基于深度学习的流数据HTTP慢速拒绝服务分类方法

⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 7（2021）210www.elsevier.com/locate/icte一种基于深度学习的流数据HTTP慢速拒绝服务分类方法穆拉利德哈兰Janet B.印度班加罗尔高级计算发展中心（C-DAC）印度NIT Tiruchirappalli计算机应用接收日期：2020年2月28日;接收日期：2020年7月25日;接受日期：2020年8月23日2020年9月26日网上发售摘要互联网的普及引入了许多可以由用户访问的网络使能服务。但对手们正试图通过拒绝服务（DoS）攻击拒绝向用户提供这些关键服务。目前，如何应对针对应用层的低速拒绝服务攻击是服务提供商面临的主要挑战之一。提出了一种基于流数据的深度分类模型，用于检测HTTP慢速拒绝服务攻击。使用CICIDS2017数据集对分类器进行评估。实验结果表明，该分类器的分类准确率可达99.61%c2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：慢速拒绝服务;深度学习;流数据;拒绝服务1. 介绍如今，互联网已经发展成为一个强大的沟通和协作平台。因此，许多服务，如电子商务、云计算、金融、健康、运输和公民服务都是互联网使能的。用户可以不受任何地理界限的限制访问这些服务。由于这些关键服务是通过网络从服务器访问的，因此需要确保这些服务对真正的用户的可用性。但是，攻击者会使用Denial中断或拒绝向真正的用户提供服务服务拒绝服务（DoS）攻击[1]。DoS攻击是一种对可用性的攻击，攻击者向服务器发送不需要的请求以淹没资源。分布式拒绝服务（DDoS）攻击是一种复杂的DoS攻击，它将多个攻击者的请求发送到同一台服务器，以拒绝向真正的用户提供服务。传统上，DoS/DDoS攻击是为了控制目标服务和客户端之间的网络带宽而产生的。为了实现这种攻击，攻击者使用受损主机或僵尸网络向网络注入大量流量通讯作者：Centre for Development of Advanced Computing（C-DAC），Bangalore，India.电子邮件地址：murali@cdac.in（Muraleedharan N.），janet@nitt.edu（Janet B.）.同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2020.08.005目标机器如今，DoS/ DDoS攻击针对不同的环境，如云基础设施[2另一种类型的DoS攻击称为慢速DoS，通过以非常慢的速度注入少量合法流量来攻击应用程序和服务器资源。由于慢速拒绝服务的通信量非常低，因此可以使用较少数量的机器进行此攻击。此外，由于慢速DoS流量看起来是合法的，因此传统的缓解设备可能无法检测到这些攻击。图1说明了正常流量、容量型DoS/DDoS和慢速DoS攻击之间的区别。如图所示，通过考虑流量和传输速度，正常流量和慢速DoS流量区域重叠。这使得很难区分慢速DoS攻击和正常流量，并进一步防止它。从正常流量分类慢速拒绝服务的主要挑战是它在攻击过程中使用合法连接发动攻击所需的连接数量较少。慢速拒绝服务攻击的带宽使用率和流量都很低。因此，传统的防御系统无法检测到它。已经提出了各种方法来检测慢速拒绝服务攻击[8，9]。最近，软件定义网络（SDN）2405-9595/2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。···穆拉利德哈兰珍妮特B。ICT Express 7（2021）2102112.1. Slowloris图1.一、 正常流量、慢速拒绝服务和批量拒绝服务的图示。[10，11]和基于机器学习的方法[12]被用来检测慢速DoS攻击。本文提出了一种基于深度学习的流数据慢拒绝服务分类器。这项工作的新颖之处在于使用深度神经网络分类技术对流数据进行慢速HTTP DoS检测。与基于主机的慢速拒绝服务攻击检测方法相比，该方法具有以下优点由于可以从网络网关收集和分析流数据，因此可以在攻击流量到达受害者机器之前实现针对缓慢拒绝服务攻击的预防系统。由于流数据与主机和操作系统无关，因此慢速拒绝服务分类器可以用于任何Web服务器，而无需在服务器级别进行任何配置更改。如今，基于web的服务是服务提供商用来提供包括公民服务、基于云的服务、银行和金融服务的服务的常用方法之一。因此，在这些环境中，对Web服务器的慢速拒绝服务攻击可能会产生灾难性的影响。由于所提出的系统解决了Web服务器上的慢速拒绝服务，因此可以用于检测和预防这些环境中的慢速HTTP拒绝服务。本文件其余各节安排如下。第2节介绍了针对HTTP的低速拒绝服务攻击。第3节解释了用于分类的模型。所得结果和分析见第4节。2. HTTP上的低且慢的DoS慢速拒绝服务通过以非常低的速率发送合法流量来瞄准应用层。慢速拒绝服务的共同特性是服务器看起来有大量连接的客户端，但实际处理负载非常低。由于HTTP是Internet中使用的重要应用层协议，因此它已成为慢速拒绝服务攻击的常见目标之一。在他们的评估中，Tripathi等人。[13]观察到大多数现代Web服务器都容易受到缓慢的拒绝服务攻击。另一项关于应用层拒绝服务影响的研究在流行的Web服务器上的应用[14]。最近的研究表明，HTTP/2，HTTP协议的更新版本，也容易受到许多缓慢的拒绝服务攻击[15]。因此，检测和预防慢速拒绝服务攻击在当今互联网中具有至关重要的意义。下面将介绍针对HTTP的不同类型的慢速拒绝服务攻击容易受到slowloris攻击的Web服务器只有在收到来自客户端的整个请求后才开始处理请求。通过了解这一点，攻击者发送部分HTTP请求以打开与易受攻击的Web服务器的连接。一旦连接被打开，攻击者就会试图通过在连接超时之前发送请求的下一部分来尽可能长时间地保持这些连接，从而使受害者服务器不堪重负并减慢速度。2.2. 开机自检缓慢在慢速POST攻击中，攻击者通过在请求中为“content-length”值设置一个非常大的数字，使用合法的HTTP POST方法。 在接收到该请求时，服务器分配必要的资源以处理指定的内容长度数据。之后，客户端以极低的速率发送数据，这导致服务器中长时间的开放连接[8]。2.3. 缓慢的阅读在慢速读取中，客户端向服务器发送合法的HTTP请求，并以非常慢的速度读取响应。攻击者通过在数据包中设置零窗口大小来阻止服务器重置连接。在接收到窗口大小为零的数据包时，服务器认为客户端实际上正在读取数据，因此保持连接打开[9]。3. 使用深度学习的所提出的慢速拒绝服务分类模型的工作流程如图所示。二、该模型以网络流量为输入，并基于深度学习过程提供分类结果。基于网络设备中的流探测器配置，将网络流量聚合成流数据此外，数据的预处理是为了清理数据并将其输入深度学习模型。深度学习相对于机器学习的优势之一是，它可以自动学习重要的特征，而无需手动输入。由于特征的数量和数据量更多，我们使用了深度神经网络模型进行分类。该模型及其组成部分的详细信息如下所述。3.1. 网络流量数据网络流可以被定义为在一段时间内在源和目的地IP地址和端口之间行进的给定协议的分组的单向序列。通过使用关键字字段对数据包进行分组，从数据包生成流。用于从网络数据包导出流数据的字段如下所示。Key={Src IP， Dst IP， Src Port， Dst Port， Proto}（1）··穆拉利德哈兰珍妮特B。ICT Express 7（2021）210表212212图二、 慢速拒绝服务分类模型的工作流程。用于培训、测试和验证的数据总结。总记录培训测试验证32，190 19，314 6，438 6438图3.第三章。 用于慢速DoS分类的深度学习模型。除了这些字段之外，流数据还包括从连接中导出的信息，例如持续时间、字节、传输的数据包和TCP标志值。流数据可以通过包括从帧内和帧间数据包细节导出的粒度级别信息来进一步扩展[17]。选择流量水平数据作为我们分类的输入有几个原因首先，与分组级信息相比，数据量较少。其次，由于数据量较少，可以收集和分析长期数据。这将有助于检测持续时间更长的缓慢攻击。第三，由于数据集是从数据包报头中导出的，因此即使在加密的情况下，也可以从流量中生成该数据集。所使用的数据集和进行的预处理的细节解释如下。3.1.1. 使用的数据集加拿大网络安全研究所（CICIDS 2017）提供的入侵检测评估数据集用于模型训练和评估[18]。它包含多个攻击数据，包括暴力破解，拒绝服务，网络攻击，渗透，僵尸网络和DDoS.我们选择了DoS数据集作为我们的分类模型。3.1.2. 数据预处理CICIDS2017数据集由逗号分隔（.CSV）格式的标记双向流组成，每个流记录中有84个参数。参数和说明的列表每个参数都在[18]中可用。由于它可能会使训练产生偏差，因此从用于我们分类的流记录中删除了字段flowID，时间戳，源和目的地IP地址。因此，选择用于分类的最终数据集由80个参数组成。除了良性流量之外，根据所使用的工具，流量记录被标记为这些标签被转换成从1开始到5结束的整数值，分别表示3.2. 深度学习分类器如图3所示，深度学习模型由3个不同的层组成，即“输入层”，“隐藏层”和“输出层”。输入层向网络提供信息。隐藏层处理非线性可分离的关系，并将信息从输入层传递到输出层。输出层将流量分类为良性DoS或慢速DoS。在我们的分类模型中使用了一个完全连接的前馈深度网络。在该模型中，输入层将流量水平参数作为输入。因为我们选择了80个特征在流数据中，输入层中的神经元的数目固定为80。输入层中使用的流量级别特征表示为“FP1”至“FP80”。输出层包含的神经元数量与数据集中的类数量相同。因此，输出层中的神经元固定为5个。3.2.1. 模型训练为了将慢速拒绝服务流记录从良性流中分类出来，我们使用训练数据对系统进行训练。由于训练数据由其中的标签组成，因此应用了监督学习技术。用于分类器的训练、测试和验证的数据总结在表1中。由于它在计算上是廉价的，因此将整流线性单元（ReLU）用作隐藏层中的激活函数。我们的模型是用来分类四个不同的慢拒绝服务的良性流量。因此，在输出层中使用“softmax”激活函数。采用adam（adaptive moment estimation）优化算法对代价函数进行优化。在我们的模型中使用这种优化技术来支持具有更多参数的大数据。由于我们的模型是一个多类分类，“类别交叉熵”函数被用作损失函数。该模型使用Keras [ 19 ] API和SciKit [ 20 ]模型选择库实现我们已经在epoch中配置了在实验的基础上，我们确定了模型中的四个隐藏层4. 结果和分析从慢速拒绝服务分类的结果表明，该模型能够达到99.61%的整体准确率。图4中显示了获得该精度的模型的混淆矩阵。混淆矩阵的“x”轴显示预测标签，“y”轴显示真实标签。通过比较每个类中的记录数量，我们可以观察到每个类中的记录不是均匀分布的。因此，我们计算了F1分数，作为除了精确度和召回率之外的性能指标。所得分类精度、召回率和F1分数的总结如表2所示。穆拉利德哈兰珍妮特B。ICT Express 7（2021）210213表2分类结果汇总。业务类型精度召回F1分数良性0.991.001.00Slowloris1.000.990.99Slowhttptest0.990.980.99绿巨人1.001.001.00黄金眼1.001.001.00图四、分 类 器输出的混淆矩阵。图五、 训练和验证数据集的准确性。图第六章 训练和验证数据集的损失。训练和验证数据集在训练时期的准确度和损失图如图所示。 5和图6分别。图中的从这些图中，我们可以观察到该模型使用了43个epoch，并达到了与训练精度相似的验证精度。该系统能够实现100%的准确率，召回率，“绿巨人”和“黄金眼”DoS流量的F1得分。然而，与其他流量类型相比，slowhttptest数据的分类性能较差。这可能是由于数据集中可用的slowhttptest记录数量较少（仅7%）通过分析模型产生的假阳性， 我们可以观察到，在分类期间，“benign”类生成了12个假阳性，而“hulk”生成了两个假阳性。然而，考虑到记录的数量，“slowhttptest”类生成了更多的误报条目。假阴性分析表明，'slowhttptest'和'slowloris'分别有9个和7个假阴性。从准确率，精度，召回率和F1得分，我们可以得出结论，基于流的深度分类器模型是有效的分类慢拒绝服务流量。4.1. 结论提出了一种基于深度学习的分类器，用于使用流数据进行慢HTTP拒绝服务检测。使用CICIDS2017数据集对分类器进行评估。实验结果表明，该分类器对攻击的分类准确率达到99.61%。虽然分类器取得了较高的准确率，重要的是评估和基准的分类器与真实的流量。作为未来的活动，我们计划扩展这项工作，以提供一个全面的模型，用于检测和防止HTTP上的慢速拒绝服务攻击CRediT作者贡献声明Muraleedharan N.：概念化，方法论，软-软件，数据管理，可视化，写作-原始草稿准备。JanetB.：监督、验证、写作-竞合利益作者声明，他们没有已知的可能影响本文所报告工作引用[1] S.T. Zargar，J. Joshi，D. Tipper，分布式拒绝服务（ddos）洪水攻击防御机制的调查，IEEECommun。监视器家教15（4）（2013）2046[2] A.阿尔莫马尼，M。阿劳特曼，F.阿尔巴拉斯河，澳-地Dorgham，A.奥贝达特，提出了一种基于Neucube算法的云计算在线入侵检测系统。J. 云应用Comput. 8（2）（2018）96[3] A. Bhardwaj，S. Goundar，针对DDoS攻击比较单层和三层基础架构设计，Int. J. Cloud Appl. Comput. 7（3）（2017）59-75。[4] K. Bhushan，B. B. Gupta，基于软件定义网络（SDN）的云计算环境中的分布式拒绝服务（ddos）攻击缓解，J. Ambient Intell。Humaniz. Comput. 10（5）（2019）1985-1997。[5] B.B. 作者 ：D.P. Wang ，Computer and Cyber SecurityPrinciples ，Algorithm，Applications，and Perspectives，CRC Press，2019。穆拉利德哈兰珍妮特B。ICT Express 7（2021）210214[6] M.恰布拉湾古普塔A。Almomani，A novel solution to handleDDOSattack in MANET，J. Inf. Assur.安全性04（03）（2013）165-179。[7] S.M. Kasongo，Y.孙，基于深度长短期记忆的无线入侵检测系统分类器，ICT Express 6（2）（2020）98-103。[8] M.M. Najafabadi，T.M. Khoshgoftaar，A.纳波利塔诺角《RUDY攻击：网络级检测及其重要特征》，in：FLAIRS Conference ，2016，pp.288[9] J. Park，K. Iwai，H. Tanak，T. Kurokawa，分析慢读拒绝服务攻击 和 对 策 ， 在 ： 网 络 犯 罪 调 查 和 网 络 安 全 国 际 会 议（ICCICS2014），数字信息和无线通信协会，2014年，第100页。37-49.[10] K.洪，Y。Kim，H. Choi，J. Park，SDN辅助的慢速HTTP DDoS攻击防御方法，IEEE Commun. Lett. 22（4）（2017）688[11] M. 拉 塔 湖 Toker ， Minimizing false positive rate for DoSattackdetection：A hybrid SDN based approach，ICT Express 6（2）（2020）125-127。[12] F.S. D. Lima Filho，F.A. Silveira，A. de Medeiros Brito Junior，G.Vargas-Solar，L.F. Silveira，Smart detection ：An online approachforDoS/DDoS attack detection using machine learning ， Secur.Commun. 网络（2019年）。[13] N. Tripathi，N. Hubballi，Y. Singh，Web服务器有多安全？慢HTTP拒绝服务攻击和检测的实证研究，在：2016年第11届国际会议上，在：可用性，可靠性和安全性 （ARES），IEEE，2016年，pp。454-463[14] H.H. Jazi，H. Gonzalez，N. Stakhanova，A.A. Ghorbani，在存在采样的情况下检测Web服务器上基于HTTP的应用程序层DoS攻击，计算机，网络121（2017）25-36。[15] N. Tripathi，N. Hubballi，针对HTTP/2的慢速拒绝服务攻击和检测，Comput。安全性72（2018）255[16] E.坎比亚索湾帕帕莱奥湾Aiello，Taxonomy of slow DoS attackstoweb applications ， in ： International Conference on Security inComputerNetworks and Distributed Systems ， Springer ， Berlin ，Heidelberg，2012，pp. 195-204.[17] R. Hofstede，P.塞莱达湾特拉梅尔岛德拉戈河Sadre，A.斯佩罗托A.流监控解释：从数据包捕获到NetFlow和IPFIX的数据分析，IEEE Commun。 监视器 家教 16（4）（2014）2037-2064。[18] CIC DoS dataset（2017），[Online].可用：http：//www. 联合湾ca/cic/datasets/dos-dataset。HTML.[19] Keras：Python深度学习库，[在线]。可用：https：//keras. 我同意。[20] scikit-learn：Python中的机器学习[在线]。Available：https：//scikit-learn. 或g/stable/index。HTML.