AI_Adaptive_POW：分布式拒绝服务（DDoS）防御的AI辅助工作量证明框架

软件影响13（2022）100335原始软件出版物AI_Adaptive_POW：一个用于DDoS防御的AI辅助工作量证明（POW）框架Trisha Chakraborty，Shaswata Mitra，Sudip Mittal，Maxwell Young美利坚合众国密西西比州立大学计算机科学与工程系A R T I C L E I N F O关键词：网络安全工作量证明人工智能分布式拒绝服务A B标准为 了 保 护 客 户 端 - 服 务 器 架 构 免 受 分 布 式 拒 绝 服 务 （ DDoS ） 攻 击 ， 我 们 提 出 了 AI_Adaptive_POW 。AI_Adaptive_POW通过在通信期间注入延迟来保护组织，方法是生成客户端信誉自适应难题，客户端需要在服务器开始处理请求之前解决这些难题。该框架根据AI模型计算的声誉得分自适应地调整谜题的难度。这减缓了进入的对抗性流量的数量。此外，该框架迫使对手产生每个连接的成本，因此使对手的成本很高来抵御大容量DDoS攻击代码元数据当前代码版本V1.1用于此代码版本的代码/存储库的永久链接https://github.com/SoftwareImpacts/SIMPAC-2022-73Reproducible Capsule的永久链接不适用CreativeCommons Zero v1.0通用许可证使用Git的代码版本控制系统软件代码语言、工具和服务使用Java、Springboot 2.4.0、Python v3.7.6 Flask 2.1.2编译要求，操作环境依赖flask，flask_restful，csv，pickle，rgensim，numpy，requests，spring-boot-starter-web，lombok，spring-boot-starter-tomcat，springfox-swagger2，spring-boot-starter-validation，okhttp，gson如果可用，链接到开发人员文档/手册https://github.com/trishac97/AI_Adaptive_POW/blob/main/README.md问题支持电子邮件tc2006@msstate.edu1. 介绍在客户端-服务器架构中这可以防止单个服务器实例过度使用.客户端通过发起请求来开始交互。后成功建立连接后，负载均衡器将请求放在服务器队列上。如果服务器具有有限的队列大小，恶意流量的泛滥可能会耗尽此队列，使其无法用于真正的客户端请求。在本文的范围内，我们重新讨论了分布式拒绝服务（DDoS）攻击。在这种情况下，攻击者假装是真正的客户端，从而消耗大量的服务器资源，并为真正的客户端留下很少或没有资源。一种可能的防御策略是强迫所有连接*通讯作者。客户端解决工作量证明计算难题，作为初始客户端-服务器连接建立阶段的一部分一个通用的工作量证明（POW）框架由一个谜题生成器、谜题求解器和谜题验证器组成。谜题生成器将谜题发送给求解器，求解器求解谜题并将解发送给验证器。这些谜题有不同的难度，即，每个谜题需要不同数量的计算资源来解决。解决谜题的任务在交互期间引入了延迟，并且该延迟持续时间与谜题难度成正比在本文中，我们建立了一 个 基 于 POW 的 DDoS 防 御 框 架 使 用 Java 编 程 语 言 称 为AI_Adaptive_POW。该框架由人工智能（AI）辅助，通过分配适当的POW谜题来自适应地减慢对抗性流量，从而电子邮件地址：tc2006@msstate.edu（T.Chakraborty），sm3843@msstate.edu（S.Mitra），mittal@cse.msstate.edu（S.米塔尔），myoung@cse.msstate.edu （M. Young）。https://doi.org/10.1016/j.simpa.2022.100335接收日期：2022年5月21日;接收日期：2022年6月9日;接受日期：2022年6月14日2665-9638/©2022作者。由Elsevier B.V.出版。这是一篇开放获取的文章，使用CC BY许可证（http://creativecommons.org/licenses/by/4.0/）。可在ScienceDirect上获得目录列表软件影响杂志 首页：www.journals.elsevier.com/software-impactsT. 查克拉博蒂，S。Mitra，S.Mittal等人软件影响13（2022）1003352‖‖Fig. 1. 图中展示了我们的AI_Adaptive_POW框架。I.客户端发起与负载均衡器的TCP握手并发送SYN数据包。二.负载平衡器获取TCP IP地址，并计算信誉分数。三. 根据所实施的策略（P1、P2、P3、P4、P5），d难度谜题被分配给r信誉分数。四.谜题生成模块生成一个d难度谜题，并将其与ACK数据包一起发送。谜题验证模块对返回的谜题解答进行验证以及SYNACK数据包。六.在正确解决难题时，负载均衡器通知资源分配单元。七.然后将请求发送到服务器实例（S1，S2、S3、S4、S5）。在 持 续 的 DDoS 攻 击 期 间 提 高 服 务 器 的 可 用 性 。我 们 的AI_Adaptive_POW框架利用声誉分数来指导每个客户端解决难题的难度。信誉分数是引导系统区分真正客户端和恶意客户端的启发式方法。这种启发式算法是使用AI算法计算的，该算法检查传入客户端请求的特征2. 描述AI_Adaptive_POW是一个使用Java Springboot和Python Flask框架实现的开源框架。该框架由四个可定制的模块组成，即， 根据行业的安全需求，可以结合各种可配置的防御态势[1]。图1说明了框架的总体架构。AI_Adaptive_POW在网络堆栈的应用层运行，并与传输层交互，特别是在TCP握手阶段运行。当一个客户端想要发起与服务器的通信时，它会向负载均衡器发送一个SYN数据包。该框架获取与SYN数据包相关联的IP地址，该SYN数据包用作AI模型的输入。然后AI模型计算声誉得分。分数被转换成对应的谜题难度级别，由策略模块翻译。 然后AI_Adaptive_POW生成puzzle参数，该参数被发送回附在SYN-ACK数据包上的客户端。为了防止对手解决更容易的难题，负载均衡器可以使用一个小内存来缓存客户端IP地址和当前分发的难题参数。客户端采用一个难题解决模块，并计算难题的解决方案。解决方案被发送回附加到ACK数据包的负载均衡器。在接收到正确的解决方案时，AI_Adaptive_POW通知负载均衡器的资源分配单元，负载均衡器将客户端的请求转发我们框架的一个重要组成部分是POW谜题[1]。为了解决POW难题，客户端重复地对输入参数执行加密散列函数评估，目的是收敛到约束解。约束解决定了谜题的难度一个高难度的谜题要求哈希函数的输出中有我们的框架使用Java v14 MessageDigest SHA-256库进行散列函数计算。SHA-256是一个自然的选择，因为它具有抗冲突和带宽效率，仅产生256位的解决方案。接下来，我们描述AI_Adaptive_POW的四个可定制模块部分。2.1. AI模块AI模块负责计算 一个客户我们的框架采用了一个基于欧氏距离的系统，称为DAbR [2]，以产生声誉分数。我们使用Cisco Talos提供的数据集训练了AI模型[3]。 该数据集包含70，636个已知的恶意IP和属性（自治系统编号（Autonomous System Number，简称ASN）、互联网服务提供商（Internet Service Provider，简称ISP）、IP注册的国家/地区、用户类型（住宅或商业用户）、IP所在的国家/地区、IP所在国家/地区的细分、IP所在国家/地区的AI模块包括两个阶段。首先，模块计算从IP属性中提取特征向量，并将其表示在欧几里德空间中。这些表示的集合在欧几里德空间中形成一个簇。聚类原点和特征向量可以在这里找到[4]。在第二阶段，当客户端发送SYN数据包时，捕获IP地址x.x.x.x及其属性。 然后，该模块使用预先计算的特征向量来计算客户端IP的特征向量，并且然后基于恶意IP集群起源与客户端IP之间的特征相似性来生成信誉分数。AI模块的输出是一个信誉分数，它可以取[0，10]中的值，其中0被认为是最差的信誉分数。2.2. 策略模块策略模块负责将计算出的代表分数转换为相应难度的谜题。 该模块将信誉值作为输入，并产生一个值，该值表示谜题的难度。例如，具有1个信誉分数的IP地址接收0难度谜题，即，可接受散列函数解决方案必须包含至少1个零作为前缀。图图1描绘了包含五个可能策略P1、P2、P3、P4和P5的负载均衡器，其中 目前，P3政策已经生效。2.3. 谜题生成谜题生成模块是一个轻量级模块，负责组装解决谜题所需的参数。组装的参数与SYN-ACK数据包一起附加。该模块采取随机种子排名，时间戳排名和难题难度作为输入，输出是一个连接的位串。��������� 注意，负载均衡器可以使用小型高速缓存来存储对应的数据。T. 查克拉博蒂，S。Mitra，S.Mittal等人软件影响13（2022）1003353IP地址及其对应的谜题参数。随机种子序列是由字母数字随机生成的字符串，长度最多为32位，并在我们的框架内定期更新为例行功能。随机字符串可以防止对手发射对服务器的预先计算攻击时间戳可防止攻击者使用一种解决方案并多次使用2.4. 谜题验证谜题验证模块负责验证客户端返回的解答.输入是由客户端发送的256位解决方案位串，输出是布尔0或1，其中1表示解决方案是正确的，否则为03. 影响概述AI_Adaptive_POW是一个原型框架，在应用层运行，以加强组织对传输层容量DDoS攻击的防御态势。这种框架的主要作用是在对手一方引入延迟.这种延迟可以减缓在给定时间发送到服务器的对抗请求的数量，并防止对手消耗大部分服务器资源。该框架3.1. 设计影响AI_Adaptive_POW由四个主要模块组成，每个模块都是轻量级和可定制的。我们的基线框架使用一个名为DaBR [2]的AI模块来产生声誉分数，该分数可以被更复杂的声誉分数计算技术所取代（例如，参见[5]）。人工智能模型使用Cisco Talos提供的已知恶意IP列表进行训练[3]，该列表可以由任何其他第三方IP列表服务或多个列表的合并来替换。部署后，该框架可以利用组织可用的任何网络威胁情报来源。 或者，该框架可以使用整数平方根或布谷鸟循环变量作为计算难题，而不是使用散列函数评估。可以结合不同的策略，将信誉分数映射到计算难题的难度水平。这些可定制的设计决策使该框架非常适合网络防御从业者使用。3.2. 功能影响哈希函数的评估最终转化为货币成本。机器计算哈希解的速度越快，CPU的能力就越强。当使用AI_Adaptive_POW时，会有与每个客户端建立TCP连接。每个客户端的成本增加如果客户的声誉下降 。 对 于 控 制 大 量 机 器 并 将 它 们 中 的 每 一 个 都 征 用 到 DDoSAI_Adaptive_POW防御服务器的对手来说，这些客户端机器中的每一个都需要通过解决与其声誉相关的难题来建立TCP连接，然后才能进入服务器队列。AI_Adaptive_POW的这一特性为发起DDoS攻击的对手带来了货币成本。 此外，由于我们的POW模块，计算难题在系统中引入了延迟。 假设IP的信誉分数是准确的，则由于解谜阶段，可以减少对抗性流量。 因此，服务器可以在其队列中容纳真正的请求，从而提高服务器资源的可用性。4. 结论和今后的工作在这项工作中，我们实现了AI_Adaptive_POW框架，通过减少对抗性流量来抵御DDoS攻击。AI_Adaptive_POW通过在AI模型的帮助下生成POW谜题来实现这一点。我们的框架是开源的，可以根据组织的安全需求进行定制。对于未来的工作，我们的目标是实现更强大的AI模型，以产生更高的准确性声誉分数。此外，我们计划探索有效的政策设计。竞合利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作确认这项工作得到了国家科学基金会资助CNS-1816076的部分支持。引用[1]Trisha Chakraborty，Shaswata Mitra，Sudip Mittal，Maxwell Young，政策驱动的AI辅助电源框架，第52届IEEE/IFIP国际会议关于独立系统和网络（IEEE/IFIPDSN 2022），2022年。[2]Arya Renjan，Karunaa Pande Joshi，Sandeepa Nair Narayanan，Anupam Joshi，Dabr：基于动态属性的恶意IP地址检测信誉评分，在：IEEE智能和安全信息学国际会议（ISI），IEEE，2018年，第100页。六四比六十九[3]Cisco Talos，Talos威胁源，2022，https://www.talosintelligence.com/。[4]DAbR实施，2022年，https://github.com/shaswata09/DabR。[5]Henanksha Sainani ， Josephovi M. Namayanja ， Guneeti Sharma ， VasundharaMisal，Vandanaa P. Janeja，使用地理背景特征增强的IP声誉评分，in：11.4，http://dx.doi.org/10.1145/3419373。