摘" 要： 在無線通信網(wǎng)絡(luò)中，DDoS攻擊通常涉及大量的攻擊者和惡意節(jié)點(diǎn)，并以多種形式發(fā)起攻擊。攻擊流量經(jīng)過中間節(jié)點(diǎn)和反射/放大攻擊等技術(shù)手段后變得更加復(fù)雜，追蹤其溯源路徑和確定唯一的攻擊源變得復(fù)雜。為此，文中研究基于節(jié)點(diǎn)路徑重構(gòu)和ELM的無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤方法。通過正則化方式優(yōu)化ELM的參數(shù)，檢測獲取DDoS攻擊數(shù)據(jù)包；采用路由器標(biāo)記算法標(biāo)記DDoS攻擊數(shù)據(jù)包，在無線通信網(wǎng)絡(luò)域間重構(gòu)攻擊節(jié)點(diǎn)路徑，獲取DDoS攻擊源位置，完成無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤。實(shí)驗(yàn)結(jié)果證明：文中方法可精準(zhǔn)檢測獲取DDoS攻擊數(shù)據(jù)包，并完成攻擊數(shù)據(jù)包的標(biāo)記，且可有效重構(gòu)攻擊節(jié)點(diǎn)路徑，追蹤到DDoS攻擊源。

關(guān)鍵詞： 節(jié)點(diǎn)路徑重構(gòu)； ELM； 無線通信網(wǎng)絡(luò)； DDoS攻擊源； 正則化； 攻擊數(shù)據(jù)包； 路由器標(biāo)記； 自治系統(tǒng)

中圖分類號： TN92?34； TP393.08" " " " " " " " " "文獻(xiàn)標(biāo)識碼： A" " " " " " " " " " 文章編號： 1004?373X（2024）13?0093?04

Tracking of DDoS attack source in wireless communication network

based on node path reconstruction and ELM

FANG Yuxiao， HE Keren

（Changzhou University， Changzhou 213000， China）

Abstract： In wireless communication networks， DDoS （distributed denial of service） attacks usually involve a large number of attackers and malicious nodes， and the attacks are launched in multiple forms. Attack traffic becomes more complex after passing through intermediate nodes and techniques such as reflection/amplification attacks， and tracing its trace path and determining the unique attack source become complicated. Therefore， a tracking method of DDoS attack source in wireless communication network based on node path reconstruction and ELM （extreme learning machine） is studied. By regularization， the ELM parameters are optimized to detect and obtain DDoS attack packets. The router marking algorithm is used to mark DDoS attack packets， reconstruct the attack node path in the wireless communication network domain， obtain the location of DDoS attack source， and complete the tracking of DDoS attack source in the wireless communication network. Experimental results" show that the proposed method can accurately detect and obtain DDoS attack packets， and complete the marking of attack packets. In addition， this method can effectively reconstruct the path of attack nodes and trace the DDoS attack source.

Keywords： node path reconstruction; ELM; wireless communication network; DDoS attack source; regularization; attack packet; router marking; autonomous system

0" 引" 言

無線通信網(wǎng)絡(luò)中存在的DDoS攻擊會嚴(yán)重影響網(wǎng)絡(luò)可靠性，因此迫切需要有效手段及時(shí)發(fā)現(xiàn)、追蹤并隔離攻擊源，確保網(wǎng)絡(luò)的持續(xù)穩(wěn)定運(yùn)行[1]。然而，攻擊流量通常會經(jīng)過多個(gè)中間節(jié)點(diǎn)傳輸，例如路由器、交換機(jī)等，導(dǎo)致攻擊流量的變化和擴(kuò)散，使得溯源和確定唯一的攻擊源變得復(fù)雜，通過第三方節(jié)點(diǎn)來增加攻擊流量，進(jìn)一步混淆源頭[2?3]。因此，對于DDoS攻擊源的追蹤成為了一個(gè)亟待解決的問題。

文獻(xiàn)[4]通過結(jié)合深度學(xué)習(xí)模型Inception V4的特征提取能力和XGBoost回歸分類器的高效預(yù)測性能，實(shí)現(xiàn)對無線通信網(wǎng)絡(luò)中DDoS攻擊源的準(zhǔn)確追蹤。但XGBoost的性能在很大程度上取決于參數(shù)的設(shè)置，在復(fù)雜多變的無線通信網(wǎng)絡(luò)內(nèi)，其攻擊源追蹤精度更低。文獻(xiàn)[5]構(gòu)建通信網(wǎng)絡(luò)的知識圖譜，利用層次聚類算法對知識圖譜中的節(jié)點(diǎn)進(jìn)行聚類分析，通過計(jì)算節(jié)點(diǎn)間的相似度和距離，確定攻擊源的位置和路徑。但知識圖譜構(gòu)建過程高度依賴網(wǎng)絡(luò)流量、節(jié)點(diǎn)信息以及安全事件等數(shù)據(jù)的準(zhǔn)確性和完整性，導(dǎo)致攻擊源追蹤的準(zhǔn)確性下降。文獻(xiàn)[6]利用決策樹算法對攻擊源追蹤特征進(jìn)行學(xué)習(xí)和分類，構(gòu)建出能夠識別DDoS攻擊流量的決策樹模型，獲取攻擊流量的傳播路徑和攻擊源。條件熵和決策樹對輸入數(shù)據(jù)的質(zhì)量和完整性有較高要求，如果數(shù)據(jù)存在噪聲或篡改等問題，會干擾條件熵的計(jì)算和決策樹的構(gòu)建，導(dǎo)致追蹤失效。文獻(xiàn)[7]結(jié)合非線性映射能力和深度神經(jīng)網(wǎng)絡(luò)的特征學(xué)習(xí)能力，引入非線性項(xiàng)，提取網(wǎng)絡(luò)流量的深層特征，提高了攻擊源追蹤的準(zhǔn)確性。由于深度神經(jīng)網(wǎng)絡(luò)的復(fù)雜性和對特定數(shù)據(jù)的依賴性，該網(wǎng)絡(luò)在復(fù)雜多變無線通信網(wǎng)絡(luò)內(nèi)的泛化能力受限，從而影響攻擊源追蹤效果。

針對以上研究方法的不足，本文提出基于節(jié)點(diǎn)路徑重構(gòu)和ELM的無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤方法，為無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤提供了參考和啟示。

1" 無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤

1.1" 基于ELM的DDoS攻擊數(shù)據(jù)包檢測

利用極限學(xué)習(xí)機(jī)（Extreme Learning Machine， ELM）檢測無線通信網(wǎng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)包，得到DDoS攻擊數(shù)據(jù)包[8?9]，以緩解邊界路由器的負(fù)載[10]，節(jié)約標(biāo)記時(shí)間，加快DDoS數(shù)據(jù)包標(biāo)記效率。令無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包樣本是[X=x1，x2，…，xN]，數(shù)據(jù)包樣本數(shù)量是[N]；在ELM內(nèi)輸入第[j]個(gè)數(shù)據(jù)包樣本，DDoS攻擊數(shù)據(jù)包檢測結(jié)果為：

[yj=j=1Mi=1Nrjφwj?xi+bj] （1）

式中：[M]是隱層神經(jīng)元數(shù)量；[rj]是隱層輸出權(quán)值；[wj]是輸入神經(jīng)元權(quán)值；[φ?]是激活函數(shù)；[bj]是偏置。

令ELM的DDoS攻擊數(shù)據(jù)包檢測結(jié)果的期望輸出是[yj]，為得到最優(yōu)的ELM參數(shù)，需要令[yj]無限接近[yj]。為此，以訓(xùn)練誤差為目標(biāo)函數(shù)，求解存在[rj]、[wj]、[bj]令訓(xùn)練誤差目標(biāo)函數(shù)[ωj]為：

[ωj=1Nj=1Nyj-yj2] （2）

由于無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包存在噪聲與離群點(diǎn)等問題，導(dǎo)致利用上述方式優(yōu)化ELM參數(shù)時(shí)會存在過擬合問題[11]。為解決該問題，引入正則化理論，訓(xùn)練ELM，獲取最佳的ELM參數(shù)，提升ELM的抗干擾性能。因此，依據(jù)ELM參數(shù)優(yōu)化問題，構(gòu)造拉格朗日方程為：

[Lr，e，α=0.5CAe22+R22-αGR-Y-e] （3）

式中：[e]是訓(xùn)練誤差；[α]是拉格朗日乘子；[C]是正則化懲罰系數(shù)；[A]是單位對角矩陣；[G]為隱層輸出矩陣。

求解式（3）獲取最終的DDoS攻擊數(shù)據(jù)包檢測結(jié)果[Y]：

[Y=R*=GTAGGTAG+IC] （4）

式中：[I]是單位矩陣；[T]是轉(zhuǎn)置符號。

1.2" 無線通信網(wǎng)絡(luò)DDoS攻擊數(shù)據(jù)包標(biāo)記

在無線通信網(wǎng)絡(luò)DDoS攻擊路徑長度接近閾值前，檢測獲取的DDoS攻擊數(shù)據(jù)包完成完整標(biāo)記邊信息后，便不會繼續(xù)由其余路由器進(jìn)行標(biāo)記[12]，同時(shí)確保被攻擊目標(biāo)接收的各路由器標(biāo)記DDoS攻擊數(shù)據(jù)包的概率完全一致。令無線通信網(wǎng)絡(luò)DDoS攻擊數(shù)據(jù)包的攻擊路徑是[Z，U1yi，U2yi，…，Uηyi，V]，發(fā)起DDoS攻擊的不法分子是[Z]；被攻擊目標(biāo)是[V]；檢測獲取的DDoS攻擊數(shù)據(jù)包[yi]經(jīng)由的全部路由器是[U1yi，U2yi，…，Uηyi]。令[Ulyi]的標(biāo)記概率是[sl]，被攻擊目標(biāo)接收[Ulyi]標(biāo)記的[yi]的概率是[ql]，最大程度縮減了重構(gòu)攻擊節(jié)點(diǎn)路徑時(shí)使用的DDoS攻擊數(shù)據(jù)包數(shù)量[13]。令[Z]至[V]的距離是[d]，同時(shí)[V]接收各[Ulyi]標(biāo)記[yi]的概率完全一致，均是[1d]，即[q1=q2=…=qd=1d]，[sl]與[ql]相等，則：

[s1=1-s1s2=1-s11-s2s3=…=1-s11-s2…1-sd-1sd=1d] （5）

利用路由器標(biāo)記算法標(biāo)記檢測獲取的DDoS數(shù)據(jù)包的具體步驟如下。

步驟1：計(jì)算DDoS數(shù)據(jù)包標(biāo)記概率[sl]。在[0，1]區(qū)間內(nèi)生成一個(gè)隨機(jī)數(shù)[λ]，如果[0lt;λ≤sl]，說明可以利用[Ul]標(biāo)記[yi]。

步驟2：如果[Ul]決定標(biāo)記[yi]，那么需要查看Flag值，如果[Flag=00]，那么說明[yi]未被標(biāo)記，此時(shí)分割[yi]的IP地址，獲取四段，任意選擇一段在Edge域內(nèi)標(biāo)記[yi]。如果[0lt;λ≤14]，則標(biāo)記[yi]的IP地址的0～7 bit信息，同時(shí)令[Offset=00]；如果[14lt;λ≤12]，則標(biāo)記[yi]的IP地址的8～15 bit信息，同時(shí)令[Offset=01]；如果[12lt;λ≤34]，則標(biāo)記[yi]的IP地址的16～23 bit信息，同時(shí)令[Offset=10]；如果[34lt;λ≤1]，則標(biāo)記[yi]的IP地址的24～31 bit信息，同時(shí)令[Offset=11]。其中，F(xiàn)lag用于標(biāo)記DDoS攻擊數(shù)據(jù)包的特定屬性或狀態(tài)；Offset用于標(biāo)記DDoS攻擊數(shù)據(jù)在數(shù)據(jù)包中的位置。

步驟3：Edge域設(shè)置完成后，劃分[Ul]的IP地址，獲取對應(yīng)的Hash值，并存至Hash域內(nèi)。如果[Ul]位于邊界，那么令[Flag=10]；反之，令[Flag=01]；Edge指無線通信網(wǎng)絡(luò)的邊緣部分。

步驟4：如果[Flag=0]，同時(shí)[d=0]，說明[yi]被鄰近[Ul]的上游路由器標(biāo)記過，無需繼續(xù)標(biāo)記。

步驟5：在[λgt;sl]的情況下，如果[Flag=0]，同時(shí)[d=0]，則令[d=d+1]，轉(zhuǎn)發(fā)[yi]至[V]；反之，直接轉(zhuǎn)發(fā)[yi]至[V]，完成DDoS攻擊數(shù)據(jù)包標(biāo)記。

1.3" 基于節(jié)點(diǎn)路徑重構(gòu)的DDoS攻擊源追蹤

通過自治系統(tǒng)，結(jié)合DDoS攻擊數(shù)據(jù)包標(biāo)記結(jié)果，在無線通信網(wǎng)絡(luò)域間重構(gòu)攻擊節(jié)點(diǎn)路徑，確定發(fā)起DDoS攻擊的不法分子所在自治域，即DDoS攻擊源位置，完成無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤。

無線通信網(wǎng)絡(luò)域間重構(gòu)攻擊節(jié)點(diǎn)路徑的具體步驟如下。

步驟1：以樹的形式描繪無線通信網(wǎng)絡(luò)，其根節(jié)點(diǎn)屬于被攻擊目標(biāo)所處自治域[O]。

步驟2：令標(biāo)記[yi]的[Ul]所處的[O]域和[V]所處的[O]域間的路徑長度是[γ]。以[γ=0]為起點(diǎn)計(jì)算Edge值，依據(jù)[U1⊕U2⊕U1=U2]的性質(zhì)，計(jì)算前一跳[O]域的域值。

步驟3：按照前一跳[O]域的域值構(gòu)建拓?fù)鋱D，同時(shí)驗(yàn)證[O]域的自治號。

步驟4：通過驗(yàn)證后，在樹內(nèi)添加前一跳[O]域。

步驟5：當(dāng)[γ]達(dá)到閾值時(shí)，結(jié)束攻擊節(jié)點(diǎn)路徑重構(gòu)，樹最下層的葉子節(jié)點(diǎn)即發(fā)起DDoS攻擊不法分子所在的[O]域，即DDoS攻擊源位置，完成無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤。

2" 實(shí)驗(yàn)分析

以某無線通信網(wǎng)絡(luò)為實(shí)驗(yàn)對象，該無線通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1中：z1、z2、z3、z4是發(fā)起DDoS攻擊的不法分子；t1、t2、t3、t4是邊緣路由器；t5、t6、t7、t8、t9、t10是中間路由器；z0是被攻擊目標(biāo)。

該無線通信網(wǎng)絡(luò)的相關(guān)參數(shù)如表1所示。

利用本文方法對該無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行DDoS攻擊數(shù)據(jù)包檢測，在該無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包內(nèi)隨機(jī)選擇10個(gè)數(shù)據(jù)包，利用本文方法進(jìn)行DDoS攻擊數(shù)據(jù)包檢測，檢測結(jié)果如表2所示。

分析表2可知，本文方法可有效在無線通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包內(nèi)檢測獲取DDoS攻擊數(shù)據(jù)包，從檢測結(jié)果中得知，10個(gè)數(shù)據(jù)包內(nèi)包含4個(gè)DDoS攻擊數(shù)據(jù)包與6個(gè)正常數(shù)據(jù)包，表明該方法在區(qū)分正常流量與攻擊流量方面有著良好的表現(xiàn)。檢測結(jié)果與實(shí)際情況完全一致，驗(yàn)證了本文方法的高準(zhǔn)確性。在實(shí)際應(yīng)用中，誤報(bào)和漏報(bào)都可能影響DDoS攻擊源追蹤精度，進(jìn)而對網(wǎng)絡(luò)安全造成嚴(yán)重影響。誤報(bào)可能導(dǎo)致正常流量被錯(cuò)誤地阻斷，影響網(wǎng)絡(luò)服務(wù)的正常提供；而漏報(bào)則可能讓攻擊數(shù)據(jù)包逃脫檢測，無法追蹤到DDoS攻擊源，使其繼續(xù)對網(wǎng)絡(luò)造成威脅。因此，本文方法的高準(zhǔn)確性對于提升無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤具有重要意義。

利用本文方法對檢測獲取的DDoS攻擊數(shù)據(jù)包進(jìn)行標(biāo)記，DDoS攻擊數(shù)據(jù)包標(biāo)記結(jié)果如表3所示。

分析表3可知，本文方法可有效標(biāo)記檢測獲取的DDoS攻擊數(shù)據(jù)包，為后續(xù)DDoS攻擊源追蹤提供有利的支持。

設(shè)置該無線通信網(wǎng)絡(luò)在傳輸數(shù)據(jù)包時(shí)部分DDoS攻擊數(shù)據(jù)包存在信息篡改問題，利用本文方法在DDoS攻擊數(shù)據(jù)包存在信息篡改問題時(shí)重構(gòu)攻擊節(jié)點(diǎn)路徑，確定DDoS攻擊源位置，完成DDoS攻擊源追蹤，攻擊節(jié)點(diǎn)追蹤結(jié)果如圖2所示。

從圖2中可以清晰地看到，即使部分DDoS攻擊數(shù)據(jù)包存在信息篡改問題時(shí)，本文方法依舊能夠成功重構(gòu)4條攻擊節(jié)點(diǎn)路徑。這些路徑不僅準(zhǔn)確地展示了DDoS攻擊數(shù)據(jù)包在無線通信網(wǎng)絡(luò)中的傳播軌跡，還提供了攻擊者的位置信息。通過重構(gòu)的攻擊節(jié)點(diǎn)路徑可以確定4個(gè)DDoS攻擊者的位置，分別是z1、z2、z3、z4，完成DDoS攻擊源追蹤，追蹤結(jié)果與實(shí)際情況相符，這種精確追蹤能力不僅有助于快速采取行動，防止攻擊進(jìn)一步擴(kuò)散，還能為后續(xù)的追責(zé)和處罰提供有力的證據(jù)。實(shí)驗(yàn)證明本文方法的DDoS攻擊源追蹤精度較高。

3" 結(jié)" 語

本文研究了基于節(jié)點(diǎn)路徑重構(gòu)和ELM的無線通信網(wǎng)絡(luò)DDoS攻擊源追蹤方法，通過深入分析無線通信網(wǎng)絡(luò)數(shù)據(jù)包，結(jié)合節(jié)點(diǎn)路徑重構(gòu)和ELM的強(qiáng)大學(xué)習(xí)能力，實(shí)現(xiàn)對DDoS攻擊源的準(zhǔn)確追蹤。該方法不僅提高了攻擊源追蹤的效率和準(zhǔn)確性，也為無線通信網(wǎng)絡(luò)的安全防護(hù)提供了新的技術(shù)手段。

參考文獻(xiàn)

[1] 林兆亮，李晉國，黃潤渴.V2G網(wǎng)絡(luò)中基于聯(lián)邦學(xué)習(xí)和CNN?BiLSTM的DDoS攻擊檢測[J].計(jì)算機(jī)應(yīng)用研究，2023，40（1）：272?277.

[2] 周奕濤，張斌，劉自豪.基于多模態(tài)深度神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS攻擊檢測模型[J].電子學(xué)報(bào)，2022，50（2）：508?512.

[3] 孫濤，蔡江濤，郭政杰，等.SDN環(huán)境下基于動態(tài)閾值的DDoS攻擊檢測方法研究[J].內(nèi)蒙古大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，53（1）：98?104.

[4] RAGHUNATH K M K， VENKATESAN V K， VENKATESAN M， et al. XGBoost regression classifier （XRC） model for cyber attack detection and classification using inception V4. [J]. Journal of web engineering， 2022， 21（4）： 1295?1322.

[5] 陳志華，黃志宏.基于知識圖譜的激光通信網(wǎng)絡(luò)入侵攻擊源定位方法[J].應(yīng)用激光，2022，42（7）：118?124.

[6] 傅友，鄒東升.SDN中基于條件熵和決策樹的DDoS攻擊檢測方法[J].重慶大學(xué)學(xué)報(bào)，2023，46（7）：1?8.

[7] RAVEENDRANADH B， TAMILSELVAN S. An accurate attack detection framework based on exponential polynomial kernel?centered deep neural networks in the wireless sensor network [J]. Transactions on emerging telecommunications technologies， 2023， 34（3）： e4726.

[8] 高文龍，周天陽，朱俊虎，等.基于雙向蟻群算法的網(wǎng)絡(luò)攻擊路徑發(fā)現(xiàn)方法[J].計(jì)算機(jī)科學(xué)，2022，49（z1）：516?522.

[9] 王飛雪，戴蓉.基于投票ELM和黑洞優(yōu)化的云計(jì)算DDoS攻擊檢測[J].西南大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，44（8）：205?215.

[10] 徐彬，黃春麟，吳迪，等.面向分布式網(wǎng)絡(luò)入侵檢測的實(shí)驗(yàn)測試仿真[J].計(jì)算機(jī)仿真，2023，40（8）：413?416.

[11] 劉向舉，尚林松，方賢進(jìn)，等.基于可編程協(xié)議無關(guān)報(bào)文處理的分布式拒絕服務(wù)攻擊檢測[J].計(jì)算機(jī)應(yīng)用研究，2022，39（7）：2149?2155.

[12] 謝汶錦，張智斌，張三妞.基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方案[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，34（6）：1032?1039.

[13] 劉振鵬，王仕磊，郭超，等.軟件定義網(wǎng)絡(luò)中基于深度神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測[J].云南大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，44（4）：729?735.