基于節(jié)點路徑重構(gòu)和ELM的無線通信網(wǎng)絡DDoS攻擊源追蹤

摘" 要： 在無線通信網(wǎng)絡中，DDoS攻擊通常涉及大量的攻擊者和惡意節(jié)點，并以多種形式發(fā)起攻擊。攻擊流量經(jīng)過中間節(jié)點和反射/放大攻擊等技術手段后變得更加復雜，追蹤其溯源路徑和確定唯一的攻擊源變得復雜。為此，文中研究基于節(jié)點路徑重構(gòu)和ELM的無線通信網(wǎng)絡DDoS攻擊源追蹤方法。通過正則化方式優(yōu)化ELM的參數(shù)，檢測獲取DDoS攻擊數(shù)據(jù)包；采用路由器標記算法標記DDoS攻擊數(shù)據(jù)包，在無線通信網(wǎng)絡域間重構(gòu)攻擊節(jié)點路徑，獲取DDoS攻擊源位置，完成無線通信網(wǎng)絡DDoS攻擊源追蹤。實驗結(jié)果證明：文中方法可精準檢測獲取DDoS攻擊數(shù)據(jù)包，并完成攻擊數(shù)據(jù)包的標記，且可有效重構(gòu)攻擊節(jié)點路徑，追蹤到DDoS攻擊源。

關鍵詞： 節(jié)點路徑重構(gòu)； ELM； 無線通信網(wǎng)絡； DDoS攻擊源； 正則化； 攻擊數(shù)據(jù)包； 路由器標記； 自治系統(tǒng)

中圖分類號： TN92?34； TP393.08" " " " " " " " " "文獻標識碼： A" " " " " " " " " " 文章編號： 1004?373X（2024）13?0093?04

Tracking of DDoS attack source in wireless communication network

based on node path reconstruction and ELM

FANG Yuxiao， HE Keren

（Changzhou University， Changzhou 213000， China）

Abstract： In wireless communication networks， DDoS （distributed denial of service） attacks usually involve a large number of attackers and malicious nodes， and the attacks are launched in multiple forms. Attack traffic becomes more complex after passing through intermediate nodes and techniques such as reflection/amplification attacks， and tracing its trace path and determining the unique attack source become complicated. Therefore， a tracking method of DDoS attack source in wireless communication network based on node path reconstruction and ELM （extreme learning machine） is studied. By regularization， the ELM parameters are optimized to detect and obtain DDoS attack packets. The router marking algorithm is used to mark DDoS attack packets， reconstruct the attack node path in the wireless communication network domain， obtain the location of DDoS attack source， and complete the tracking of DDoS attack source in the wireless communication network. Experimental results" show that the proposed method can accurately detect and obtain DDoS attack packets， and complete the marking of attack packets. In addition， this method can effectively reconstruct the path of attack nodes and trace the DDoS attack source.

Keywords： node path reconstruction; ELM; wireless communication network; DDoS attack source; regularization; attack packet; router marking; autonomous system

0" 引" 言

無線通信網(wǎng)絡中存在的DDoS攻擊會嚴重影響網(wǎng)絡可靠性，因此迫切需要有效手段及時發(fā)現(xiàn)、追蹤并隔離攻擊源，確保網(wǎng)絡的持續(xù)穩(wěn)定運行[1]。然而，攻擊流量通常會經(jīng)過多個中間節(jié)點傳輸，例如路由器、交換機等，導致攻擊流量的變化和擴散，使得溯源和確定唯一的攻擊源變得復雜，通過第三方節(jié)點來增加攻擊流量，進一步混淆源頭[2?3]。因此，對于DDoS攻擊源的追蹤成為了一個亟待解決的問題。

文獻[4]通過結(jié)合深度學習模型Inception V4的特征提取能力和XGBoost回歸分類器的高效預測性能，實現(xiàn)對無線通信網(wǎng)絡中DDoS攻擊源的準確追蹤。但XGBoost的性能在很大程度上取決于參數(shù)的設置，在復雜多變的無線通信網(wǎng)絡內(nèi)，其攻擊源追蹤精度更低。文獻[5]構(gòu)建通信網(wǎng)絡的知識圖譜，利用層次聚類算法對知識圖譜中的節(jié)點進行聚類分析，通過計算節(jié)點間的相似度和距離，確定攻擊源的位置和路徑。但知識圖譜構(gòu)建過程高度依賴網(wǎng)絡流量、節(jié)點信息以及安全事件等數(shù)據(jù)的準確性和完整性，導致攻擊源追蹤的準確性下降。文獻[6]利用決策樹算法對攻擊源追蹤特征進行學習和分類，構(gòu)建出能夠識別DDoS攻擊流量的決策樹模型，獲取攻擊流量的傳播路徑和攻擊源。條件熵和決策樹對輸入數(shù)據(jù)的質(zhì)量和完整性有較高要求，如果數(shù)據(jù)存在噪聲或篡改等問題，會干擾條件熵的計算和決策樹的構(gòu)建，導致追蹤失效。文獻[7]結(jié)合非線性映射能力和深度神經(jīng)網(wǎng)絡的特征學習能力，引入非線性項，提取網(wǎng)絡流量的深層特征，提高了攻擊源追蹤的準確性。由于深度神經(jīng)網(wǎng)絡的復雜性和對特定數(shù)據(jù)的依賴性，該網(wǎng)絡在復雜多變無線通信網(wǎng)絡內(nèi)的泛化能力受限，從而影響攻擊源追蹤效果。

針對以上研究方法的不足，本文提出基于節(jié)點路徑重構(gòu)和ELM的無線通信網(wǎng)絡DDoS攻擊源追蹤方法，為無線通信網(wǎng)絡DDoS攻擊源追蹤提供了參考和啟示。

1" 無線通信網(wǎng)絡DDoS攻擊源追蹤

1.1" 基于ELM的DDoS攻擊數(shù)據(jù)包檢測

利用極限學習機（Extreme Learning Machine， ELM）檢測無線通信網(wǎng)絡內(nèi)傳輸?shù)臄?shù)據(jù)包，得到DDoS攻擊數(shù)據(jù)包[8?9]，以緩解邊界路由器的負載[10]，節(jié)約標記時間，加快DDoS數(shù)據(jù)包標記效率。令無線通信網(wǎng)絡傳輸?shù)臄?shù)據(jù)包樣本是[X=x1，x2，…，xN]，數(shù)據(jù)包樣本數(shù)量是[N]；在ELM內(nèi)輸入第[j]個數(shù)據(jù)包樣本，DDoS攻擊數(shù)據(jù)包檢測結(jié)果為：

[yj=j=1Mi=1Nrjφwj?xi+bj] （1）

式中：[M]是隱層神經(jīng)元數(shù)量；[rj]是隱層輸出權值；[wj]是輸入神經(jīng)元權值；[φ?]是激活函數(shù)；[bj]是偏置。

令ELM的DDoS攻擊數(shù)據(jù)包檢測結(jié)果的期望輸出是[yj]，為得到最優(yōu)的ELM參數(shù)，需要令[yj]無限接近[yj]。為此，以訓練誤差為目標函數(shù)，求解存在[rj]、[wj]、[bj]令訓練誤差目標函數(shù)[ωj]為：

[ωj=1Nj=1Nyj-yj2] （2）

由于無線通信網(wǎng)絡傳輸?shù)臄?shù)據(jù)包存在噪聲與離群點等問題，導致利用上述方式優(yōu)化ELM參數(shù)時會存在過擬合問題[11]。為解決該問題，引入正則化理論，訓練ELM，獲取最佳的ELM參數(shù)，提升ELM的抗干擾性能。因此，依據(jù)ELM參數(shù)優(yōu)化問題，構(gòu)造拉格朗日方程為：

[Lr，e，α=0.5CAe22+R22-αGR-Y-e] （3）

式中：[e]是訓練誤差；[α]是拉格朗日乘子；[C]是正則化懲罰系數(shù)；[A]是單位對角矩陣；[G]為隱層輸出矩陣。

求解式（3）獲取最終的DDoS攻擊數(shù)據(jù)包檢測結(jié)果[Y]：

[Y=R*=GTAGGTAG+IC] （4）

式中：[I]是單位矩陣；[T]是轉(zhuǎn)置符號。

1.2" 無線通信網(wǎng)絡DDoS攻擊數(shù)據(jù)包標記

在無線通信網(wǎng)絡DDoS攻擊路徑長度接近閾值前，檢測獲取的DDoS攻擊數(shù)據(jù)包完成完整標記邊信息后，便不會繼續(xù)由其余路由器進行標記[12]，同時確保被攻擊目標接收的各路由器標記DDoS攻擊數(shù)據(jù)包的概率完全一致。令無線通信網(wǎng)絡DDoS攻擊數(shù)據(jù)包的攻擊路徑是[Z，U1yi，U2yi，…，Uηyi，V]，發(fā)起DDoS攻擊的不法分子是[Z]；被攻擊目標是[V]；檢測獲取的DDoS攻擊數(shù)據(jù)包[yi]經(jīng)由的全部路由器是[U1yi，U2yi，…，Uηyi]。令[Ulyi]的標記概率是[sl]，被攻擊目標接收[Ulyi]標記的[yi]的概率是[ql]，最大程度縮減了重構(gòu)攻擊節(jié)點路徑時使用的DDoS攻擊數(shù)據(jù)包數(shù)量[13]。令[Z]至[V]的距離是[d]，同時[V]接收各[Ulyi]標記[yi]的概率完全一致，均是[1d]，即[q1=q2=…=qd=1d]，[sl]與[ql]相等，則：

[s1=1-s1s2=1-s11-s2s3=…=1-s11-s2…1-sd-1sd=1d] （5）

利用路由器標記算法標記檢測獲取的DDoS數(shù)據(jù)包的具體步驟如下。

步驟1：計算DDoS數(shù)據(jù)包標記概率[sl]。在[0，1]區(qū)間內(nèi)生成一個隨機數(shù)[λ]，如果[0lt;λ≤sl]，說明可以利用[Ul]標記[yi]。

步驟2：如果[Ul]決定標記[yi]，那么需要查看Flag值，如果[Flag=00]，那么說明[yi]未被標記，此時分割[yi]的IP地址，獲取四段，任意選擇一段在Edge域內(nèi)標記[yi]。如果[0lt;λ≤14]，則標記[yi]的IP地址的0～7 bit信息，同時令[Offset=00]；如果[14lt;λ≤12]，則標記[yi]的IP地址的8～15 bit信息，同時令[Offset=01]；如果[12lt;λ≤34]，則標記[yi]的IP地址的16～23 bit信息，同時令[Offset=10]；如果[34lt;λ≤1]，則標記[yi]的IP地址的24～31 bit信息，同時令[Offset=11]。其中，F(xiàn)lag用于標記DDoS攻擊數(shù)據(jù)包的特定屬性或狀態(tài)；Offset用于標記DDoS攻擊數(shù)據(jù)在數(shù)據(jù)包中的位置。

步驟3：Edge域設置完成后，劃分[Ul]的IP地址，獲取對應的Hash值，并存至Hash域內(nèi)。如果[Ul]位于邊界，那么令[Flag=10]；反之，令[Flag=01]；Edge指無線通信網(wǎng)絡的邊緣部分。

步驟4：如果[Flag=0]，同時[d=0]，說明[yi]被鄰近[Ul]的上游路由器標記過，無需繼續(xù)標記。

步驟5：在[λgt;sl]的情況下，如果[Flag=0]，同時[d=0]，則令[d=d+1]，轉(zhuǎn)發(fā)[yi]至[V]；反之，直接轉(zhuǎn)發(fā)[yi]至[V]，完成DDoS攻擊數(shù)據(jù)包標記。

1.3" 基于節(jié)點路徑重構(gòu)的DDoS攻擊源追蹤

通過自治系統(tǒng)，結(jié)合DDoS攻擊數(shù)據(jù)包標記結(jié)果，在無線通信網(wǎng)絡域間重構(gòu)攻擊節(jié)點路徑，確定發(fā)起DDoS攻擊的不法分子所在自治域，即DDoS攻擊源位置，完成無線通信網(wǎng)絡DDoS攻擊源追蹤。

無線通信網(wǎng)絡域間重構(gòu)攻擊節(jié)點路徑的具體步驟如下。

步驟1：以樹的形式描繪無線通信網(wǎng)絡，其根節(jié)點屬于被攻擊目標所處自治域[O]。

步驟2：令標記[yi]的[Ul]所處的[O]域和[V]所處的[O]域間的路徑長度是[γ]。以[γ=0]為起點計算Edge值，依據(jù)[U1⊕U2⊕U1=U2]的性質(zhì)，計算前一跳[O]域的域值。

步驟3：按照前一跳[O]域的域值構(gòu)建拓撲圖，同時驗證[O]域的自治號。

步驟4：通過驗證后，在樹內(nèi)添加前一跳[O]域。

步驟5：當[γ]達到閾值時，結(jié)束攻擊節(jié)點路徑重構(gòu)，樹最下層的葉子節(jié)點即發(fā)起DDoS攻擊不法分子所在的[O]域，即DDoS攻擊源位置，完成無線通信網(wǎng)絡DDoS攻擊源追蹤。

2" 實驗分析

以某無線通信網(wǎng)絡為實驗對象，該無線通信網(wǎng)絡的拓撲結(jié)構(gòu)如圖1所示。

圖1中：z1、z2、z3、z4是發(fā)起DDoS攻擊的不法分子；t1、t2、t3、t4是邊緣路由器；t5、t6、t7、t8、t9、t10是中間路由器；z0是被攻擊目標。

該無線通信網(wǎng)絡的相關參數(shù)如表1所示。

利用本文方法對該無線通信網(wǎng)絡傳輸?shù)臄?shù)據(jù)包進行DDoS攻擊數(shù)據(jù)包檢測，在該無線通信網(wǎng)絡傳輸?shù)臄?shù)據(jù)包內(nèi)隨機選擇10個數(shù)據(jù)包，利用本文方法進行DDoS攻擊數(shù)據(jù)包檢測，檢測結(jié)果如表2所示。

分析表2可知，本文方法可有效在無線通信網(wǎng)絡傳輸?shù)臄?shù)據(jù)包內(nèi)檢測獲取DDoS攻擊數(shù)據(jù)包，從檢測結(jié)果中得知，10個數(shù)據(jù)包內(nèi)包含4個DDoS攻擊數(shù)據(jù)包與6個正常數(shù)據(jù)包，表明該方法在區(qū)分正常流量與攻擊流量方面有著良好的表現(xiàn)。檢測結(jié)果與實際情況完全一致，驗證了本文方法的高準確性。在實際應用中，誤報和漏報都可能影響DDoS攻擊源追蹤精度，進而對網(wǎng)絡安全造成嚴重影響。誤報可能導致正常流量被錯誤地阻斷，影響網(wǎng)絡服務的正常提供；而漏報則可能讓攻擊數(shù)據(jù)包逃脫檢測，無法追蹤到DDoS攻擊源，使其繼續(xù)對網(wǎng)絡造成威脅。因此，本文方法的高準確性對于提升無線通信網(wǎng)絡DDoS攻擊源追蹤具有重要意義。

利用本文方法對檢測獲取的DDoS攻擊數(shù)據(jù)包進行標記，DDoS攻擊數(shù)據(jù)包標記結(jié)果如表3所示。

分析表3可知，本文方法可有效標記檢測獲取的DDoS攻擊數(shù)據(jù)包，為后續(xù)DDoS攻擊源追蹤提供有利的支持。

設置該無線通信網(wǎng)絡在傳輸數(shù)據(jù)包時部分DDoS攻擊數(shù)據(jù)包存在信息篡改問題，利用本文方法在DDoS攻擊數(shù)據(jù)包存在信息篡改問題時重構(gòu)攻擊節(jié)點路徑，確定DDoS攻擊源位置，完成DDoS攻擊源追蹤，攻擊節(jié)點追蹤結(jié)果如圖2所示。

從圖2中可以清晰地看到，即使部分DDoS攻擊數(shù)據(jù)包存在信息篡改問題時，本文方法依舊能夠成功重構(gòu)4條攻擊節(jié)點路徑。這些路徑不僅準確地展示了DDoS攻擊數(shù)據(jù)包在無線通信網(wǎng)絡中的傳播軌跡，還提供了攻擊者的位置信息。通過重構(gòu)的攻擊節(jié)點路徑可以確定4個DDoS攻擊者的位置，分別是z1、z2、z3、z4，完成DDoS攻擊源追蹤，追蹤結(jié)果與實際情況相符，這種精確追蹤能力不僅有助于快速采取行動，防止攻擊進一步擴散，還能為后續(xù)的追責和處罰提供有力的證據(jù)。實驗證明本文方法的DDoS攻擊源追蹤精度較高。

3" 結(jié)" 語

本文研究了基于節(jié)點路徑重構(gòu)和ELM的無線通信網(wǎng)絡DDoS攻擊源追蹤方法，通過深入分析無線通信網(wǎng)絡數(shù)據(jù)包，結(jié)合節(jié)點路徑重構(gòu)和ELM的強大學習能力，實現(xiàn)對DDoS攻擊源的準確追蹤。該方法不僅提高了攻擊源追蹤的效率和準確性，也為無線通信網(wǎng)絡的安全防護提供了新的技術手段。

參考文獻

[1] 林兆亮，李晉國，黃潤渴.V2G網(wǎng)絡中基于聯(lián)邦學習和CNN?BiLSTM的DDoS攻擊檢測[J].計算機應用研究，2023，40（1）：272?277.

[2] 周奕濤，張斌，劉自豪.基于多模態(tài)深度神經(jīng)網(wǎng)絡的應用層DDoS攻擊檢測模型[J].電子學報，2022，50（2）：508?512.

[3] 孫濤，蔡江濤，郭政杰，等.SDN環(huán)境下基于動態(tài)閾值的DDoS攻擊檢測方法研究[J].內(nèi)蒙古大學學報（自然科學版），2022，53（1）：98?104.

[4] RAGHUNATH K M K， VENKATESAN V K， VENKATESAN M， et al. XGBoost regression classifier （XRC） model for cyber attack detection and classification using inception V4. [J]. Journal of web engineering， 2022， 21（4）： 1295?1322.

[5] 陳志華，黃志宏.基于知識圖譜的激光通信網(wǎng)絡入侵攻擊源定位方法[J].應用激光，2022，42（7）：118?124.

[6] 傅友，鄒東升.SDN中基于條件熵和決策樹的DDoS攻擊檢測方法[J].重慶大學學報，2023，46（7）：1?8.

[7] RAVEENDRANADH B， TAMILSELVAN S. An accurate attack detection framework based on exponential polynomial kernel?centered deep neural networks in the wireless sensor network [J]. Transactions on emerging telecommunications technologies， 2023， 34（3）： e4726.

[8] 高文龍，周天陽，朱俊虎，等.基于雙向蟻群算法的網(wǎng)絡攻擊路徑發(fā)現(xiàn)方法[J].計算機科學，2022，49（z1）：516?522.

[9] 王飛雪，戴蓉.基于投票ELM和黑洞優(yōu)化的云計算DDoS攻擊檢測[J].西南大學學報（自然科學版），2022，44（8）：205?215.

[10] 徐彬，黃春麟，吳迪，等.面向分布式網(wǎng)絡入侵檢測的實驗測試仿真[J].計算機仿真，2023，40（8）：413?416.

[11] 劉向舉，尚林松，方賢進，等.基于可編程協(xié)議無關報文處理的分布式拒絕服務攻擊檢測[J].計算機應用研究，2022，39（7）：2149?2155.

[12] 謝汶錦，張智斌，張三妞.基于軟件定義網(wǎng)絡的DDoS攻擊檢測方案[J].重慶郵電大學學報（自然科學版），2022，34（6）：1032?1039.

[13] 劉振鵬，王仕磊，郭超，等.軟件定義網(wǎng)絡中基于深度神經(jīng)網(wǎng)絡的DDoS攻擊檢測[J].云南大學學報（自然科學版），2022，44（4）：729?735.