29、机器学习模型在DDoS攻击检测与边缘设备入侵检测中的应用

机器学习模型在DDoS攻击检测与边缘设备入侵检测中的应用

1. 机器学习模型对DDoS攻击检测的性能评估

在DDoS攻击检测领域，不同的机器学习模型展现出了各异的性能。以下是对几种常见模型在UDP数据集上的评估结果：
| 分类器 | 准确率 | 精确率 | 召回率 | F1分数 | 误分类数 |
| — | — | — | — | — | — |
| 决策树 | 1.00 | 1.00 | 1.00 | 1.00 | 28 |
| KNN | 1.00 | 1.00 | 1.00 | 1.00 | 135 |
| 朴素贝叶斯 | 1.00 | 1.00 | 1.00 | 1.00 | 510 |
| 随机森林 | 1.00 | 1.00 | 1.00 | 1.00 | 149 |
| 逻辑回归 | 0.98 | 1.00 | 0.99 | 0.99 | 13528 |
| 随机梯度下降 | 0.97 | 1.00 | 0.97 | 0.98 | 28151 |

从表格数据可以看出，决策树、KNN、朴素贝叶斯和随机森林在准确率、精确率、召回率和F1分数上都达到了1.00，不过它们的误分类数有所不同。逻辑回归和随机梯度下降的准确率略低，误分类数相对较多。

为了比较机器学习模型检测DDoS攻击的能力，研究人员构建了一个评估框架。该框架借助BoNeSi和HTTP - ping创建了多个DDoS攻击场景，并使用了包括决策树、朴素贝叶斯、神经网络等在内的八种机器学习和深度学习模型进行分析。同时，还采用了CICDDoS2019和KDD这两个DDoS数据集来辅助得出结论。

经过分析发现，随机森林模型在预测时间上更快，且准确率最高。此外，为了提高检测性能，还提出了一种集成方法，将一组DDoS机制进行组合。

下面是评估框架的工作流程mermaid图：

graph LR
    A[创建DDoS攻击场景] --> B[选择机器学习和深度学习模型]
    B --> C[使用数据集训练模型]
    C --> D[评估模型性能]
    D --> E[得出结论]

2. 边缘设备入侵检测系统的远程部署需求

随着物联网（IoT）应用的快速发展，数据传输的低延迟成为关键需求，这促使了边缘计算架构的出现。边缘计算将计算单元靠近数据源，虽然部分解决了云计算的一些问题，如低延迟、位置感知等，但也带来了新的网络、安全和隐私问题。

在物联网系统的边缘架构中，存在多种攻击方式，如中间人攻击（MITM）、拒绝服务攻击（DoS）、分布式拒绝服务攻击（DDoS）、远程代码执行（RCE）和数据泄露等。为了应对这些威胁，入侵检测系统（IDS）被部署到边缘设备上，用于监控和分析网络流量，以识别和防止异常网络行为。

目前的IDS通常集成了机器学习和深度学习模型，通过计算正常和异常流量数据的相似度来检测异常行为。然而，这种类型的IDS存在一个主要缺点，即其模型仅针对特定网络系统的正常流量模式进行训练，应用到不同网络系统时可能会降低检测性能。而且，选择适合特定场景的IDS具有挑战性，因为IDS类型（如主机 - IDS、网络 - IDS）和检测模型（如机器学习、深度学习、规则）多种多样，并且检测准确率还与IDS在边缘架构中的部署位置密切相关。

研究人员提出了一个基于雾计算的架构，用于支持将深度学习IDS远程部署到边缘设备。该架构具有以下优势：
- 支持调整、更新配置以及部署多种深度学习模型，以检测边缘网络设备上的异常网络流量。
- 系统管理员可以根据网络条件的变化快速调整IDS配置，缩短攻击检测时间。
- 支持“无停机部署”，即在更新IDS配置（攻击检测模型）时，系统仍能使用先前的模型稳定运行，直到新模型完全加载和更新。

3. 相关研究工作回顾

过去十年，由于物联网设备上运行的服务和应用快速增长，网络攻击数量大幅增加。攻击者利用多个物联网设备，针对缺乏全面安全机制的受限物联网设备进行攻击。例如，2016年Dyn提供商的一些物联网设备执行恶意僵尸网络软件，对多个使用DNS的网站发起了DDoS攻击。

为了解决这些问题，研究人员提出了多种方法：
- 引入监督层的异常检测系统，使用混合算法提高攻击检测系统的准确性，并在云计算中实现该系统，利用DARPA的KDD杯数据集进行训练。
- 提出新的框架，用于检测云计算频率上的分布式拒绝服务攻击，将IDS部署到云层，并通过代理进行数据交换和警告。
- 开发受生物免疫系统启发的IDS，即人工免疫系统（AIS），在雾网络系统的三层架构中进行开发。
- 提出轻量级IDS模型，使用多层感知器（MLP），基于向量空间表示来提高数据分析的预测时间，并利用包含应用层攻击的系统调用数据集进行训练。
- 为资源受限的设备提出IDS，通过Nash均衡攻击检测技术在能耗和检测准确性之间取得平衡。

这些研究虽然在一定程度上解决了部分问题，但也存在一些局限性，如IDS部署到云层会增加攻击检测的延迟和响应时间等。

下面是不同IDS部署方案的对比表格：
| 部署方案 | 优点 | 缺点 |
| — | — | — |
| 云层部署 | 可利用云计算资源 | 增加攻击检测延迟 |
| 雾层部署 | 降低云服务器负载，减少数据传输 | 攻击检测时间需优化 |
| 边缘层部署 | 靠近数据源，实时检测 | 设备资源有限 |

机器学习模型在DDoS攻击检测与边缘设备入侵检测中的应用

4. 基于雾计算的攻击检测框架及部署流程

为了适应边缘网络架构，研究人员将系统模型分为三层：云层、雾层和边缘层。
- 云层 ：提供灵活、可靠且可扩展的资源和计算服务，通过互联网进行数据传输、统计和分析，用于训练检测模型。
- 雾层 ：包含大量由服务分销商管理的路由器、交换机和服务器设备，可转化为IDS增强系统安全性。该层支持多种接口和服务，在数据到达云层之前进行分析和处理，从而减轻云服务器的工作量和互联网上的数据传输量。
- 边缘层 ：由数十亿个物联网设备组成，如摄像头、电视、传感器等，这些设备作为数据源产生大量数据，通过网关将数据传输到雾计算内部设备。

整体系统架构图如下：

graph LR
    A[边缘层 - IoT设备] --> B[网关]
    B --> C[雾层 - 路由器、交换机、服务器]
    C --> D[云层 - 云计算服务]
    B --> E[IDS模型检测异常行为]
    E --> F[管理员监控与决策]
    F --> B[部署合适模型到网关]

在这个架构中，通过网关将物联网设备分组，使用CICFlowmeter将收集到的数据转换为特征，实时通过IDS模型检测异常行为。最后，数据从雾计算层推送到云计算层，管理员可以监控设备健康状况，预测设备是否感染僵尸网络或发起DDoS攻击，并根据这些信息选择和部署合适的模型到网关，以提高攻击检测效率。

将IDS从云端服务器部署到雾网络中的网关，需要以下具体步骤：
1. 在网关设备上安装Secure Shell（SSH）服务器，SSH是一种用于在不安全网络上进行安全远程登录和其他安全网络服务的协议。
2. 将控制服务器的公共SSH密钥添加到网关设备。
3. 在设备控制服务器上安装Ansible，Ansible是一个开源的软件供应、配置管理和应用程序部署工具，支持基础设施即代码。
4. 在Ansible中配置网关的IP地址到控制服务器的配置文件中。
5. 将IDS放置在控制服务器上，并构建部署脚本、系统更新和部署更新。
6. 更新机器学习和深度学习训练模型，将控制器服务器的模型传递到网关。
7. 当Ansible playbook完全安装后，启动部署过程。首先，将Ansible命令推送到网关，触发建立运行环境的脚本，如安装必要的软件包、更新新的系统等。

5. 总结与展望

综上所述，在DDoS攻击检测方面，随机森林模型在预测时间和准确率上表现出色，集成方法也为提高检测性能提供了思路。而在边缘设备入侵检测系统的远程部署中，基于雾计算的架构为解决现有IDS的不足提供了有效的解决方案。

未来，还需要进一步完善相关技术，以实现更准确地检测不同类型的DDoS攻击。例如，确定用于检测不同类型DDoS攻击的最佳特征，因为使用原始特征（如CICFlowMeter工具提供的80多个特征）会显著增加运行时间，所以需要探索新的分析技术和人工智能技术。同时，构建更多场景和更大的攻击模型，以获取更完善的数据集，因为数据集是准确分析和获得最佳结果的关键条件之一。此外，随着攻击者不断发展新的攻击类型和方法，需要定期探索和更新这些信息，以克服数据创建过程中的先前缺点，为构建更准确和完善的分析基础做出贡献。

以下是未来研究方向的列表：
- 确定检测不同类型DDoS攻击的最佳特征。
- 探索新的分析技术和人工智能技术，以减少运行时间。
- 构建更多场景和更大的攻击模型，获取更完善的数据集。
- 定期探索和更新新的攻击类型和方法，完善数据创建过程。

通过不断的研究和改进，有望在DDoS攻击检测和边缘设备入侵检测领域取得更好的成果，为物联网系统的安全运行提供更有力的保障。