白堅鏡，顧瑞春，劉清河

(內(nèi)蒙古科技大學(xué)信息工程學(xué)院，內(nèi)蒙古 包頭 014010)

1 引言

隨著 5G的推廣應(yīng)用和物聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，萬物互聯(lián)已成為技術(shù)發(fā)展和產(chǎn)業(yè)應(yīng)用的必然趨勢[1]。軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)憑借其靈活的網(wǎng)絡(luò)配置、強(qiáng)大的網(wǎng)絡(luò)編程接口等優(yōu)點[2]成為5G時代網(wǎng)絡(luò)發(fā)展的趨勢。但是，這種集中式的管理方式使得SDN控制器成為分布式拒絕服務(wù)DDoS(Distributed Denial of Service)攻擊的薄弱環(huán)節(jié)。

據(jù)騰訊安全和綠盟科技團(tuán)隊聯(lián)合發(fā)布的2021上半年全球DDoS威脅報告[3]，隨著云計算、大數(shù)據(jù)以及5G的快速普及，DDoS攻擊已經(jīng)連續(xù)4年呈高速增長的態(tài)勢。報告統(tǒng)計，僅在2021年上半年就發(fā)生了8起大型DDoS攻擊事件。由此可見，在大流量前提下實現(xiàn)DDoS攻擊的檢測與緩解是非常有必要的。

基于機(jī)器學(xué)習(xí)的DDoS攻擊檢測和基于閾值的DDoS攻擊檢測是目前SDN網(wǎng)絡(luò)中最常用的2種DDoS攻擊檢測方法[4]。但是，這2種檢測方法容易受流量特征大小等因素的影響，可能會產(chǎn)生一定程度的誤報?，F(xiàn)有的研究已經(jīng)開始將深度學(xué)習(xí)運(yùn)用到DDoS攻擊檢測方面。作為當(dāng)前熱門研究方向之一，深度學(xué)習(xí)在大數(shù)據(jù)時代針對海量數(shù)據(jù)進(jìn)行分析運(yùn)算的能力上限很高，能夠有效提高檢測的準(zhǔn)確率。

因此，深度學(xué)習(xí)也是本文檢測方法的首選?；陂L短期記憶LSTM(Long Short-Term Memory)網(wǎng)絡(luò)在檢測時可以兼顧全局信息這一特點，本文選擇以LSTM網(wǎng)絡(luò)為基礎(chǔ)構(gòu)建檢測方案?？紤]到5G背景下超高流量會帶來更為嚴(yán)重的DDoS攻擊威脅，本文在檢測之前加入了攻擊緩解環(huán)節(jié)，將邊緣計算的思想融入檢測模型中，利用邊緣設(shè)備對數(shù)據(jù)流進(jìn)行分流，緩解網(wǎng)絡(luò)壓力，在邊緣設(shè)備利用訓(xùn)練好的小型神經(jīng)網(wǎng)絡(luò)模型進(jìn)行攻擊檢測。該方案保證了檢測的準(zhǔn)確率，有效保護(hù)了5G時代大數(shù)據(jù)沖擊下的網(wǎng)絡(luò)安全。

2 研究現(xiàn)狀

近年來，許多研究人員針對DDoS攻擊檢測進(jìn)行了深入的研究。Fang等人[5]研究總結(jié)了基于域名系統(tǒng)DNS(Domain Name System)的DDoS攻擊檢測和防御方法，深入了解了基于DNS的DDoS攻擊，分析和總結(jié)了攻擊的特點和防御方法，并且討論了攻擊的分類，進(jìn)一步拓展了對DDoS攻擊的認(rèn)識，從檢測和容量增強(qiáng)的角度分析了目前的研究成果，且認(rèn)為未來的研究重點應(yīng)該放在物聯(lián)網(wǎng)的DDoS攻擊上。Erha等人[6]提出了一種基于統(tǒng)計學(xué)方法的DDoS攻擊檢測方案，并提出了2種簡單有效的基于網(wǎng)絡(luò)的和基于統(tǒng)計信號處理的DDoS攻擊檢測方法，最終達(dá)到了98%的真陽性率和0.34%的假陽性率。其中，第1種方法是按時間間隔劃分初始數(shù)據(jù)集并使用K-means算法進(jìn)行攻擊檢測，在受到DDoS攻擊時發(fā)出警報；第2種方法利用了高斯和總體監(jiān)管框架等常用于攻擊和流量建模領(lǐng)域的假設(shè)檢驗，對窗口向量進(jìn)行了唯一的量綱化，當(dāng)DDoS攻擊進(jìn)入窗口時，窗口將被攻擊中斷，以此達(dá)到檢測目的。Tayfour等人[7]提出了SDN中DDoS的檢測和緩解方法，該方法由分類器模塊、緩解模塊和協(xié)作模塊組成。使用集成的分類器檢測DDoS攻擊，在NSL-KDD(New SampLing-Knowledge Discovery in Database)等數(shù)據(jù)集上[8]驗證了分類器的有效性，并用實驗結(jié)果證明所提方法性能優(yōu)于單一分類法的，誤報率較低。還有較多研究人員對DDoS的檢測和緩解進(jìn)行了大量研究，如Yu等人[9,10]討論了檢測和緩解DDoS攻擊的無效性，并創(chuàng)新性地提出了一種自動化工具，該工具可以利用機(jī)器學(xué)習(xí)根據(jù)流量的行為特征調(diào)整檢測和緩解；Cui等人[11]使用認(rèn)知啟發(fā)算法和支持向量機(jī)SVM(Support Vector Machine)分類算法實現(xiàn)了DDoS攻擊檢測，但檢測的準(zhǔn)確性還需進(jìn)一步提升。

萬物互聯(lián)的網(wǎng)絡(luò)環(huán)境帶來了數(shù)以億計的數(shù)據(jù)，且隨著技術(shù)發(fā)展，發(fā)起DDoS攻擊的方式變得越來越自動化[12]。在這種場景下，發(fā)起DDoS攻擊成本低，但造成的危害極大。目前的相關(guān)方案未能很好地契合5G發(fā)展浪潮，未能兼顧到SDN網(wǎng)絡(luò)中遭受DDoS攻擊時網(wǎng)絡(luò)保護(hù)和檢測精度。在SDN中，控制平面是DDos攻擊的薄弱一環(huán)，在數(shù)據(jù)包到達(dá)控制平面前，數(shù)據(jù)包是在數(shù)據(jù)平面上轉(zhuǎn)發(fā)的，數(shù)據(jù)平面由許多SDN交換機(jī)構(gòu)成，而這些交換機(jī)多數(shù)均具有獨(dú)立CPU，且這些CPU的算力并未得到充分利用[13]。如果能利用這些交換機(jī)的空閑算力，將龐大的DDoS攻擊流量分散，在各個交換機(jī)上逐個擊破，不但能加快檢測速度，還能有效保持網(wǎng)絡(luò)的穩(wěn)定，使SDN網(wǎng)絡(luò)在DDoS攻擊流的沖擊下免遭崩盤。

在前期部分研究工作的啟發(fā)下，基于以上思考，結(jié)合目前較新的深度學(xué)習(xí)方法并引入邊緣計算，本文提出了一種基于雙向長短期記憶Bi-LSTM(Bidirectional-Long Short Term Memory)神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測方案。該方案充分利用SDN網(wǎng)絡(luò)中交換機(jī)的空閑算力，通過在交換機(jī)上部署輕量級神經(jīng)網(wǎng)絡(luò)完成DDoS攻擊檢測。綜合考慮對SDN網(wǎng)絡(luò)的保護(hù)和DDoS攻擊檢測的準(zhǔn)確性等因素，該方案兼顧了DDoS攻擊的檢測與緩解。本文的具體工作如下：

(1)提出一種輕量級分布式邊緣計算架構(gòu)OCM(Only Care Myself)，使得交換機(jī)的分流算法設(shè)計簡單化且分流更有效率。在算力有限的邊緣交換機(jī)設(shè)備上部署基于Bi-LSTM的輕量級神經(jīng)網(wǎng)絡(luò)完成DDoS攻擊檢測，兼顧檢測精度和檢測速率；

(2)將SDN網(wǎng)絡(luò)中的數(shù)據(jù)平面交換機(jī)作為邊緣設(shè)備，利用它們的空閑算力對龐大的DDoS攻擊流進(jìn)行分流處理，減輕控制器壓力，緩解DDoS攻擊；

(3)同時考慮SDN網(wǎng)絡(luò)中DDoS攻擊的緩解與檢測，提升網(wǎng)絡(luò)的安全性與可用性。

本文其余部分組織如下：第3節(jié)詳細(xì)介紹本文提出的方案；第4節(jié)進(jìn)行實驗并評估，包括數(shù)據(jù)集處理、模型性能評價指標(biāo)的選擇以及實驗結(jié)果；第5節(jié)是本文的結(jié)論。

3 基于Bi-LSTM的檢測方案

如上所述，DDoS攻擊是當(dāng)前網(wǎng)絡(luò)世界最重要的安全威脅之一，它利用大量被攻擊主機(jī)對攻擊對象發(fā)起協(xié)同攻擊。在SDN網(wǎng)絡(luò)中，DDoS攻擊的主要目標(biāo)是控制器，其目的是使SDN網(wǎng)絡(luò)出現(xiàn)單點故障SPF(Single Point of Failure)[14]，此時控制器與數(shù)據(jù)平面失去聯(lián)系，無法為轉(zhuǎn)發(fā)的數(shù)據(jù)包提供服務(wù)，整個SDN網(wǎng)絡(luò)也就隨之陷入癱瘓狀態(tài)。

針對SDN控制平面集中管理易造成單點故障這一特性，首要考慮在數(shù)據(jù)流到達(dá)SDN控制器前對數(shù)據(jù)流進(jìn)行處理，在保證網(wǎng)絡(luò)安全的前提下對數(shù)據(jù)流進(jìn)行DDoS攻擊檢測。SDN交換機(jī)通過流表進(jìn)行數(shù)據(jù)流的轉(zhuǎn)發(fā)操作且擁有一定的計算能力，在數(shù)據(jù)流到達(dá)控制器前可以作為很好的分流工具用以緩解DDoS攻擊。通過對DDoS攻擊特點和SDN網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，本文所提方案的攻擊緩解和檢測機(jī)制為：當(dāng)DDoS攻擊流進(jìn)入SDN網(wǎng)絡(luò)時，利用交換機(jī)對攻擊流不斷進(jìn)行分流，減輕網(wǎng)絡(luò)壓力，并對分流后的數(shù)據(jù)流進(jìn)行分析處理，甄別是否為攻擊流，方案流程圖如圖1所示。該方案充分利用了SDN交換機(jī)的空閑算力，避免SDN網(wǎng)絡(luò)中出現(xiàn)單點故障從而導(dǎo)致網(wǎng)絡(luò)不可用的情況。

Figure 1 Flowchart of the proposed scheme 圖1 本文所提方案流程圖

本文基于Bi-LSTM構(gòu)建神經(jīng)網(wǎng)絡(luò)模型對DDoS攻擊進(jìn)行檢測，使用的數(shù)據(jù)量較為龐大，檢測準(zhǔn)確率比較客觀，但模型訓(xùn)練時耗時較長無法避免。在實際應(yīng)用中，DDoS攻擊檢測需要達(dá)到較高的檢測準(zhǔn)確性，同時還需兼顧檢測效率。以此為啟發(fā)，本文對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行分流，以保證攻擊檢測的速度，在分流后數(shù)據(jù)量不影響檢測準(zhǔn)確率的前提下利用訓(xùn)練好的模型進(jìn)行DDoS攻擊檢測，該檢測模型示意圖如圖2所示。

Figure 2 Schematic diagram of detection model圖2 檢測模型示意圖

當(dāng)DDoS攻擊流進(jìn)入圖示SDN網(wǎng)絡(luò)中的某一個交換機(jī)時，數(shù)據(jù)流流經(jīng)的每個交換機(jī)都僅截留部分流量以供檢測。攻擊流根據(jù)轉(zhuǎn)發(fā)規(guī)則被轉(zhuǎn)發(fā)至沿途的其余交換機(jī)上，直至攻擊流被消化完為止，這樣就在實現(xiàn)緩解DDoS攻擊目的的同時給每個交換機(jī)分配好了檢測任務(wù)。在各個交換機(jī)上部署的基于Bi-LSTM的神經(jīng)網(wǎng)絡(luò)模型將對該交換機(jī)截留的數(shù)據(jù)流進(jìn)行攻擊檢測。

3.1 數(shù)據(jù)分流

本文所提的DDoS攻擊檢測方案立足于SDN環(huán)境，利用Mininet[15]搭建拓?fù)浣Y(jié)構(gòu)，選擇RYU控制器[16]對交換機(jī)進(jìn)行調(diào)度，交換機(jī)根據(jù)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則將超過自身算力的部分?jǐn)?shù)據(jù)流轉(zhuǎn)發(fā)至其他有空閑算力的交換機(jī)上，從而實現(xiàn)對攻擊流的分流。

圖3所示為本文搭建的實驗網(wǎng)絡(luò)拓?fù)?。該網(wǎng)絡(luò)拓?fù)渲泄舶?個RYU控制器、8個OF(OpenFlow)交換機(jī)和12個終端主機(jī)h1～h12。該實驗網(wǎng)絡(luò)拓?fù)涞拇罱ɑ赨buntu 18.04.2、網(wǎng)絡(luò)模擬器版本為Mininet 2，且使用RYU控制器。RYU是一種SDN控制器框架，為軟件組件提供了良好的應(yīng)用程序編程接口API(Application Programming Interface)，方便開發(fā)人員創(chuàng)建和管理網(wǎng)絡(luò)和應(yīng)用程序[17]。RYU支持多種管理協(xié)議，如OpenFlow、Netconf和OF-config等。本文采用OpenFlow協(xié)議，即使用應(yīng)用較為廣泛的OpenFlow交換機(jī)，RYU SDN框架(即使用RYU控制器的SDN網(wǎng)絡(luò))如圖4所示。

Figure 3 Experimental network topology圖3 實驗網(wǎng)絡(luò)拓?fù)?/p>

Figure 4 Framework of RYU SDN 圖4 RYU SDN框架圖

SDN控制器依賴SDN環(huán)境的控制平面[15]，可以通過下發(fā)命令來制定交換機(jī)的轉(zhuǎn)發(fā)規(guī)則。本文借助SDN控制器的這一關(guān)鍵功能，實現(xiàn)對攻擊流的分流操作，其偽代碼如算法1所示。

算法1攻擊流分流

輸入：DDoS攻擊流。

輸出：超過自身計算能力的多余流量(第i個交換機(jī))。

Step1攻擊流I進(jìn)入第i個交換機(jī)；

Step2ifIi>Ti

Step3Ni→Ni+1;

Step4Ii+1=Ii-ai;

Step5返回Step 2;/*交換機(jī)將超出閾值的部分攻擊流轉(zhuǎn)發(fā)至下一個交換機(jī)*/

Step6else該交換機(jī)進(jìn)入檢測階段。

算法1中，I為進(jìn)入第i個交換機(jī)的初始攻擊流；Ii為流經(jīng)第i個交換機(jī)的剩余攻擊流；Ti為第i個交換機(jī)算力閾值(該閾值小于算力極限，以免出現(xiàn)突發(fā)狀況導(dǎo)致交換機(jī)無法工作)；Ni為第i個交換機(jī)；ai為第i個交換機(jī)截留的流量大小。

數(shù)據(jù)分流部分僅考慮在SDN網(wǎng)絡(luò)中實現(xiàn)交換機(jī)之間的攻擊流傳遞，每個交換機(jī)都執(zhí)行同樣的轉(zhuǎn)發(fā)規(guī)則：根據(jù)自身算力將超出閾值的部分流量轉(zhuǎn)發(fā)至其他交換機(jī)，每個交換機(jī)只需關(guān)心自身算力情況。本文將該架構(gòu)稱為OCM，為實現(xiàn)OCM架構(gòu)，在實際應(yīng)用中本文在邊緣設(shè)備中添加了一個信號量來標(biāo)志該交換機(jī)當(dāng)前是否有空閑算力，只有在該交換機(jī)無空閑算力時才進(jìn)行轉(zhuǎn)發(fā)，也就是說，本文的分流方案僅在正常轉(zhuǎn)發(fā)流量之前增加了判斷信號量狀態(tài)這一步驟。

3.2 攻擊檢測

進(jìn)行攻擊檢測前，首先將標(biāo)簽“Attack”設(shè)置為0，將“Normal”設(shè)置為1，便于神經(jīng)網(wǎng)絡(luò)進(jìn)行運(yùn)算。然后對攻擊流量進(jìn)行特征提取并對提取到的特征進(jìn)行轉(zhuǎn)換，得到一個m×n′矩陣，其中,m表示數(shù)據(jù)包的數(shù)量，n′表示轉(zhuǎn)換后新特征的數(shù)量。為了學(xué)習(xí)長期和短期模式，本文使用滑動窗口來分離連續(xù)數(shù)據(jù)包，并將數(shù)據(jù)重塑為一系列窗口大小為T的時間窗口。整理后得到了一個(m-T)×T×n′的三維矩陣,如圖5所示。通過這種方式，將傳統(tǒng)的基于數(shù)據(jù)包的特征轉(zhuǎn)換為基于窗口的特征，利用這種特征可以從以前的(T-1)個數(shù)據(jù)包和當(dāng)前數(shù)據(jù)包中學(xué)習(xí)網(wǎng)絡(luò)模式。

Figure 5 Schematic diagram of time window圖5 時間窗口示意圖

考慮到交換機(jī)的算力有限，本文搭建的神經(jīng)網(wǎng)絡(luò)模型只有3個隱含層，第1層為Bi-LSTM結(jié)構(gòu),后2層均為傳統(tǒng)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，模型結(jié)構(gòu)如圖6所示。模型中第1個隱含層神經(jīng)元為LSTM結(jié)構(gòu)，由2個不相關(guān)的LSTM組成(即Bi-LSTM)，分別從向前和向后2個方向進(jìn)行檢測。LSTM解決了循環(huán)神經(jīng)網(wǎng)絡(luò)RNN(Recurrent Neural Network)的梯度消失和梯度爆炸問題，其隱含節(jié)點增加了細(xì)胞狀態(tài)和門結(jié)構(gòu)，可以有選擇地記憶重要信息，遺忘無價值信息，從而提高效率，且在長記憶方面有更好的表現(xiàn)。圖7所示為LSTM的內(nèi)部結(jié)構(gòu)。

Figure 6 Structure of neural network model圖6 神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)

Figure 7 Internal structure of LSTM圖7 LSTM內(nèi)部結(jié)構(gòu)示意

LSTM向前訓(xùn)練過程如式(1)～式(5)所示：

ft=σ(Wf·[ht-1,xt]+bf)

(1)

it=σ(Wf·[ht-1,xt]+bi)

(2)

Ct=ft×Ct-1+it×tanh(WC·[ht-1,xt]+bC)

(3)

ot=σ(Wo·[ht-1,xt]+bo)

(4)

ht=ot×tanh(Ct)

(5)

其中,t表示時刻，it，ot和ft分別表示輸入門、輸出門和遺忘門的輸出值；Ct和ht分別表示每個細(xì)胞的狀態(tài)和輸出；W*和b*分別表示權(quán)重矩陣和偏差向量,σ表示Sigmoid函數(shù)。

Figure 8 Structure diagram of Bi-LSTM圖8 Bi-LSTM結(jié)構(gòu)示意圖

yt的計算方法如式(6)～式(8)所示：

(6)

(7)

(8)

其中,W*和b*分別訓(xùn)練階段學(xué)習(xí)到的權(quán)重矩陣和偏差向量。

4 實驗與結(jié)果分析

4.1 數(shù)據(jù)集與特征選擇

本文采用ISCX(Information Security Centre of eXcellence)的入侵檢測數(shù)據(jù)集ISCXIDS2012[18]對提出的檢測模型進(jìn)行測試和評估。網(wǎng)絡(luò)中的大部分?jǐn)?shù)據(jù)流通過傳輸控制協(xié)議TCP(Transmission Control Protocol)傳輸[19]，在數(shù)據(jù)集中TCP流量是不可或缺的,ISCXIDS2012數(shù)據(jù)集引入了一種生成所需數(shù)據(jù)集的系統(tǒng)方法來滿足這一需求。該數(shù)據(jù)集是基于配置文件的概念生成的，配置文件包含對應(yīng)用程序、協(xié)議或較低級別網(wǎng)絡(luò)實體的入侵和抽象分布模型的詳細(xì)描述。數(shù)據(jù)集分析真實跟蹤以創(chuàng)建代理的配置文件。這些代理為超文本傳輸協(xié)議HTTP(Hyper Text Transfer Protocol)、簡單郵件傳輸協(xié)議SMTP(Simple Mail Transfer Protocol)、TCP、用戶數(shù)據(jù)報協(xié)議UDP(User Datagram Protocol)、生成樹協(xié)議STP(Spanning Tree Protocol)、互聯(lián)網(wǎng)分組交換協(xié)議IPX(Internet Packet eXchange protocol)、地址解析協(xié)議ARP(Address Resolution Protocol)、簡單網(wǎng)絡(luò)管理協(xié)議SNMP(Simple Network Management Protocol)、安全外殼協(xié)議SSH(Secure SHell)、因特網(wǎng)消息訪問協(xié)議IMAP(Internet Message Access Protocol)、郵局協(xié)議版本POP3(Post Office Protocol - Version 3)、文件傳輸協(xié)議FTP(File Transfer Protocol)和Internet控制報文協(xié)議ICMP(Internet Control Message Protocol)等協(xié)議生成真實流量[20]。

ISCXIDS2012數(shù)據(jù)集來自加拿大網(wǎng)絡(luò)安全研究所，由標(biāo)記的網(wǎng)絡(luò)跟蹤組成，包括 pcap 格式的完整數(shù)據(jù)包有效載荷以及相關(guān)配置文件，可供研究人員公開使用，是目前使用較為廣泛的入侵檢測數(shù)據(jù)集之一。該數(shù)據(jù)集包含 7 天正常和惡意的網(wǎng)絡(luò)活動，數(shù)據(jù)樣本量大。在神經(jīng)網(wǎng)絡(luò)研究中，數(shù)據(jù)量的大小一定程度上決定了檢測的準(zhǔn)確性，因此本文選定該數(shù)據(jù)集來進(jìn)行實驗。該數(shù)據(jù)集的流量構(gòu)成如表1所示。ISCXIDS2012數(shù)據(jù)集下載地址為：https://www.unb.ca/cic/datasets/ids.html。

Table 1 Dataset traffic composition表1 數(shù)據(jù)集流量構(gòu)成

ISCXIDS2012數(shù)據(jù)集包含“frame.len”“frame.protocols”“ip.hdr_len”“ip.len”和“ip.flags.rb”等29個特征值，需要刪除數(shù)據(jù)集中無法用于模型訓(xùn)練的特征并對數(shù)據(jù)集進(jìn)行一定的預(yù)處理，然后才能輸入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和測試。本文使用drop()函數(shù)刪除數(shù)據(jù)集中不需要的特征，使用StandardScaler類計算訓(xùn)練集上的平均值和標(biāo)準(zhǔn)差，并對后續(xù)測試集中的數(shù)據(jù)采用與訓(xùn)練集相同的變換。計算平均值以及標(biāo)準(zhǔn)差后，使用fit_transform()函數(shù)對數(shù)據(jù)集進(jìn)行擬合和標(biāo)準(zhǔn)化(歸一化)。在訓(xùn)練和測試集的選擇方面，選擇20%數(shù)據(jù)集作為測試集，80%數(shù)據(jù)集作為訓(xùn)練集。

4.2 模型性能評價指標(biāo)

本文實驗采用準(zhǔn)確率Acc(Accuracy)、損失率loss、查準(zhǔn)率P(Precesion)和查全率R(Recall)等常見性能評價指標(biāo)衡量Bi-LSTM模型的預(yù)測效果，這些評價指標(biāo)的計算公式如式(9)～式(12)所示：

(9)

(10)

(11)

(12)

Acc表示正確區(qū)分正常流量和攻擊流量在總流量中的占比；P表示真實攻擊流量在被判斷為攻擊流量中的占比；R表示被判斷為攻擊流量在真實攻擊流量中的占比。在得到查準(zhǔn)率P和查全率R后，本文引入F1值，它表示查準(zhǔn)率和查全率的調(diào)和平均數(shù)，其計算如式(13)所示：

(13)

4.3 實驗結(jié)果

由于數(shù)據(jù)分流模塊僅考慮數(shù)據(jù)轉(zhuǎn)發(fā)分流問題，因此本文使用hping3工具和iPerf3工具分別生成正常流量和攻擊流量進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)分流實驗，并將正常轉(zhuǎn)發(fā)耗時與加入OCM架構(gòu)后的轉(zhuǎn)發(fā)耗時進(jìn)行了對比，發(fā)現(xiàn)兩者耗時一致，但都增加了信號量的判斷，耗時定然有所增加。為了直觀表達(dá)兩者的細(xì)微差距以及OCM架構(gòu)在5G網(wǎng)絡(luò)中應(yīng)用的合理性，本文在一臺家用4K智能電視上對該判斷語句進(jìn)行了1千萬次循環(huán)操作。該設(shè)備操作系統(tǒng)為Android 5.1，內(nèi)存容量為2 GB，可以作為在5G網(wǎng)絡(luò)萬物互聯(lián)情形下完成本文所提方案的邊緣設(shè)備。表2所示為該設(shè)備在不同狀態(tài)下的1千萬次循環(huán)耗時，每種狀態(tài)進(jìn)行3組實驗。

Table 2 Experiment time 表2 實驗耗時 ms

由表2可知，該設(shè)備不同狀態(tài)下1千萬次循環(huán)操作的平均耗時僅為0.032 5 s，可以預(yù)見增加判斷語句的耗時微乎其微。也就是說，加入OCM架構(gòu)前后的一次轉(zhuǎn)發(fā)耗時基本一致，證明該架構(gòu)可以在正常轉(zhuǎn)發(fā)基礎(chǔ)上以極低的代價完成數(shù)據(jù)的分流，從而達(dá)到緩解DDoS攻擊的目的。

為了驗證所提檢測模型的有效性，本文經(jīng)過120次epoch得出訓(xùn)練集和測試集的準(zhǔn)確率Acc和損失率loss,分別如圖9和圖10所示。從圖中可以看出，在經(jīng)過120次epoch后，訓(xùn)練集和測試集已經(jīng)趨近穩(wěn)定且有較高的準(zhǔn)確率和較低的損失率，訓(xùn)練集最終達(dá)到了99.9%的準(zhǔn)確率和0.3%的損失率，測試集則達(dá)到了99.8%的準(zhǔn)確率和0.74%的損失率。

Figure 9 Accuracies on train set & test set 圖9 訓(xùn)練集&測試集上的準(zhǔn)確率

Figure 10 Loss rates on train set & test set 圖10 訓(xùn)練集&測試集上的損失率

同時，本文通過預(yù)測計算了TP、FP、FN和TN值，其中，TP為239 303；FP為320；FN為633；TN為239 740。根據(jù)以上數(shù)據(jù)給出混淆矩陣的熱圖表示，如圖11所示(預(yù)測集包含6 479 996個數(shù)據(jù))。并利用TP、FP、FN和TN值，計算了本文所提檢測方案的查準(zhǔn)率P、查全率R和F1值，并將本文提出的檢測方案與其他檢測方案進(jìn)行了比較，如RF-SVM[21]、XGBoost[22]、KNN、RNN和LSTM，比較結(jié)果如表3所示。通過表3可以明顯看出，本文方案在查準(zhǔn)率、查全率和F1值方面都有較好的表現(xiàn)，優(yōu)于其他對比方案。

Figure 11 Confusion matrix heat map圖11 混淆矩陣熱圖

Table 3 Comparison of different schemes表3 不同方案的比較 %

由于本文提出的檢測模型要部署于各個邊緣節(jié)點(即SDN交換機(jī))，考慮到交換機(jī)的算力有限，數(shù)據(jù)量不宜過大，因此從數(shù)據(jù)集中隨機(jī)抽取萬分之五的數(shù)據(jù)(包含的數(shù)據(jù)量為1 200個)進(jìn)行實驗。由于每次隨機(jī)抽取的數(shù)據(jù)各不相同，本文進(jìn)行了10次隨機(jī)取樣，使用訓(xùn)練好的模型進(jìn)行測試，計算了這10次測試的準(zhǔn)確率、查準(zhǔn)率和查全率，對10次檢測結(jié)果計算平均值并與抽樣前檢測結(jié)果進(jìn)行對比，對比結(jié)果如圖12所示。通過圖12可以看出，本文提出的檢測模型在數(shù)據(jù)量減小后檢測效果僅有小幅下降，依然可以保證在邊緣節(jié)點進(jìn)行DDoS攻擊檢測的正確率。此外，本文對10次檢測進(jìn)行了程序運(yùn)行速度的監(jiān)測，發(fā)現(xiàn)可以在0.091～0.120 s內(nèi)完成1 200個數(shù)據(jù)的檢測工作。由此可以看出本文提出的模型不僅在正確率方面有保證，同時也保證了在邊緣節(jié)點進(jìn)行攻擊檢測的效率。

Figure 12 Comparison of effects before and after sampling inspection圖12 抽樣檢測前后效果對比圖

5 結(jié)束語

本文提出的基于Bi-LSTM的DDoS攻擊檢測方案，利用LSTM模型的長期記憶特性規(guī)避了RNN模型的缺點，使用2個獨(dú)立的反向LSTM模型組合成為Bi-LSTM模型，將此模型作為整個神經(jīng)網(wǎng)絡(luò)模型的第1層，在ISCXIDS2012數(shù)據(jù)集上實現(xiàn)了對DDoS檢測的高準(zhǔn)確率和低損失率，并在對比實驗中證明了這一點。此外，本文提出了一種在邊緣節(jié)點完成DDoS攻擊檢測的方案，創(chuàng)新性地提出一種輕量級分布式邊緣計算架構(gòu)(OCM)，在正常轉(zhuǎn)發(fā)基礎(chǔ)上以極低的時間損耗完成對數(shù)據(jù)的分流操作，在邊緣交換機(jī)上部署基于Bi-LSTM的輕量級神經(jīng)網(wǎng)絡(luò)模型，利用各個SDN交換機(jī)的空閑算力在SDN網(wǎng)絡(luò)的外圍將DDoS攻擊消弭于無形之中。實驗結(jié)果表明，本文構(gòu)建的基于Bi-LSTM的攻擊檢測模型在DDoS攻擊檢測方面切實可行，且考慮到邊緣節(jié)點算力問題，該模型在低數(shù)據(jù)量情形下也有不錯的表現(xiàn)。在后續(xù)的研究中，將對分流部分和檢測部分進(jìn)一步完善，將這2部分更好地融合，完成分流和檢測的連貫操作，進(jìn)一步提高該模型的整體可用性。