基于EEMD-LSTM的需求響應(yīng)終端DDoS 攻擊檢測方法

李彬，魏吟娬，祁兵，孫毅，陳宋宋

(1.華北電力大學電氣與電子工程學院,北京市 102206;2.中國電力科學研究院有限公司,北京市 100192)

0 引言

隨著能源革命與數(shù)字革命進一步相融并進,國內(nèi)大力推動能源行業(yè)和互聯(lián)網(wǎng)創(chuàng)新發(fā)展,作為能源互聯(lián)網(wǎng)的核心和紐帶,電力系統(tǒng)的“源-網(wǎng)-荷-儲”互動運行模式得到進一步研究[1],考慮互動調(diào)控的需求響應(yīng)(demand response,DR)業(yè)務(wù)部署的終端增加,區(qū)別于以往終端大多由專線接入或經(jīng)試點項目零星部署,未經(jīng)外網(wǎng)安全考驗,大量需求響應(yīng)終端接入電力網(wǎng)絡(luò)的同時,根據(jù)《電力二次系統(tǒng)安全防護總體方案》的防護要求,終端接入網(wǎng)絡(luò)上傳的數(shù)據(jù)及控制信息在安全區(qū)橫向隔離界線模糊,實際應(yīng)用中可能受到網(wǎng)絡(luò)攻擊[2],而關(guān)于需求響應(yīng)終端接入外網(wǎng)的網(wǎng)絡(luò)安全問題相關(guān)研究較少。各地電力系統(tǒng)受到網(wǎng)絡(luò)安全攻擊事件層出不窮。2020 年5 月,委內(nèi)瑞拉國家電網(wǎng)765干線遭攻擊,造成全國大面積停電;2019 年3 月,黑客利用防火墻中的已知漏洞針對美國猶他州的可再生能源電力公司發(fā)起了拒絕服務(wù)(denial of service,DoS)攻擊導致該組織的控制中心和其各個站點現(xiàn)場設(shè)備之間的通信中斷。

電力系統(tǒng)可能受各種不斷演化的網(wǎng)絡(luò)攻擊。文獻[3]針對電力系統(tǒng)狀態(tài)估計的虛假數(shù)據(jù)注入攻擊(false data injection attack,FDIA)設(shè)計了一種應(yīng)對策略。文獻[4]針對電力信息物理融合系統(tǒng)(cyber physical power system,CPPS)受虛假數(shù)據(jù)攻擊提出了一種基于拓撲篡改的電力市場FDIA 方案。文獻[5]立足一次電力設(shè)備網(wǎng)絡(luò)安全自檢結(jié)果,以nmap 為例闡述了對用戶數(shù)據(jù)報協(xié)議(user datagram protocol,UDP)端口的攻擊原理,并基于此對UDP 端口的網(wǎng)絡(luò)安全防護進行研究。文獻[6]研究了事件觸發(fā)H∞混合網(wǎng)絡(luò)攻擊下的多區(qū)域電力系統(tǒng)負荷頻率控制,包括DoS 攻擊和欺騙攻擊,提出了一種在DoS 攻擊下的事件觸發(fā)傳輸方案,在保證系統(tǒng)性能的前提下減輕網(wǎng)絡(luò)帶寬的負載。

針對分布式拒絕服務(wù)(distributed denial of service,DDoS)攻擊檢測的方法與時俱進,例如文獻[7]構(gòu)建了基于粒子群優(yōu)化卷積神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測模型,旨在利用卷積神經(jīng)網(wǎng)絡(luò)自動挖掘攻擊數(shù)據(jù)流特征,該文利用神經(jīng)網(wǎng)絡(luò)提取流量特征在實時檢測攻擊方面有實際應(yīng)用價值。文獻[8]同樣利用網(wǎng)絡(luò)流量的多種特征,提供了合法流量和攻擊流量模型,該方法增加了對網(wǎng)絡(luò)流量的適應(yīng)性,并與神經(jīng)網(wǎng)絡(luò)的決策機制相結(jié)合。而隨著需求響應(yīng)業(yè)務(wù)的發(fā)展與試點工作的開展,大量需求響應(yīng)終端接入外網(wǎng)進行分析計算等需求響應(yīng)業(yè)務(wù),以上研究都基于電力系統(tǒng)受DDoS 網(wǎng)絡(luò)攻擊,鮮有針對需求響應(yīng)終端受DDoS攻擊檢測相關(guān)研究。

綜上,本文立足需求響應(yīng)用戶側(cè)終端參與需求響應(yīng)業(yè)務(wù)DDoS 攻擊檢測,分析適用該場景的檢測方法,首先采取集合經(jīng)驗?zāi)B(tài)分解(ensemble empirical mode decosition,EEMD)提取時序DDoS 攻擊的流量特征,對流量進行特征分類提取,再結(jié)合分解后的子序列進行長短期記憶(long short-term memory,LSTM)神經(jīng)網(wǎng)絡(luò)學習,進行DDoS 攻擊根據(jù)暫態(tài)特征識別。該方法旨在根據(jù)時序流量數(shù)據(jù)進行實時攻擊檢測。需求響應(yīng)終端與云端管控平臺通過外網(wǎng)接入可能受到DDoS網(wǎng)絡(luò)攻擊考驗,本文的目標是及時檢測實時DDoS 攻擊,通過時序數(shù)據(jù)基于自相似流量特征進行EEMD 得到流量暫態(tài)特征并進一步進行神經(jīng)網(wǎng)絡(luò)DDoS 攻擊識別,旨在減輕終端因攻擊受到的損害。

1 需求響應(yīng)終端受DDoS 攻擊問題

為了實現(xiàn)需求響應(yīng)特點和功能,需求側(cè)終端單純通過電力內(nèi)網(wǎng)接入?yún)⑴c需求響應(yīng)互動已經(jīng)不切實際,需要利用云平臺互聯(lián)網(wǎng)通信進行與用戶的交互。通過需求響應(yīng)終端設(shè)備的數(shù)據(jù)傳輸和采集,利用集中組網(wǎng)實現(xiàn)用戶終端數(shù)據(jù)向上聚合[9]。然而隨著大、云、物、移、智、鏈等技術(shù)在電網(wǎng)領(lǐng)域的應(yīng)用,需求側(cè)大量異構(gòu)終端接入,需求響應(yīng)終端設(shè)備與云平臺之間信息上傳頻次增加,使電網(wǎng)的網(wǎng)絡(luò)邊界模糊、數(shù)據(jù)類型多元,電力通信網(wǎng)絡(luò)需要更高的安全性、可靠性[10],現(xiàn)有的需求響應(yīng)防護體系尚未應(yīng)對逐漸升級的DDoS攻擊手段與安全風險,需求側(cè)信息采集處理平臺隨著信息量的增大導致安全隱患日益凸顯[11]。電網(wǎng)依靠管控中心實施和管理用戶的用電需求,而云端管控平臺需要以海量用戶用電數(shù)據(jù)作為支撐,這些數(shù)據(jù)不僅涉及到用戶的隱私,還會影響平臺的管理決策。若攻擊者通過互聯(lián)網(wǎng)向需求響應(yīng)終端發(fā)起攻擊,將對各類電力用戶如電網(wǎng)公司、工業(yè)園區(qū)、大型商場、智慧小區(qū)[12]等造成威脅。一方面,用戶對這些需求響應(yīng)通信的安全可靠性提出的要求越來越高;另一方面,需求側(cè)終端信息通過互聯(lián)網(wǎng)上傳至云平臺遭受DDoS攻擊的可能日益增長[13],而現(xiàn)有安全防護措施需要進一步針對該場景進行升級,由此解決需求響應(yīng)終端受DDoS 攻擊的安全問題。管控云平臺系統(tǒng)下需求響應(yīng)終端受DDoS 攻擊場景如圖1 所示。

圖1 管控云平臺系統(tǒng)下需求響應(yīng)終端受DDoS 攻擊Fig.1 Demand response terminal in the cloud platform system under attack by DDoS

以典型的“云-管-邊-端”需求響應(yīng)系統(tǒng)為例,需求側(cè)終端設(shè)備通過物聯(lián)網(wǎng)將用電信息等上傳至管控云平臺,云平臺通過云計算獲知用戶需求響應(yīng)潛力與合適的補貼激勵等向用戶提供需求響應(yīng)服務(wù),再向需求側(cè)終端返回控制信息,完成雙向交互。需求響應(yīng)終端由于接入外網(wǎng),在信息傳輸過程中,可能受DDoS攻擊。DDoS 作為一種阻止正常用戶訪問受害系統(tǒng)的攻擊,本質(zhì)是大規(guī)模的DoS 攻擊[14],其與DoS 攻擊的差別在于DoS 攻擊每次只能采用一種攻擊方法攻擊一個目標,而DDoS 可以采用多種攻擊方式同時攻擊多個目標,主要通過消耗受害系統(tǒng)的網(wǎng)絡(luò)帶寬資源、CPU 和內(nèi)存等主機資源使其性能下降甚至崩潰,導致用戶無法正常訪問。

DDoS 根據(jù)攻擊對象協(xié)議層分類的攻擊方式有:

1)網(wǎng)絡(luò)/傳輸層的攻擊即網(wǎng)絡(luò)帶寬耗盡型攻擊[15]。通過操縱攻擊源發(fā)送大量流量占據(jù)受害系統(tǒng)帶寬資源,使攻擊目標無法與外界正常通信,有同步序列編號(synchronize sequence numbers,SYN)洪流、UDP 洪流、Internet 控制報文協(xié)議(Internet control message protocol,ICMP)洪流等攻擊方式。在需求響應(yīng)終端信息傳輸過程中容易被攻擊者利用大量偽裝的EiEvent Service 數(shù)據(jù)包進行該類攻擊。

2)應(yīng)用層攻擊即基于主機資源耗盡型攻擊[16]。利用受害系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)及網(wǎng)絡(luò)協(xié)議特性(超文本傳輸協(xié)議(hyper text transfer protocol,HTTP)、域名系統(tǒng)(domain name system,DNS)等方式)發(fā)送超出目標主機處理能力的虛假服務(wù)請求,達到占用目標主機系統(tǒng)資源(CPU、Sockets、內(nèi)存、數(shù)據(jù)庫等),使其喪失正常服務(wù)請求能力的目的。其中通過HTTP 發(fā)起的攻擊最為常見,主要包括訪問請求洪流攻擊、非對稱攻擊及重復單次攻擊等攻擊手段。在需求響應(yīng)終端信息傳輸時易被攻擊者利用偽裝的緊急事件業(yè)務(wù)數(shù)據(jù)包進行該類攻擊。

DDoS 攻擊方式,特別是通過HTTP 發(fā)起的應(yīng)用層攻擊,較易針對使用HTTP 或可擴展消息處理現(xiàn)場協(xié)議(extensible messaging and presence protocol,XMPP)傳輸機制的需求響應(yīng)服務(wù),本文采用的基于流量暫態(tài)特征的EEMD-LSTM 檢測方法能有效檢測DDoS 攻擊。通過采用EEMD 方法提取時序數(shù)據(jù)暫態(tài)流量特征,作為LSTM 模型訓練輸入,從而提高檢測準確性。

2 面向需求響應(yīng)的DDoS 攻擊流量特征檢測

文獻[17]明確說明了執(zhí)行需求響應(yīng)信息交互時所需的通信服務(wù)和底層通信數(shù)據(jù)項。通信服務(wù)包含交互時需要的注冊、事件、報告、參與和詢問5 個服務(wù)過程,具體DR 業(yè)務(wù)見表1。

表1 需求響應(yīng)業(yè)務(wù)流特征分析Table 1 Characteristics analysis of demand response business flow

需求響應(yīng)業(yè)務(wù)數(shù)據(jù)類型有所不同,報文大小、種類是預定模型,流量特征隨以上業(yè)務(wù)類型不同有不同特征,如緊急事件業(yè)務(wù)流量驟增,一般事件業(yè)務(wù)和輪詢業(yè)務(wù)流量曲線較為平穩(wěn)。其中事件服務(wù)為需求響應(yīng)業(yè)務(wù)流的核心內(nèi)容,事件由需求響應(yīng)終端生成,發(fā)送到云端管控平臺,云平臺對需要響應(yīng)的事件進行響應(yīng)并確認終端是否選擇參與響應(yīng)或退出部署;如果不需要響應(yīng),則不對此事件進行回復。以可中斷負荷參與電網(wǎng)需求響應(yīng)業(yè)務(wù)為例,常規(guī)的負控業(yè)務(wù)對通信網(wǎng)絡(luò)要求的服務(wù)等級不高[18]。近年來,受端電網(wǎng)為了應(yīng)對緊急故障情況,還設(shè)計了秒級、毫秒級的緊急需求響應(yīng)資源池,在業(yè)務(wù)執(zhí)行瞬間會呈現(xiàn)出高并發(fā)的趨勢。在2021 年國家重點研發(fā)計劃的規(guī)模化靈活資源聚合互動調(diào)控項目中,已經(jīng)明確需求側(cè)資源參與電網(wǎng)輔助服務(wù)的毫秒級發(fā)展方向。事件服務(wù)由于要求的服務(wù)等級高并且允許較高的傳輸凈載荷,或易被DDoS 攻擊主機,利用偽裝向需求響應(yīng)終端發(fā)送大量偽裝事件服務(wù)包發(fā)起攻擊。

在OpenADR 2.0b 標準中對需求響應(yīng)信號進行了定義,配置規(guī)范允許事件消息中存在以下信號集eiEventSignals:signalName、eiEventSignal和signalType。信號類別包括電力成本、電價增量和需量電費的增量等[19],有不同其他網(wǎng)絡(luò)流量包的數(shù)據(jù)特征,尤其是在需求響應(yīng)緊急事件發(fā)生和常態(tài)需求響應(yīng)的流量特征具有截然不同的特性時,需要進行甄別。本文計及上述可能場景基于攻擊流量特征進行攻擊檢測研究,采用EEMD 將非平穩(wěn)時間序列轉(zhuǎn)換為平穩(wěn)的本征模態(tài)函數(shù)分量,提取流量的暫態(tài)特征,提取需求響應(yīng)事件業(yè)務(wù)流量以及DDoS 攻擊流量的暫態(tài)特征。

根據(jù)在網(wǎng)絡(luò)采集海量高分辨率的真實網(wǎng)絡(luò)流量具有統(tǒng)計上的自相似性[20],能夠通過DDoS 攻擊的流量特征基于時序數(shù)據(jù)及時檢測攻擊。基于自相似性的根本特質(zhì)即波形尺度不變形,截取不同時間尺度下DDoS 攻擊數(shù)據(jù),用每秒轉(zhuǎn)發(fā)包數(shù)說明攻擊流量特征的自相似性,如圖2 所示。

圖2 不同尺度下DDoS 攻擊流量Fig.2 DDoS attack traffic in different scales

基于時序DDoS 攻擊流量符合自相似性,且不同時間尺度特征相似,所以選擇根據(jù)時間序列流量暫態(tài)特征進行攻擊檢測,由于經(jīng)驗?zāi)B(tài)分解(empirical mode decomposition,EMD)在提取流量特征方面優(yōu)勢,能夠進一步分析不同模態(tài)模值[21],進而有效結(jié)合神經(jīng)網(wǎng)絡(luò)算法將攻擊流量暫態(tài)特征提取,方便后續(xù)檢測DDoS 攻擊。然而經(jīng)驗?zāi)B(tài)分解存在端點效應(yīng)及模態(tài)混疊問題[22],故采用EMD 改進的EEMD 方法消除端點效應(yīng)[23],結(jié)合LSTM 網(wǎng)絡(luò)進行DDoS 檢測。

3 基于EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)DDoS 攻擊檢測方法

3.1 EEMD

EEMD 作為EMD的改進算法,能夠通過每次分解給信號加入不同幅值的高斯白噪聲以改變信號極值點,形成近似無擬合誤差的上、下包絡(luò)線,從而有效消除EMD 存在的模態(tài)混疊問題。將信號通過EEMD 分解能夠得到信號的各個本征模態(tài)函數(shù)(intrinsic mode function,IMF)分量,IMF 分量滿足以下條件:

式中:NZ為極值點的個數(shù);Ne為過零點的個數(shù);fmax(t)、fmin(t)分別為由局部極大值確定的上包絡(luò)線和由局部極小值確定的下包絡(luò)線。

在整個數(shù)據(jù)序列內(nèi),極值點的個數(shù)NZ、過零點的個數(shù)Ne以及在任一時間點,信號由局部極大值確定的上包絡(luò)線fmax(t)和由局部極小值確定的下包絡(luò)fmin(t)的均值都必須滿足式(1)。

EEMD 具體分解步驟為:

1)將一定幅值的白噪聲序列加入信號中得到新信號x(t):

式中:x0(t)為原始信號;n(t)為白噪聲序列。

2)對新信號x(t)進行EEMD 分解,得到k個IMF 分量ci(t)(i=1,2,…,k)和一個余量r(t):

3)每次分解加入相同振幅的不同白噪聲序列,依次重復步驟1)、2)N次。

4)將分解得到的各個模態(tài)分量均值作為最終結(jié)果,得到的信號經(jīng)EEMD后的模態(tài)IMF分量ci,N(t)為:

5)選取合適的IMF 分量進行分析。

本文研究重點在對流量進行EEMD 分解得到模態(tài)信息以及將頻域特征提取進行LSTM 神經(jīng)網(wǎng)絡(luò)DDoS 攻擊檢測,首先對采集的受DDoS 攻擊流量數(shù)據(jù)進行EEMD 分解,情況如圖3 所示。

由圖3 可得,時域上EEMD 得到了9 個模態(tài),分解結(jié)果在解決了EMD 存在的端點效應(yīng)問題的同時,能夠根據(jù)分解的各個模態(tài)包含的穩(wěn)定的一般需求響應(yīng)業(yè)務(wù)信息傳輸流之外,受到突發(fā)DDoS 攻擊的流量篩選出來。提取到的這部分攻擊流量特征,為后續(xù)進行EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)攻擊檢測方法提供了一定的理論依據(jù)。接下來對分解結(jié)果進行頻域特征提取,采用傅里葉變換[24]得到EEMD的模態(tài)頻域如圖4 所示。

圖3 EEMD 分解時域模態(tài)Fig.3 EEMD decomposition of time-domain modes

圖4 EEMD 分解頻域模態(tài)Fig.4 EEMD decomposition of frequency-domain modes

提取的頻域結(jié)果能夠有效提取模值,使用EEMD考慮到一般需求響應(yīng)事件服務(wù)正常流量的同時提取DDoS 攻擊模態(tài)特征,但由于提取的模態(tài)粒度較細,在EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)檢測中增大計算量的同時可能造成準確率波動。對此,在接下來的仿真驗證中對原始數(shù)據(jù)進行處理,加上提取的模態(tài)特征驗證EEMD-LSTM 攻擊檢測方法的有效性。

3.2 EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)DDoS 攻擊檢測方法

長短期記憶神經(jīng)網(wǎng)絡(luò)是由循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network,RNN)改進而來。循環(huán)神經(jīng)網(wǎng)絡(luò)主要用于處理時間序列的網(wǎng)絡(luò),特點是在全連接神經(jīng)網(wǎng)絡(luò)中加入反饋,使得網(wǎng)絡(luò)的輸出取決于當前輸入和前序輸出,因此能夠記憶處理后續(xù)狀態(tài)。但是RNN 在處理長期依賴(即時間間隔較遠的節(jié)點)類型數(shù)據(jù)時會產(chǎn)生梯度爆炸或梯度消失[25]的問題。LSTM 在RNN的基礎(chǔ)上進行改進,增加3 種門限:輸入門限、遺忘門限和輸出門限,能夠靈活改變不同時刻下的積分尺度,解決了RNN 梯度爆炸或梯度消失的問題。LSTM的結(jié)構(gòu)如圖5 所示。

圖5 LSTM 神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.5 Structure of LSTM neural network

LSTM 作為一個神經(jīng)網(wǎng)絡(luò),主要負責計算時間序列中各個觀測值之間的依賴性,能夠有效擬合非線性關(guān)系,在具有更多固定成分的不穩(wěn)定時間序列上結(jié)合EEMD 分解,基于流量的自相似性,平穩(wěn)化的暫態(tài)流量特征輸入LSTM 模型能有效提高檢測精度[26]。

針對需求響應(yīng)終端上傳數(shù)據(jù)至管控云平臺過程中需求響應(yīng)終端受DDoS 攻擊場景,區(qū)別于其他基于EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)進行預測研究,本文設(shè)計了基于EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)進行分類檢測方法。首先將云平臺收集的需求響應(yīng)重點用電數(shù)據(jù)進行采集,之后提取用電數(shù)據(jù)流量進行EEMD 模態(tài)分解,分解后的各個模態(tài)分別取模,不同模值代表不同模態(tài),通過模態(tài)參量能夠區(qū)分一般需求響應(yīng)業(yè)務(wù)流量特征和DDoS 攻擊流量特征,將頻域模態(tài)特征提取進行LSTM 檢測。檢測中首先對用電數(shù)據(jù)進行預處理,其次導入LSTM 神經(jīng)網(wǎng)絡(luò)進行攻擊檢測,最后獲得檢測結(jié)果判定管控云平臺是否受到DDoS 攻擊。

LSTM 遺忘門的輸入和輸出向量分別為xt和ht,記憶單元為ct,ct為輸入信息和歷史信息經(jīng)過激活函數(shù)tanh 所得的中間結(jié)果;σ(·)為sigmoid 激活函數(shù);ω為神經(jīng)網(wǎng)絡(luò)的權(quán)重矩陣。

EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)檢測方法步驟如下:

步驟1:將分解后流量模態(tài)特征結(jié)合數(shù)據(jù)集特征進行模型輸入。

步驟2:對上一個節(jié)點傳進來的輸入進行選擇性遺忘。通過計算得到的σ{ωf[xt,ht-1]} 作為遺忘門,對上一個狀態(tài)的記憶單元ct-1進行保留記憶篩選。

步驟3:將通過遺忘門的輸入進行有選擇記憶。主要對輸入xt進行選擇記憶。這一階段的輸入內(nèi)容由tanh{ω[xt,ht-1]} 表示。而輸入門信號則由σ(ωi[xt,ht-1]) 進行控制。將上面兩階段得到的結(jié)果相加,即可得到本狀態(tài)記憶單元ct,作為輸入門的輸出。

式中:⊙表示操作矩陣中對應(yīng)的元素相乘,要求2 個相乘矩陣同型。

步驟4:確定當前狀態(tài)的輸出。主要通過σ{ω0[xt,ht-1]} 進行控制。同時利用tanh 激活函數(shù)對上一階段得到的ct進行放縮。與普通RNN 類似,輸出門的最終輸出yt最終也通過ht變化得到。

4 仿真驗證及結(jié)果分析

基于電網(wǎng)用電行為數(shù)據(jù)以及外網(wǎng)受DDoS 攻擊數(shù)據(jù)特征,進行EiEvent 發(fā)包抓包模擬,得到數(shù)據(jù)集作為原始數(shù)據(jù)集,在進行模態(tài)分解的基礎(chǔ)上對原始數(shù)據(jù)進行處理,加上提取的流量模態(tài)特征進行仿真驗證。原始數(shù)據(jù)部分重要特征如表2 所示。

表2 數(shù)據(jù)集關(guān)鍵特征Table 2 Key features of data set

由于本文所提針對需求響應(yīng)終端的DDoS 攻擊檢測主要基于流量特征,所以將數(shù)據(jù)集中的某些流量相關(guān)特性視為主要研究重點,包括數(shù)據(jù)包間隔時間、數(shù)據(jù)包大小、數(shù)據(jù)包數(shù)、流量持續(xù)時間、流量大小等。

對加入EEMD 模態(tài)特征的數(shù)據(jù)集用LSTM 神經(jīng)網(wǎng)絡(luò)進行攻擊檢測,本文將準確率(accuracy rate,AR)和損失率(loss rate,LR)作為評估攻擊檢測的性能指標。

在EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)中對準確率有較大影響的參數(shù)主要有訓練集與測試集的比例以及在模型的幾個訓練輪數(shù)內(nèi)沒有準確率提高的閾值ppatience,調(diào)節(jié)2 個參數(shù)的準確率結(jié)果如圖6 所示。

圖6 調(diào)參后準確率對比Fig.6 Comparison of accuracy after parameter adjustment

測試集與訓練集的比例不宜過大,原則上測試集訓練集比越小檢測準確率越高,也意味著檢測模型越準確,圖6(a)中在波動范圍內(nèi)調(diào)參過程中選擇最優(yōu)測試集訓練集比為0.2。關(guān)于參數(shù)ppatience的設(shè)置其實是在權(quán)衡正常準確率波動和下降。如果ppatience設(shè)置超過60,則最終得到的準確率要略低于模型可以達到的最高準確率;如果ppatience設(shè)置低于20,那么模型的準確率很可能在前期抖動,而到了訓練輪數(shù)結(jié)束才停止抖動,準確率較低。ppatience的大小和學習率直接相關(guān)。在學習率固定的情況下,通過觀察訓練輪數(shù)造成的準確率波動可以適量增大ppatience。由圖6(b)可得,在默認值10的基礎(chǔ)上每次增加10,結(jié)果表明該參數(shù)設(shè)定為50 最佳。

在EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)中除了影響準確率的參數(shù)外,本文還調(diào)節(jié)了影響損失率的參數(shù)訓練輪數(shù)Epoch和一次訓練所選取的樣本數(shù)bbatch_size,如圖7 所示。訓練輪數(shù)越多訓練模型越精確,同時計算量增大,計算時間增加,在選定ppatience后增大輪數(shù)觀察準確率波動,由圖7(a)可得,在合理計算時間內(nèi)選定訓練輪數(shù)為100 時得到的損失率較低,使得檢測結(jié)果最優(yōu)。而影響模型優(yōu)化程度和速度的參數(shù)bbatch_size設(shè)置不僅可以提高訓練的速度,也能使梯度下降的方向更加準確,使目標函數(shù)更加優(yōu)化。圖7(b)中使得損失率盡可能低的情況下不過于消耗內(nèi)存的值為48。調(diào)節(jié)參數(shù)后得到的檢測準確率為99.55%,比未調(diào)節(jié)參數(shù)提升了2.18%。

圖7 調(diào)參后損失率對比Fig.7 Comparison of loss after parameter adjustment

之后將EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)檢測方法與LSTM 神經(jīng)網(wǎng)絡(luò)檢測準確率對比,如圖8 所示。

由圖8 可得,EEMD-LSTM 檢測的準確率比只用LSTM 神經(jīng)網(wǎng)絡(luò)檢測提高了2.11%,檢測準確率為99.55%,檢測效果更好。

圖8 EEMD-LSTM 檢測與LSTM 神經(jīng)網(wǎng)絡(luò)對比Fig.8 Comparison between EEMD-LSTM detection and LSTM neural network

驗證EEMD-LSTM 神經(jīng)網(wǎng)絡(luò)檢測方法的同時,本文引入了隨機森林算法和支持向量機(support vector machines,SVM)模型來與本文方法一同進行比較,將準確率作為評價模型的指標,同時進行了原始數(shù)據(jù)與加入流量模態(tài)特征的數(shù)據(jù)集對比,3 種方法對比如圖9 所示。

圖9 DDoS 檢測方法準確率對比Fig.9 Comparison of accuracy of DDoS detection methods

LSTM 神經(jīng)網(wǎng)絡(luò)適用于大數(shù)據(jù)集,準確率隨數(shù)據(jù)量增大,隨機森林算法和SVM 模型雖然在小數(shù)據(jù)量下準確度較高,在大數(shù)據(jù)情況下準確率低于LSTM神經(jīng)網(wǎng)絡(luò),并不適用于云端管控平臺處理大量數(shù)據(jù)情況。除此之外能得出結(jié)論,加入EEMD 模態(tài)特征的數(shù)據(jù)集基于3 種檢測方法的檢測效果比原始數(shù)據(jù)好,分別提高了0.801 6%、0.809 8%和0.810 1%,其中LSTM 神經(jīng)網(wǎng)絡(luò)的檢測準確率為99.55%,檢測效果最好。

5 結(jié)論

針對需求響應(yīng)終端可能面臨的分布式拒絕服務(wù)攻擊威脅,結(jié)合傳統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的神經(jīng)網(wǎng)絡(luò)檢測方法,本文使用EEMD 模態(tài)分解提取流量頻域暫態(tài)特征,結(jié)合LSTM 神經(jīng)網(wǎng)絡(luò)建立DDoS 攻擊檢測模型,通過對時序數(shù)據(jù)的流量特征分析,提高了單一LSTM 神經(jīng)網(wǎng)絡(luò)模型的檢測準確性。未來將結(jié)合該模型對流量暫態(tài)特征的提取以及分類效果,識別需求響應(yīng)終端業(yè)務(wù)類型,進一步提高DDoS 攻擊檢測精度,并對需求響應(yīng)終端可能受其他類型網(wǎng)絡(luò)攻擊進行檢測及防御研究,以擴大本文模型的使用范圍。