0 引言

在当前网络环境下，DDoS（Distributed Denial of Service）攻击仍然是极具威胁的网络攻击^[1]．DDoS攻击者可以利用网络中可用的多台受损设备，向受害者服务器发送大量随机源IP地址的虚假报文，以中断用户服务^[2]．

DDoS攻击检测一般基于统计学习和机器学习方法．统计学习^[3]方法通过定义阈值来区分DDoS攻击流量和正常流量．虽然统计学习方法简单实用，但考虑到网络流量的动态特性^[4]，定义阈值具有一定的挑战性，并且统计学习方法通常比基于机器学习的方法有着更高的误报率．基于机器学习^[5]的技术是DDoS攻击检测最有效的方法之一，这些技术通常被分为有监督学习和无监督学习．有监督学习需要一些带标签的数据来训练模型，而无监督学习^[6]在训练过程中不需要任何带标签的数据．自动编码器^[7]神经网络就是利用了无监督学习技术，这类神经网络能够在模型执行结束时重新生成输入数据．

在DDoS攻击检测过程中为模型训练提取特征是与机器学习有关的一个重要问题．网络流量具有各种周期性的组成部分^[8]，例如TCP协议的拥塞控制机制以及往返延迟时间．此外，很多研究证明DDoS攻击流量具有周期性特征^[9]，这种周期性特征可以用来区分DDoS攻击流量和正常流量．分析周期性最佳的方法是频域分析^[10]，虽然当前DDoS攻击检测有着不同的研究，但所采用的特征大多基于时域分析^[11]．然而，在利用时域分析对突增的正常流量与DDoS攻击流量进行分析时，结果是相似的，正常的突增流量作为一种合法的网络流量，是由成千上万的合法用户同时访问一个Web服务器构成的，因为DDoS攻击流量与正常流量之间相似度很高，可能会产生很高的误报率．此外，DDoS攻击流量生成工具可以使DDoS攻击流量尽可能与正常流量相似，从而降低检测精度．但是，这些因素并不影响流量的周期性，因为突增的正常流量随着客户端数量动态变化，产生的流量会不断波动，而DDoS攻击流量则相对稳定．因此，分析流量的周期性，利用频域分析得到的特征，可以考虑为解决误报率过高的问题提供依据．

从网络流量表中收集统计特征来训练模型已经是一种通用的方法，文献^[12]通过从交换机中应用ANOVA（Analysis of Variance）方法提取统计特征，并使用不同分类器对选择的特征进行性能评估，最终确定了检测DDoS攻击的最佳特征集，得到很好的效果．传统的利用统计学习的方法，大多还会用到熵．结合熵的使用，令大多数基于统计学习的方法检测实现高准确率．因此，利用熵的DDoS攻击检测方法也被扩展到当前的网络环境当中．文献^[13]提出一种基于DDoS攻击和正常流量之间熵值变化的防御机制，并且通过该机制可以有效减少特征维度和计算开销，实现了高效的防御．

虽然通过统计特征和信息熵的使用，已经提出了很多成功的方法，但是，在某些情况下可能会出现误报率过高的情况^[14]．因此，通过将信息熵和机器学习结合的方法，可以很好地缓解误报率过高的问题．文献^[15]提出PSO-BP神经网络结合熵的DDoS攻击检测方法，通过在交换机上对流量计算熵值进行预检测，并提取异常交换机的统计特征，检测DDoS攻击是否发生．该方法不仅提高了检测效率，而且减少了误报率．

现有的DDoS攻击检测模型大多能实现高准确率^[16-19]，但是在实际检测过程中，检测速度往往无法与攻击速度持平甚至小于攻击速度，导致无效检测．因此，将模型压缩的方法被研究并使用^[20]．现在研究者大多从特征降维方面减少模型的参数来增加检测效率，例如文献^[21]提出一种正方形草图的特征构造方法，通过设计多维网络流草图结构和网络流测量方法，结合一种新的低速率DDoS攻击检测方法（LDDM）对DDoS攻击进行检测．该方法不需要提取大量的统计特征，通过K-L散度来对比异常草图和正常草图之间的区别，并取得良好的检测效率以及较低的误报率，但是检测精度不高．

针对当前DDoS攻击模型结合统计特征的方法导致误报率高，以及模型检测效率低的问题，本文提出一种基于离散小波变换（Discrete Wavelet Transform，DWT）和自适应知识蒸馏（Adaptive Knowledge Distillation，AKD）自动编码器的DDoS攻击检测方法．按照时间序列对网络流量应用离散小波变换获得频域特征，有效区分攻击流量和正常流量，达到降低误报率的目的．结合自动编码器神经网络模型，在保证对DDoS攻击检测准确性的同时，有效实现非线性表达降维特征．通过自适应知识蒸馏将模型压缩，提高模型的拟合速度，并实现增加检测效率的目的．

1 研究方法

1.1 频域分析和离散小波变换

在频域分析中，傅里叶变换（FT）^[22]是分析信号最常用的变换技术之一，但当信号具有非平稳频率时，傅里叶变换不适合进行频域分析．为了解决这个问题，对信号进行短期傅里叶变换（STFT），它将原始信号划分为一些平稳的子窗口，然后对每一子窗口进行傅里叶变换．短期傅里叶变换的主要困难是窗口大小的选择，它需要在时间和频率之间进行权衡．当选择较窄的窗宽时，在时间段上获得了更多的频率，但失去了频率与时间的对应关系．离散小波变换（DWT）^[23]被认为是短期傅里叶变换的替代方法，因为这种方法提供了让信号和时间、频率相互对应的方法．此外，由DWT在时间和频率上以不同的分辨率分析序列时，可以通过增加粒度来获得攻击流量和正常流量的近似分量和细节分量．因此本文采用DWT作为特征提取技术．离散小波为机器学习提供了更合适的特征．

DWT分为滤波和采样两个步骤．滤波是通过对输入信号应用低通滤波器和高通滤波器来实现的．采样是通过对两个滤波器的输出进行降采样来实现的．当滤波器改变信号的长度时，下采样过程会控制信号的尺度．当采用低通滤波器和高通滤波器对低频和高频信号进行分析时，该过程首先将信号X引入一个脉冲响应为M={m₁，m₂，···，m_q}的低通滤波器，在保持信号规模不变的情况下去除信号中最大频率一半（即最大频率的1/2）以上的所有频率．同时，信号X通过一个脉冲响应为G={g₁，g₂，···，g_q}的高通滤波器，输出的一半被丢弃．上述过程可以表示为

其中:y^low为通过低通滤波器的滤波结果，y^high为通过高通滤波器的滤波结果，y^low和y^high的长度之和与信号X总长度相同; m和g分别是低通滤波器和高通滤波器的脉冲响应信号; x为信号X中的离散子信号．

上述过程也被称为子带编码，可以通过将低通滤波器的输出引入到下一层滤波器中来重复进行进一步分解．子带级别的最大数目取决于信号中的数据点数目和滤波器的长度．直到信号比给定小波的滤波器长度q短，说明DWT计算结束．最大长度定义为

其中，q为滤波器长度，N为信号X长度．

由于DWT得到的高通滤波（详细分量c_D）和低通滤波（近似分量c_A）所表达的含义不同，而低通滤波得到的近似分量更能表达信号的整体，所以本文使用近似分量作为统计特征提取的离散信号．

1.2 统计特征

对于离散信号X，为了区分攻击样本和正常样本，可以分析两者之间的概率分布差异．首先，通过DWT得到信号的近似分量c_A，通过统计c_A中信号的平均数、方差、百分位数、偏度、峰度和熵来决定最后的统计特征．因此，本文考虑了均值，方差，10%、20%、30%、45%和80%位数，偏度，峰度和熵作为统计特征，并利用这些特征生成区别于正常样本的判别模型．对于一个给定的离散信号X={x₁，x₂，···，x_N}，式（4）—（7）分别定义均值（μ）、方差（σ）、偏度（S）和峰度（K）．百分位数表示位于某一特定百分比位数的值．例如，20%位数是指在当前信号分布中位于20%位置的最小值.文献^[24]证明了该方法的有效性．熵是一种计算某一属性对于当前类别的不确定性的方法，定义如式（8）所示．分布离散的属性熵值高，而集中分布的熵值低．

其中，p为不同属性的概率分布．

1.3 自动编码器神经网络

自动编码器是一种无监督的神经网络，它重构出一个和输入向量维数相同的输出向量，结构如图1所示．

自动编码器的基本操作如下:首先，将统计特征整合成输入向量输入到编码器，其次，从中间层重构出与输入相同维数的输出．自动编码器的主要目标是通过应用三个子模块，即编码器、中间层、解码器，来构造一个尽可能接近输入向量的输出向量．编码器将数据编码成低维的特征表达，最中间层表示特征的最低维度，解码器将低维特征重构成高维表达．

自动编码器的结构可以分为两部分:1）编码器$f={\mathbf{R}}^D\to {\mathbf{R}}^M$; 2）解码器$g={\mathbf{R}}^{MI}\to {\mathbf{R}}^D$，其中D为输入数据与重构数据的维度，M为中间层的维度．对于信号样本x∈X，自动编码器的中间层可表示为

自动编码器的输出为通过解码器重构的数据，可以表示为

其中W₁，W₂，b₁，b₂为网络参数，f和g为激活函数，其中W₂=${\mathit{W}}_1^{\mathrm{T}}$． 重构数据与输入数据的重构误差为

其中，λ为正则化系数，通过最小化重构误差来训练模型并学习网络参数．

1.4 自适应知识蒸馏（AKD）

知识蒸馏技术是一种模型压缩技术，它使用了一种“教师-学生”的训练方法．采用AKD的原因在于:线下训练的网络模型需要大量数据去拟合复杂的模型，会出现模型规模大、模型推理速度慢的问题，而实际线上部署的模型对模型推理速度和部署资源有着严格的要求限制．随着DDoS攻击的发生，攻击流量会迅速增加，大模型会出现推理不及时的情况，导致网络拥堵．

知识蒸馏基本方法:通过训练出最优的自动编码器模型作为教师模型T-Net，再通过减少模型规模设计学生模型S-Net，利用T-Net模型训练S-Net模型，可以让S-Net模型学习到T-Net模型的泛化能力．

知识蒸馏基本步骤:第一步是训练T-Net模型，第二步是在设置温度t条件下，蒸馏T-Net的知识到S-Net．

蒸馏过程的Loss如式（12）所示:

其中，$L_{\text{soft}}$是T-Net模型的损失和S-Net模型损失的交叉熵:

$L_{\mathrm{s}\mathrm{o}\mathrm{f}\mathrm{t}}=-\sum _j^N{p}_j^t\mathrm{l}\mathrm{o}\mathrm{g}{q}_j^t$

其中，q为S-Net的Loss如式（14）所示，p为T-Net的Loss如式（15）所示:

其中：z为学生模型对于类别i的逻辑概率；v为教师模型对于类别i的逻辑概率；t为温度，作用在于平滑softmax损失函数的概率分布，t越高，概率分布越趋向于平滑，负标签的信息会相应放大，模型会更加关注负标签．

L_hard为t=1时p和q的交叉熵，如式（16）所示:

L_hard表示非蒸馏条件下的S-Net损失，α和β作为超参数，其取值是一个重要问题，选择不合适的数值会增加模型的训练时间，所以本文提出一种自适应的变化方法．先随机初始化α和β，当前迭代训练结束时，利用梯度法改变α和β的值，如式（17）和（18）所示:

其中，a表示学习率，且α和β会随着损失值L的变化而变化，规则如下:

步骤1，变化α的值;

步骤2，当L增加，反向变化α的值，并变化β的值;

步骤3，当L增加，反向变化β的值，然后反向变化α的值;

步骤4，当L减少，返回步骤1;

步骤5，当所有情况都会导致L增加时，停止．

2 基于DWT和AKD的DDoS攻击检测

本节介绍基于离散小波和自适应知识蒸馏的DDoS攻击检测方案，具体步骤如图2所示．

2.1 特征提取

特征提取模块用于从网络流量数据包中提取统计特征，如图3所示．

特征提取步骤如下:

步骤1，将流量数据包统计数量按照相同时间间隔分成Z个子集;

步骤2，对每个子集进行DWT，得到每一子集的近似分量和详细分量;

步骤3，计算每个子集近似分量的均值，方差，10%、20%、30%、45%和80%位数，偏度，峰值和熵的统计特征;

步骤4，将计算结果和DWT计算的近似分量拼接形成特征向量，最终得到特征向量$f_i\in {\mathbf{R}}^{1x_n}$．

算法过程如下:

1）初始化特征列表F;

2）初始化当前特征向量f;

3）初始化特征长度w;

4）输入数据Z;

5) FOR i in Z;

6）对i进行离散小波变换得到近似分量c_A;

7）计算c_A的均值μ、方差σ、百分位数、偏度K、峰度S、熵值H;

8）IF c_A的长度小于w;

9）将长度补充0到w;

10) END IF;

11）f‖c_A‖μ、百分位数、K、S、H，其中‖为拼接操作;

12）F‖f，其中‖为拼接操作;

13) END FOR.

2.2 模型训练

模型训练模块用于描写DDoS攻击检测模型训练框架，如图4所示，该DDoS攻击模型训练框架具体过程如下:

1）获取特征集F作为自动编码器的输入;

2）预训练，逐层训练自动编码器神经网络T;

3）获得当前数据集训练出的最优模型T;

4）构建模型S;

5）通过T模型蒸馏训练S模型;

6）模型调优．

2.3 检测模型

检测模型模块用于使用学生模型S的编码器部分进行DDoS攻击检测，当S的参数训练确定后，取出编码器部分．通过训练集进行微调后，为测试数据编码．利用分类器对编码结果进行DDoS攻击类别鉴定，验证模型S的检测能力级泛化能力，如图5所示．

检测过程如下:

1）获得模型S的编码器部分;

2）利用训练集微调S模型;

3）获取测试数据;

4）通过S模型编码器部分将测试数据编码;

5）通过分类器得到攻击类别．

3 实验

3.1 实验环境

本文使用Keras框架进行实验模拟，并选择Python作为编程语言．硬件:intel（R）Core（TM）i7-10700F处理器、8 GB内存、500 GB固态硬盘、64位Windows11操作系统．

3.2 实验数据

本文大部分实验是基于CIC-DDoS2019数据集（https://www.unb.ca/cic/datasets/ddos-2019.html）进行的，该数据集由Lashkari在New Brunswick University（UNB）网络上收集．CICDDoS2019数据集分2天采集，本实验使用的是第1天采集的攻击，类型包括:数据库漏洞攻击MSSQL、UDP协议洪水攻击、TCP协议三次握手确认攻击SYN．

为了验证本文提出方法的通用性，本文还采用Iot-23数据集（https://www.stratosphereips.org/datasets-overview）进行了实验．Iot-23数据集模拟利用感染的物联网设备实施DDoS攻击并获取攻击流量数据．以上数据集均来自于真实的网络环境．

3.3 评价指标

在对比实验中，本文采用了准确率（Accuracy，A）、精确度（P）、F1评价指标（F1_Score，F₁）、误报率（False Positive Rate，FPR）、召回率（Recall，R）、均方误差（Mean Square Error，MSE）等作为本文的评价优劣的标准.

式（24）中，N为样本个数，y_true为真实值，y_pred为预测值.式（19）—（23）参数定义如表1所示.

3.4 参数设置

通过反复调优，并吸取前人的经验进行大量实验，对比各项参数的优劣．通过反复实验，最终确定的参数如表2所示．

3.5 结构分析

3.5.1 T-Net层数分析

网络层数以及每层所使用的激活单元的个数对于模型编码来说具有重要作用．随着网络层数和激活单元的增加，编码出的抽象特征能更深层次表达原始数据．因此，为了得到比较优秀的网络模型结构，通过设置不同深度的编码器结构进行对比试验，测试不同结构编码器的性能，对比结果如图6所示，横纵坐标分别为维度1和维度2，表示二维坐标点．通过使用不同模型结构的编码器部分对测试集进行分类预测结果如表3所示．通过实验结果可以得到，当网络层数达到一定程度时，模型各项指标将不再增加．所以选择5层结构作为T-Net编码结构．

3.5.2 T-Net知识蒸馏S-Net

通过已确定的T-Net结构，S-Net相对于T-Net来说拥有更少的层数和激活单元，找到最优的S-Net结构是一项挑战．现设置3种不同结构的S-Net，通过对比试验分析T-Net对不同S-Net的蒸馏效果，训练过程如图7所示．可以发现当中间层越小蒸馏过程越不稳定且准确率最终会总体呈现降低趋势，说明在模型拟合过程中寻找不到最优解．通过对比不同T-Net蒸馏S-Net前后误差，最终确定S-Net结构为256-64-256三层结构，其中不同数值代表不同层激活单元个数，如表4所示．

3.5.3 压缩效果分析

将T-Net和S-Net以及知识蒸馏后的S-Net的分类效果进行对比，三种网络模型同时对测试数据集进行数据编码，对比不同结构模型的编码部分对测试集的分类能力、误报率以及检测时间，来验证该方法的有效性，结果对比如图8所示．

3.6 DDoS攻击检测效果分析

通过分析在不同数据集中S-Net的效果来验证本文检测方法的有效性，结果如图9所示．

为了验证本文方法的有效性，通过对比不同模型在两组数据集的准确率、召回率、F1评价指标、检测时间、误报率的不同表现来验证，对比结果如表5所示，通过实验结果可以得出，本文方法要优于对比方法．

4 结论

1）利用离散小波变换作为频率分析的主要工具，保证了频率和时间的对应关系，很好地区分DDoS攻击流量与正常流量的频率变化，并通过离散信号提取平均数、方差、百分位数、偏度、峰度和熵的统计量作为辅助特征，为降低检测误报率提供可能性．

2）采用自动编码器作为非线性特征降维的神经网络，对高维特征向量进行低维的非线性映射，通过自动编码器将高维特征降维，以及不同层数自动编码器对数据聚类实验结果对比，验证了该方法的有效性，并利用编码器部分实现有效分类．

3）结合知识蒸馏方法将模型进行压缩处理，并采用自适应的方法使其快速拟合，通过实验证明，压缩后的模型对单条数据的检测时间相对于原模型平均减少了2.83 ms，并且误报率和检测精度与原模型平均误差均保持在1%内，证明了该方法的有效性．

4）结合两种数据集验证表明，本文方法在检测准确率及检测效率上具有较大提升，而误报率大幅降低．

参考文献