摘 要: 利用BP神經網絡自適應學習,結合粒子群優化算法的全局搜索和遺傳算法的快速收斂特性檢測DDoS攻擊行為。實驗證明,新算法具有速度快、檢測率高和誤報率低的特點,能很好地應用于檢測和抵御DDoS攻擊。
關鍵詞: DDoS;BP神經網絡;粒子群算法;遺傳算法
DDoS是一種分布式大規模流量攻擊方式,通過控制互聯網上傀儡機對目標服務器發動攻擊,產生的大量數據流涌向目標服務器,消耗服務器系統資源和帶寬,或把鏈接占滿,從而影響合法用戶的訪問。實施DDoS攻擊一般都會偽造源IP地址,具有隱蔽性強、并發數高、攻擊流量大、破壞力強、涉及范圍廣的特點。傳統的DDoS檢測方法很難界定突發流量與DDoS攻擊流量。本文提出一種基于粒子群BP神經網絡的流量檢測模型,結合粒子群算法的全局搜索和遺傳算法的快速收斂特性檢測DDoS攻擊行為,最后通過實驗證明,新算法能夠快速、準確地檢測到各類DDoS攻擊,具有很強的應用價值。
1 DDos攻擊方式和檢測方法
DDoS攻擊基于TCP 3次握手協議,按攻擊方式分為直接型攻擊和反射式攻擊兩類。直接型攻擊是通過控制傀儡機向目標服務器發送大量數據流,耗盡服務器系統資源直至癱瘓。反射式攻擊是偽造服務器IP向主機群發送虛假連接請求,致使主機群應答信息涌向服務器(如DNS請求只有60 B,應答信息卻有4 320 B,反射70多倍流量),通過占盡服務器接入帶寬和連接上限阻止合法用戶的訪問。
針對DDoS攻擊通常采用的是基于特征庫匹配檢測、基于數據挖掘攻擊檢測和蜜罐技術[1]。特征庫匹配檢測需要搜集DDoS攻擊數據包各種特征建立特征庫,服務器對虛假連接請求特征進行匹配,若吻合則視為攻擊。這種檢測方法依賴于攻擊特征的描述,對檢測漏洞型DDoS很有效,但無法識別大量沒有協議特征的攻擊。基于數據挖掘攻擊檢測方法通過對數據包流量特征分析,將其中規律轉換為檢測規則,再根據網絡流量特征是否偏離正常流量模型來判斷攻擊行為,其最大優點是能夠檢測沒有協議特征的變種DDoS攻擊,但是流量樣本本身具有一定的隨機性,使得算法復雜,計算量大,挖掘速率和準確性不高。蜜罐原本是一種網絡誘騙技術,通過偽裝真實系統特征吸引攻擊者攻擊蜜罐系統,而真正的服務器得以正常運行。蜜罐不能控制和阻斷攻擊行為,只有遭受攻擊后才能檢測到攻擊,屬于被動防御。上述3種方法都不能很好地解決復雜網絡下DDoS欺騙攻擊,相應的檢測技術已明顯滯后于攻擊手段的更新。而抵御DDoS攻擊的核心在于檢測,因為只有檢測到攻擊行為防火墻才能實施包過濾,IDS才能追蹤攻擊源,服務器才能拆除虛假連接回收系統資源。如何檢測DDoS攻擊行為,提高算法匹配效率和準確率一直都是研究的難點和熱點,也是目前亟待解決的問題。
本文提出一種基于粒子群BP神經網絡的流量檢測模型,結合粒子群算法的全局搜索和遺傳算法的快速收斂特性用于檢測DDoS攻擊行為。
2 BP神經網絡自適應學習算法
BP神經網絡的自適應學習性由正向傳播和反向傳播構成。正向傳播時數據從輸入層流經各個隱含層處理后通過輸出層輸出結果。若期望值與輸出結果偏差大于預設閾值,采用反向傳播梯度法調整,重復兩個過程直到偏差小于預設精度為止,從而學習和存儲大量的輸入輸出映射關系,算法如下。
(1)初始化神經網絡向量。BP網絡通過反復改變輸入權值,使輸出結果不斷接近最優值。若輸入層有n個神經元,隱含層有p個神經元,輸出層有q個神經元,變量定義如下:
(7)判斷誤差是否小于預設精度或最大迭代次數,滿足條件則輸出計算結果,否則返回到步驟(3),選取下一個學習樣本進入下一輪學習。
通過大量實例樣本學習,BP神經網絡的自適應學習特性不僅可以檢測出流量中的DDoS攻擊,還能識別未知攻擊行為,從而克服傳統依賴特征庫匹配才能檢測DDoS攻擊的局限性。對DARPA 2000年數據分析表明,BP神經網絡能準確檢測間歇式DDoS流量攻擊。為此,攻擊者攻擊手段也隨之發生變化,從傳統的恒速攻擊和間歇式攻擊轉變為流量漸增式攻擊和間歇式與速率漸增式組合攻擊。此時,該方法需要學習流量中更多樣本才能識別攻擊行為,收斂速度慢,預設精度容易使算法陷入局部最優現象,影響檢測率和誤報率。
3 粒子群算法
粒子群算法(PSO)是基于鳥類群體行為研究的模擬算法。鳥群在封閉空間隨機搜索食物,并且在這個空間只有一個全局最優值。假如所有鳥都知道當前位置與搜索食物之間距離,那么找到全局最優解的最優方案就是從身邊最近的鳥周圍區域進行搜尋[2]。在粒子群算法中,尋找最優問題的每個解對應搜索空間的每只鳥,稱為粒子。每個粒子的初始化向量代表鳥的飛行位置和速度,每個粒子通過尋找附近粒子迭代搜尋最優解,具體算法如下。
4 粒子群遺傳算法在BP神經網絡中的應用
BP網絡在檢測DDoS攻擊中需要事先建立網絡正常流量參考標準,初始化權值和閾值參數難以確定,設置過小會使算法難以收斂,過大會陷入局部最優。在復雜網絡中DDoS攻擊具有間歇式和流量漸增式特點,攻擊行為和流量特征往往不是簡單的一對一等價關系,導致無法檢測未知行為攻擊。而PSO算法全局搜索能力強,但是收斂速度過慢,并且容易陷入局部最優解。因此本文提出基于BP網絡自適應學習的粒子群遺傳算法。
4.1 新算法實現思想
新算法首先通過PSO搜索最優位置向量,將網絡流量及其參數量化為每個粒子并初始化狀態,從而構建神經網絡粒子群,找出全局最優極值范圍,以此作為BP網絡的初始閾值,再引入遺傳算法和變異算子加速向最優解的收斂速度和避免早熟現象。若得到的結果偏差超出PSO提供的預設閾值,再重復搜索過程,直到找出全局最優解。新算法融合PSO全局搜索能力、BP神經網絡的學習過程和遺傳算法的快速收斂優點,設計步驟如下。
(1)確定BP網絡隱含層數量,對每一網絡流量進行粒子群編碼,并進行粒子群初始化。
(2)利用PSO算法找出全局最優極值范圍,并判斷是否滿足結束條件(全局極值收斂速度大于偏導數δo或最大迭代次數)。如果滿足結束條件則進入步驟(3)BP網絡學習過程,否則根據式(7)和式(8)更新粒子的速度和位置,并重復本步驟。
(3)將PSO找出的全局極值作為BP網絡的初始閾值并進入學習過程,引入遺傳變異算法向最優解加速收斂。
(4)判斷結果是否滿足條件(群體適應度是否陷入局部最優和結果是否小于極值范圍),如果都滿足,則輸出最優值;否則返回步驟(2)繼續PSO算法的全局搜索。新算法流程圖1所示。
4.2 早熟現象判定與處理
PSO中的粒子當前位置和速度依靠個體極值和全局極值來引導,當粒子發現更優值時,其他粒子受到更優值吸引迅速聚攏,如果集聚點并非全局最優解,表示PSO陷入局部最優現象,加上遺傳迭代,粒子之間的差異越來越小,導致早熟收斂。由于粒子個體適應度大小是由粒子個體位置和速率決定的,此時可以根據粒子整體適應度狀態判斷種群是否陷入局部最優。
基于此思想,新算法根據適應度判斷是否過早收斂,經過BP網絡訓練后,樣本輸出的誤差總和均值為:
遺傳算法的變異算子將群體中優良個體通過交叉和變異操作遺傳到下一代,維持種群的多樣性,并且可以防止算法過早收斂的現象。
5 實驗測試
5.1 流量樣本特征采集和建模
本文以KDD99CUP作為實驗基礎數據,通過對樣本采集進行訓練。本文選取1 000個模擬節點,用Sniffer抓包采集網絡500組流量特征樣本,其中包含正常的客戶機連接請求和間歇式與速率漸增式DDoS攻擊,典型采樣結果如表1所示。
從以上500組數據量化為PSO粒子群并初始化狀態參數,選取典型200個粒子作為訓練數據集,初始化種群微粒個數為20,測試函數維數分別為10、20、30,對應的最大迭代次數分別為500、1 000和100,設置初始慣性權重w=0.9,加速系數c1和c2為2.00。網絡有4個輸入節點和3個輸出節點,確定BP網絡結構,如圖2所示。其中i、j、k分別代表輸入層、隱含層和輸出層的層數。因此網絡中需要尋找24個高斯函數中心矢量,6個基寬向量和18個輸出層連接權值,共48個參數,即算法中的粒子將在48維空間搜索滿足最小均方誤差要求的最優解。
從表2可以看出,在給定迭代次數下,新算法測試結果比PSO更接近最優值,計算精度有明顯提高,充分體現了新算法的卓越性。
在實驗中,PSO算法參數初始化粒子數為200,加速因子c1=c2=2,最大迭代次數為2 000。新算法迭代次數和初始化粒子數等同于PSO算法,變異算子中的rand取值[0,1],適應度Pm與迭代次數的測試結果如圖3所示。
從圖3可以看出,新算法收斂速度快、誤差小,性能明顯優于PSO算法。當加速因子c1=c2=2時,新算法在迭代1 000次后無明顯變化,找出全局最優解,而PSO算法要迭代到1 450次左右才趨于穩定,表明新算法通過變異算子向最優解加收斂,搜索的空間復雜度大為減少。
5.3 新算法檢測率分析
實驗選取1 000個模擬節點對服務器發動SYN flood、LAND attack、TCP混亂數據包攻擊、WEB Server多連接攻擊、Web Server變種攻擊和僵尸網絡DDoS攻擊共6種攻擊方式,流量上采用漸增式和間歇式組合攻擊,測試新算法對攻擊行為的檢測能力,結果如表3所示。
從表3數據可以看出,對于帶有明顯特征的DDoS攻擊行為(如SYN Flood和LAND Attack),3種算法檢測率和誤報率差別不大,新算法略有優勢。然而對于未知行為和沒有明顯特征的DDoS攻擊行為,如僵尸網絡發動的DDoS變種攻擊,僵尸主機通過偽造虛假IP地址發送大量SYN/ACK應答,使僵尸網絡中攻擊端發送的SYN請求與ACK應答數量達到平衡,攻擊特征消失,此時基于特征匹配檢測方法幾乎失效,PSO檢測率也不高,而新算法優勢明顯。
新算法結合PSO全局搜索、BP神經網絡自適應學習和遺傳算法快速收斂的優點,檢測DDoS攻擊行為十分有效,可以檢測未知攻擊行為,可以將正常行為和攻擊行為區別開來,具有較高的檢測率和較低的誤報率。
參考文獻
[1] 李清華,張美鳳.基于改進BP網絡的染色合格率預測[J].微計算機信息,2006(4):93-95.
[2] 徐仙偉,葉小嶺.遺傳算法優化BP網絡初始權重用于入侵檢測[J].計算機應用研究,2005(3):38-42.
[3] 危勝軍,胡昌振,姜飛.基于BP神經網絡改進算法的入侵檢測方法[J].計算機工程,2005(13):89-94.
[4] 仲兆滿,李存華.基于神經網絡的實時入侵檢測系統的研究和實現[J].計算機工程與應用,2007(30):126-130.
[5] 易曉梅,陳波,蔡家楣.入侵檢測的進化神經網絡研究[J].計算機工程,2009(2):103-108.
[6] 潘昊,侯清蘭.基于粒子群優化算法的BP網絡學習研究[J].計算機工程與應用,2006(16):41-43.
[7] 曹承志,劉洋.基于改進粒子群算法的BP網絡在DTC系統中的轉速辨識[J].系統仿真學報,2008(20):77-81.
[8] 宋乃華,邢清華.一種新的基于粒群優化的BP網絡學習算法[J].計算機工程,2006(14):181-183.
[9] Yu Zhenwe. An automatically tuning intrusion detection system[J]. Systems Man and Cybernetics,2007(2):373-384.
[10] PARIKH D,CHEN T.Data fusion and cost minimization for intrusion detection[J]. Information Forensics and Security,2008(3):381-389.
[11] BACE M. National institute of standards and technology[J].NIST Special Publication on Intrusion Detection Systems,2000(7):76- 79.
[12] LIPPMANN R, CUNNINGHAM R. Improving intrusion detection performance using keyword selection and neural networks[J]. Computer Networks,2000(4):597-603.
[13] RICHARD LIPPMANN, ROBERT K CUNNINGHAM.Improving intrusion detection performance using key word selection and neural networks[J]. Computer Networks, 2000(9):137-144.
[14] LI W, CANINI M, MOORE A. Efficient application identification and the temporal and spatial stability of classification schema[J]. Computer Networks, 2009(7):252-261.
[15] LI W, CANINI M, MOORE A W. Efficient application identification and the temporal and spatial stability of classification schema [J]. Computer Networks, 2009(6):790-809.
[16] CHE Z H. PSO-based back-propagation artificial neural network for product and mold cost estimation of plastic injection molding[J]. Computers and Industrial Engineering,2010(10):236-242.
[17] KENNEDY J. Particle swarm optimization[J]. Neural Networks, 1995(10):236-242.
[18] BAHEER A, HAJMEER M. Artificial neural networks fundamentals[J]. Computing Design and Application, 2000(10):168-175.
[19] SUN J, FENG B. Particle swarm optimization with particleshaving quantum behavior[J]. Evolutionary Computation, 2004(5):232-230.
[20] DORIGO M, BONABEAU E. Ant algorithms and stigmergy[J]. Future Generation Computer Systems, 2000(11):269-275.