周奕濤，張 斌，劉自豪

（1. 戰(zhàn)略支援部隊(duì)信息工程大學(xué)，河南鄭州 450001；2. 河南省信息安全重點(diǎn)實(shí)驗(yàn)室，河南鄭州 450001；3.61660部隊(duì)，北京 100080）

1 引言

應(yīng)用層DDoS 攻擊具有隱蔽性強(qiáng)、使用合法連接、與正常用戶(hù)集中訪問(wèn)（Flash Crowd）事件相似等特點(diǎn)，近年來(lái)得到快速發(fā)展，已逐步成為主流的DDoS 攻擊方式［1］. 近年來(lái)，研究者通過(guò)分析應(yīng)用層DDoS 攻擊與正常訪問(wèn)之間的流量特征或用戶(hù)行為特征差異進(jìn)行攻擊檢測(cè)，該方向已成為研究熱點(diǎn).

目前，應(yīng)用層DDoS 攻擊檢測(cè)主要有三種方法. 第一種為基于人機(jī)測(cè)試的檢測(cè)方法. 這種方法通過(guò)向服務(wù)請(qǐng)求者發(fā)送人機(jī)測(cè)試問(wèn)題，根據(jù)服務(wù)請(qǐng)求者的回答判斷身份，進(jìn)而實(shí)現(xiàn)應(yīng)用層DDoS 攻擊檢測(cè). 例如CAPTCHA 方法［2］，給予服務(wù)請(qǐng)求者人工容易解決而機(jī)器卻難以識(shí)別的問(wèn)題，進(jìn)而識(shí)別攻擊者；以及Speak-up方法［3］，通過(guò)要求服務(wù)請(qǐng)求者提高訪問(wèn)速率以識(shí)別訪問(wèn)速率達(dá)到上限的攻擊者. 這種方法簡(jiǎn)單有效，但是需要消耗額外的服務(wù)器資源，并且會(huì)降低服務(wù)質(zhì)量［4］. 第二種為基于流量特征的檢測(cè)方法. 這種方法基于應(yīng)用層DDoS 攻擊對(duì)網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征改變以實(shí)現(xiàn)攻擊檢測(cè)，通過(guò)提取區(qū)分度較高的流量特征，識(shí)別攻擊流量與正常流量，如基于機(jī)器學(xué)習(xí)的檢測(cè)方法［5］，以及基于數(shù)學(xué)統(tǒng)計(jì)學(xué)的檢測(cè)方法［6］. 這種方法檢測(cè)速率快，支持實(shí)時(shí)檢測(cè)，但是難以區(qū)分Flash Crowd 事件與HTTP Flood攻擊［7］. 第三種為基于用戶(hù)行為特征的檢測(cè)方法，這種方法基于正常用戶(hù)與攻擊用戶(hù)訪問(wèn)行為的差異性進(jìn)行攻擊檢測(cè)，如基于訪問(wèn)順序的檢測(cè)方法［8］以及基于用戶(hù)行為特征聚類(lèi)的檢測(cè)方法［9］. 這種方法檢測(cè)準(zhǔn)確率較高，對(duì)Flash Crowd 事件與HTTP Flood 攻擊具有一定的區(qū)分能力，但是建模復(fù)雜，檢測(cè)速率較慢，對(duì)用戶(hù)訪問(wèn)記錄較少的Slow DDoS攻擊檢測(cè)準(zhǔn)確率較低［7］.

為進(jìn)一步提升應(yīng)用層DDoS 攻擊檢測(cè)準(zhǔn)確率，提出一種基于MDL（Multimodal Deep Learning）神經(jīng)網(wǎng)絡(luò)結(jié)合流量與用戶(hù)行為特征的應(yīng)用層DDoS 攻擊檢測(cè)模型.有效區(qū)分Flash Crowd 事件與HTTP Flood 攻擊，同時(shí)對(duì)Slow DDoS 攻擊同樣具備良好的檢測(cè)能力，實(shí)現(xiàn)更為全面的應(yīng)用層DDoS 攻擊檢測(cè). 同時(shí)，為減少M(fèi)DL 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)參數(shù)更新過(guò)程中的災(zāi)難性遺忘現(xiàn)象［10］，實(shí)現(xiàn)檢測(cè)模型參數(shù)的高效更新，針對(duì)MDL 神經(jīng)網(wǎng)絡(luò)提出一種基于EWC（Elastic Weight Consolidation）算法［11］的模型參數(shù)高效更新方法EWC-UD，無(wú)需存儲(chǔ)原始數(shù)據(jù)集，即可在不丟失原有知識(shí)的前提下，獲得對(duì)新數(shù)據(jù)的檢測(cè)能力，提升檢測(cè)模型的更新性能.

2 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測(cè)模型

2.1 應(yīng)用層DDoS攻擊檢測(cè)流程

為獲得流量與用戶(hù)行為特征，分別從網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處部署嗅探器以收集網(wǎng)絡(luò)數(shù)據(jù)包Pcap 文件，以及從網(wǎng)頁(yè)服務(wù)器主機(jī)上收集服務(wù)器日志.Pcap 文件主要記錄流經(jīng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處的數(shù)據(jù)包信息，通過(guò)統(tǒng)計(jì)Pcap文件信息，可以得到反映網(wǎng)絡(luò)數(shù)據(jù)流的流量大小、流量速率、數(shù)據(jù)包分片信息等流量特征，而網(wǎng)頁(yè)服務(wù)器日志主要記錄用戶(hù)請(qǐng)求網(wǎng)頁(yè)的內(nèi)容、訪問(wèn)順序、請(qǐng)求狀態(tài)碼等信息，通過(guò)統(tǒng)計(jì)網(wǎng)頁(yè)服務(wù)器日志，可以得到用戶(hù)訪問(wèn)請(qǐng)求成功率、閱讀時(shí)間等用戶(hù)行為特征.

流量與用戶(hù)行為特征經(jīng)過(guò)提取后輸入多模態(tài)深度神經(jīng)網(wǎng)絡(luò). 多模態(tài)深度神經(jīng)網(wǎng)絡(luò)由多個(gè)深度神經(jīng)網(wǎng)絡(luò)構(gòu)成，流量特征向量與用戶(hù)行為特征向量分別輸入獨(dú)立的流量深度神經(jīng)網(wǎng)絡(luò)（Traffic Deep Neural Network，TDNN）與用戶(hù)行為深度神經(jīng)網(wǎng)絡(luò)（User-behavior Deep Neural Network，U-DNN），T-DNN 與U-DNN 通過(guò)全連接的多層神經(jīng)元將流量與用戶(hù)行為特征向量轉(zhuǎn)換為深層抽象特征，以相同形式表示流量與用戶(hù)行為特征，從而實(shí)現(xiàn)特征結(jié)合. 隨后，通過(guò)一個(gè)匯聚神經(jīng)網(wǎng)絡(luò)（Merge Deep Neural Network，M-DNN）將流量與用戶(hù)行為的深層抽象特征進(jìn)行匯聚并輸出最終結(jié)果.

2.2 基于EWC算法的模型參數(shù)更新方法

MDL 神經(jīng)網(wǎng)絡(luò)作為連接性神經(jīng)網(wǎng)絡(luò)，在參數(shù)更新過(guò)程中存在災(zāi)難性遺忘問(wèn)題，即對(duì)新數(shù)據(jù)集的學(xué)習(xí)可能導(dǎo)致神經(jīng)網(wǎng)絡(luò)遺忘初始數(shù)據(jù)集知識(shí)，使得對(duì)初始數(shù)據(jù)集所反映攻擊類(lèi)型的檢測(cè)效果下降. 因此，針對(duì)MDL神經(jīng)網(wǎng)絡(luò)，設(shè)計(jì)了一種基于EWC 算法的模型參數(shù)更新方法EWC-UD，無(wú)需存儲(chǔ)全部原始數(shù)據(jù)，僅需原始數(shù)據(jù)的少量抽樣以及現(xiàn)有的神經(jīng)網(wǎng)絡(luò)參數(shù)，即可實(shí)現(xiàn)模型更新.

設(shè)NSample為費(fèi)雪信息矩陣計(jì)算樣本數(shù)，θi(i∈{1，2，…，N})為MDL 神經(jīng)網(wǎng)絡(luò)參數(shù)，其中N為MDL神經(jīng)網(wǎng)絡(luò)參數(shù)數(shù)目，F(xiàn)為費(fèi)雪信息矩陣，LB(θ)為僅訓(xùn)練新數(shù)據(jù)集訓(xùn)練過(guò)程的損失函數(shù)，LEWC-UD(θ)為EWC-UD方法訓(xùn)練過(guò)程中的損失函數(shù)，yp(x)為MDL 神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)輸出.

首先，利用原數(shù)據(jù)的少量樣本，與現(xiàn)有的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)計(jì)算MDL神經(jīng)網(wǎng)絡(luò)輸出關(guān)于神經(jīng)網(wǎng)絡(luò)參數(shù)的一階導(dǎo)數(shù)，以獲得反映現(xiàn)有神經(jīng)網(wǎng)絡(luò)參數(shù)對(duì)初始數(shù)據(jù)集重要程度的費(fèi)雪信息矩陣，如下式所示：

式（1）中，i，j分別為費(fèi)雪信息矩陣的行標(biāo)與列標(biāo).在之后的更新過(guò)程中，根據(jù)式（1）得到MDL神經(jīng)網(wǎng)絡(luò)參數(shù)對(duì)應(yīng)的重要程度參數(shù)，即費(fèi)雪信息矩陣的對(duì)角元素后，修改更新過(guò)程的損失函數(shù)，為重要的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)增加懲罰項(xiàng)，使其在更新過(guò)程中難以改變，如下式所示：

2.3 基于K-Means算法的數(shù)據(jù)篩選方法

記初始數(shù)據(jù)集A、新數(shù)據(jù)集B 為DA、DB，θA、θB、θA，B分別為MLP 神經(jīng)網(wǎng)絡(luò)分別在DA、DB以及聯(lián)合DA與DB下訓(xùn)練后的模型參數(shù)，設(shè)θEWC-UD為經(jīng)過(guò)EWC-UD 更新后的模型參數(shù).

EWC-UD 方法正確性證明需要將神經(jīng)網(wǎng)絡(luò)訓(xùn)練過(guò)程看作條件概率的尋優(yōu)過(guò)程，從而證明θA，B與θEWC-UD近似相等. 而在聯(lián)合數(shù)據(jù)集DA、DB下訓(xùn)練神經(jīng)網(wǎng)絡(luò)的過(guò)程可表示為：θA，B=argmaxθ(log(P(θ|DA，DB))). 若數(shù)據(jù)集DA、DB具有較強(qiáng)獨(dú)立性，根據(jù)條件概率公式與貝葉斯公式，log(P(θ|DA，DB)可以拆分為下式：

其中，logP(DB|θ)可看作為訓(xùn)練過(guò)程中的交叉熵函數(shù)LB(θ)，logP(θ|DA)經(jīng)過(guò)拉普拉斯對(duì)角近似后，忽略3 次方及以上項(xiàng)后可表示為

logP(DB)為常數(shù). 綜上對(duì)式（3）改寫(xiě)后，對(duì)參數(shù)θ進(jìn)行尋優(yōu)可得

綜上，EWC-UD 更新方法的正確性前提是要求初始數(shù)據(jù)集與新數(shù)據(jù)集具有較強(qiáng)的獨(dú)立性. 因此，設(shè)計(jì)一種基于K-Means 聚類(lèi)方法的數(shù)據(jù)篩選方法，如圖1所示.

圖1 K-Means數(shù)據(jù)篩選方法圖示

圖1 中，空白節(jié)點(diǎn)表示初始數(shù)據(jù)集數(shù)據(jù)，黑色節(jié)點(diǎn)表示新數(shù)據(jù). 假設(shè)聚類(lèi)簇劃分為(C1，C2，C3，…，Ck)，每個(gè)類(lèi)簇存在一個(gè)質(zhì)心，K-Means 算法通過(guò)最小化平方誤差，讓類(lèi)簇內(nèi)的點(diǎn)盡可能密集，從而實(shí)現(xiàn)聚類(lèi)效果. 采用該類(lèi)方法，可以有效防止因初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)性過(guò)高而導(dǎo)致的更新失敗問(wèn)題，同時(shí)過(guò)濾了重復(fù)數(shù)據(jù)，減少模型參數(shù)更新過(guò)程的計(jì)算量，進(jìn)一步提升模型參數(shù)更新效率.

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)主要驗(yàn)證多模態(tài)深度神經(jīng)網(wǎng)絡(luò)的檢測(cè)性能、EWC-UD 方法的更新性能、K-Means 數(shù)據(jù)篩選方法性能. 共使用3 個(gè)應(yīng)用層DDoS 攻擊數(shù)據(jù)集，包括CIC 2017 App-DDoS Dataset［12］、CES-CIC-IDS2018-AWS［13］以及CIC DDoS 2019［14］. 提取CES-CIC-IDS2018-AWS 中的DDoS 攻擊部分，與CIC 2017 App-DDoS Dataset 結(jié)合成為融合數(shù)據(jù)集（簡(jiǎn)稱(chēng)為Datasetold）. 使用CIC DDoS 2019作為新數(shù)據(jù)集（簡(jiǎn)稱(chēng)為Datasetnew）.

3.1 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測(cè)性能驗(yàn)證

為驗(yàn)證流量與用戶(hù)行為特征分別對(duì)于HTTP Flood攻擊與Slow DDoS 攻擊的檢測(cè)能力，并驗(yàn)證結(jié)合流量與用戶(hù)行為特征的檢測(cè)性能，以檢測(cè)準(zhǔn)確率（Accuracy）、F1 分?jǐn)?shù)（F1_Score）、以及ROC 曲線(xiàn)與X 軸所圍面積AUC作為評(píng)價(jià)參數(shù).

基于流量特征、用戶(hù)行為特征以及結(jié)合流量與用戶(hù)行為特征的應(yīng)用層DDoS攻擊檢測(cè)結(jié)果如圖2所示.

圖2 流量與用戶(hù)行為特征對(duì)各類(lèi)應(yīng)用層DDoS攻擊檢測(cè)性能比較

實(shí)驗(yàn)表明，基于流量特征與基于用戶(hù)行為特征對(duì)HTTP Flood 與Slow DDoS 攻擊具有不同的檢測(cè)性能.HTTP Flood 攻擊使用合法數(shù)據(jù)包，流量統(tǒng)計(jì)特征與Flash Crowd 事件較為相似，但是請(qǐng)求分布隨機(jī)，規(guī)律性較差，與正常用戶(hù)訪問(wèn)行為存在較大差異，因此使用用戶(hù)行為特征可以取得較好的檢測(cè)效果，而使用流量特征則檢測(cè)效果欠佳. 而Slow DDoS攻擊通常采用少量而持續(xù)時(shí)間長(zhǎng)的請(qǐng)求消耗服務(wù)器資源，其數(shù)據(jù)包分段信息等流量統(tǒng)計(jì)特征會(huì)發(fā)生較大改變，但是導(dǎo)致用戶(hù)日志記錄較少，因此使用用戶(hù)行為特征對(duì)這類(lèi)攻擊難以檢測(cè)，而基于流量特征則取得比較好的檢測(cè)效果. 而所提模型結(jié)合流量與用戶(hù)行為特征，對(duì)HTTP Flood 攻擊與Slow DDoS 攻擊都取得了更好的檢測(cè)效果，在整體檢測(cè)中表現(xiàn)同樣為最優(yōu).

3.2 EWC-UD模型參數(shù)更新方法性能驗(yàn)證

為驗(yàn)證所提EWC-UD 方法的模型參數(shù)更新性能，設(shè)置以下兩類(lèi)場(chǎng)景：

場(chǎng)景1：模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold，模型參數(shù)更新數(shù)據(jù)集為Datasetnew. 該場(chǎng)景模擬檢測(cè)模型在一段時(shí)間內(nèi)進(jìn)行計(jì)劃內(nèi)更新的情況.

場(chǎng)景2：模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold，模型參數(shù)更新數(shù)據(jù)集為CIC DDoS 2019 中的Portmap 攻擊數(shù)據(jù)，該場(chǎng)景模擬檢測(cè)模型在發(fā)現(xiàn)新型應(yīng)用層DDoS 攻擊后進(jìn)行緊急更新的場(chǎng)景.

設(shè)置以下兩種MLP 神經(jīng)網(wǎng)絡(luò)更新方式作為EWCUD方法的對(duì)照組：

MLP_New：以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetnew作為模型參數(shù)更新所用數(shù)據(jù)集.

MLP_Whole：以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetold與Datasetnew的融合數(shù)據(jù)集作為模型參數(shù)更新所用數(shù)據(jù)集.

EWC-UD 模型參數(shù)更新方法更新性能驗(yàn)證實(shí)驗(yàn)結(jié)果如表1所示.

表1 各類(lèi)檢測(cè)模型參數(shù)更新方法性能

實(shí)驗(yàn)表明，EWC-UD 方法在場(chǎng)景1 與場(chǎng)景2 下都具備優(yōu)秀的模型參數(shù)更新性能，相較于MLP_Whole 方法，檢測(cè)性能幾乎無(wú)差別，但時(shí)間與空間開(kāi)銷(xiāo)顯著下降.

3.3 K-Means數(shù)據(jù)篩選方法性能驗(yàn)證

以Datasetold為模型參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetnew為更新數(shù)據(jù)集，分別隨機(jī)抽樣初始數(shù)據(jù)集的1%、2%、3%、4%、5%的數(shù)據(jù)樣本，并與新數(shù)據(jù)集進(jìn)行合并. 以初始數(shù)據(jù)集與新數(shù)據(jù)集的融合數(shù)據(jù)集作為測(cè)試數(shù)據(jù)集，進(jìn)行5次重復(fù)實(shí)驗(yàn)，計(jì)算經(jīng)過(guò)EWC-UD方法進(jìn)行模型參數(shù)更新后，檢測(cè)模型的檢測(cè)準(zhǔn)確率、F1分?jǐn)?shù)、召回率、精確率的實(shí)驗(yàn)平均值，并與經(jīng)過(guò)K-Means數(shù)據(jù)篩選后再經(jīng)過(guò)EWC-UD 方法進(jìn)行模型參數(shù)更新后的檢測(cè)模型進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如表2所示.

表2 K-Means數(shù)據(jù)篩選方法性能驗(yàn)證

實(shí)驗(yàn)表明，隨著初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)程度的增加，EWC-UD 方法的更新性能顯著下降，而經(jīng)過(guò)數(shù)據(jù)篩選，刪除與聚類(lèi)中心點(diǎn)過(guò)近的重復(fù)數(shù)據(jù)后，EWCUD 方法的更新性能始終保持在較高水平，表明KMeans 數(shù)據(jù)篩選方法可有效改善EWC-UD 方法難以處理相關(guān)性過(guò)高數(shù)據(jù)集的問(wèn)題.

4 總結(jié)

提出了一種基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測(cè)模型，結(jié)合流量與用戶(hù)行為特征對(duì)應(yīng)用層DDoS攻擊進(jìn)行檢測(cè). 同時(shí)設(shè)計(jì)了一類(lèi)高效的模型更新方法EWC-UD，并針對(duì)EWC 算法對(duì)初始數(shù)據(jù)集與新數(shù)據(jù)集獨(dú)立性要求較高的問(wèn)題，提出一種K-Means數(shù)據(jù)篩選方法，實(shí)現(xiàn)了應(yīng)用層DDoS 攻擊模型的高效更新. 實(shí)驗(yàn)表明，所提模型具備良好的應(yīng)用層DDoS 攻擊檢測(cè)性能，且具有較高的模型參數(shù)更新效率.