基于集成学习的DoS攻击流量检测技术

doi:10.3969/j.issn.1671-1122.2019.09.024

摘要/Abstract

摘要：

DoS攻击即拒绝服务攻击是一种常见且长期以来难以检测和预防的网络攻击方法,通过消耗被攻击者的带宽或计算资源造成目标计算机网络服务中断或停止,导致正常用户无法访问。随着机器学习算法的快速发展,决策树、支持向量机、随机森林、adaboost等算法逐渐被用于DoS攻击网络流量的识别与检测。对于大多数机器学习算法来说,网络流量特征的选择直接决定算法性能的优劣。文章使用网络流量特征提取工具CICFlowMeter和随机森林算法对网络流量特征进行提取和选择,设计算法训练模型对DoS攻击流量进行检测,取得了较好的精度及召回率,验证了文章检测方法的有效性。

关键词: DoS攻击, 机器学习, 随机森林, 特征选择, 集成学习

Abstract:

Denial of service attack is a common cyber attack method that is difficult to detect and prevent for a long term. By consuming the bandwidth or computing resources of the target computer, the target computer network service is interrupted or stopped, which results in the normal users can not access it. With the rapid development of machine learning algorithms, decision tree, support vector machine, random forest and adaboost are gradually used to identify and detect DoS attacks network traffic. For most machine learning algorithms, the choice of network traffic characteristics directly determines the performance of the algorithm. This paper extracts and selects network traffic characteristics by using CICFlowMeter and random forest algorithm, and designs algorithm training model to detect DoS attack traffic, which achieves better accuracy and recall rate, and verifies the validity of the detection method.

Key words: DoS attack, machine learning, random forest, feature selection, ensemble learning

中图分类号:

TP309

马泽文, 刘洋, 徐洪平, 易航. 基于集成学习的DoS攻击流量检测技术[J]. 信息网络安全, 2019, 19(9): 115-119.

Zewen MA, Yang LIU, Hongping XU, Hang YI. DoS Traffic Identification Technology Based on Integrated Learning[J]. Netinfo Security, 2019, 19(9): 115-119.

图/表 5

图1

表1

表2

表3

表4

参考文献 12

[1]	WANG Xiaoqun, DING Li, LI Jia, et al.Summary of China’s Internet Network Security Situation in 2017[J]. Confidential Science and Technology, 2018, 92(5): 6-13.
	王小群,丁丽,李佳,等. 2017年我国互联网网络安全态势综述[J].保密科学技术,2018,92(5):6-13.
[2]	WANG Xiaoqun, DING Li, et al.Summary of China’s Internet Network Security Situation in 2018[J]. Confidential Science and Technology, 2019, 93(5): 4-9.
	王小群,丁丽,等. 2018年我国互联网网络安全态势综述[J].保密科学技术, 2019,93(5):4-9.
[3]	YANG Xinyu, YANG Shusen, LI Juan.A Flood-Down DDoS Attack Detection Algorithm Based on Nonlinear Preconditioned Network Traffic Prediction Method[J]. Chinese Journal of Computers, 2011, 34(2): 395-405.
	杨新宇,杨树森,李娟.基于非线性预处理网络流量预测方法的泛洪型DDoS攻击检测算法[J].计算机学报,2011,34(2):395-405.
[4]	FEINSTEIN L, SCHNACKENBERG D, BALUPARI R, et al.Statistical Approaches to DDoS Attack Detection and Response[C]//IEEE. DARPA Information Survivability Conference and Exposition, April 22-24, 2003, Washington, DC, USA. NJ: IEEE, 2003: 303-314.
[5]	VIJAYASARATHY R, RAGHAVAN SV, RAVINDRAN B.A System Approach to Network Modeling for DDoS Detectionutilizing a Naive Bayesian Classifier[C]//IEEE. 2011 Third International Conference on Communication Systems and Networks, January 4-8, 2011, Bangalore, India. NJ: IEEE, 2011: 1-10.
[6]	CHEN R C, CHENG Kaifan, CHEN Yinghao, et al.Using Rough Set and Support Vector Machinefor Network Intrusion Detection System[C]//IEEE. 2009 First Asian Conference on Intelligent Information and Database Systems, April 1-3, 2009, Dong Hoi, Vietnam. NJ: IEEE, 2009: 1-13.
[7]	FARID D M, HARBI N, BAHRI E, et al. AttacksClassification in Adaptive Intrusion Detection UtilizingDecision Tree Global Journal of Electrical[EB/OL]. .
[8]	LIU Peng,CHEN Houwu,FANG Xiao, et al.Research on Monitoring Mechanism and Model of Network Security Situation[J]. Netinfo Security, 2015, 15(9): 66-69.
	刘鹏,陈厚武,房潇,等.网络安全态势监控机制与模型研究[J]. 信息网络安全,2015,15(9):66-69.
[9]	SHARAFALDIN I, LASHKARI A. Toward Generating a New Intrusion Detection Dataset and Intrusion Traffic Characterization[EB/OL]. .2019-6-30.
[10]	WANG Yi, TANG Yong, LU Zexin, et al.Research on Features Selection in Malware Clustering[J]. Netinfo Security, 2016, 16(9): 64-68.
	王毅,唐勇,卢泽新,等.恶意代码聚类中的特征选取研究[J].信息网络安全,2016,16(9):64-68.
[11]	GIL G D, LASHKARI A H, et al. Characterization of Encrypted and VPN Traffic Using Time-Related Features[EB/OL]. ,2019-6-30.
[12]	WANG Wei, SHEN Xudong.Research on Transfer Time Series Anomaly Detection Algorithm Based on Instance[J]. Netinfo Security, 2019, 19(3): 11-18.
	王伟,沈旭东.基于实例的迁移时间序列异常检测算法研究[J].信息网络安全,2019,19(3):11-18.

序号	特征名称	特征得分
1	Bwd Packet Length Std	0.07691
2	Avg Bwd Segment Size	0.07058
3	Bwd Packet Length Mean	0.05776
4	Packet Length Mean	0.05372
5	Average Packet Size	0.05366
6	Bwd Packets/s	0.04699
7	Packet Length Variance	0.04648
8	Destination Port	0.04046
9	Packet Length Std	0.03973
10	Max Packet Length	0.03903

序号	特征名称	特征得分
1	Bwd Packet Length Std	0.6761
2	Init_Win_bytes_backward	0.5177
3	Packet Length Mean	0.4636
4	Destination Port	0.3703
5	Destination Port.1	0.2283
6	Init_Win_bytes_forward	0.1377
7	Fwd IAT Std	0.0699
8	Flow IAT Min	0.0536
9	FIN Flag Count	0.0488
10	Bwd Packets/s	0.0401

	精度	召回率	F₁分数	训练时间/s
全部特征	0.98645	0.99056	0.98919	287
F_SET1	0.95330	0.98062	0.96677	106
F_SET2	0.99357	0.98731	0.99043	115
F_SET3	0.99070	0.98544	0.98806	104

	随机森林	决策树	支持向量机	投票分类器
F_SET1	0.96677	0.91890	0.77070	0.93330
F_SET2	0.99043	0.99480	0.77925	0.99680
F_SET3	0.98806	0.99305	0.77474	0.98883

[1]	郭春, 陈长青, 申国伟, 蒋朝惠. 一种基于可视化的勒索软件分类方法[J]. 信息网络安全, 2020, 20(4): 31-39.
[2]	杜义峰, 郭渊博. 一种基于信任值的雾计算动态访问控制方法[J]. 信息网络安全, 2020, 20(4): 65-72.
[3]	宋鑫, 赵楷, 张琳琳, 方文波. 基于随机森林的Android恶意软件检测方法研究[J]. 信息网络安全, 2019, 19(9): 1-5.
[4]	段詠程, 王雨晴, 李欣, 杨乐. 基于RSAR的随机森林网络安全态势要素提取[J]. 信息网络安全, 2019, 19(7): 75-81.
[5]	陈冠衡, 苏金树. 基于深度神经网络的异常流量检测算法[J]. 信息网络安全, 2019, 19(6): 68-75.
[6]	张可, 汪有杰, 程绍银, 王理冬. DDoS攻击中的IP源地址伪造协同处置方法[J]. 信息网络安全, 2019, 19(5): 22-29.
[7]	李辉, 倪时策, 肖佳, 赵天忠. 面向互联网在线视频评论的情感分类技术[J]. 信息网络安全, 2019, 19(5): 61-68.
[8]	喻志彬, 马程, 李思其, 王淼. 基于Web应用层的DDoS攻击模型研究[J]. 信息网络安全, 2019, 19(5): 84-90.
[9]	田春岐, 李静, 王伟, 张礼庆. 一种基于机器学习的Spark容器集群性能提升方法[J]. 信息网络安全, 2019, 19(4): 11-19.
[10]	张蕾华, 牛红太, 王仲妮, 刘雪红. 基于大数据的前科人员犯罪预警模型构建研究[J]. 信息网络安全, 2019, 19(4): 82-89.
[11]	胡建伟, 赵伟, 闫峥, 章芮. 基于机器学习的SQL注入漏洞挖掘技术的分析与实现[J]. 信息网络安全, 2019, 19(11): 36-42.
[12]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.
[13]	文伟平, 李经纬, 焦英楠, 李海林. 一种基于随机探测算法和信息聚合的漏洞检测方法[J]. 信息网络安全, 2019, 19(1): 1-7.
[14]	于颖超, 丁琳, 陈左宁. 机器学习系统面临的安全攻击及其防御技术研究[J]. 信息网络安全, 2018, 18(9): 10-18.
[15]	张阳, 姚原岗. 基于Xgboost算法的网络入侵检测研究[J]. 信息网络安全, 2018, 18(9): 102-105.