超球體多類支持向量機及其在DDoS攻擊檢測中的應(yīng)用.pdf_第1頁
已閱讀1頁,還剩159頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、分布式拒絕服務(wù)(DDoS)攻擊通過操縱“僵尸網(wǎng)絡(luò)”,向受害主機發(fā)起海量的垃圾請求,使受害主機完全超過工作負荷而無法響應(yīng)正常用戶的請求,達到拒絕服務(wù)的目的。由于“僵尸網(wǎng)絡(luò)”是由分布在全球的有安全缺陷的主機組成,受到攻擊者的幕后指揮,而且又可用虛假IP地址發(fā)起的攻擊,因此很難通過IP包中的信息來發(fā)現(xiàn)真正的攻擊者,在網(wǎng)絡(luò)上發(fā)起DDoS攻擊對攻擊者而言相對比較安全,使得這種攻擊對Intemet安全造成了極大的威脅。為了遏制DDoS在互聯(lián)網(wǎng)上泛濫

2、,必須對DDoS的防御措施進行研究。若要有效防御DDoS攻擊,首先需要準確地檢測到DDoS。由于DDoS常常使用虛假IP)地址,而TCP/IP協(xié)議并不對IP地址進行認證,因此無法識別哪些包使用了虛假口地址,這就給檢測DDoS帶來了困難。 DDoS檢測已經(jīng)成為網(wǎng)絡(luò)安全的研究熱點,已經(jīng)提出了不少檢測算法。這些算法的一個共同點是,尋找到DDoS攻擊的某個數(shù)值特征,根據(jù)這個數(shù)值特征來反映攻擊是否存在。一方面,由于網(wǎng)絡(luò)流的隨機性和復雜性以

3、及攻擊行為的多樣性使得通過單一特征來檢測DDoS的方法的可靠性受到質(zhì)疑,它們?nèi)菀讓⑼话l(fā)的大流量正常數(shù)據(jù)流也識別為攻擊而造成誤警率過高。為了準確地檢測DDoS,必須使用多個屬性進行檢測。另一方面,為了有效地防御DDoS,要求檢測環(huán)節(jié)能盡可能多地提供攻擊流的信息,例如同時提供攻擊強度、攻擊方式和攻擊協(xié)議的信息。綜合考慮,一種可行的方法是采用多類模式識別的方法,根據(jù)攻擊強度、攻擊方式和攻擊協(xié)議的不同,將攻擊分為24種不同的類型,尋找到一組能區(qū)

4、分各類攻擊的特征向量,然后采集不同類型攻擊的樣本,對多類學習機進行訓練;檢測階段,采集網(wǎng)絡(luò)流的特征數(shù)據(jù),送到訓練好的學習機中進行檢驗,以獲得的類標來判斷是否有攻擊發(fā)生以及相應(yīng)的攻擊強度、攻擊方式和攻擊協(xié)議的信息。 支持向量機(SVM)是基于統(tǒng)計學習理論(SLT)的新型學習機,它集最大間隔超平面、Mercer核、凸二次規(guī)劃、稀疏解和松弛變量等技術(shù)于一身,可以克服傳統(tǒng)學習機的局部最小、維數(shù)災(zāi)難和過學習等問題,是一種性能良好的分類器。

5、標準的SVM是個二分類器,若用SVM解決多類分類問題,需要將SVM擴展到多類。目前的主要思路是將多類問題轉(zhuǎn)化為一系列的二分類問題,然后由多個SVM進行分類,例如常用的1-v-r和1-v-1分類器。這種方法可有效實現(xiàn)多分類功能,但因它是以間接的方式形成的分類能力,需要訓練的SVM數(shù)量較多,所以它們的學習效率不高,不適合類別多、訓練規(guī)模大的問題。因此,間接型多類SVM不適用于DDoS攻擊檢測。 由于DDoS分類類別比較多,需要效率更

6、高的直接型多類學習機。在前人工作的基礎(chǔ)上,建立了直接型多分類器-超球體多類支持向量機(HSMC-SVM),的概念。建立超球的原則是,對某類樣本,在超球半徑盡可能小的情況下,包含該類樣本盡可能多。為每類樣本建立一個超球,N類樣本就建立Ⅳ個超球,在空間中形成像肥皂泡一樣的分類結(jié)構(gòu)。在判決時,測試樣本離哪個超球最近,就屬于那個超球代表的類,這就是HSMC.SVM的分類原理。它是以直接的方式形成分類能力,具有學習容量大、訓練速度快、可擴展性強的

7、優(yōu)點。每個超球的確定相當于求解一個凸二次規(guī)劃(QP)問題,根據(jù)訓練SVM的SMO算法的思想,建立了HSMC.SVM的SMO訓練算法,并給出了“二階逼近”的工作集選擇法,使得訓練速度進一步提高。在加快訓練速度方面,還采用了樣本縮減和核矩陣緩存的策略。通過理論分析已經(jīng)證明,HSMC-SVM的分類誤差有界。實驗表明,HSMC-SVM在訓練和測試速度上較1v-r和1-v-1分類器有較大幅度提高,但分類精度略有下降。 為了進一步提高訓練速

8、度和訓練精度,將最小二乘法引入到HSMC-SVM中,提出了最小二乘超球支持向量機(LSHS-MCSVM)的概念。與HSMC-SVM相比,LSHS-MCSVM在目標函數(shù)中使用了二次函數(shù),將不等式約束改為等式約束,并取消了乘子的取值限制,使得LSHS-MCSVM在乘子搜索和優(yōu)化計算方面速度更快,從而加快了它的整體收斂速度。LSHS-MCSVM的訓練仍可使用SMO算法,在“一階逼近”和“二階逼近”的工作集選擇下,LSHS-MCSVM的收斂速度

9、比基于經(jīng)驗的工作集選擇法有進一步提高。由于都使用球形分類結(jié)構(gòu),LSHS-MCSVM與HSMC-SVM有類似的學習誤差上界。數(shù)值實驗表明,在不降低分類精度的情況下,LSHS-MCSVM比HSMC-SVM有更快的訓練速度,在某些數(shù)據(jù)集上,LSHS-MCSVM還有更高的學習精度。 為了區(qū)分不同類型的攻擊,對DDoS攻擊流進行分析,提取了9維相對值(RV)特征向量。分別將HSMC-SVM和LSHS-MCSVM用于DDoS攻擊檢測。實驗表

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論