基于雜草優(yōu)化算法優(yōu)化極限學(xué)習(xí)機的DoS攻擊檢測研究

張帥, 賈如春

(川北幼兒師范高等?？茖W(xué)校 初等教育系，廣元 628017)

0 引言

隨著無線局域網(wǎng)WLAN的不斷發(fā)展，新的攻擊方法不斷涌現(xiàn)，安全問題日益突出，在眾多攻擊方法中，拒絕服務(wù)攻擊(Denial of Service，DoS)的危害最大并且難以防范[1-2]。所謂拒絕服務(wù)攻擊是指通過拒絕服務(wù)攻擊行動使得網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗系統(tǒng)資源或網(wǎng)絡(luò)帶寬資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不能提供正常的網(wǎng)絡(luò)服務(wù)，拒絕提供訪問服務(wù)。因此，對無線局域網(wǎng)拒絕服務(wù)攻擊檢測的技術(shù)進行歸納和總結(jié)，有助于提出防范措施，對拒絕服務(wù)攻擊檢測技術(shù)的發(fā)展和應(yīng)用具有重要的理論價值和實際意義。針對ELM分類結(jié)果易受其初始輸入權(quán)值和閥值的影響，提出一種入侵雜草算法優(yōu)化ELM的DoS攻擊檢測模型。選擇DoS攻擊檢測的準確率為適應(yīng)度，通過IWO優(yōu)化ELM的初始輸入權(quán)值和閥值，實現(xiàn)DoS攻擊檢測最佳檢測。

1 拒絕服務(wù)分類

1.1 驗證洪水攻擊

驗證洪水攻擊(Authentication Flood Attack)主要針對那些處于通過驗證和無線接入點(Access Point，AP)建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者在某一時間段內(nèi)向AP發(fā)送大量身份認證信息，使得驗證身份請求超過AP的負載能力，AP斷開其它無線連接服務(wù)，其攻擊原理如圖1所示。

圖1 驗證洪水攻擊

1.2 取消驗證洪水攻擊

取消驗證洪水攻擊(De-authentication Flood Attack)，攻擊者同時向無線客戶端和AP反復(fù)發(fā)送取消身份驗證的信息，AP誤認為客戶端請求斷開連接服務(wù)，其攻擊原理如圖2所示。

1.3 關(guān)聯(lián)洪水攻擊

關(guān)聯(lián)洪水攻擊(Association Flood Attack)，AP點內(nèi)置一個連接狀態(tài)表，攻擊者偽造大量客戶端淹沒 AP 的連接狀態(tài)表，使其無法響應(yīng)合法用戶的接入請求，使得合法客戶端無法連接，其攻擊原理如圖3所示。

圖3 關(guān)聯(lián)洪水攻擊

1.4 信標洪水攻擊

攻擊者持續(xù)不斷地向無線信道發(fā)送大量虛假的服務(wù)集標識， 用戶接收到這些虛假的服務(wù)集標識之后，誤以為存在很多AP點可以使用，之后不斷刷新網(wǎng)絡(luò)，使得客戶端找不到真正的可以使用的AP點，其攻擊原理如圖4所示。

圖4 信標洪水攻擊

1.5 持續(xù)時間攻擊

持續(xù)攻擊時間(Duration Attack)，攻擊者連續(xù)發(fā)送占用巨大持續(xù)時間值的數(shù)據(jù)包，若成功占用網(wǎng)絡(luò)分配向量(Network Allocation Vector，NAV)，那么此時將在很長時間內(nèi)阻礙其他節(jié)點進行操作，達到拒絕服務(wù)的目的，其攻擊原理如圖5所示。

1.6 RF干擾攻擊

RF干擾攻擊(Radio Frequency Jamming Attack)，該攻擊屬于物理層攻擊，攻擊者通過發(fā)出干擾射頻信號，使得AP覆蓋范圍內(nèi)所有連接斷開，實現(xiàn)拒絕服務(wù)的目的，其攻擊原理如6所示。

2 入侵雜草優(yōu)化算法

入侵雜草優(yōu)化算法[6-7](Invasive Weed Optimization，IWO)是受自然界雜草生存入侵的啟發(fā)而提出的優(yōu)化算法，其通過種子的空間擴散、生長、繁殖和競爭消亡四實現(xiàn)算法進化尋優(yōu)。該算法具有計算簡單、存儲空間小和較強的自適應(yīng)性、魯棒性和收斂特性等優(yōu)點，被廣泛地應(yīng)用于函數(shù)優(yōu)化、車間調(diào)度、網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化等領(lǐng)域。IWO算法流程如下：

圖5 持續(xù)時間攻擊

圖6 RF干擾攻擊

(1)種群初始以及參數(shù)設(shè)定

IWO算法參數(shù)設(shè)定如下：初始種群數(shù)N0、最大種群規(guī)模Nmax、所求問題的維度D、最大迭代次數(shù)itermax、生成種子數(shù)目的最大和最小值分別為seedmax和seedmin、標準差的初始值和終值分別為σini和σfin、非線性指數(shù)n、搜索空間的區(qū)間[xmaxxmin]、最優(yōu)適應(yīng)度f。

(2)個體繁殖

由于雜草個體繁殖所產(chǎn)生的種子數(shù)量與其適應(yīng)度大小密切相關(guān)，適應(yīng)度小雜草個體的產(chǎn)生的種子數(shù)量多，反之適應(yīng)度大雜草個體的產(chǎn)生的種子數(shù)量少，因此假設(shè)適應(yīng)值最小的雜草個體所對應(yīng)的種子數(shù)量為smax，適應(yīng)值最大的雜草個體所對應(yīng)的種子數(shù)量為smin，處于二者之間的根據(jù)公式(1)進行繁殖如式(1)。

(1)

其中fmin、fmax分別表示雜草的最小適應(yīng)度和最大適應(yīng)度；smin、smax分別表示種子數(shù)量的最小值和最大值。

(3)雜草空間擴散

種子在[0,σ]區(qū)間內(nèi)正態(tài)分布，并散落于雜草四周，并根據(jù)步長D進行生長擴散，D∈[-σ,σ]。σ根據(jù)公式(2)進行變化，在算法迭代的開始階段，σ取值較大，此時雜草種子的分布較為分散，搜索范圍廣，算法可以進行全局尋優(yōu)；隨著迭代次數(shù)的增加，σ數(shù)值變小，種子的分布相對集中，搜索范圍變窄，此時算法主要進行局部尋優(yōu)，如式(2)。

(2)

其中，σini、σiter、σfin分別表示起始階段的標準差、第iter次迭代次數(shù)的標準差以及最終迭代次數(shù)的標準差；itermax表示最大迭代次數(shù)。

(4)計算新種群中雜草的最優(yōu)適應(yīng)值，若優(yōu)于當(dāng)前位置的最優(yōu)適應(yīng)值，則更新適應(yīng)度f的大小和雜草的位置。

(5)競爭性生存，優(yōu)勝劣汰。

當(dāng)種群繁殖到最大規(guī)模Nmax時，則依照種群適應(yīng)度的大小進行雜草個體排序，選擇適應(yīng)度排序前Nmax的個體，使種群數(shù)目保持在Nmax不變。

(6)重復(fù)(2)～(5)，當(dāng)達到最大迭代次數(shù)，算法終止。

IWO算法流程圖如圖7所示。

圖7 IWO算法流程圖

3 極限學(xué)習(xí)機

極限學(xué)習(xí)機[8](Extreme Learning Machine，ELM)是在Moore-Penrose矩陣理論基礎(chǔ)上所提出的一種新型的單隱含層前饋神經(jīng)網(wǎng)絡(luò)(single-hidden layer feed-forward neural networks，SLFNs)，其結(jié)構(gòu)模型圖如圖8所示。

圖8 ELM結(jié)構(gòu)模型圖

(3)

其中ai=[ai1,ai2,…,ain]T、βi=[βi1,βi2,…,βim]T和bi分別表示第i個隱含層神經(jīng)元的輸入權(quán)值、輸出權(quán)值和偏置；ai·xj表示ai和xj的內(nèi)積。

公式(3)可表示為矩陣形式如式(4)、式(5)。

Hβ=T

(4)

其中

(5)

求解該問題是在保證期望值與實際值之間的誤差平方和E(W)最小的前提下，尋找最優(yōu)的權(quán)值W=(a,b,β)使代價函數(shù)E(W)最小的過程，其數(shù)學(xué)模型為[9]式(6)。

(6)

其中εj=[εj1,εj2,…,εjm]表示第j個樣本的誤差。

4 基于IWO優(yōu)化ELM的DoS攻擊檢測

4.1 適應(yīng)度函數(shù)

通過ELM優(yōu)化ELM的輸入權(quán)值和閥值，使得DoS攻擊檢測的準確率最高，選擇DoS攻擊檢測的準確率為適應(yīng)度函數(shù)，適應(yīng)度可以表示為式(7)。

(7)

其中，A表示DoS攻擊檢測正確類別的數(shù)量，B表示DoS攻擊檢測類別的總數(shù)量。

4.2 優(yōu)化流程

IWO優(yōu)化ELM的DoS攻擊檢測的優(yōu)化流程如下：

Step1：歸一化Dos攻擊檢測特征數(shù)據(jù)，建出訓(xùn)練樣本和測試樣本；

Step2：設(shè)定IWO算法的參數(shù)：初始種群數(shù)N0、最大種群規(guī)模Nmax、所求問題的維度D、最大迭代次數(shù)itermax、生成種子數(shù)目的最大和最小值分別為seedmax和seedmin、標準差的初始值和終值分別為σini和σfin、非線性指數(shù)n、搜索空間的區(qū)間[xmaxxmin]、最優(yōu)適應(yīng)度f。

Step3：將構(gòu)建出的訓(xùn)練樣本輸入ELM，根據(jù)適應(yīng)度(7)計算雜草個體的適應(yīng)度值，尋找雜草個體最優(yōu)適應(yīng)度和最優(yōu)位置；

Step4：競爭性生存，優(yōu)勝劣汰。

當(dāng)種群繁殖到最大規(guī)模Nmax時，則依照種群適應(yīng)度的大小進行雜草個體排序，選擇適應(yīng)度排序前Nmax的個體，使種群數(shù)目保持在Nmax不變。

Step5：若gen>itermax，保存最優(yōu)解；反之gen=gen+1，重復(fù)Step2～Step4；

Step6：將IWO優(yōu)化ELM獲取的最優(yōu)參數(shù)ai、βi、bi用于Dos攻擊檢測。

5 實驗分析

5.1 數(shù)據(jù)來源

為了驗證IWO_ELM算法進行DoS攻擊檢測的效果，以Windows7為操作環(huán)境，選擇MATLAB2017(b)為仿真軟件平臺，PC機內(nèi)存8GB、處理器Intel core I5 2.4GHZ。選擇KDD CUP99 Dos數(shù)據(jù)為研究對象，該標準數(shù)據(jù)集每組數(shù)據(jù)包括41個特征屬性[11]。

5.2 評價指標

為了評價IWO_ELM進行DoS攻擊檢測的效果，選擇檢測準確率Accuracy和誤判率Falseij作為評價指標：

(1)準確率Accuracy：若正確檢測的DoS攻擊類型數(shù)量為a，實際DoS攻擊類型數(shù)量為b，則DoS攻擊檢測的準確率為式(8)。

(8)

(2)誤判率Falseij：若第i類DoS攻擊類型的實際數(shù)量為a，將第i類DoS攻擊類型誤判為第j類DoS攻擊類型的數(shù)量為c，則DoS攻擊檢測的誤判率為式(9)。

(9)

5.3 結(jié)果分析

為了說明本文算法的有效性和可靠性，將本文算法IWO_ELM與GA_ELM、PSO_ELM和CS_ELM進行對比，IWO算法參數(shù)設(shè)定為：N0=50，Nmax=80，D=13，itermax=500，smax=30，smin=2，σinit=10，σfinial=0.001，n=3，CR=0.8。ELM參數(shù)設(shè)定如下：輸入神經(jīng)元數(shù)量inputnum=41、隱含層神經(jīng)元數(shù)量hiddennum=30和輸出層神經(jīng)元數(shù)量outputnum=1，尋優(yōu)對比曲線如圖9所示。

(a)IWO_ELM

(b)GA_ELM

(c)PSO_ELM

(d) CS_ELM

圖9 尋優(yōu)對比圖

由圖9對比可知，與其他算法相比，IWO算法優(yōu)化ELM具有更快的收斂速度，并且具有更高的準確率。

如表1、圖10所示。

由表1和圖10(a)-圖10(d)可知，GA_ELM[12]、PSO_ELM[13]和CS_ELM[14]的Dos攻擊檢測的準確率和誤判率均差于IWO_ELM算法進行DoS攻擊檢測的準確率和誤判率，IWO算法的DoS攻擊檢測的準確率和誤判率分別為98.45%和1.55%，優(yōu)于效果最好。與其他算法比較可知，IWO_ELM可以有效提高DoS攻擊檢測的準確率和降低誤判率，為DoS攻擊檢測提供新的方法和途徑。

表1 精度對比

(a)IWO_ELM

(b)GA_ELM

(c)PSO_ELM

(d) CS_ELM

圖10 Dos攻擊檢測結(jié)果圖

6 總結(jié)

針對ELM分類結(jié)果易受其初始輸入權(quán)值和閥值的影響，提出一種入侵雜草算法優(yōu)化ELM的Dos攻擊檢測模型。選擇Dos攻擊檢測的準確率為適應(yīng)度，通過IWO優(yōu)化ELM的初始輸入權(quán)值和閥值，實現(xiàn)Dos攻擊檢測最佳檢測。研究結(jié)果表明，與其他算法比較可知，IWO_ELM可以有效提高Dos攻擊檢測的準確率和降低誤判率，為Dos攻擊檢測提供新的方法和途徑。