文摘
由于DDoS攻击的分散性质和发展新的技术,例如cloud-assisted WBAN,变得富有挑战性的检测恶意活动依靠传统的安全机制。这种攻击的检测要求一个适应性和增量学习分类器能够准确决策用更少的计算。因此,DDoS攻击检测使用现有的机器学习技术需要完整的数据将存储在内存中的,而不适合实时网络流量。为了克服这些缺点,非常快的决策树(VFDT)算法提出了过去,可以有效地处理高速流数据。同时考虑WBAN传感器产生的数据,噪声是一个明显的方面,严重影响精度和增加假警报。在本文中,一个增强的VFDT (EVFDT)提出了有效地检测DDoS攻击的发生在cloud-assisted WBAN。EVFDT节点使用一个适应性的打破僵局的阈值分割。解决树规模扩张下极端的声音,一个轻量级的迭代剪枝技术提出了。分析EVFDT的性能,四个指标评估:分类准确性,树的大小,时间,和记忆。仿真结果表明,EVFDT达到相当高的检测精度和更少的假警报。
1。介绍
如今,cloud-assisted WBAN患者健康监测吸引了研究人员的关注。除了其他开放问题在WBAN环境如能源效率、服务质量、和标准化,安全和隐私是需要特别注意的关键问题。在这些安全问题,数据可用性是最唠叨的安全问题。分布式拒绝服务(DDoS)攻击是其中一个最强大的攻击病人健康数据的可用性和服务的医疗保健专业人士。DDoS攻击严重影响WBAN网络的容量和性能如果不及时和适当的方式处理1]。
检测DDoS攻击的cloud-assisted WBAN,需要一种防御方法,理解语义网络和交通网络。当受害者节点充斥着大量的数据包超过其处理能力,多余的必须下降。基于数据包的下降策略有助于区分合法流量和洪水流量和用于避免攻击合法用户流量的影响。观察网络交通流显示,没有规则的结构网络中现有的模式,因此统计模式识别技术是必要的。集成现有攻击检测和防御机制在资源约束WBAN网络增加了计算和通信成本(2]。
网络资源不足以减轻大量DDoS攻击所产生的流量。因此,需要一个轻量级的方法和实时流数据处理的能力。对于这个研究,数据挖掘技术已经研究和探索。在数据挖掘技术中,VFDT被证明是最常见的是由于规则的简单性和可解释性,因此视为更适合低功耗传感器网络。的根本原因选择VFDT如下:(1)轻;也就是说,它不需要一个数据集存储在内存中,因此它适合资源约束WBAN;(2)它可以逐步从头构建决策树可以帮助检测DDoS攻击在任何阶段;(3)每次新一段的传感器数据到达时,执行测试和训练过程在它保持存储数据日期;阅读(4)它不需要完整的数据集,但根据新调整决策树传入和收集统计属性,因此消耗更少的内存空间;(5)它是适合大量的非平稳的流数据从传感器获取WBAN; (6) it provides a transparent learning process. These features make VFDT a suitable candidate for implementing an autonomous decision maker for DDoS attack detection in cloud-assisted WBAN.
本文改进的VFDT [3),即增强VFDT (EVFDT),提出了不同于现有算法的分类精度,树的大小,内存和时间。我们的建议是建立一个基于决策树的分类算法能够处理噪声数据和检测DDoS攻击效率与精度高和低误报率,同时允许合法请求者访问资源。该算法是在受害人节点部署。
本文的贡献包括以下:(1)它提出了一个新颖的EVFDT分类算法能够对网络流量进行分类和检测DDoS攻击精度高和更少的假警报。EVFDT取得了分类精度约96.5%与0%噪声和81.5% 20%噪声数据集。(2)在流数据分析噪声的影响及其对精度的影响和误警率,检测网络中的恶意行为。(3)它强调了现有DDoS的缺陷检测技术。(4)仿真实验,编写的DDoS攻击算法,模拟生成攻击流量进行评估。(5)提出了评价的算法和结果。
本文的其余部分组织如下:部分2讨论了现有的数据挖掘和数据流挖掘技术检测DDoS攻击及其限制当应用于资源稀缺WBAN环境。部分3论述了提出的系统模型和提出的算法。部分4介绍了仿真实验和算法生成DDoS攻击的策略。最后一节4详细的性能分析和结果比较。最后,部分5总结了论文与未来工作的建议。
2。相关工作
2.1。分布式拒绝服务(DDoS)攻击
分布式拒绝服务(DDoS)攻击的定义是一个显式的攻击者试图排气受害者的资源节点。部署多个节点发送数据包流发动袭击的受害者,因此消费受害者节点的关键资源和使他们无法合法节点。这些资源主要包括网络带宽、计算能力和内存资源4]。
DDoS攻击主要是分为两类(5),带宽消耗攻击和资源消耗攻击。在带宽消耗攻击中,攻击者的目标是洪水受害者与大量的交通节点为了防止合法流量到达受害者节点。这是进一步分为洪水攻击和放大的攻击。在资源消耗攻击中,攻击者的目标是退化的关键资源(处理器和内存)的受害者节点为了阻止合法用户使用这些资源。
DDoS攻击的详细分析cloud-assisted WBAN环境及其含义表明,DDoS攻击有以下特点:(1)在攻击过程中,数据包长度,序列号,窗口大小保持不变。(2)源IP和目标IP地址和端口号是欺骗和随机生成的。(3)数据包吞吐量降低对合法用户,这被定义为传输的字节数单位时间内从来源到目的地。(4)合法用户包丢失增加,由于发生交互的合法流量攻击流量。(5)封包延迟增加网络拥塞建立。(6)流量抖动也会增加显著影响特别是实时交通。
考虑到这些特点,关键的挑战在于确定攻击流量的合法交通传入的数据流。
2.2。数据挖掘技术
在最近的过去,数据挖掘技术被认为是最有前途的一个解决方案,确定网络中节点的恶意行为。对于这个研究,研究了数据挖掘技术的DDoS攻击的检测和评估cloud-assisted WBAN环境。从DDoS攻击检测的角度来看,现有的数据挖掘技术(Subbulakshmi et al。6),吴et al。7),李et al。8),阿伦和身边9],和Thwe Thandar [10])大致可分为基于源代码和destination-based检测技术。基于源代码的检测技术部署在网络攻击源的部署而destination-based检测技术在攻击的受害者。
Subbulakshmi et al。6)提出了一个入侵检测系统(IDS)的基础防御机制来对抗DDoS攻击。IDS使用数据集训练从提取获得的攻击流量特性。加强检测过程中,定期与这些数据集添加权重。
吴et al。7)提出了一个destination-based DDoS攻击检测技术。在这种技术中,决策树是部署攻击检测和交通模式匹配技术攻击识别和回溯。网络流量分类,选择15个不同的网络和分组功能。部署C4.5分类算法对网络流量进行分类的基础上,确定包功能。
在[8),提出了一种基于源代码的攻击检测技术基于一个增强的流量矩阵的方法。流量矩阵参数优化利用遗传算法(GA)。构建一个流量矩阵,使用IP报头的两个特性,即数据包到达时间和源IP地址。从合成流量矩阵,计算方差和用于分类交通正常(高方差)或DDoS攻击(低方差)。最后生成警报在攻击的检测。
在[9),作者探讨了基于合奏neurofuzzy分类器。作者对现有分类器包括一个重量更新分布策略,错误降低成本和整体输出组合的方法。对绩效评估、训练和测试数据集分别维护。结果表明,该方案有效地检测DDoS攻击。
Thwe和Thandar10)提出了一种基于统计异常检测技术最近的邻居(NN)部署在受害者节点。用户指定阈值的定义。当系统的当前状态不同于定义模型由指定阈值,异常。在这个阶段神经网络用于检测攻击。
一个详细的比较可以发现这些技术以及它们的局限性(11]。数据挖掘技术的主要缺点是它们不适合实时数据挖掘网络流量和需要大量的内存来存储数据。在最近的过去,流挖掘技术提出了克服数据挖掘技术的局限性。
2.3。流挖掘技术:快速决策树(VFDT)
考虑资源约束的性质WBAN传感器,VFDT被证明是一个轻量级的数据挖掘技术,能够处理大量的高速流数据消耗更少的内存空间。它是高效的检测DDoS攻击在任何阶段由于其从零开始构建决策树的能力。在[11]VFDT申请检测DDoS攻击和客观的比较。结果表明,VFDT被证明是一个精确的DDoS攻击检测的工具。因此,VFDT选择和改进有效地检测DDoS攻击。
2.3.1。变异的VFDT
VFDT是一种基于流的数据分类方法,使用一套完整的学习训练样本表示为,在那里是一个向量的属性作为。其目的是构建一个映射函数的模型将预测随后的样本的类以最大的准确性。设计的VFDT DDoS攻击检测,用于分类的数学预赛第一次讨论(见[3,12])。
霍夫丁绑定。这给了一定程度的信心最好的属性分裂节点。假设我们有独立的观察一个实值随机变量有限的范围。霍夫丁绑定状态,信心水平,真正的意思是变量至少是,在那里可以计算使用
信息增益。VFDT使用信息增益作为启发式评估函数来找到高的上下界的信心。的上限和下界计算使用 在哪里一个属性的吗的训练样本集。是一组训练样本的片段保存的值的属性。选择所有的训练样本有价值的属性从组。
虽然VFDT把流数据有效,它有一定的局限性像它不能处理噪声数据和分类精度随噪声的增加而减小。在最近的过去,VFDT已经提出的一些变化。在本节中,变异的VFDT讨论了其可行性,并简要分析了其局限性,当用于DDoS攻击检测cloud-assisted WBAN。VFDT的变化分析了以下参数:攻击检测准确性、时间、内存和树的大小。
多明戈和Hulten3]提出了基于霍夫丁VFDT绑定(HB)使用(1)控制误差分布选择分裂属性。信息增益在(2)作为启发式评估函数(医疗公平基金)为了决定分裂属性将决定节点的叶子。定义了两个最好的属性之间的区别(最高),(第二高)。如果,然后被认为是最高价值属性。在这个阶段,发生在分裂属性和决策节点转化为叶节点。这种方法的主要缺点在于存在某些情况下,当两个信息收益有非常小的差异,是同样的好成为一个叶子节点。在这个阶段,领带条件和过程发生卡住。解决关键是计算密集型任务,增加了处理时间和降低了决策树的整体精度。同时,它被认为是不合适的资源约束WBAN。
为了克服VFDT的局限性,Hulten et al。12)提出了一种固定的打破僵局的阈值。每当两个信息收益之间的差异非常小,作为一个快速决定性的参数解决领带条件。节点分裂发生在当前的最佳属性无论多好第二个最好的属性。的价值是随机选择的,没有固定的整个过程。过度打破僵局的条件减少VFDT——的性能明显在嘈杂的和复杂的流数据,甚至使用参数。VFDT -不支持修剪树的大小本身是非常小的。同时提高准确性,树大小爆炸。因此,一个适当的修剪机制需要在这个阶段。
为了克服固定打破僵局的阈值限制,杨和方13)提出了一个算法基于自适应直接从霍夫丁束缚打破僵局的阈值计算的意思。HB的价值意味着波动集中与噪声百分比的增加从而降低攻击分类的准确性。
自适应概念VFDT (CVFDT) [12同时维护两个树在内存中。最短的深度的树是留存,另一个是丢弃。这种方法的主要缺点是,它会消耗更多的内存和时间维持两棵树。还CVFDT不能有效地处理噪声数据。
2.4。流媒体数据中噪声的影响
嘈杂的数据被认为是无意义的或无关的数据,使数据模式的识别更为困难。随着噪声的增加在数据流中,异常值的数量也增加了。在传感器网络中,噪声出现由于系统行为的变化和网络恶意活动。有两个主要的噪声来源(14]。
错误。一个错误被定义为一个嘈杂的价值来自于一个错误的传感器。这些错误造成的异常值有非常高的发生概率。
事件。事件是指一个特定的现象,在这种情况下,攻击发生的事件,改变系统的状态。异常值与小概率事件发生时造成的但他们是持久的和修改历史的传感器数据模式。
在这两种情况下,由于数据异常值的存在降低了攻击检测准确性和增加误警率。同时,树的大小增加导致增加内存消耗。我们的目标是把这些异常值从传感器数据,以确保检测精度高,同时保持网络的资源消耗最小。
图1显示了有害的噪声数据对分类精度的影响(图1(一)(图)和树大小1 (b))。实验数据合成,作为输入提供给VFDT -算法与(12]。错误率明显影响决策树的准确性和树的大小当实例的数量增加多方面的。甚至一个小错误导致增长率在树的大小由好几次了。
(一)
(b)
3所示。提出的模型
3.1。系统架构
提出的分布式拒绝服务(DDoS)攻击检测系统研究了网络流量行为和分类为正常或恶意流量根据观察到的交通模式。提出的系统架构图所示2。它由以下阶段从数据收集阶段反应生成阶段。
3.1.1。数据收集阶段
在此阶段,传入的数据流在线捕获并存储在数据库用于训练目的。捕获的数据作为输入提供特征提取的预处理阶段。每个实例的传入流量被定义为一组特征向量空间的特点和代表。
3.1.2。预处理阶段
预处理阶段进一步分为数据包特征提取阶段标记阶段紧随其后。在特征提取阶段,网络流量的实时捕获数据包,以构建新的统计特性。这些统计特性表中列出1和用于DDoS攻击检测和分析。识别功能是重要的在定义网络的服务质量(QoS)和对网络流量进行分类模式下DDoS攻击。在标记阶段,类是分配给这些统计特性。整个数据集分为两类标记为“1”为nonattack包攻击和“0”。标签后产生的数据集包含攻击和nonattack数据和用于训练分类树。
预处理阶段映射到特征向量空间给出如下:(我)让““是维向量的提取功能;也就是说,,在那里单个包特性。(2)让的包特性。(3)让标记的数据包的向量空间的维度。
3.1.3。攻击分类
在此阶段,传入流量分为攻击或nonattack通过构建一个分类树使用预处理数据特征向量空间中定义。为构建分类树,我们提出了一个算法,这是在下一节中讨论。
3.1.4。攻击响应
攻击响应模块的目标是最小化DDoS攻击受害者的影响节点同时允许的合法交通前进。当检测到DDoS攻击,一个适当的回溯机制应用于跟踪攻击者和阻止他的交通。回溯技术将在未来的探索工作。
3.2。增强快速决策树(EVFDT):提出分类算法
提出分类算法是一种原始VFDT——增强(12),使其高效的检测DDoS攻击资源受限cloud-assisted WBAN。EVFDT分类算法同时训练和测试基于学习交通模式和决策树分类恶意行为基于这些学习模式如图2。
考虑DDoS攻击的严重程度,稀缺资源,和失踪WBAN保护机制,EVFDT改善现有的VFDT算法而言,以下参数:(1)准确;(2)树的大小;(3)时间;(4)内存。
3.2.1之上。EVFDT树构建过程
EVFDT是基于原始VFDT -(12),在两个方面:提高准确性和树的大小。算法1礼物EVFDT的伪代码。它分为四子过程如下所述。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(一)树初始化过程。在这个过程中,使用一个叶子节点初始化树,这是一个根节点。这棵树生长作为一种新的数据流到达根节点。算法2显示树初始化程序的伪代码。程序执行时第一个数据流到达VFDT -是一样的(12]。
|
||||||||||||||||||||||||
(B)为新流示例程序。在这个过程中,数据流从根节点开始遍历。每当一个新的数据流到达,这个过程遍历流从根节点到叶子节点,同时树更新统计数据。算法3显示了遍历一个新样本的伪代码。这个过程是一样的树遍历的VFDT -(12]。
|
||||||||||||||||
(C)过程的准确度提高。算法4显示了EVFDT拟议中的伪代码,提高VFDT——的准确性(12]。VFDT -需要一个固定的值打破节中讨论的领带2.3,可以出轨,因为噪音的存在。为了克服这一点,优化VFDT (OVFDT)的均值霍夫丁打破僵局的绑定(HB)值。噪比高的传感器数据,一个简单的意思并不描述HB的真正的意思是,因为异常值的存在。满足这样的局外人,EVFDT包含精度提高的过程中给出的算法4并解释如下。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
让是乙肝的排序列表值,HB值的总数,新的HB值的节点。从的意思是HB值之间的区别计算。这意味着存储为阈值。让的位置在和PrunedMean计算新值。如果这个PrunedMean小于阈值,然后被添加到;否则,被丢弃成为了局外人。
(D)程序树修剪。算法5显示了该树修剪和解释的伪代码如下所示。
|
||||||||||||||||||||||||||||||||
让霍夫丁树被修剪属于的例子和是样品的数量在叶子节点。为每一个例子在通过这棵树从根节点开始。如果过滤到叶子节点吗,然后增量否则继续增长。
如果小于,在那里是一个节点的阈值检查合格的一部分删除,然后修剪树的叶节点并更新。节点的资格的检查通过比较样品的数量在叶子节点。比较少会告诉我们这个叶子节点贡献分类作为一个小的实例数量是这叶子节点当前过滤。
4所示。仿真实验和评价
在本节中,我们评估的性能提出了EVFDT从传入的数据流检测DDoS攻击cloud-assisted WBAN环境。EVFDT比较与VFDT及其变体的以下参数:准确性、时间,树的大小,和记忆。这些评价参数是比较重要的。分析表明,更高的分类精度产生更大的树大小从而消耗更多的记忆空间,需要更多的学习时间。同样,更快的学习速度带来较小的树的大小,导致更少的内存空间,但降低分类精度。
提出EVFDT算法已经使用快速实现机器学习(VFML)库(15]。实验运行windows7多——64位工作站上2.8 GHz CPU和8 GB RAM和所有后台进程关闭了。
4.1。合成数据集
低能量的自适应聚类层次结构(LEACH)协议(16)是实现NS-2生成合成数据流包含100万数据值,分为五个数据集。每个数据集都包含不同的实例数量和噪声百分比。LEACH协议被选中,因为它是轻量级和密切反映了WBAN场景。集群头作为身体控制单元(拍)和所有其他节点是传感器节点如图3。LEACH负责传输数据从WBAN传感器节点来拍。模拟运行的900年代,1200年代,1500年代,1800年代和2000年代生成数据流。其它仿真参数和网络配置如表所示2。
由此产生的数据集包括攻击和nonattack数据。DDoS攻击代码连接到传感器节点使其恶意。恶意传感器节点的数量随不同的攻击数据集。
以下4.4.1。DDoS攻击策略:生成和分析
在本节中,攻击数据集生成和分析TCP层。在正在进行的仿真实验,第一次正常TCP流量被认为是进行分析。其次,这次袭击是生成及其与TCP流量洪水攻击强度进行了分析。攻击和在线生成算法。由此产生的数据集(攻击数据集)存储在数据库预处理的基站。拟议中的EVFDT算法应用于数据集预处理。DDoS攻击算法的算法6。
|
||||||||||||||||||||||||||||||||||||||||||||
Java代码写入数据集随机添加噪声。为了这个目的,维特征向量乘以向量从正态分布的随机变量,在那里噪声方差调整根据噪声增加的百分比。
评估EVFDT的性能,噪音是附加到数据集为了比较的结果与VFDT EVFDT及其变体在不同噪声百分比。每个数据集包含不同数量的实例和测试数据分为20%和80%学习分类器的训练数据。性能是使用以下参数评估。
(1)攻击检测的准确性。一般而言,EVFDT的准确性是直接与样本数据流的数量成正比。随着数据流的增加样品,EVFDT变得越来越准确的只要有无噪声的数据。但只要噪声注入,分类精度开始减少,如图4。
进行了仿真实验,攻击检测精度计算使用 真阳性(TP)正确数量的样本分为攻击类,真阴性(TN)数量的样本正确分类为nonattack类,假阳性(FP)数量的样本正确分类为攻击类,和假阴性(FN)的样本数量不正确归类为nonattack类。
图5显示的准确性比较EVFDT与现有的VFDT及其变体与噪声数据集比例的10%和20%。所有实验数据集,EVFDT与较低的假警报率保持较高的精度和灵敏度。
表3显示了敏感性、特异性和假警报率(远)算法对不同噪声百分比。这些可以计算使用(4)(灵敏度),(5)(特异性),(6)(远)
结果表明,平均精度EVFDT大于VFDT及其变体。VFDT -有最低精度在所有算法。
(2)树的大小。EVFDT的一个重要特点在于其能够建立一个决策树,同时减少树的大小和提高分类精度。树的尺寸变大,增加噪音比例如图6。尽管VFDT -获得最小树大小在我们的模拟,它导致增加分类错误。如表所示4,值得注意的是,EVFDT保持较小的树的大小。在一些情况下,EVFDT和VFDT -生成树的大小相同,但树的平均尺寸EVFDT小于VFDT -。这棵树大小是决策树的深度。仿真实验显示了树的大小:。
(3)计算时间。早期检测的攻击是一个可取的属性的算法。检测机制应该足够快检测攻击。计算时间的总时间在秒处理一个完整的数据流。算法的计算复杂度成正比,在那里的长度是一个修剪树,是属性的总数,每个属性值的数量,类的数量。VFDT -有一个小运行时间由于小和固定值吗。EVFDT所花的时间比VFDT稍微-因为修剪和阈值计算,如图7。计算时间比较像。
(4)内存。考虑到WBAN资源稀缺的环境下,建议的机制应该消耗更少的内存资源,如图8。VFDT超过现有的机器学习技术的优点是,它不需要一个完整的数据集存储在内存中。所需内存运行EVFDT成正比,在那里是决定在树节点的数量,是属性的总数,每个属性值的数量,类的数量。运行EVFDT所需内存的总量分配的内存之和为培训学习和分配的内存。EVFDT消耗更少的内存比现有的算法和比较:。
4.2。比较EVFDT与VFDT及其变体
比较EVFDT分类算法与现有的VFDT及其变体如表所示5。只有OVFDT和EVFDT能够处理噪声数据。同时,OVFDT处理噪声数据在某种程度上变得不准确和噪音的增加比例由于异常值的存在。VFDT -、CVFDT IVFDT不提供树修剪。他们保持小树大小从一开始,但增加了分类的误差百分比。只提出EVFDT算法高效地处理噪声数据,同时保持小树大小用更少的资源使用。
5。结论和未来的工作
如今,zombies-based DDoS攻击发生在合法的交通流量。因此,很难发现这种攻击即使存储攻击流量特征的存在。挑战在于如何区分合法流量和DDoS攻击流量。数据挖掘技术为数据分类失败实时流数据,也需要足够的内存数据存储。另一方面,高速流数据流挖掘技术处理来自WBAN传感器和资源稀缺WBAN网络是有效的。本文提出了一种基于VFDT算法。我们的主要贡献包括小说增强快速决策树(EVFDT)分类算法和它不同于现有算法的攻击分类准确性和树的大小。EVFDT算法的性能评估是实现LEACH协议生成的合成数据集。编写代码来生成DDoS攻击的攻击。实验结果表明,该算法能够检测到攻击分类精度高(96.5%)和较低的误警率(1.1%)和更少的内存开销。 The proposed model is deployed at victim node and is deployed in real-time network environment. In future, the proposed architecture is deployed on real WBAN test bed to evaluate the performance of proposed algorithm.
利益冲突
作者宣称没有利益冲突有关的出版。
确认
作者想扩展他们的真诚感谢院长以来在沙特国王大学科学研究的资助这项研究的研究小组项目没有。rg - 1435 - 048。作者还要感谢国立大学的科学和技术,伊斯兰堡,巴基斯坦,在这项研究的支持。