Core Concepts
本研究提出了一種新穎的深度學習框架,用於偵測分散式阻斷服務 (DDoS) 攻擊,該框架結合了三種不同的卷積神經網路 (CNN) 架構,並採用自注意力機制和加權集成方法,以提高偵測 DDoS 攻擊的準確性和適應性。
Abstract
文獻回顧
DDoS 攻擊的威脅
- 分散式阻斷服務 (DDoS) 攻擊對網路安全構成重大威脅,旨在讓合法使用者無法使用網路服務。
- 傳統的 DDoS 攻擊偵測方法,例如基於簽章的偵測和速率限制技術,面對複雜且不斷演變的攻擊策略通常無效。
機器學習在 DDoS 攻擊偵測中的應用
- 基於機器學習 (ML) 的方法通過識別網路流量模式中的異常來偵測 DDoS 攻擊,提供了一種有前景的解決方案。
- 研究重點包括:
- 使用特徵選擇方法來提高 ML 分類器的性能(例如,Gaur 等人 [16])。
- 評估各種機器學習演算法在偵測殭屍網路 DDoS 攻擊方面的效能(例如,Tuan 等人 [17])。
- 開發基於神經網路的方法,通過自動特徵選擇和加權損失技術來解決資料集中的類別不平衡問題(例如,Can 等人 [18])。
- 結合自動編碼器和孤立森林進行入侵偵測(例如,Sadaf 等人 [19])。
- 使用樸素貝葉斯和隨機森林分類器來區分類別網路活動(例如,Ajeetha 等人 [20])。
- 開發混合機器學習模型以增強對軟體定義網路 (SDN) 環境中控制平面的 DDoS 攻擊偵測(例如,Deepa 等人 [21])。
- 整合增量學習、高斯混合模型 (GMM) 和雙向長短期記憶 (BI-LSTM) 來偵測已知和未知的 DDoS 攻擊(例如,Shieh 等人 [22])。
- 使用最近鄰距離變異數 (NNDV) 分類器進行網路流量入侵偵測(例如,Sharma 等人 [23])。
- 引入基於卷積神經網路 (CNN) 的安全系統,並結合賽局理論的緩解策略來優化封包丟棄率(例如,Assis 等人 [24])。
- 探索各種監督式分類演算法在偵測 DDoS 攻擊方面的效能(例如,Gohil 等人 [25])。
- 提出基於元分類的網路入侵偵測方法,重點關注二元和多類別分類(例如,Rajagopal 等人 [26])。
- 開發基於深度學習的網路入侵偵測系統,採用自學式學習 (STL)(例如,Niyaz 等人 [27])。
- 設計專門的 DDoS 偵測模型,根據流量可預測性將物聯網設備分類,並應用增強邏輯模型樹(例如,Perakovic 等人 [28])。
- 回顧針對基於網路的平台(例如,物聯網、雲端運算和軟體定義網路 (SDN))的 DDoS 攻擊偵測方法(例如,Singh 等人 [29])。
- 提出基於熵變異和流表屬性的 DDoS 攻擊偵測和緩解機制(例如,Anupama Mishra 等人 [30])。
- 使用深度神經網路(特別是堆疊式長短期記憶 (LSTM) 網路)來分類和緩解針對金融服務的 DDoS 攻擊(例如,Kathirkamanathan 等人 [31])。
- 開發一種混合機器學習方法,結合無監督式分群技術 DBSCAN 和監督式分類模型來偵測 DDoS 攻擊(例如,Najafimehr 等人 [32])。
- 提出基於 CNN 的深度學習技術來偵測物聯網應用程式中的殭屍網路攻擊(例如,Batham 等人 [33])。
現有研究的局限性
- 特徵選擇技術的泛化能力有限。
- 傳統機器學習模型的適應性有限。
- 處理新型攻擊的挑戰。
本文提出的工作
目標
- 提出一個新穎的自注意力機制加權集成分類器,用於偵測 DDoS 攻擊。
方法
- 使用 CIC-DDoS2019 資料集。
- 資料預處理:合併個別資料集、管理高度相關的特徵、處理空值和選擇最相關的特徵。
- 模型開發:
- 自注意力機制啟用 CNN 與 XGBoost。
- 自注意力機制啟用 CNN 與 LSTM。
- 自注意力機制啟用 CNN 與隨機森林。
- 加權集成:根據個別模型的性能使用堆疊式加權預測機制組合預測。
- 評估指標:精確率、準確率、F1 分數和召回率。
優點
- 增強特徵選擇的泛化能力。
- 提高對不斷變化的攻擊模式的適應性。
- 透過集成學習和自注意力機制更有效地處理新型攻擊。
總結
本研究提出了一種新穎且強大的 DDoS 攻擊偵測框架,該框架利用深度學習、自注意力機制和集成學習的力量。透過解決現有研究的局限性,該框架在偵測和分類各種 DDoS 攻擊方面提供了更高的準確性和適應性,從而增強了網路安全措施。
Stats
該方法的精確率為 98.71%。
F1 分數為 98.66%。
召回率為 98.63%。
準確率為 98.69%。
訓練集佔預處理後資料的 80%。
測試集佔預處理後資料的 20%。
SA-Enabled CNN with XGBoost 的權重為 0.34。
SA-Enabled CNN with LSTM 的權重為 0.41。
SA-Enabled CNN with Random Forest 的權重為 0.25。
Quotes
“傳統的 DDoS 攻擊偵測方法,例如基於簽章的偵測和速率限制技術,面對複雜且不斷演變的攻擊策略通常無效。”
“基於機器學習 (ML) 的方法通過識別網路流量模式中的異常來偵測 DDoS 攻擊,提供了一種有前景的解決方案。”
“本研究提出了一個新穎的自注意力機制加權集成分類器,用於偵測 DDoS 攻擊。”