1、NETINFOSECURITY2024年第3期技术研究doi:10.396 9/j.is s n.16 7 1-112 2.2 0 2 4.0 3.0 0 8基于 Attention-GRU 的 SHDoS 攻击检测研究一江魁1,卢帆,苏耀阳,聂伟,(1.深圳大学信息中心,深圳518 0 6 0;2.深圳大学电子与信息工程学院,深圳518 0 6 0)摘要:针对SHDoS发起变频攻击导致阈值检测方案失效的问题,文章提出一种基于Attention-GRU的深度学习模型。该模型首先利用改进的Borderline-SMOTE进行数据平衡处理,然后引入自注意力机制构建双层GRU分类网络,对预处理后的数
2、据进行学习训练,最后对SHDoS攻击流量进行检测。在CICIDS2018数据集和SHDoS自制数据集上进行验证,实验结果表明,文章所提模型的精确率分别为98.7 3%和97.6 4%,召回率分别为96.57%和96.2 7%,相较于未采用自注意力机制的模型,在精确率和召回率上有显著提升,相较于以往采用SMOTE或Borderline-SMOTE进行数据预处理的模型,文章所提模型的性能也是最佳的。关键词:SHDoS攻击;Borderline-SMOTE过采样算法;自注意力机制;门控循环单元中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 3-0 42 7
3、-11中文引用格式:江魁,卢橹帆,苏耀阳,等.基于Attention-GRU的SHDoS 攻击检测研究.信息网络安全,2024,24(3);427-437.英文引用格式:JIANG Kui,LU Lufan,SU Yaoyang,et al.SHDoS Attack Detection Research Based on Attention-GRUJ.Netinfo Security,2024,24(3):427-437.SHDoS Attack Detection Research Based on Attention-GRUJIANG Kuil,LU Lufan,SU Yaoyang,NI
4、E Wei?(1.Information Center,Shenzhen University,Shenzhen 518060,China;2.College of Electronics and InformationEngineering,Shenzhen University,Shenzhen 518060,China)Abstract:Aiming at the problem that SHDoS initiates a frequency conversion attack thatcauses the threshold detection scheme to fail,a de
5、ep learning model based on attention-GRU wasproposed.The model used the improved Borderline-SMOTE for data balance processing firstly,then introduced the self-attention mechanism to build a two-layer GRU classification network,learned and trained the preprocessed data,and analyzed the SHDoS attack t
6、raffic to test finally.Verified by the CICIDS2018 dataset and self-built ShDoS dataset,and the experimental resultsshows that the accuracy rate of the model is 98.73%and 97.64%respectively,the recall rate is96.57%and 96.27%respectively.The model with self-attention mechanism shows significantimprove
7、ment compared to the model without it,compared to other models that use SMOTE orBorderline-SMOTE for data preprocessing,the performance of this model is also the best.Key words:SHDoS attack;Borderline-SMOTE oversampling algorithm;self-attentionmechanism;gated recurrent unit收稿日期:2 0 2 3-0 9-17基金项目:教育
8、部未来网络创新研究与应用项目2 0 2 1FNB01001作者简介:江魁(197 5一),男,安徽,高级工程师,硕士,CCF会员,主要研究方向为网络安全与网络管理;卢槽帆(1997 一),男,广东,硕士研究生,主要研究方向为网络安全;苏耀阳(1998 一),男,广东,硕士研究生,主要研究方向为网络安全;聂伟(197 3一),男,河南,讲师,博士,主要研究方向为计算机网络体系结构、软件定义网络和可编程芯片。通信作者:江魁427NETINFOSECURITY技术研究2024年第3期0引言在网络安全领域,分布式拒绝服务攻击(DistributedDenialofService,DDoS)的攻击难度小
9、、成本低、危害大,是攻击者常用的攻击方式之一。2 0 0 9年,Web网络安全专家RSNAKE提出针对HTTP协议的慢速DDoS攻击Sloworis,该攻击以极低速率向目标服务器发送不完整的HTTP请求,占用其连接资源,导致无法为正常用户提供服务,从而达到攻击目的2 。2 0 10 年OWASP大会上,WONG3等人提出HTTPPOST的攻击方式,通过将Content-Length字段值较大的HTTP请求发往目标服务器,同时以极低速率传输请求数据,从而占用当前连接、消耗目标服务器的连接资源,达到让目标拒绝服务的目的。针对HTTP协议的慢速HTTP拒绝服务(SlowHTTP Denial of
10、Service,SH D o S)攻击随着 Sloworis 和SlowPost的提出逐渐进人研究人员的视野。不同于以往洪泛式DDoS的攻击方式,SHDoS攻击采用慢速占用连接的攻击方式,能够发起不同频率、不同体量数据的变频攻击。变频攻击是一种以不同速度、频率或模式发送恶意流量的攻击方式,通过改变攻击的频率,攻击者尝试绕过防御机制,增强攻击的隐蔽性。SHDoS攻击呈现以下两个特点:1)变频攻击方式根据用户的访问行为、访问习惯发起攻击,因此在数据层面有大量攻击数据处于正常数据与攻击数据的边界地带;2)在非闪拥时刻4,小流量攻击形式使得网络流量中的攻击流量占比较小,导致攻击数据与正常数据在数据集上
11、呈现不平衡的特点,从而极大地增大了服务器对该类攻击的检测难度。针对SHDoS攻击,目前大多数服务器以固定阈值检测的方法进行检测防御。例如,Web应用常用的Apache服务器,在Apache 2.2.15版本之后,能够通过mod_reqtimeout和mod_qos模块中设定固定阈值来检测SHDoS攻击。mod_reqtimeout模块通过设置固定的超时时间检测SHDoS攻击,但攻击者完全可以最大限度利用这个超时时间,甚至根据MinRate参数伪造一定字节数的数据包来增加该超时时间,从而维持长时间连接;mod_qos模块通过限制每个IP连接数、数据包的传输速率等条件防御SHDoS攻击,但攻击者同
12、样能在了解参数设置后,有针对性地设计SHDoS攻击方法,最大限度利用这些限制条件发起有效的SHDoS攻击。本文提出一种基于自注意力机制和门控循环单元(Attention-Gate Recurrent Unit,Attention-GRU)的 SHDoS攻击检测模型,旨在应对SHDoS攻击变频方式的特点和阈值检测方案中存在的问题。该模型改进了边界合成少数过采样技术(Borderline-Synthetic Minority OversamplingTechnique,Bo r d e r l i n e-SM O T E),增加去噪和针对少数类的安全地带过采样两个步骤,以排除噪声样本的干扰,同时
13、最大限度利用少数类的有效信息。此外,模型结合GRU在提取序列特性数据方面的优势和自注意力机制在数据相似性权重分配上的特点,构建了一个高准确性的SHDoS攻击检测模型。1相关工作目前,SHDoS攻击检测方案主要分为两类,一类是基于固定阈值的检测方案5,另一类是基于深度学习的检测方案。HIRAKAWA等人提出一种通过关注每个IP的连接数和持续时间来防御SHDoS攻击的方法,实验结果表明,设置合理的IP连接数和持续时间能够有效抵御多个攻击者的分布式SHDoS攻击。MURALEEDHARANI8等人通过实验得到不同类型的SHDoS攻击所产生的流量模式,并基于此提出一种阈值检测方法。相较于正常的网络流量
14、情况,在发生攻击时,当前网络数据包的窗口大小、连续数据包之间的时间差等都会发生变化,服务器基于该变化通过设定一些参数进行SHDoS攻击检测。上述是基于固定阈值的检测方法,该类检测方法对于单一频率攻击能够达到较好的检测效果,但面对SHDoS变频攻击时,往往存在阈值难以设定的问题。陈旖9 等人针对SHDoS攻击频率变化导致检测精度下降的问题,提出一种基于卷积神经网络(ConvolutionalNeuralNetwork,C NN)的深度学习检测方法,通过对多种攻击频率下的SHDoS攻击进行分析采样、样本清洗、428NETINFOSECURITY2024年第3期技术研究(5)序列转换和序列去重等操作
15、,使得数据样本在多种攻击频率下都有代表性的同时有效避免模型出现过拟合,再基于一维CNN构建分类器进行模型训练,实验结果表明,该文章所提方法能够对频率变化甚至是未知攻击频率的SHDoS攻击有较高的检测准确率。文献9 对频率变化的SHDoS攻击提出深度学习的检测方案,同时取得较好的检测效果,但对于SHDoS攻击数据层面存在的问题没有进行深入研究。因此,对于SHDoS攻击检测的研究,还需要根据其攻击特性提出更有效的检测模型。2针对SHDoS攻击的检测模型本文提出的SHDoS攻击检测模型分为数据预处理、训练和分类3个阶段。1)数据预处理阶段,包括数据标准化、主成分分析(Principal Compon
16、ents Analysis,PCA)降维和改进Borderline-SMOTE算法过采样;2)训练阶段,使用基于自注意力机制的GRU分类模型对预处理数据进行学习训练;3)分类阶段,利用训练好的模型区分正常流量和SHDoS攻击流量。图1展示了模型的整体结构。数据预处理数PBorderli改进据标原C始数据化维过采样2.1数据预处理数据预处理阶段在很大程度上影响着模型的性能,因此在进行模型训练之前,需要对数据进行合理且有效的预处理10 。2.1.1Z-Score标准化数据的原始特征集中存在不同量纲,为了避免后续在k均值计算中不同量纲对距离计算产生影响,需要先进行数据标准化,本文选用Z-Score标
17、准化,如公式(1)公式(3)所示。X1X12X21X22X=LxmlXn2XX=X-Xm其中,m为每条数据流的特征维度;n为样本数量;X为数据集特征所构成的矩阵;Xm为特征矩阵对应的均值,为矩阵X的标准差。2.1.2 PCA降维经过标准化处理后得到相关数据,每条数据流都存在多维特征,各个维度之间具有强相关性,为了减小数据维度的允余,利用PCA方法进行特征降维。PCA方法通过正交变换实现数据的降维,同时使变换后数据间的方差最大,以此降低各个数据维度之间的相关性1。对于样本集组成的特征矩阵T=ti,t2,,t),每个t都是维度为m的特征列向量,让训练分类hhadarAne-准降SMOTE算法X1m
18、X2mn每维特征即特征矩阵的每行进行零均值化,计算过程如公式(4)所示。自注意力机制图1模型整体结构(1)Xm(2)(3)(4)正常流量n攻击流量再计算零均值化后样本的协方差矩阵C,计算过程如公式(5)所示。C-TTTm本文首先求解协方差矩阵C的特征值,2,,以及特征向量(i,2,),然后根据特征值的大小选取前k个特征向量组成矩阵P,最后利用矩阵P与原特征矩阵T相乘得到降维至k维的数据,计算过程如公式(6)所示。T=PT经过Z-Score标准化后,数据特征维度为7 9,再经过PCA降维后,得到的数据维度为16,显著降低了数据维度。(6)429NETINFOSECURITY技术研究2024年第3
19、期2.1.3改进Borderline-SMOTE算法过采样在数据降维后,需要进行数据的平衡化处理。在SHDoS小流量攻击下,攻击流量通常远少于正常流量。如果使用这种不平衡的数据集训练模型,可能导致模型难以有效学习少数类特征,降低分类准确率12 。因此,需要对该类不平衡数据集进行处理,较常用的数据平衡处理算法有SMOTE算法和Borderline-SMOTE算法。SMOTE算法通过在少数类样本及其近邻间进行线性插值,从而生成新样本,解决了不平衡问题13,并根据应用场景有多种变体。Borderline-SMOTE算法是SMOTE算法的一个变体,其将少数类样本细分为边界样本、安全样本和噪声样本,并仅
20、对边界样本插值生成新样本,实现数据平衡14。本文基于Borderline-SMOTE算法进行改进,主要原因为:1)SHDoS攻击模拟正常用户访问行为,产生大量处于正常数据与攻击数据边界地带的攻击数据。Borderline-SMOTE算法通过对少数类边界样本过采样,使模型在构建时包含更多边界数据,从而提高对边界地带的识别能力;2)少数类样本数量较少,含有的有效信息有限。如果过采样仅针对边界样本,将忽略少数类的其他有效信息。因此,本文对Borderline-SMOTE算法进行改进,增加正向小样本的过采样,以充分利用所有少数类的有效信息。改进的Borderline-SMOTE算法具体步骤如下。1)k
21、 近邻计算计算所有样本点与周围样本点的欧氏距离,选取距离最小的k个样本点,将其视为该样本点的k近邻,欧氏距离di如公式(7)所示,x;和x,为两个样本点。di=/Z(x-x,)(7)2)样本去噪对于每个攻击样本,若其k近邻样本均为正常样本,则将其视为噪声;对于每个正常样本,若其k近邻样本均为攻击样本,则将其也视为噪声,并在样本集中删除这些噪声样本。3)攻击样本分类对于攻击样本点的k近邻中,若超过一半为攻击样本,则将其视为安全地带样本;若超过一半为正常样本,则将其视为边界地带样本。4)安全样本少量过采样根据采样倍率ni,从安全样本s,的k近邻中选择S1个正常样本进行线性插值,以生成新的少数类样本
22、,安全样本线性插值的计算过程如公式(8)所示,r为0 1的随机数,d,为从该样本中随机选取的k近邻,0 jK。n,=(1-r)s;+rdj5)边界样本大量过采样根据采样倍率n2,从边界样本L,的k近邻中随机选择S2个样本进行线性插值,以生成新的少数类样本,要特别注意的是,两个采样倍率之和为1。边界样本线性插值的计算方法如公式(9)所示,r为0 1的随机数,d,为从该样本中随机选取的k近邻,0 jK。n;=(l-r)L;+rd,6)合成新数据集将过采样得到的新样本和旧样本进行合成,得到新的平衡数据集。图2 和图3给出了使用改进Borderline-SMOTE算法过采样后的示意图,其中“”表示过采
23、样新生成的少数类样本,L、L2、L对应的3个“”为少数类中的边界样本,Si、S,对应的“”为少数类中的安全样本。在图2 a)中,少数类可以分成3类:1)L、L、L,样本点构成的边界样本;2)Si、S2 样本点构成的安全样本;3)右上角处的噪声样本。图2 b)展示了原始数据集使用改进Borderline-SMOTE算法过采样的过程,包括对L、L、L,少数类边界样本进行大量过采样以及对SI、S,少数类安全样本进行少量过采样,而对原始数据集的右上角处噪声样本则直接去除。图3给出了经过改进Borderline-SMOTE算法过采样后的结果,经过采样后在少数类和多数类的边界地带存在大量新生成的少数类样本
24、,而边界地带之外也有部分地带新生成少量少数类样本,对于噪声样本则不做任何过采样,同时(8)(9)430NETINFOSECURITY2024年第3期技术研究不加人最终的平衡数据集。0多数类样本少数类样本L1L2S1S2a)原始数据集多数类样本V少数类样本LS1b)改进Borderline-SMOTE过采样过程图2 改进Borderline-SMOTE算法过采样过程O多数类样本少数类样本S寸图3改进Borderline-SMOTE算法过采样结果SMOTE算法通过对少数类样本及其k近邻的线性插值生成新的少数类样本,而Borderline-SMOTE算法仅选择边界上的少数类样本进行过采样,以改善样本
25、类别分布并提升模型在边界地带的性能。本文对Borderline-SMOTE算法进行优化,并分析了其有效性,具体如下。1)对于少数类中的安全样本进行过采样。由于小样本数据的偶然性较大,信息量有限,如果忽略安全样本可能导致有价值信息的损失。因此,相较于传统Borderline-SMOTE算法只考虑少数类中边界样本的过采样,本文方法通过少量采样安全地带样本来训练模型,最大限度利用原先样本中的所有有效信息。另外,对于安全样本,本文算法根据采样倍率n从安全样本的k近邻中选择si个正常样本进行线性插值,安全样本的k近邻中包含较少的正常样本,因此采样得到的L3样本数量也较少。X2)在进行少数类样本划分之前进
26、行样本去噪,除去多数类和少数类中的噪声样本。主要原因是多数类的噪声样本可能作为少数类样本的k近邻参与过采样,从而生成无效噪声样本。去除的噪声样本既不参与过采样,也不进行后续训练,有效减少了无效样本的干扰。3)针对SHDoS攻击特性,大量攻击数据位于攻击与正常数据的边界地带。改进的Borderline-SMOTEL3S2算法通过过采样少数类边界样本,增加了模型在边界地带的训练数据,以适应SHDoS攻击场景。这种改进X算法高度契合SHDoS攻击特性,有助于从SHDoS攻击数据集中提取更多信息,提升检测精度。2.2基于Attention-GRU的攻击检测模型2.2.1自注意力机制深度学习中的神经网络
27、模型利用注意力机制给予关键信息更大的权重,以获得性能更好的模型。网络流量通常具有连续性与时序性,要判断当前数据流是否为攻击数据流,不仅要对当前数据流进行关注,还X要关注相邻数据流15,因此本文通过引人自注意力机制提高对SHDoS攻击的检测准确率。自注意力机制通过相似性计算进行权重分配16 。图4为自注意力机制的计算过程示意图,首先利用3个系数矩阵W、W k、W 与P进行矩阵相乘得到QKV矩阵,其次基于QKV矩阵进行相似度计算,然后利用Softmax进行归一化使得权重之和为1,最后与矩阵V进行相乘得到注意力机制层的输出。整个计算过程如公式(10)所示。Attention(Q,K,V)=softm
28、ax(QKTV(10)431NETINFOSECURITY技术研究2024年第3期信息,即公式(11);其次,结合当前时刻的输入x进一步确定当前时刻的记忆信息h,即公式(12);然后,1.QKV生成W9PPwkWV3.归一化ASoftmax归一化图4自注意力机制的计算过程示意图其中,QKV为经过上一层的输出P线性变换得到的3个矩阵,KT为矩阵K的转置,dk为矩阵K的维度,自注意力机制计算过程的伪代码如下。输人:上一层的输出矩阵P,3个系数矩阵W=W,Wk,W )输出:自注意力机制层的输出矩阵01.For Wi)in W2.i=WOP3.End for4.0=softmax(2.2.2基于Att
29、ention-GRU网络结构传统循环神经网络(RecurrentNeuralNetwork,RNN)在计算过长的输入序列时会产生梯度消失,业界在LSTM基础上为减少参数量而提出GRU17。相较于LSTM,G RU 的门控单元只有两个,因此参数更少;从计算角度看,GRU的效率更高18 。关于GRU网络结构,通过公式(11)公式(14)解释各个门控机制是如何存储并控制当前时刻信息以及过去时刻信息的。r=o(Wx,+Uh-1)h=tanh(Wx,+r,oUh-1)z,=o(Wx,+Uh-1)h,=z,Oh-i+(1-z,)Oh其中,x,为当前时刻的输入,h-为上一时刻的输出,所有W和U都为权重参数,
30、r为重置门得到的输出,h为通过重置门得到的当前时刻的记忆信息,z,为更新门得到的输出,h,为当前时刻的输出。GRU首先利用重置门计算得到需要遗忘的过去的2.相似度计算矩阵1相乘KPVAQKTVd矩阵KT相乘A4.得到输出相乘矩阵通过更新门确定过去时刻以及当前时刻需要保留多少信息,即公式(13);最后,通过更新门z,输出当前时刻的信息h,即公式(14)。0在构建模型时,一般通过叠加多层神经网络的方法获得性能更好的模型。对于GRU而言,单一GRU层可能存在性能瓶颈,而过多的GRU层数又会使得内存开销和时间开销急剧增加,更为重要的是,GRU仅能解决本层内RNN梯度消失的问题,层与层之间的梯度消失问题
31、会随着GRU层数的增加而变得更加明显。因此,GRU网络层数的选择就显得至关重要。本文所提Attention-GRU网络结构通过叠加双层GRU解决上述问题,同时结合自注意力机制抓住重点输出进行权重分配的特性,加人注意力机制层。图5给出了Attention-GRU网络结构,第一层为Input层,第二层和第三层为GRU层,第四层为Self-Attention层,第五层为Flatten层,第六层为Dropout层,最后一层为Dense层。3实验与结果分析3.1实验数据与评价指标3.1.1CICIDS2018数据集本文实验使用CICIDS201819数据集中星期四的数据,该数据集为加拿大网络安全研究院提
32、供的一个网络安全开源数据集,包含正常流量与各种类型的网络(11)攻击流量,总数约为10 5万条。数据集的类别分为正(12)常数据与DoS攻击数据,其中正常数据约有10 0 万条,(13)占比95%左右;DoS攻击数据约有5万条,占比5%左(14)右。在DoS攻击数据中,SHDoS攻击数据有10 990 条,约占DoS攻击数据的1/5。为了保证实验数据的有效性与均衡性,本文实验采取等比例抽样的方式,按照1/5的比例抽取正常数据,将抽取的正常数据与SHDoS攻击数据作为实验数据,CICIDS2018数据集中星期四的部分数据如表1所示。432NETINFOSECURITY2024年第3期技术研究特征
33、维度Input层16x20GRU1层Units:128GRU2层Units:64Self-Attention层Flatten层Dropout层0.25Dense层Activation:Softmax图5Attention-GRU网络结构表1CICIDS2018数据集中星期四的部分数据名称BenignSHDoS attacks3.1.2SHDoS自制数据集本文实验使用一台运行Apache服务器的虚拟机作为靶机,该服务器上运行的静态页面作为攻击目标。另一台虚拟机运行SlowHTTPTest工具,模拟攻击机对靶机发起变频SHDoS攻击。同时,一台机器执行java脚本,模拟用户机对服务器进行随机访问。
34、在本文实验中,攻击机和用户机均创建多个线程。攻击机的每个线程通过SlowHTTPTest以不同频率对靶机进行SHDoS攻击,而用户机的每个线程模拟正常用户随机访问靶机。实验持续1h,期间所有主机使用TCPDump抓取数据后生成pcap文件,并利用CICFlowMeter生成特征集。生成的数据集如表2 所示。表2 SHDoS自制数据集名称数量/条标签Benign87614SHDoS attacks673103.1.3评价指标对于一个二分类问题,其分类结果如表3所示。表3二分类的分类结果预测值真实值攻击数据正常数据攻击数据TP正常数据FP其中,TP表示被模型分类为攻击数据且其真实值也为攻击数据的数
35、据;FP表示被模型分类为攻击数据但其真实值为正常数据的数据;TN表示被模型分类为正常数据且其真实值也为正常数据的数据;FN表示被模型分类为正常数据但其真实值为攻击数据的数据。基于表3定义评价指标,包括准确率Accuracy、精确率Precision和召回率Recall,分别如公式(15)攻击正常公式(17)所示。Accuracy=TP+TN+FP+FNTPPrecision=数量/条标签199603010990101FNTNTP+TNTP+FPTPRecall=TP+FN对于SHDoS攻击检测而言,检测结果允许部分攻击流量没被检测出来,原因在于小部分攻击流量不会对服务器造成较大影响。如果某些正
36、常流量被识别为攻击流量,会触发后续相应的防御机制,导致影响对应的正常用户对该Web应用的使用体验。因此对于检测SHDoS攻击模型而言,其精确率越高越好,而可以容忍的召回率相对较低。精确率较低说明存在较多正常样本被误判为攻击样本,对于SHDoS攻击检测场景而言,这会降低用户的使用体验;而召回率相对较低,说明部分SHDoS攻击没有被检测出来,如果这部分所占比例较小,就不会影响整个Web应用的正常使用。因此,在SHDoS攻击检测的实际应用场景下,一个SHDoS检测模型应(15)(16)(17)433NETINFOSECURITY技术研究2024年第3期具有较高的精确率,且召回率相对较低。3.2实验结
37、果分析3.2.1改进过采样算法的有效性验证对于本文所提改进Borderline-SMOTE算法,设置两个对比实验验证算法的有效性。实验1先使用改进Borderline-SMOTE算法以及Borderline-SMOTE算法进行数据集的平衡处理,其中使用网格搜索算法确定改进Borderline-SMOTE算法的两个采样倍率分别为0.1和0.9,再基于RNN、LST M、多层感知器(Multi-LayerPerceptron,M LP)以及CNN算法进行模型的训练,使用准确率作为评判标准,利用十倍交叉验证评估改进算法和原算法在不同模型上的性能。实验结果分别如图6和图7 所示。98%96%94%92
38、%90%88%86%84%82%80%改进Borderline-SMOTE图6 改进算法和原算法在CICIDS2018数据集上的结果对比90%80%70%60%50%40%30%20%10%0图7 改进算法和原算法在SHDoS自制数据集上的结果对比结合图6 和图7 可知,无论CICIDS2018数据集还是SHDoS自制数据集,在本文实验所选用的4个模型上,改进Borderline-SMOTE算法的检测准确率都高于Borderline-SMOTE算法,因此改进算法在SHDoS攻击检测的场景下性能更好。改进算法通过大量过采样边界样本的数据,使得模型在边界地带得到更多训练,加强了模型在边界地带的识别
39、能力,相较于SMOTE算法,改进Borderline-SMOTE对于边界地带数据的识别能力更强。因此,实验2 将基于边界地带数据集,评估改进Borderline-SMOTE算法以及SOMTE算法对于边界样本的识别能力。其中,边界数据集对于一个正常样本,若该样本的k近邻样本点中超过一半为攻击样本,则该正常样本为边界样本;对于一个攻击样本,若该样本的k近邻样本点中超过一半为正常样本,则该攻击样本为边界样本。基于以上定义,从原数据集中进行边界样本的提取,实验2 基于该边界数据集评估算法的性能。实验结果分别如图8 和图9所示。98%96%94%92%90%88%86%84%MLPRNN不同模型Bord
40、erline-SMOTEMLPRNN不同模型改进Borderline-SMOTEBorderline-SMOTEMLPLSTMCNNLSTMCNNRNN不同模型改进Borderline-SMOTE图8 改进算法和SMOTE算法在CICIDS2018数据集上的84%82%80%78%76%美7 4%72%70%68%66%图9改进算法和SMOTE算法在SHDoS自制数据集上的由实验结果可知,基于改进Borderline-SMOTE算法得到的各个模型在边界数据集上的准确率都优于SMOTE过采样算法处理得到的模型,因此改进Borderline-SMOTE算法能够使模型对边界地带的数据有更好的识别能力
41、。LSTMSMOTE结果对比MLPRNN不同模型改进Borderline-SMOTESMOTE结果对比CNNLSTMCNN434NETINFOSECURITY2024年第3期技术研究3.2.2检测模型有效性验证对于本文提出的基于改进Borderline-SMOTE和Attention-GRU的检测模型,具体实验过程如下。首先对数据集进行预处理,进行Z-Score标准化后利用PCA算法进行降维,在保留90%信息的基础上将数据维度降到16;然后利用十倍交叉验证,将数据分为10 份,轮流将其中的9份作为训练集,剩下的1份作为测试集。对于训练集,利用改进Borderline-SMOTE算法进行过采样,
42、以使训练集达到平衡,而测试集则不采取过采样以避免过拟合;最后将过采样后的平衡训练数据传输到基于Attention-GRU网络中,进行进一步训练。训练完成得到分类器,将测试数据作为分类器的输人得到模型的预测结果。本文模型的相关参数如表4所示。表4本文模型的相关参数模型参数参数内容采样倍率n/n20.1/0.9GRU1/GRU2神经元个数128/64损失函数categorical_crossentropy优化器adam优化器学习率0.01epoch20dropout0.25批处理大小128同时,为了验证本文模型的有效性,将其与SMOTE结合MLP、RNN、LST M 和GRU所构成的模型以及Bor
43、derline-SMOTE结合MLP、RNN、LST M 和GRU所构成的模型同时进行比较,使用精确率和召回率作为评价指标,对比结果如表5所示。表5给出了本文模型、SMOTE过采样和Borderline-SMOTE过采样结合多个算法得到的模型精确率和召回率,通过分析得到以下结论。1)对比不加入自注意力机制层的模型,本文模型在精确率和召回率上有显著提升,表明通过加人自注意力机制层能够有效提升整个模型的检测性能。2)从全局上看,本文模型的精确率是最高的,在表5不同模型在CICIDS2018和自制SHDoS数据集上的对比模型SMOTE+MLPSMOTE+RNNSMOTE+LSTMSMOTE+GRUB
44、orderline-SMOTE+MLPBorderline-SMOTE+RNNBorderline-SMOTE+LSTMBorderline-SMOTE+GRU改进Borderline-SMOTE+GRU本文模型CICIDS2018和自制数据集上分别达到98.7 3%、97.6 4%,而召回率低于使用SMOTE过采样算法得到的模型,在CICIDS2018和自制数据集上分别达到96.57%、96.2 7%。本文所提改进Borderline-SMOTE算法更合理地利用了所有少数类信息,因此其召回率高于Borderline-SMOTE,同时改进算法通过边界地带大量过采样,增强了模型在边界地带的识别能
45、力,因此精确率高于SMOTE算法对应的模型。本文模型的召回率低于基于SMOTE过采样的模型,但对SHDoS攻击检测场景而言,部分漏判的攻击实际上无法达到很好的攻击效果,即使SHDoS在非闪拥时刻有少量攻击数据进入服务器,其影响较小。因此,本文模型在SHDoS攻击场景下,相较于上述对比实验中的模型具有更好的性能。3.2.3与传统阈值检测方法的对比将本文模型与传统的阈值检测方法做进一步对比,以验证多频SHDoS攻击的检测效果,实验过程与3.1.2小节自制SHDoS数据集过程类似。服务器首先运行一个静态页面作为攻击目标,然后利用另一台虚拟机运行SlowHTTPTest工具,模拟攻击机器对靶机发起变频
46、SHDoS攻击,最后利用一台机器执行java脚本模拟用户机器对服务器发起随机访问。在靶机的access.log日志文件上,查询Apache配置的mod_reqtimeout以及精确率召回率精确率召回率(CICIDS(CICIDS(自制(自制2018)2018)数据集)数据集)92.56%98.50%95.15%94.41%95.12%94.87%96.23%96.80%95.30%90.45%94.89%90.69%95.78%87.39%97.00%92.24%97.95%95.05%98.73%96.57%97.64%91.45%94.23%92.31%94.33%95.32%96.24%
47、95.27%96.39%96.23%93.21%95.25%94.32%96.45%91.45%92.20%90.24%93.25%93.45%96.27%435NETINFOSECURITY技术研究2024年第3期mod_qos模块对变频SHDoS攻击的检测情况。为了区分攻击机器和用户机器的请求,两者使用不同参数传参,基于access.log日志文件,统计攻击请求以及正常请求在配置mod_reqtimeout和mod_qos模块后的检测效果。传统阈值检测方法的检测结果如表6 所示,本文模型的检测结果如表7 所示。表6 传统阈值检测方法的检测结果攻击类型准确率单一频率SHDoS93.35%变频
48、SHDoS72.16%表7 本文模型的检测结果攻击类型准确率单一频率 SHDoS96.55%变频SHDoS95.43%根据表6 和表7,有以下结论。1)设置SlowHTTPTest为单一频率攻击时,在特定情况下,阈值检测方法能够达到较好的效果。而通过java脚本每间隔10 s改变一次slowHTTPTest攻击频率后,根据日志统计结果,大量攻击被识别为正常流量,导致最终变频SHDoS的准确率仅为7 2.16%。2)在相同实验条件下,本文模型对单一频率攻击和变频式攻击的检测准确率均超过95%,与传统阈值检测方法相比,本文模型具有更优越的检测性能。4结束语本文提出一种基于Attention-GRU
49、的SHDoS攻击检测模型。首先结合SHDoS的攻击场景,对Borderline-SMOTE算法进行改进,在原算法的基础上增加去噪以及安全样本过采样操作,使得算法更契合SHDoS的攻击场景;然后在CICIDS2018数据集和自制数据集上验证有效性,利用该改进过采样算法与结合注意力机制的GRU模型构建攻击检测模型,实验结果表明,本文模型的精确率和召回率相较于未采用自注意力机制模型性能更好;最后基于变频SHDoS攻击实验场景,进一步验证本文模型相对于固定阈值检测方法的优越性。考虑SHDoS攻击复杂多变的攻击方式,未来将进一步针对SHDoS攻击的变频攻击特性优化模型,使得其更好地应用于闪拥时刻和非闪拥
50、时刻不同形式的SHDoS攻击检测。参考文献:1 ZARGAR S T,JOSHI J,TIPPER D.A Survey of Defense MechanismsAgainst Distributed Denial of Service(DDoS)Flooding Attacksl.IEEECommunications Surveys&Tutorials,2013,15(4):2046-2069.2 WU Hanqing.White Hats Talk about Web SecurityM.Beijing:Electronic Industry Press,2013.吴翰清.白帽子讲Web
浙ICP备2021020529号-1 | 浙B2-20240490 
