基于OCSVM和主動學(xué)習(xí)的DDOS攻擊分布式檢測系統(tǒng).pdf

1、當(dāng)前網(wǎng)絡(luò)的規(guī)模不斷加大，應(yīng)用的普及程度越來越廣，網(wǎng)絡(luò)已經(jīng)深入了我們生活的方方面面，因此網(wǎng)絡(luò)的安全性也受到人們的高度重視。
　　 分布式拒絕服務(wù)攻擊(DDOS)是一種攻擊方法簡單，但危害較大的攻擊方式，它已經(jīng)給政府和企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損失。DDOS攻擊比拒絕服務(wù)攻擊(DOS)造成的損失更大，它通過控制網(wǎng)絡(luò)上眾多的傀儡機(jī)向受害者發(fā)起攻擊，因而加大了檢測難度。對DDOS攻擊的檢測是網(wǎng)絡(luò)安全領(lǐng)域研究的重點(diǎn)。
　　 本文詳細(xì)討論

2、了DDOS攻擊的技術(shù)原理，對DDOS攻擊的檢測方法做了介紹。傳統(tǒng)的誤用檢測機(jī)制無法有效識別DDOS攻擊，因?yàn)橹挥幸徊糠止舴绞骄哂歇?dú)特的協(xié)議特征，還有很多沒有特征的攻擊方法，因此依據(jù)特征碼的檢測方法效果不好?；诹髁拷y(tǒng)計(jì)分析的異常檢測機(jī)制，需要設(shè)定異常的閾值，這個(gè)閾值的大小沒有設(shè)定依據(jù)，而且設(shè)定之后不能動態(tài)更新，也降低了該方法的實(shí)際應(yīng)用效果。用機(jī)器學(xué)習(xí)的方法檢測DDOS攻擊，將攻擊視為分類問題是近年來的研究熱點(diǎn)，它使檢測系統(tǒng)具有了一定的

3、智能性，常用的有神經(jīng)網(wǎng)絡(luò)，數(shù)據(jù)挖掘的方法等。但多數(shù)方法忽略了DDOS攻擊的特點(diǎn)，即攻擊的發(fā)生相對正常網(wǎng)絡(luò)流量較少，要獲取攻擊樣本進(jìn)行標(biāo)注花費(fèi)的成本很大，而且樣本集是不平衡的，它屬于分類領(lǐng)域的單類問題。大多數(shù)學(xué)習(xí)算法都是在有限的樣本集上進(jìn)行訓(xùn)練，訓(xùn)練完成之后不能主動的更新學(xué)習(xí)機(jī)模型，而且對分類的錯(cuò)誤也沒有錯(cuò)誤識別機(jī)制，這樣就不適用于網(wǎng)絡(luò)流這樣實(shí)時(shí)更新不斷變化的樣本集。
　　 為了解決上訴問題，本文使用單類支持向量機(jī)(One cla

4、ss SVM)來檢測DDOS攻擊，它是一種無監(jiān)督的學(xué)習(xí)算法，減少了標(biāo)注樣本的開銷，而且具有良好的泛化性能。為了降低學(xué)習(xí)機(jī)的訓(xùn)練和檢測時(shí)間，使用了主動學(xué)習(xí)的方法。主動挑選信息量最大的樣本加入訓(xùn)練集，通過增量學(xué)習(xí)算法提高了算法的學(xué)習(xí)效率，加入主動錯(cuò)誤識別模塊，可以發(fā)現(xiàn)和糾正分類器的錯(cuò)誤，使學(xué)習(xí)機(jī)具有動態(tài)更新功能，具有實(shí)時(shí)性。因?yàn)楝F(xiàn)在DDOS攻擊具有網(wǎng)絡(luò)協(xié)同性，檢測引擎也要能夠相互通信，共享安全信息，因此，設(shè)計(jì)了一種安全聯(lián)動協(xié)議，用于各檢測引