiān)視信號，適合處理大數(shù)據(jù)。AP群集算法將所有樣本視為網(wǎng)絡(luò)上的節(jié)點，并根據(jù)在網(wǎng)絡(luò)每個邊緣上傳輸?shù)南碛嬎忝總€樣本的群集中心[14]。聚類過程中，在各節(jié)點間傳遞吸引度和歸屬度兩種信息。高斯混合模型(GMM)是對單一高斯概率密度函數(shù)的延伸，GMM能夠平滑地近似模擬任意形狀的密度分布，常適用于多類別的劃分，應(yīng)用于復(fù)雜對象的建模?；诰垲惖腄DoS檢測方法通常將聚類算法與其他算法結(jié)合使用，以更準確地檢測DDoS攻擊。

劉自豪[15]等提出了一種基于改進的AP聚類算法的應(yīng)用層DDoS檢測技術(shù)，在預(yù)分類的基礎(chǔ)上，使用相同類簇合并機制并刪除相異類簇以實現(xiàn)有效聚類，并引入了輪廓指示器，實時監(jiān)控集群。同時設(shè)計高質(zhì)量的自學(xué)習集群更新機制，以進一步減少誤報并提高檢測率。盧正鵬[16]在對k-Means和主成分分析的基礎(chǔ)上，提出了一種檢測DDoS攻擊異常的優(yōu)化算法，其使用最小距離分割方法解決了起點的隨機選擇引起的不可預(yù)測的誤差的問題。通過對用戶訪問行為的特征進行合理分析，計算出可以區(qū)分攻擊行為的新屬性，并使用標準化的歐幾里得距離作為提高算法執(zhí)行效率的度量，最后PCA重構(gòu)誤差進行攻擊行為的判斷。李麗娟[17]等人通過動態(tài)索引和初始聚類中心自動選擇改進了傳統(tǒng)的K均值算法。傳統(tǒng)的K-Means算法對初始聚類中心非常敏感，必須預(yù)先知道聚類數(shù)，與傳統(tǒng)的K均值相比，識別精度更高。

2.3 基于深度學(xué)習的檢測算法

隨著深度學(xué)習研究的不斷深入，其被廣泛應(yīng)用于圖像識別、語音識別、文本分析和大數(shù)據(jù)分析中[18]。它是一種主要使用深度神經(jīng)網(wǎng)絡(luò)為工具的機器學(xué)習算法，神經(jīng)網(wǎng)絡(luò)在學(xué)習過程中實現(xiàn)了對應(yīng)特征參數(shù)的選擇。較高的可實現(xiàn)算力、深度神經(jīng)網(wǎng)絡(luò)的完備性以及深度學(xué)習特征選取的完備性種種優(yōu)勢都促進了深度學(xué)習的長足穩(wěn)定的發(fā)展[19]。主流的深度學(xué)習算法主要包括深度神經(jīng)網(wǎng)絡(luò)(DNN)、遞歸神經(jīng)網(wǎng)絡(luò)(RNN)、卷積神經(jīng)網(wǎng)絡(luò)(CNN)[20]。CNN是一種前饋神經(jīng)網(wǎng)絡(luò)，本質(zhì)上是一個多層感知機。CNN采用局部連接和共享權(quán)值的方式優(yōu)化了網(wǎng)絡(luò)、降低了過擬合的風險[21]。CNN通過采用不同的神經(jīng)元和學(xué)習規(guī)則的組合方式，提供了良好的容錯能力和自學(xué)習能力，常適用于大型圖像處理。RNN是一種特殊的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，通過連接隱藏層的節(jié)點并將隱藏層的先前輸出作為當前隱藏層的輸入來實現(xiàn)遞歸神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。RNN的特殊結(jié)構(gòu)提供“記憶功能”，通常用于自然語言處理、機器翻譯和語音識別等場景。在傳統(tǒng)意義上，DNN與神經(jīng)網(wǎng)絡(luò)沒有顯著差異，DNN增加了網(wǎng)絡(luò)層的數(shù)量并解決了模型訓(xùn)練的問題。DNN引入了非線性激活函數(shù)，在層與層之間添加的非線性項以及偏置項能夠很好地增加DNN擬合性能。在基于深度學(xué)習的檢測方法中常常將深度學(xué)習算法同其他算法模型結(jié)合起來，或者改進深度學(xué)習的相關(guān)算法，來實現(xiàn)更加精確的檢測。

Lounnapha[22]構(gòu)建了一個基于深度學(xué)習技術(shù)CNN和SVDD算法的DDoS檢測模型。SVDD算法可用于離群值檢測并從數(shù)據(jù)集中檢測出不典型的對象，提高模型的準確性，將其和CNN相結(jié)合，可以在減少損失、提高收斂速度的同時增加準確率。王文濤[23]等人將概率圖模型與DNN結(jié)合，在檢測模型的數(shù)據(jù)預(yù)處理階段，使用概率圖模型的HMM算法對統(tǒng)計特征進行聚類，通過輕量級的DNN模型對聚類數(shù)據(jù)進行攻擊檢測，減少了檢測時間，提高了準確率。文獻[24]提出了一種改進的卷積神經(jīng)網(wǎng)絡(luò)(CNN)的DDoS攻擊檢測方法，通過用卷積層及全局平均池化層代替全連接層，求出每個相應(yīng)類別的特征映射的平均值，最后再將平均特征向量送入Sigmoid層進行分類，避免了過擬合問題，提高了模型的準確率。李傳煌[25]等人基于深度學(xué)習混合模型，提出了一種將SDN與深度學(xué)習相結(jié)合并使用深度卷積神經(jīng)網(wǎng)絡(luò)(DCNN)和深度堆棧自動編碼(DSAE)進行檢測的DDoS攻擊檢測方法，該方法由于使用了傳統(tǒng)的深度神經(jīng)網(wǎng)絡(luò)，準確率高，可實現(xiàn)對特定DDoS的防御。

3 結(jié)束語

本文對現(xiàn)有的DDoS攻擊按照攻擊方法進行劃分，詳細介紹了DDoS攻擊的原理，并總結(jié)了基于人工智能的DDoS檢測方式，將其分為三大類，并對每一類檢測方法的研究分析現(xiàn)狀進行了相應(yīng)的總結(jié)。三種檢測方法分別適用于不同的檢測場景，分類和聚類算法相較于深度學(xué)習算法開銷較小，檢測時間較快，當涉及到流量較大的時候，深度學(xué)習算法往往更具優(yōu)勢，準確率更高。本文中描述的檢測方法并不涵蓋所有當前基于人工智能的已知檢測方法，本文介紹的方法是為了使后續(xù)的相關(guān)研究人員能夠做出適當?shù)臎Q策，希望后續(xù)的研究人員可以將這些算法進行實際合理的運用，并對這些檢測方法進行改進，提高對DDoS攻擊檢測的準確度，降低DDoS攻擊帶來的損失。