您现在的位置: 3.2、RBF—NN的学习过程
收集来的数据用来产生两个不同学习场景。在第一个场景中,DDoS监测器用常规的WWW和纯粹的DDoS攻击流量来学习。在第二个场景中把纯粹的DDoS流量换成正在发起DDoS攻击时,正在提供正常服务的服务器时的混合的数据流。在这两个学习场景中,分别用单一种类的数据流和混合的数据流用来估计RBF-NN的效率。
混合的高斯函数用来作为RBF的非线性函数。高斯函数的阀值和变量用K-means聚族算法来获得。K-means初始中心的选取将会严重影响学习过程的质量。选择好的初始中心对不同的网络拓扑都能够获得很好的分类效率。因此,用不同的初始值和K-means算法可以得到多个局部的K-means中心。在从多个局部的K-means中心中选取出最适当的一个中心作为最终K-means中心,以便使分类错误率达到最小。
在重新估计K-means中心的过程中,K-means算法中一些标记的变量为0(例如,RST,URG标志)或者非常接近于零,这样就会造成局部最小化问题.为了解决这个问题,我们可以从具体的实验中获得一个小的数值,作为估计变量的值,这样将会得到很好的分类速率。
3.3、特征集的描述
用两个不同的特征集来评价RBF-NN监测DDoS攻击的效率,这两个特征集是由建立输入向量的特征的数目来决定的。在很多情况下用最初的9个统计特征就能够进行正确分类,而且正确率超过98%。进一步的研究,发现到许多输入向量的域,例如Time-To—Live,窗口大小和一些标记没有包含很多可以用来监测DDoS攻击的信息。这就预示好的系统可以减少输入向量,所以我们设计的这个监测模型可以把输入向量集减少到3个,即只运用源端口,SEQ序列号,SYN标志作为输入向量。这个特征的集用常规的低性能的计算机系统就能够用来评价实时的监测情况。我认为这三个特征是除了源IP地址之外最重要的,我们在基于RBF-NN的网络检测DDoS攻击中没有用IP源地址是为了节省计算资源,减少在存储方面的需求。
4、总结
本文阐述的这种实时监测DDoS攻击的模型,能在受害者机器受到DDoS攻击发生时或者发生后来追查攻击源,并且响应速度快,不需要增加任何网络流量,并可以监测出当前存在的所有类型的DDoS攻击。今后的工作是在模型的基础上进一步改进和实现。最后应该强调的是,安全是所有的网络用户共同努力的目标,不仅仅是网络管理员的事情,更是每个网民的问题,一旦自己的机器不幸成为DDoS攻击中的一员,我们有义务去及时关闭机器(或者离线),进行杀毒清除DDoS攻击程序,不要成为控制端或代理端,更不要成为攻击者。
