基于深度學(xué)習(xí)的DoS攻擊信息檢測(cè)算法研究

李駿杰

(西安智維尼教育科技有限公司 陜西 西安 710000)

0 引言

通過(guò)物聯(lián)網(wǎng)技術(shù),許多設(shè)備可以實(shí)現(xiàn)與互聯(lián)網(wǎng)互聯(lián),這一技術(shù)正在不斷地改變?nèi)蛭幕?、職業(yè)和人們的生活,由于物聯(lián)網(wǎng)的廣泛使用和設(shè)備的粗獷式發(fā)展,針對(duì)物聯(lián)網(wǎng)的數(shù)據(jù)攻擊也日漸增多,根據(jù)研究人員的預(yù)測(cè),到2025年,拒絕服務(wù)(denial of service,DoS)攻擊總數(shù)將會(huì)達(dá)到2 000萬(wàn)次[1]。目前,連接到物聯(lián)網(wǎng)的設(shè)備數(shù)量已經(jīng)超過(guò)500億,并且數(shù)量還在不斷增長(zhǎng)中,然而在多個(gè)設(shè)備被連接成大型系統(tǒng)的情況下,其安全漏洞巨大,如強(qiáng)制性設(shè)備組成的物聯(lián)網(wǎng)網(wǎng)絡(luò)時(shí)常會(huì)出現(xiàn)連接丟失的情況。為創(chuàng)建安全可靠的物聯(lián)網(wǎng)網(wǎng)絡(luò),必須改進(jìn)現(xiàn)有的安全方案來(lái)保護(hù)遠(yuǎn)程系統(tǒng)數(shù)據(jù),因此必須保證應(yīng)用程序控制、網(wǎng)絡(luò)保護(hù)、訪問(wèn)控制、身份驗(yàn)證、加密以及其他安全因素和措施的正常運(yùn)作,以獲得物聯(lián)網(wǎng)的最佳數(shù)據(jù)安全框架結(jié)構(gòu)[2]。

由于僵尸網(wǎng)絡(luò)的存在,越來(lái)越多的物聯(lián)網(wǎng)設(shè)備會(huì)被濫用于分布式拒絕服務(wù)(distributed denial of service,DDoS)攻擊,如不斷發(fā)展的Mirai框架代碼變種Persirai thingbot感染了許多IP攝像頭,并被惡意行為者濫用于此類攻擊,因此,物聯(lián)網(wǎng)生態(tài)系統(tǒng)需要一個(gè)改進(jìn)的保護(hù)組件以適應(yīng)現(xiàn)有架構(gòu),即使對(duì)現(xiàn)有設(shè)置進(jìn)行改進(jìn)之后,仍然存在許多攻擊模式能夠繞過(guò)各種預(yù)設(shè)保護(hù)風(fēng)險(xiǎn)[3]。為保障無(wú)法檢測(cè)到的攻擊領(lǐng)域,攻擊者會(huì)將加強(qiáng)型DDoS攻擊偽裝成網(wǎng)絡(luò)的IP地址,物聯(lián)網(wǎng)框架的漏洞導(dǎo)致了被Mirai和其他有害的、不可預(yù)知的攻擊所攻擊。因此,研究人員需要對(duì)物聯(lián)網(wǎng)框架進(jìn)行建模,針對(duì)各種情況和漏洞采取不同的策略,這樣才能幫助開發(fā)適用于物聯(lián)網(wǎng)數(shù)據(jù)安全的可實(shí)施策略。

1 物聯(lián)網(wǎng)數(shù)據(jù)安全策略

通過(guò)物聯(lián)網(wǎng)協(xié)調(diào)真實(shí)世界和虛擬互聯(lián)網(wǎng),使得環(huán)境與人類之間建立了協(xié)同作用,因此物聯(lián)網(wǎng)設(shè)備通常使用各種操作設(shè)置。然而在物理和網(wǎng)絡(luò)狀態(tài)下,物聯(lián)網(wǎng)系統(tǒng)活動(dòng)必須積極滿足詳盡的安全要求,在物聯(lián)網(wǎng)框架中測(cè)試安全要求是至關(guān)重要的,而測(cè)試規(guī)模應(yīng)涵蓋大規(guī)模攻擊檢測(cè),所以必須對(duì)網(wǎng)絡(luò)安全進(jìn)行全面評(píng)審,通過(guò)研究人員對(duì)Mirai代碼的幾個(gè)變體、MicroMort模型進(jìn)行計(jì)算,以及對(duì)使用案例、經(jīng)濟(jì)支配影響的分析可知,MicroMort模型將產(chǎn)生物聯(lián)網(wǎng)數(shù)據(jù)風(fēng)險(xiǎn),同時(shí)對(duì)社會(huì)、經(jīng)濟(jì)和技術(shù)效益等都會(huì)造成不可估量的負(fù)面效應(yīng)?；诖搜芯咳藛T在考慮這些主要安全屬性的情況下,為物聯(lián)網(wǎng)網(wǎng)絡(luò)安全提出了開創(chuàng)性的實(shí)施策略。

在物聯(lián)網(wǎng)框架中,網(wǎng)絡(luò)安全的基本屬性之一是保密性,物聯(lián)網(wǎng)設(shè)備可以保存或移動(dòng)敏感數(shù)據(jù),因此必須保護(hù)這些數(shù)據(jù)以防止非法入侵者揭示。軍事、商業(yè)、個(gè)人、患者隱私和與健康檢查相關(guān)的數(shù)據(jù)必須進(jìn)行驗(yàn)證,以防止非法用戶泄露,因?yàn)樗鼈兌际切枰用芴幚淼腫4]。對(duì)于由物聯(lián)網(wǎng)設(shè)備生成的數(shù)據(jù),需要合法實(shí)體進(jìn)行唯一修改,這些數(shù)據(jù)對(duì)于遠(yuǎn)程通信至關(guān)重要且通常會(huì)被傳輸,在這種情況下,完整性和信任度起著至關(guān)重要的作用,有助于克服不可靠的遠(yuǎn)程通信,同時(shí)在通信期間提供修改,并強(qiáng)制進(jìn)行儀器檢查以確保數(shù)據(jù)安全。物聯(lián)網(wǎng)框架必須對(duì)惡意修改進(jìn)行監(jiān)控,對(duì)數(shù)據(jù)源進(jìn)行保護(hù),這是由數(shù)據(jù)源可能會(huì)傳輸結(jié)構(gòu)化查詢語(yǔ)言植入事件而導(dǎo)致的,因此可以通過(guò)數(shù)據(jù)完整性參數(shù)進(jìn)行驗(yàn)證。

在執(zhí)行多個(gè)過(guò)程之前,完成網(wǎng)絡(luò)中元素的表征和認(rèn)證是至關(guān)重要的。然而,不同的物聯(lián)網(wǎng)框架需要不同的驗(yàn)證要求,為了在物聯(lián)網(wǎng)框架中提供強(qiáng)大的保護(hù),需要強(qiáng)有力的確認(rèn),而不是提高適應(yīng)性。在建立認(rèn)證設(shè)計(jì)時(shí),面臨著取舍的重要挑戰(zhàn),其中,物聯(lián)網(wǎng)授權(quán)設(shè)備及其安全性和保密性之間的取舍是一個(gè)顯著的例子,通過(guò)授權(quán),向客戶提供物理設(shè)備和其他特權(quán),并由客戶共同使用計(jì)算設(shè)備收集管理數(shù)據(jù)、人員和系統(tǒng),例如需要有關(guān)倉(cāng)庫(kù)貨物的數(shù)據(jù)檢查人員,對(duì)數(shù)據(jù)應(yīng)該是可訪問(wèn)的,根據(jù)管理授權(quán),所有授權(quán)用戶都可以獲得物聯(lián)網(wǎng)框架中的數(shù)據(jù),這證明了物聯(lián)網(wǎng)框架的排列方式執(zhí)行策略是成功的,而主動(dòng)干擾、拒絕服務(wù)和其他幾種威脅會(huì)導(dǎo)致物聯(lián)網(wǎng)設(shè)備和框架使得用戶無(wú)法使用,所以物聯(lián)網(wǎng)安全策略應(yīng)以保證客戶對(duì)物聯(lián)網(wǎng)設(shè)備的持續(xù)可用性為主要執(zhí)行目標(biāo)。

2 物聯(lián)網(wǎng)安全威脅

物聯(lián)網(wǎng)安全威脅可分為現(xiàn)實(shí)和虛擬兩類,其中虛擬威脅包括主動(dòng)和被動(dòng)兩種。被動(dòng)網(wǎng)絡(luò)威脅是一種潛在的風(fēng)險(xiǎn),在這種風(fēng)險(xiǎn)中,系統(tǒng)通信源以一種獨(dú)特的方式被監(jiān)視,在監(jiān)聽網(wǎng)絡(luò)時(shí),攻擊性用戶可以從所有者以及設(shè)備中收集數(shù)據(jù)。而主動(dòng)威脅導(dǎo)致的攻擊,會(huì)導(dǎo)致拒絕協(xié)助、通信管制、設(shè)計(jì)修改以及物聯(lián)網(wǎng)通信路線結(jié)構(gòu)更改等情況的發(fā)生,在攻擊期間,變化、干擾和干預(yù)被歸為攻擊的分支類屬,各種拒絕服務(wù)攻擊將對(duì)物聯(lián)網(wǎng)產(chǎn)生較大的負(fù)面影響,并且在遠(yuǎn)程通信升級(jí)中,數(shù)據(jù)傳輸容量將重新排列,服務(wù)提供商的資源也會(huì)遭到不可預(yù)估的侵害[5]。當(dāng)多個(gè)IP用于推動(dòng)某些攻擊時(shí),會(huì)大幅消耗網(wǎng)絡(luò)帶寬及系統(tǒng)資源, 使用戶無(wú)法得到正常服務(wù),這些威脅對(duì)物理設(shè)備的危害甚至與設(shè)備損壞所造成的影響相當(dāng)。由于借助物聯(lián)網(wǎng)框架,攝像頭、傳感器和大多數(shù)設(shè)備對(duì)象都是開放性的,使得它們極易被入侵充當(dāng)拒絕服務(wù)攻擊的源頭,因此具有非常大的安全隱患。此外,戰(zhàn)爭(zhēng)、洪水、地震和其他災(zāi)害也會(huì)造成物聯(lián)網(wǎng)數(shù)據(jù)的意外損害。

網(wǎng)絡(luò)中的任何設(shè)備都面臨保密性、完整性和可用性的攻擊。DoS攻擊是專門針對(duì)網(wǎng)絡(luò)資源對(duì)其合法利益相關(guān)者可用性的攻擊,低速拒絕服務(wù)(low-rate denial of service,LDoS)攻擊是DoS攻擊的一種變體,是一種隱蔽的攻擊模式,其本質(zhì)是為了逃避網(wǎng)絡(luò)中DoS攻擊檢測(cè)器的搜索和監(jiān)測(cè),從而進(jìn)行隱蔽性攻擊而達(dá)到破壞網(wǎng)絡(luò)的最終目的,LDoS攻擊的數(shù)據(jù)速率類似于網(wǎng)絡(luò)中合法設(shè)備生成的良性網(wǎng)絡(luò)流量,這使得它們很難被DoS攻擊檢測(cè)器檢測(cè)到破壞痕跡,因此對(duì)于開放性較大的物聯(lián)網(wǎng)而言,LDoS攻擊具備先天優(yōu)勢(shì),由于物聯(lián)網(wǎng)設(shè)備通常以非常低的數(shù)據(jù)速率傳輸數(shù)據(jù),所以LDoS攻擊可能在這種低速網(wǎng)絡(luò)流量情況下存在很長(zhǎng)時(shí)間,這對(duì)物聯(lián)網(wǎng)設(shè)備造成的破壞是不可估量的。

3 數(shù)據(jù)安全算法研究

本文提出了一種靈活的架構(gòu),即采用卷積神經(jīng)網(wǎng)絡(luò)(convolution neural networks,CNN)和隨機(jī)森林(random forests,RF)算法結(jié)合的方式進(jìn)行數(shù)據(jù)訓(xùn)練和數(shù)據(jù)測(cè)試,其中檢測(cè)和緩解過(guò)程與網(wǎng)絡(luò)分離,為了驗(yàn)證算法,實(shí)驗(yàn)使用開源數(shù)據(jù)集,該數(shù)據(jù)集是在僵尸網(wǎng)絡(luò)和正常流量相結(jié)合的環(huán)境下開發(fā)的。由于開源數(shù)據(jù)集文件格式不統(tǒng)一,所以數(shù)據(jù)來(lái)源有多種格式,例如逗號(hào)分隔值.csv和原始的.pcap擴(kuò)展文件格式,通常保存數(shù)據(jù)包的Wireshark程序使用pcap文件,該文件用于檢查網(wǎng)絡(luò)的數(shù)據(jù)特征,為了更快速和有效地打標(biāo)簽,文件會(huì)根據(jù)攻擊的子類別和類別進(jìn)行分類。本實(shí)驗(yàn)使用華為ibook14s筆記本電腦,Win10專業(yè)版64位系統(tǒng),處理器為Intel i7 11870,運(yùn)行內(nèi)存16 GB,實(shí)驗(yàn)中使用NumPy框架和Panda框架進(jìn)行特征選擇和數(shù)據(jù)清洗,使用Keras和scikit-learn框架進(jìn)行數(shù)據(jù)分析[6-7]。本文提出的算法如下圖1所示,其中圖1(a)為訓(xùn)練流程圖,圖1(b)為測(cè)試流程圖,為了驗(yàn)證算法的有效性,本文對(duì)CNN進(jìn)行數(shù)據(jù)集特征值提取,在框架中選擇適用性結(jié)構(gòu)進(jìn)行數(shù)據(jù)分析,并采用交錯(cuò)矩陣對(duì)算法計(jì)算數(shù)據(jù)進(jìn)行4階數(shù)據(jù)分割,正交處理后剔除偏移量較大的數(shù)據(jù),并再次進(jìn)行卷積處理,由此驗(yàn)證算法在標(biāo)準(zhǔn)數(shù)據(jù)集中的可行性和準(zhǔn)確性。

圖1 算法流程示意圖

由圖1可知,訓(xùn)練算法流程如圖1(a)所示,選取標(biāo)準(zhǔn)級(jí)數(shù)據(jù)庫(kù),將訓(xùn)練數(shù)據(jù)輸入到算法解析計(jì)算儲(chǔ)備庫(kù)中,預(yù)處理進(jìn)行分類,對(duì)同類屬數(shù)據(jù)或規(guī)定分隔條件數(shù)據(jù)按照特征一致性進(jìn)行分類或標(biāo)號(hào),對(duì)同類屬特征進(jìn)行降維計(jì)算,即合并有效特征因子減少特征向量,增加特征標(biāo)注屬性,完成數(shù)據(jù)預(yù)處理步驟,即對(duì)數(shù)據(jù)進(jìn)行核查和清洗,甄別有效訓(xùn)練數(shù)據(jù)和特征缺失補(bǔ)償數(shù)據(jù),通過(guò)判定決策對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行檢驗(yàn),正常則直接加入訓(xùn)練庫(kù),不正常則進(jìn)行深度學(xué)習(xí),采用適合算法進(jìn)行學(xué)習(xí)建模,并對(duì)數(shù)據(jù)相同因子進(jìn)行評(píng)估,如符合評(píng)估結(jié)構(gòu)則更新學(xué)習(xí)建模后的數(shù)據(jù)庫(kù),如不符合評(píng)估結(jié)構(gòu)則剔除數(shù)據(jù),完成一次有效的數(shù)據(jù)甄別錄入和深度學(xué)習(xí)判定的數(shù)據(jù)訓(xùn)練流程。測(cè)試算法流程如圖1(b)所示,在進(jìn)行數(shù)據(jù)檢驗(yàn)步驟前的操作過(guò)程類似于訓(xùn)練算法流程,只是對(duì)不正常數(shù)據(jù)進(jìn)行攻擊類型檢測(cè),對(duì)數(shù)據(jù)的攻擊作用和產(chǎn)生的模型效應(yīng)進(jìn)行測(cè)試,判定數(shù)據(jù)是否具備攻擊特性,即存在超過(guò)閾值的特征因子,且特征因子數(shù)量大于1,同時(shí)對(duì)同類屬攻擊特性進(jìn)行模型判定和評(píng)估,測(cè)試攻擊效應(yīng)和攻擊路徑,從而測(cè)試算法的適用性和檢測(cè)能力。

(1)CNN:CNN的任務(wù)是減少人工神經(jīng)網(wǎng)絡(luò)使用的信息屬性數(shù)量,CNN具有多個(gè)隱藏層、輸出層和輸入層,可以通過(guò)三個(gè)稀疏交互、參數(shù)共享和等變表示的方法來(lái)減少信息因素。減少層之間的關(guān)聯(lián)將增加CNN的可擴(kuò)展性,并改進(jìn)訓(xùn)練時(shí)間的難度。

(2)多層感知機(jī):這是一種神經(jīng)網(wǎng)絡(luò),采用前饋系統(tǒng)和多層感知機(jī),具有許多神經(jīng)和神經(jīng)元,這些神經(jīng)元與權(quán)重神經(jīng)元相連,每個(gè)神經(jīng)元都存在一個(gè)塊,可以計(jì)算和處理激活值,表示從一個(gè)塊到另一個(gè)塊的每個(gè)前身的值以及輸入到輸出。

(3)支持向量機(jī)(support vector machines,SVM):該機(jī)制用于回歸和分類。在后一種類型中,與其他方法相比,展示了更加數(shù)學(xué)上清晰成熟的概念。此外,SVM用于以非線性或線性的方式處理回歸和分類問(wèn)題。

(4)隨機(jī)森林:這種算法被用于分類廣泛的數(shù)據(jù)信息,使用多個(gè)決策樹算法和合并樹,在訓(xùn)練上對(duì)樣本數(shù)據(jù)進(jìn)行分類,分類的最終輸出被選擇為最選定的類。由于本文是對(duì)攻擊進(jìn)行檢測(cè)及攻擊類型識(shí)別,因此本文使用精度和準(zhǔn)確率對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行定量評(píng)估,其定義如表1所示。

表1 混淆矩陣列

TP表示真實(shí)標(biāo)簽為正、預(yù)測(cè)標(biāo)簽為正的個(gè)數(shù),FP表示真實(shí)標(biāo)簽為負(fù)、預(yù)測(cè)標(biāo)簽為正的個(gè)數(shù),FN表示真實(shí)標(biāo)簽為正、預(yù)測(cè)標(biāo)簽為負(fù)的個(gè)數(shù),TN表示真實(shí)標(biāo)簽為負(fù)、預(yù)測(cè)標(biāo)簽為負(fù)的個(gè)數(shù),NUM表示測(cè)試數(shù)據(jù)集的總數(shù),則可得精度和準(zhǔn)確度計(jì)算如公式(1)所示:

(1)

根據(jù)多類數(shù)據(jù)集分類記錄值可知,在CNN算法驗(yàn)證中可以使用接受者操作特征(receiver operating characteristic ,ROC)曲線獲取的測(cè)量數(shù)據(jù)進(jìn)行典型模型閾值設(shè)定,ROC曲線特性涉及真陽(yáng)率參數(shù)和假陽(yáng)率參數(shù),真陽(yáng)率指檢測(cè)出的真陽(yáng)性樣本數(shù)和總真陽(yáng)樣本數(shù)的商值,而假陽(yáng)率指檢測(cè)出的假陽(yáng)性樣本數(shù)和總真陰樣本數(shù)的商值,本文主要對(duì)ROC曲線與坐標(biāo)軸圍成面積(area under curve,AUC)的模型進(jìn)行驗(yàn)證和測(cè)試,CNN算法測(cè)試中接收工作特征曲線如圖2所示。

圖2 CNN算法測(cè)試中接受者操作特征曲線示意圖

圖2中,橫坐標(biāo)為假陽(yáng)率,縱坐標(biāo)為真陽(yáng)率,藍(lán)色曲線為全局混淆矩陣中微平均曲線,紅色曲線為全局混淆矩陣中宏平均曲線,橘色曲線為全局混淆矩陣中0級(jí)曲線,紫色曲線為全局混淆矩陣中1級(jí)曲線,綠色曲線為全局混淆矩陣中2級(jí)曲線,因此,可以從CNN算法驗(yàn)證中得出隨著假陽(yáng)率的增加,真陽(yáng)率也在增加,模型的精度也得到了提高。

4 結(jié)語(yǔ)

本文針對(duì)目前物聯(lián)網(wǎng)應(yīng)用技術(shù)的發(fā)展,對(duì)物聯(lián)網(wǎng)數(shù)據(jù)安全和數(shù)據(jù)傳輸過(guò)程中的攻擊問(wèn)題進(jìn)行了分析和研究,首先對(duì)物聯(lián)網(wǎng)應(yīng)用設(shè)備在數(shù)據(jù)傳輸中應(yīng)對(duì)數(shù)據(jù)攻擊和管理服務(wù)攻擊情況進(jìn)行了闡述,其次對(duì)物聯(lián)網(wǎng)數(shù)據(jù)安全現(xiàn)狀和目前有效的安全策略、面臨威脅進(jìn)行了針對(duì)性介紹,說(shuō)明了LDoS攻擊的特殊性,可隱蔽性的進(jìn)行數(shù)據(jù)攻擊而跳過(guò)安全檢測(cè),最后提出了先進(jìn)行數(shù)據(jù)預(yù)處理,再進(jìn)行全局混淆交錯(cuò)矩陣進(jìn)行4階數(shù)據(jù)篩選后的模型化CNN算法框架,通過(guò)算法在標(biāo)準(zhǔn)數(shù)據(jù)集按照流程進(jìn)行訓(xùn)練和測(cè)試的表現(xiàn)可知,本文提出的改進(jìn)CNN算法在防止數(shù)據(jù)攻擊時(shí)具備一定的檢測(cè)精度和準(zhǔn)確性,同時(shí)為多算法融合進(jìn)行數(shù)據(jù)攻擊檢測(cè)提供了理論參考價(jià)值。