基于Attention-GRU的SHDoS攻击检测研究.pdf
《基于Attention-GRU的SHDoS攻击检测研究.pdf》由会员分享,可在线阅读,更多相关《基于Attention-GRU的SHDoS攻击检测研究.pdf(11页珍藏版)》请在咨信网上搜索。
1、NETINFOSECURITY2024年第3期技术研究doi:10.396 9/j.is s n.16 7 1-112 2.2 0 2 4.0 3.0 0 8基于 Attention-GRU 的 SHDoS 攻击检测研究一江魁1,卢帆,苏耀阳,聂伟,(1.深圳大学信息中心,深圳518 0 6 0;2.深圳大学电子与信息工程学院,深圳518 0 6 0)摘要:针对SHDoS发起变频攻击导致阈值检测方案失效的问题,文章提出一种基于Attention-GRU的深度学习模型。该模型首先利用改进的Borderline-SMOTE进行数据平衡处理,然后引入自注意力机制构建双层GRU分类网络,对预处理后的数
2、据进行学习训练,最后对SHDoS攻击流量进行检测。在CICIDS2018数据集和SHDoS自制数据集上进行验证,实验结果表明,文章所提模型的精确率分别为98.7 3%和97.6 4%,召回率分别为96.57%和96.2 7%,相较于未采用自注意力机制的模型,在精确率和召回率上有显著提升,相较于以往采用SMOTE或Borderline-SMOTE进行数据预处理的模型,文章所提模型的性能也是最佳的。关键词:SHDoS攻击;Borderline-SMOTE过采样算法;自注意力机制;门控循环单元中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 3-0 42 7
3、-11中文引用格式:江魁,卢橹帆,苏耀阳,等.基于Attention-GRU的SHDoS 攻击检测研究.信息网络安全,2024,24(3);427-437.英文引用格式:JIANG Kui,LU Lufan,SU Yaoyang,et al.SHDoS Attack Detection Research Based on Attention-GRUJ.Netinfo Security,2024,24(3):427-437.SHDoS Attack Detection Research Based on Attention-GRUJIANG Kuil,LU Lufan,SU Yaoyang,NI
4、E Wei?(1.Information Center,Shenzhen University,Shenzhen 518060,China;2.College of Electronics and InformationEngineering,Shenzhen University,Shenzhen 518060,China)Abstract:Aiming at the problem that SHDoS initiates a frequency conversion attack thatcauses the threshold detection scheme to fail,a de
5、ep learning model based on attention-GRU wasproposed.The model used the improved Borderline-SMOTE for data balance processing firstly,then introduced the self-attention mechanism to build a two-layer GRU classification network,learned and trained the preprocessed data,and analyzed the SHDoS attack t
6、raffic to test finally.Verified by the CICIDS2018 dataset and self-built ShDoS dataset,and the experimental resultsshows that the accuracy rate of the model is 98.73%and 97.64%respectively,the recall rate is96.57%and 96.27%respectively.The model with self-attention mechanism shows significantimprove
7、ment compared to the model without it,compared to other models that use SMOTE orBorderline-SMOTE for data preprocessing,the performance of this model is also the best.Key words:SHDoS attack;Borderline-SMOTE oversampling algorithm;self-attentionmechanism;gated recurrent unit收稿日期:2 0 2 3-0 9-17基金项目:教育
8、部未来网络创新研究与应用项目2 0 2 1FNB01001作者简介:江魁(197 5一),男,安徽,高级工程师,硕士,CCF会员,主要研究方向为网络安全与网络管理;卢槽帆(1997 一),男,广东,硕士研究生,主要研究方向为网络安全;苏耀阳(1998 一),男,广东,硕士研究生,主要研究方向为网络安全;聂伟(197 3一),男,河南,讲师,博士,主要研究方向为计算机网络体系结构、软件定义网络和可编程芯片。通信作者:江魁427NETINFOSECURITY技术研究2024年第3期0引言在网络安全领域,分布式拒绝服务攻击(DistributedDenialofService,DDoS)的攻击难度小
9、、成本低、危害大,是攻击者常用的攻击方式之一。2 0 0 9年,Web网络安全专家RSNAKE提出针对HTTP协议的慢速DDoS攻击Sloworis,该攻击以极低速率向目标服务器发送不完整的HTTP请求,占用其连接资源,导致无法为正常用户提供服务,从而达到攻击目的2 。2 0 10 年OWASP大会上,WONG3等人提出HTTPPOST的攻击方式,通过将Content-Length字段值较大的HTTP请求发往目标服务器,同时以极低速率传输请求数据,从而占用当前连接、消耗目标服务器的连接资源,达到让目标拒绝服务的目的。针对HTTP协议的慢速HTTP拒绝服务(SlowHTTP Denial of
10、Service,SH D o S)攻击随着 Sloworis 和SlowPost的提出逐渐进人研究人员的视野。不同于以往洪泛式DDoS的攻击方式,SHDoS攻击采用慢速占用连接的攻击方式,能够发起不同频率、不同体量数据的变频攻击。变频攻击是一种以不同速度、频率或模式发送恶意流量的攻击方式,通过改变攻击的频率,攻击者尝试绕过防御机制,增强攻击的隐蔽性。SHDoS攻击呈现以下两个特点:1)变频攻击方式根据用户的访问行为、访问习惯发起攻击,因此在数据层面有大量攻击数据处于正常数据与攻击数据的边界地带;2)在非闪拥时刻4,小流量攻击形式使得网络流量中的攻击流量占比较小,导致攻击数据与正常数据在数据集上
11、呈现不平衡的特点,从而极大地增大了服务器对该类攻击的检测难度。针对SHDoS攻击,目前大多数服务器以固定阈值检测的方法进行检测防御。例如,Web应用常用的Apache服务器,在Apache 2.2.15版本之后,能够通过mod_reqtimeout和mod_qos模块中设定固定阈值来检测SHDoS攻击。mod_reqtimeout模块通过设置固定的超时时间检测SHDoS攻击,但攻击者完全可以最大限度利用这个超时时间,甚至根据MinRate参数伪造一定字节数的数据包来增加该超时时间,从而维持长时间连接;mod_qos模块通过限制每个IP连接数、数据包的传输速率等条件防御SHDoS攻击,但攻击者同
12、样能在了解参数设置后,有针对性地设计SHDoS攻击方法,最大限度利用这些限制条件发起有效的SHDoS攻击。本文提出一种基于自注意力机制和门控循环单元(Attention-Gate Recurrent Unit,Attention-GRU)的 SHDoS攻击检测模型,旨在应对SHDoS攻击变频方式的特点和阈值检测方案中存在的问题。该模型改进了边界合成少数过采样技术(Borderline-Synthetic Minority OversamplingTechnique,Bo r d e r l i n e-SM O T E),增加去噪和针对少数类的安全地带过采样两个步骤,以排除噪声样本的干扰,同时
13、最大限度利用少数类的有效信息。此外,模型结合GRU在提取序列特性数据方面的优势和自注意力机制在数据相似性权重分配上的特点,构建了一个高准确性的SHDoS攻击检测模型。1相关工作目前,SHDoS攻击检测方案主要分为两类,一类是基于固定阈值的检测方案5,另一类是基于深度学习的检测方案。HIRAKAWA等人提出一种通过关注每个IP的连接数和持续时间来防御SHDoS攻击的方法,实验结果表明,设置合理的IP连接数和持续时间能够有效抵御多个攻击者的分布式SHDoS攻击。MURALEEDHARANI8等人通过实验得到不同类型的SHDoS攻击所产生的流量模式,并基于此提出一种阈值检测方法。相较于正常的网络流量
14、情况,在发生攻击时,当前网络数据包的窗口大小、连续数据包之间的时间差等都会发生变化,服务器基于该变化通过设定一些参数进行SHDoS攻击检测。上述是基于固定阈值的检测方法,该类检测方法对于单一频率攻击能够达到较好的检测效果,但面对SHDoS变频攻击时,往往存在阈值难以设定的问题。陈旖9 等人针对SHDoS攻击频率变化导致检测精度下降的问题,提出一种基于卷积神经网络(ConvolutionalNeuralNetwork,C NN)的深度学习检测方法,通过对多种攻击频率下的SHDoS攻击进行分析采样、样本清洗、428NETINFOSECURITY2024年第3期技术研究(5)序列转换和序列去重等操作
15、,使得数据样本在多种攻击频率下都有代表性的同时有效避免模型出现过拟合,再基于一维CNN构建分类器进行模型训练,实验结果表明,该文章所提方法能够对频率变化甚至是未知攻击频率的SHDoS攻击有较高的检测准确率。文献9 对频率变化的SHDoS攻击提出深度学习的检测方案,同时取得较好的检测效果,但对于SHDoS攻击数据层面存在的问题没有进行深入研究。因此,对于SHDoS攻击检测的研究,还需要根据其攻击特性提出更有效的检测模型。2针对SHDoS攻击的检测模型本文提出的SHDoS攻击检测模型分为数据预处理、训练和分类3个阶段。1)数据预处理阶段,包括数据标准化、主成分分析(Principal Compon
16、ents Analysis,PCA)降维和改进Borderline-SMOTE算法过采样;2)训练阶段,使用基于自注意力机制的GRU分类模型对预处理数据进行学习训练;3)分类阶段,利用训练好的模型区分正常流量和SHDoS攻击流量。图1展示了模型的整体结构。数据预处理数PBorderli改进据标原C始数据化维过采样2.1数据预处理数据预处理阶段在很大程度上影响着模型的性能,因此在进行模型训练之前,需要对数据进行合理且有效的预处理10 。2.1.1Z-Score标准化数据的原始特征集中存在不同量纲,为了避免后续在k均值计算中不同量纲对距离计算产生影响,需要先进行数据标准化,本文选用Z-Score标
17、准化,如公式(1)公式(3)所示。X1X12X21X22X=LxmlXn2XX=X-Xm其中,m为每条数据流的特征维度;n为样本数量;X为数据集特征所构成的矩阵;Xm为特征矩阵对应的均值,为矩阵X的标准差。2.1.2 PCA降维经过标准化处理后得到相关数据,每条数据流都存在多维特征,各个维度之间具有强相关性,为了减小数据维度的允余,利用PCA方法进行特征降维。PCA方法通过正交变换实现数据的降维,同时使变换后数据间的方差最大,以此降低各个数据维度之间的相关性1。对于样本集组成的特征矩阵T=ti,t2,,t),每个t都是维度为m的特征列向量,让训练分类hhadarAne-准降SMOTE算法X1m
18、X2mn每维特征即特征矩阵的每行进行零均值化,计算过程如公式(4)所示。自注意力机制图1模型整体结构(1)Xm(2)(3)(4)正常流量n攻击流量再计算零均值化后样本的协方差矩阵C,计算过程如公式(5)所示。C-TTTm本文首先求解协方差矩阵C的特征值,2,,以及特征向量(i,2,),然后根据特征值的大小选取前k个特征向量组成矩阵P,最后利用矩阵P与原特征矩阵T相乘得到降维至k维的数据,计算过程如公式(6)所示。T=PT经过Z-Score标准化后,数据特征维度为7 9,再经过PCA降维后,得到的数据维度为16,显著降低了数据维度。(6)429NETINFOSECURITY技术研究2024年第3
19、期2.1.3改进Borderline-SMOTE算法过采样在数据降维后,需要进行数据的平衡化处理。在SHDoS小流量攻击下,攻击流量通常远少于正常流量。如果使用这种不平衡的数据集训练模型,可能导致模型难以有效学习少数类特征,降低分类准确率12 。因此,需要对该类不平衡数据集进行处理,较常用的数据平衡处理算法有SMOTE算法和Borderline-SMOTE算法。SMOTE算法通过在少数类样本及其近邻间进行线性插值,从而生成新样本,解决了不平衡问题13,并根据应用场景有多种变体。Borderline-SMOTE算法是SMOTE算法的一个变体,其将少数类样本细分为边界样本、安全样本和噪声样本,并仅
20、对边界样本插值生成新样本,实现数据平衡14。本文基于Borderline-SMOTE算法进行改进,主要原因为:1)SHDoS攻击模拟正常用户访问行为,产生大量处于正常数据与攻击数据边界地带的攻击数据。Borderline-SMOTE算法通过对少数类边界样本过采样,使模型在构建时包含更多边界数据,从而提高对边界地带的识别能力;2)少数类样本数量较少,含有的有效信息有限。如果过采样仅针对边界样本,将忽略少数类的其他有效信息。因此,本文对Borderline-SMOTE算法进行改进,增加正向小样本的过采样,以充分利用所有少数类的有效信息。改进的Borderline-SMOTE算法具体步骤如下。1)k
21、 近邻计算计算所有样本点与周围样本点的欧氏距离,选取距离最小的k个样本点,将其视为该样本点的k近邻,欧氏距离di如公式(7)所示,x;和x,为两个样本点。di=/Z(x-x,)(7)2)样本去噪对于每个攻击样本,若其k近邻样本均为正常样本,则将其视为噪声;对于每个正常样本,若其k近邻样本均为攻击样本,则将其也视为噪声,并在样本集中删除这些噪声样本。3)攻击样本分类对于攻击样本点的k近邻中,若超过一半为攻击样本,则将其视为安全地带样本;若超过一半为正常样本,则将其视为边界地带样本。4)安全样本少量过采样根据采样倍率ni,从安全样本s,的k近邻中选择S1个正常样本进行线性插值,以生成新的少数类样本
22、,安全样本线性插值的计算过程如公式(8)所示,r为0 1的随机数,d,为从该样本中随机选取的k近邻,0 jK。n,=(1-r)s;+rdj5)边界样本大量过采样根据采样倍率n2,从边界样本L,的k近邻中随机选择S2个样本进行线性插值,以生成新的少数类样本,要特别注意的是,两个采样倍率之和为1。边界样本线性插值的计算方法如公式(9)所示,r为0 1的随机数,d,为从该样本中随机选取的k近邻,0 jK。n;=(l-r)L;+rd,6)合成新数据集将过采样得到的新样本和旧样本进行合成,得到新的平衡数据集。图2 和图3给出了使用改进Borderline-SMOTE算法过采样后的示意图,其中“”表示过采
23、样新生成的少数类样本,L、L2、L对应的3个“”为少数类中的边界样本,Si、S,对应的“”为少数类中的安全样本。在图2 a)中,少数类可以分成3类:1)L、L、L,样本点构成的边界样本;2)Si、S2 样本点构成的安全样本;3)右上角处的噪声样本。图2 b)展示了原始数据集使用改进Borderline-SMOTE算法过采样的过程,包括对L、L、L,少数类边界样本进行大量过采样以及对SI、S,少数类安全样本进行少量过采样,而对原始数据集的右上角处噪声样本则直接去除。图3给出了经过改进Borderline-SMOTE算法过采样后的结果,经过采样后在少数类和多数类的边界地带存在大量新生成的少数类样本
24、,而边界地带之外也有部分地带新生成少量少数类样本,对于噪声样本则不做任何过采样,同时(8)(9)430NETINFOSECURITY2024年第3期技术研究不加人最终的平衡数据集。0多数类样本少数类样本L1L2S1S2a)原始数据集多数类样本V少数类样本LS1b)改进Borderline-SMOTE过采样过程图2 改进Borderline-SMOTE算法过采样过程O多数类样本少数类样本S寸图3改进Borderline-SMOTE算法过采样结果SMOTE算法通过对少数类样本及其k近邻的线性插值生成新的少数类样本,而Borderline-SMOTE算法仅选择边界上的少数类样本进行过采样,以改善样本
25、类别分布并提升模型在边界地带的性能。本文对Borderline-SMOTE算法进行优化,并分析了其有效性,具体如下。1)对于少数类中的安全样本进行过采样。由于小样本数据的偶然性较大,信息量有限,如果忽略安全样本可能导致有价值信息的损失。因此,相较于传统Borderline-SMOTE算法只考虑少数类中边界样本的过采样,本文方法通过少量采样安全地带样本来训练模型,最大限度利用原先样本中的所有有效信息。另外,对于安全样本,本文算法根据采样倍率n从安全样本的k近邻中选择si个正常样本进行线性插值,安全样本的k近邻中包含较少的正常样本,因此采样得到的L3样本数量也较少。X2)在进行少数类样本划分之前进
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Attention GRU SHDoS 攻击 检测 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。