基于集成学习的多类型应用层DDoS攻击检测方法

• •

基于集成学习的多类型应用层DDoS攻击检测方法

李颖之¹,李曼¹,董平²,周华春¹

1. 北京交通大学
2.

收稿日期:2021-09-22 修回日期:2022-01-14 发布日期:2022-04-15
通讯作者: 李颖之
基金资助:
国家重点研发计划项目

Multi-type application layer DDoS attack detection method

Received:2021-09-22 Revised:2022-01-14 Online:2022-04-15

摘要/Abstract

摘要： 摘要: 针对应用层DDoS攻击类型多，难以同时检测等问题，提出了一种基于集成学习的应用层DDoS攻击检测方法，用于检测多类型应用层DDoS攻击类型。首先，数据集生成模块模拟正常和攻击流量，筛选并提取对应的特征信息，生成表征CC、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息；其次，离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练，得到可检测多类型应用层DDoS攻击的检测模型；最后，在线检测模块通过在线部署检测模型判断待检测流量的具体流量类型。实验结果显示，与Bagging、Adaboost和XGBoost构建的分类模型相比，Stacking模型在准确率方面分别提高了0.18%、0.21%和0.19%，且在最优时间窗口下恶意流量检测率达98%。结果表明所提方法对多类型应用层DDoS攻击的检测具有较好性能。

关键词: 多类型, 应用层DDoS攻击, 分布式拒绝服务攻击, 机器学习, 集成学习

Abstract: Abstract: Aiming at the problems that there are many types of application-layer DDoS attacks and it is difficult to detect them, an application-layer DDoS attacks detection method based on integrated learning was proposed to detect multiple types of application-layer DDoS attacks. First, the data set generation module simulated normal and attack traffic, filtered and extracted corresponding characteristic information, and generated 47-dimensional characteristic information that characterized CC, HTTP Flood, HTTP Post and HTTP Get attacks; secondly, the offline training module processed the effective characteristics. After the information was input and integrated, the Stacking detection model was trained to obtain a detection model that can detect multiple types of application-layer DDoS attacks; finally, the online detection module judged the specific traffic type of the traffic to be detected through the detection model deployed online. The experimental results show that, compared with the classification models constructed by Bagging, Adaboost and XGBoost, the Stacking model improves the accuracy by 0.18%, 0.21% and 0.19% respectively, and the malicious traffic detection rate reaches 98% under the optimal time window. It can be seen that the proposed method has good performance in detecting multi-type application layer DDoS attacks.

Key words: Keywords: multiple types, application-layer DDoS attacks, distributed denial of service attacks, machine learning, integrated learning

中图分类号:

TP391. 4

李颖之李曼董平周华春. 基于集成学习的多类型应用层DDoS攻击检测方法[J]. 计算机应用.

[1]	佘维, 李阳, 钟李红, 孔德锋, 田钊. 基于改进实数编码遗传算法的神经网络超参数优化[J]. 《计算机应用》唯一官方网站, 2024, 44(3): 671-676.
[2]	郑毅, 廖存燚, 张天倩, 王骥, 刘守印. 面向城区的基于图去噪的小区级RSRP估计方法[J]. 《计算机应用》唯一官方网站, 2024, 44(3): 855-862.
[3]	龙杰, 谢良, 徐海蛟. 集成的深度强化学习投资组合模型[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 300-310.
[4]	崔昊阳, 张晖, 周雷, 杨春明, 李波, 赵旭剑. 有序规范实数对多相似度K最近邻分类算法[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2673-2678.
[5]	葛晨洋, 刘勤让, 裴雪, 魏帅, 朱正彬. 软件定义网络中高效协同防御分布式拒绝服务攻击的方案[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2477-2485.
[6]	钟静, 林晨, 盛志伟, 张仕斌. 基于汉明距离的量子K-Means算法[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2493-2498.
[7]	蓝梦婕, 蔡剑平, 孙岚. 非独立同分布数据下的自正则化联邦学习优化方法[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 2073-2081.
[8]	黄晓辉, 杨凯铭, 凌嘉壕. 基于共享注意力的多智能体强化学习订单派送[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1620-1624.
[9]	郝劭辰, 卫孜钻, 马垚, 于丹, 陈永乐. 基于高效联邦学习算法的网络入侵检测模型[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1169-1175.
[10]	孙晓飞, 朱静远, 陈斌, 游恒志. 融合多模态数据的药物合成反应的虚拟筛选[J]. 《计算机应用》唯一官方网站, 2023, 43(2): 622-629.
[11]	赵敬涛, 赵泽方, 岳兆娟, 李俊. TenrepNN：集成学习的新范式在企业自律性评价中的实践[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3107-3113.
[12]	张军鹏, 施玉杰, 蒋睿, 董静静, 邱昌建. 基于脑电信号的认知功能障碍识别与分类进展综述[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3297-3308.
[13]	蔡淳豪, 李建良. 小样本问题下培训弱教师网络的模型蒸馏模型[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2652-2658.
[14]	郭一阳, 于炯, 杜旭升, 杨少智, 曹铭. 基于自编码器与集成学习的离群点检测算法[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2078-2087.
[15]	李洪亮, 张弄, 孙婷, 李想. 分布式机器学习作业性能干扰分析与预测[J]. 《计算机应用》唯一官方网站, 2022, 42(6): 1649-1655.