技术报告-基于组合分类器的DDoS攻击流量分布式检测模型.pptVIP

基于组合分类器的DDoS攻击流量分布式检测模型 贾斌 jb_qd2010@bupt.edu.cn 北京邮电大学 网络技术研究院 信息网络中心 2017-5-7 1 2017-5-7 2 互联网大数据时代 趋势：大规模、高速化、复杂化； 特点：数据流量大、数据分组到达频率高； 挑战：高速、大规模互联网业务下异常流量的高效、准确检测 引言 2017-5-7 3 引言（续） DDoS(Distributed Denial of Service)攻击 概念：采用分布式协作的大规模DoS攻击方式，通过联合或控制网络上的若干僵尸主机同时发起攻击，以此产生大规模的数据流量并进入被攻击目标； 目的：消耗计算机系统资源或者网络带宽，致使目标主机服务请求极度拥塞从而无法提供正常的网络服务。 2017-5-7 4 引言（续） DDoS攻击流量检测 目标：高检测率、低误报率； 检测能力：分布式体系架构下对网络流量实时采集及分析处理； 本研究提出一种基于决策树中随机森林算法的用于DDoS攻击流量分布式检测模型，实验结果表明：采用随机森林算法对攻击流量进行的分布式检测，无论是在检测率、正确率、精确率，还是误报率方面均优于Adaboost算法（参考文献[2]）。 2017-5-7 5 2017-5-7 6 传统的集中式攻击流量检测框架 弊端：对攻击流量的分析效率低下，协同处理能力差，不适合实时在线检测； 应对方法：分布式攻击流量检测模型（拓展性好，能够适应网络环境异常监测的动态调整与部署）。 DDoS攻击分布式检测模型设计 2017-5-7 7 DDoS攻击分布式检测模型设计（续） 2017-5-7 8 DDoS攻击分布式检测模型共分为：数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块四部分。 2017-5-7 9 基于组合分类器的随机森林方法 决策树-基分类器 概念：通过对某个训练数据集的学习，以生成能够有效的对测试数据集进行分类的一棵树，它是一种由结点和有向边所组成的层次结构，树中包含三种结点：根结点、内部结点和叶子结点。它所采用的分类属性是自顶向下，直至叶子结点。因此，决策树的每一棵树在开始阶段生成时，数据都集中在根结点上，然后再递归的进行数据分类。 缺点：单棵树，用于单结点或者集中式的攻击流量检测模型；不适合分布式攻击流量检测。 2017-5-7 10 基于组合分类器的随机森林方法（续） 随机森林—组合分类器 定义：随机森林是一个树形分类器的集合，每个基分类器是用CART算法构建的没有经过剪枝的一棵分类回归树，由多棵树所构成的森林的输出策略采取的是针对分类的简单多数投票法。其表示如下：TC: {C (x, α_i), i=1,2,……n}，其中，x 是输入向量，α_i 是独立同分布的随机向量，它决定单棵决策树的生长过程。 2017-5-7 11 随机森林—组合分类器 特点：（1）通过在每个结点处随机选择特征进行分支，使得每棵决策分类树之间的相关性达到最小化，既提高了分类精度，又有效解决了过拟合问题；（2）能预估特征属性在分类中的重要性，由于单棵决策树的生长速度快，所以总体的分类速度快，能高效处理大样本数据，易于实现并行化；（3）对噪声数据具有较强的健壮性。 2017-5-7 12 基于组合分类器的随机森林方法（续） 2017-5-7 13 检测方法基本思想与评价指标 检测方法基本思想 随机森林分布式检测（Random Forest Distributed Detection, RFDD）方法：将随机森林中每一棵决策树，即将k个基分类器分别部署到分布式检测系统中的k个从结点上，从而得到k种分类检测结果；在系统的主结点上建立一个集中分析处理模块，该模块的主要功能是：根据每个基分类器所得到的k种分类检测结果对每条记录进行投票表决，从而得到对网络流量正常与否的最终分类检测结果。 2017-5-7 14 检测方法基本思想与评价指标（续） 评价指标 2017-5-7 15 其中： TP(True Positive): 将攻击流量正确的预测为攻击的记录个数； FP(False Positive): 将正常流量记录错误的预测为攻击的记录个数； TN(True Negative): 将正常流量记录正确的预测为正常的个数； FN(False Negative): 将攻击流量错误的预测为正常的记录个数。 2017-5-7 16 实验及结果分析 2017-5-7 17 检测率 正确率 实验及结果分析（续） 2017-5-7 18 精确率 误报率 附：参考文献 [1] 夏靖波，任高明. 大流识别方法综述[J]. 控制与决策, 2013, 28(6): 801-807. [2] Hu Weiming, Gao