技術報告-基于組合分類器的ddos攻擊流量分布式檢 _第1頁
已閱讀1頁,還剩19頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、基于組合分類器的DDoS攻擊流量分布式檢測模型,賈斌 jb_qd2010@bupt.edu.cn北京郵電大學 網(wǎng)絡技術研究院 信息網(wǎng)絡中心,2024/3/16,1,2024/3/16,2,互聯(lián)網(wǎng)大數(shù)據(jù)時代趨勢:大規(guī)模、高速化、復雜化;特點:數(shù)據(jù)流量大、數(shù)據(jù)分組到達頻率高;挑戰(zhàn):高速、大規(guī)?;ヂ?lián)網(wǎng)業(yè)務下異常流量的高效、準確檢測,引言,2024/3/16,3,引言(續(xù)),DDoS(Distributed Denial of S

2、ervice)攻擊概念:采用分布式協(xié)作的大規(guī)模DoS攻擊方式,通過聯(lián)合或控制網(wǎng)絡上的若干僵尸主機同時發(fā)起攻擊,以此產(chǎn)生大規(guī)模的數(shù)據(jù)流量并進入被攻擊目標;目的:消耗計算機系統(tǒng)資源或者網(wǎng)絡帶寬,致使目標主機服務請求極度擁塞從而無法提供正常的網(wǎng)絡服務。,2024/3/16,4,引言(續(xù)),DDoS攻擊流量檢測目標:高檢測率、低誤報率;檢測能力:分布式體系架構下對網(wǎng)絡流量實時采集及分析處理;本研究提出一種基于決策樹中隨機森林算法的用于

3、DDoS攻擊流量分布式檢測模型,實驗結果表明:采用隨機森林算法對攻擊流量進行的分布式檢測,無論是在檢測率、正確率、精確率,還是誤報率方面均優(yōu)于Adaboost算法(參考文獻[2])。,2024/3/16,5,2024/3/16,6,傳統(tǒng)的集中式攻擊流量檢測框架弊端:對攻擊流量的分析效率低下,協(xié)同處理能力差,不適合實時在線檢測;應對方法:分布式攻擊流量檢測模型(拓展性好,能夠適應網(wǎng)絡環(huán)境異常監(jiān)測的動態(tài)調整與部署)。,DDoS攻擊分布式

4、檢測模型設計,2024/3/16,7,DDoS攻擊分布式檢測模型設計(續(xù)),2024/3/16,8,DDoS攻擊分布式檢測模型共分為:數(shù)據(jù)采集模塊、數(shù)據(jù)預處理模塊、分布式分類檢測模塊和報警響應模塊四部分。,2024/3/16,9,基于組合分類器的隨機森林方法,決策樹-基分類器概念:通過對某個訓練數(shù)據(jù)集的學習,以生成能夠有效的對測試數(shù)據(jù)集進行分類的一棵樹,它是一種由結點和有向邊所組成的層次結構,樹中包含三種結點:根結點、內(nèi)部結點和葉子結

5、點。它所采用的分類屬性是自頂向下,直至葉子結點。因此,決策樹的每一棵樹在開始階段生成時,數(shù)據(jù)都集中在根結點上,然后再遞歸的進行數(shù)據(jù)分類。缺點:單棵樹,用于單結點或者集中式的攻擊流量檢測模型;不適合分布式攻擊流量檢測。,2024/3/16,10,基于組合分類器的隨機森林方法(續(xù)),隨機森林—組合分類器定義:隨機森林是一個樹形分類器的集合,每個基分類器是用CART算法構建的沒有經(jīng)過剪枝的一棵分類回歸樹,由多棵樹所構成的森林的輸出策略采取

6、的是針對分類的簡單多數(shù)投票法。其表示如下:TC: {C (x, α_i), i=1,2,……n},其中,x 是輸入向量,α_i 是獨立同分布的隨機向量,它決定單棵決策樹的生長過程。,2024/3/16,11,隨機森林—組合分類器特點:(1)通過在每個結點處隨機選擇特征進行分支,使得每棵決策分類樹之間的相關性達到最小化,既提高了分類精度,又有效解決了過擬合問題;(2)能預估特征屬性在分類中的重要性,由于單棵決策樹的生長速度快,所以總體的

7、分類速度快,能高效處理大樣本數(shù)據(jù),易于實現(xiàn)并行化;(3)對噪聲數(shù)據(jù)具有較強的健壯性。,2024/3/16,12,基于組合分類器的隨機森林方法(續(xù)),2024/3/16,13,檢測方法基本思想與評價指標,檢測方法基本思想 隨機森林分布式檢測(Random Forest Distributed Detection, RFDD)方法:將隨機森林中每一棵決策樹,即將k個基分類器分別部署到分布式檢測系統(tǒng)中的k個從結點上,從而得到k種分類檢

8、測結果;在系統(tǒng)的主結點上建立一個集中分析處理模塊,該模塊的主要功能是:根據(jù)每個基分類器所得到的k種分類檢測結果對每條記錄進行投票表決,從而得到對網(wǎng)絡流量正常與否的最終分類檢測結果。,2024/3/16,14,檢測方法基本思想與評價指標(續(xù)),評價指標,2024/3/16,15,精確率:𝑃𝑟𝑒𝑐𝑖𝑠𝑖𝑜w

9、899;= 𝑇𝑃 𝑇𝑃+𝐹𝑃 誤報率:𝐹𝐴𝑅= 𝐹𝑃 𝐹𝑃+𝑇𝑁 檢測率:𝐷𝑅= 𝑇𝑃 𝑇𝑃+

10、19865;𝑁 準確率:𝐴𝑐𝑐𝑢𝑟𝑎𝑐𝑦= 𝑇𝑃+𝑇𝑁 𝑇𝑃+𝐹𝑃+𝑇𝑁+𝐹𝑁,其中:TP(True

11、 Positive): 將攻擊流量正確的預測為攻擊的記錄個數(shù); FP(False Positive): 將正常流量記錄錯誤的預測為攻擊的記錄個數(shù);TN(True Negative): 將正常流量記錄正確的預測為正常的個數(shù);FN(False Negative): 將攻擊流量錯誤的預測為正常的記錄個數(shù)。,2024/3/16,16,實驗及結果分析,2024/3/16,17,檢測率,正確率,實驗及結果分析(續(xù)),2024/3/16,18,

12、精確率,誤報率,附:參考文獻,[1] 夏靖波,任高明. 大流識別方法綜述[J]. 控制與決策, 2013, 28(6): 801-807.[2] Hu Weiming, Gao Jun, Wang Yanguo, et al. Online Adaboost-Based Parameterized Methods for Dynamic Distributed Network Intrusion Detection [J]. IEEE

13、 Transactions on Cybernetics, 2014, 44(1): 66-82.[3] 董師師,黃哲學. 隨機森林理論淺析[J]. 集成技術,2013, 2(1): 1-7.[4] 方匡南,吳見彬,朱建平,等. 隨機森林研究方法綜述[J]. 統(tǒng)計與信息論壇,2011, 26(3): 32-38.[5] A. Verikas, A. Gelzinis, M. Bacauskiene. Mining data wit

14、h random forests: A survey and results of new tests [J]. Pattern Recognition, 2011, 44(2): 330-349.[6] 周志華. 機器學習 [M]. 北京:清華大學出報社,2016.[7] 王愛平,萬國偉,程志全,等. 支持在線學習的增量式極端隨機森林分類器[J]. 軟件學報,2011, 9(22): 2059-2074.[8] 郭春. 基于數(shù)據(jù)

15、挖掘的網(wǎng)絡入侵檢測關鍵技術研究[D]. 北京:北京郵電大學計算機學院,2014.[9] Chun Guo, Yajian Zhou, Yuan Ping, et al. A distance sum-based hybrid method for intrusion detection [J]. Applied Intelligence, 2014, 40(1): 178-188.[10]曹正鳳. 隨機森林算法優(yōu)化研究[D]. 北京

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論