《Digital Signal Processing》:Detecting Low-Rate DDoS Attacks Using Rényi Entropy and Trans-KAN Hybrid Model in SDN
编辑推荐:
软件定义网络低速率DDoS攻击检测中提出两阶段框架:首阶段通过Rényi熵实现98.77%良性流量过滤,次阶段Trans-KAN模型融合Transformer时序建模与KAN非线性特征提取,动态门控机制实现架构自适应平衡,在定制数据集上达到98.56%准确率、99.12%召回率及1.23%虚警率,较单一模型提升3.24%-5.48%。
作者:Na Shiyue、Chen Lin、Lin Muyu
中国湖北省荆州市长江大学计算机科学学院,邮编434023
摘要
软件定义网络(SDN)将网络控制集中化,提高了管理效率,但也增加了遭受分布式拒绝服务(DDoS)攻击的风险。低速率DDoS(LDDoS)攻击尤其难以检测,因为其零星流量与合法流量非常相似。现有的混合检测方法通常采用静态融合策略,无法适应不同LDDoS变体的多样化特征。本文提出了一种新颖的两阶段检测框架,通过自适应特征融合显著提升了混合检测能力。第一阶段利用Rényi熵高效过滤掉98.77%的合法流量,同时保留潜在的攻击特征。第二阶段采用Trans-KAN这一创新混合模型,该模型通过自适应门控机制将Kolmogorov-Arnold网络与Transformer架构相结合,根据流量特征动态平衡两者之间的贡献。在定制的SDN数据集上,该框架实现了98.56%的检测准确率、97.05%的精确度、99.12%的召回率和98.08的F1分数,误报率仅为1.23%,相比单独使用Transformer提高了3.24%,相比KAN提高了5.48%。基于熵的预过滤和自适应深度学习融合的协同作用为LDDoS检测开辟了新的范式,为动态特征融合和Kolmogorov-Arnold表示在混合深度学习中的应用提供了理论支持,具有实际应用价值。
引言
在全球数字革命背景下,网络已成为支撑社会功能不可或缺的关键基础设施。从个人信息的存储与交换[1]、企业核心数据的云管理[2]、智能城市的精准治理[3],到国家关键信息系统的稳定运行,网络渗透到现代文明的方方面面。然而,在这种便利和效率的背后,网络安全漏洞依然存在[4],恶意软件入侵[5]、数据泄露[6]和未经授权的访问[7]等威胁不断考验着全球网络防御系统的韧性。
软件定义网络(SDN)通过分离控制平面和数据平面,引入了网络可编程性的范式转变[8],提高了运营效率,并提供了更敏捷和响应迅速的安全解决方案。其中心控制架构能够快速适应新兴威胁,使SDN成为在不断变化的技术环境中加强网络安全的前瞻性选择。然而,SDN仍然存在漏洞,尤其是其核心控制平面极易受到分布式拒绝服务攻击[9]的影响。低速率DDoS(LDDoS)[10]攻击技术的日益复杂化进一步加剧了这些安全挑战。
在网络安全威胁中,DDoS攻击因其破坏性和低实施成本[11]而占据核心地位。在SDN环境中,攻击者可以向控制平面发送大量数据包,使控制器资源饱和,拒绝合法用户的服务,甚至破坏整个网络[12]。
近年来,LDDoS攻击显著增加[14]。与传统基于洪流的DDoS攻击不同,这些攻击者发送间歇性的低速率脉冲流量,降低了攻击的功率谱密度[15],从而规避了传统的固定阈值检测机制。这种持续且隐蔽的攻击方式会耗尽SDN控制平面的资源(如OpenFlow流表存储),显著增加控制延迟[16]。根本挑战在于攻击流量与合法网络流量在语义上的相似性,LDDoS流量在数据包速率和协议行为上与正常流量高度相似,使得精细区分变得尤为困难。
现有的LDDoS检测方法存在明显局限。基于熵的技术[17]在流量突然波动时误报率超过30%,因为它们无法区分合法流量和攻击脉冲。机器学习方法(如Factorization Machines [FM] [18])需要大量手动特征工程,但难以捕捉区分攻击与合法流量的微妙特征。深度学习方法(如CNN-LSTM [19])的检测准确率约为95%,但平均检测延迟无法满足SDN的实时要求。这些方法难以同时满足对局部微突发流量的精细检测和对长期攻击模式的全局建模的需求。为了解决这一挑战,提出了基于Kolmogorov-Arnold表示定理的Trans-KAN混合架构。
Transformer模型[20]凭借其自注意力机制在自然语言处理领域取得了显著成功[13],无需依赖递归结构即可捕捉长距离依赖性——这一优势非常适合网络流量数据的时间动态特性[21]。同时,新兴的Kolmogorov-Arnold网络(KAN)[22]在近似复杂非线性函数方面表现出色。所提出的Trans-KAN架构结合了Transformer在建模长期时间依赖性方面的优势与KAN的非线性特征逼近能力,通过协同作用最大化了LDDoS流量的检测效果。
本研究的主要贡献如下:
•与采用固定权重的传统混合模型不同,提出的Trans-KAN模型引入了自适应门控机制,根据输入特征动态调整KAN和Transformer分支的贡献。这使得可以根据局部协议异常自动侧重于KAN的非线性逼近能力,或根据全局攻击模式侧重于Transformer的时间建模能力。
•设计了一种两阶段检测框架,以协同实现粗略过滤和精细分析。第一阶段使用基于Rényi熵的粗略过滤方法,减少由突发合法流量引起的误报,实现早期异常检测。过滤后的可疑流量由Trans-KAN模型处理,在SDN环境中实现实时响应性与检测精确度的平衡。
•开发了一种新型的Trans-KAN融合模型,用于精细检测LDDoS流量。该模型利用门控特征融合动态调整KAN和Transformer分支的贡献,取代了传统的静态权重分配,有效利用了两种架构的互补优势,实现了强大的检测能力。
本文的其余部分安排如下:第2节介绍相关文献;第3节详细阐述所提出的系统框架,包括基于Rényi熵的预检测算法和Trans-KAN深度检测模型;第4节描述实验设计并分析性能结果;最后,第5节总结本文并探讨未来研究的方向。
相关研究
相关工作
现有的LDDoS攻击检测方法可以分为传统的统计技术、基于熵的方法、机器学习算法、深度学习架构和混合检测框架。传统检测策略通过分析流量分布模式来识别攻击。在早期研究中,Zhang等人[23]提出利用拥塞参与率(CPR)来区分LDDoS流量和正常TCP流量
提出的方法
本文提出了一种用于SDN中LDDoS攻击的混合检测框架,结合了基于熵的统计分析和先进的深度学习技术。如图2所示,检测框架主要由两部分组成:基于Rényi熵的粗略过滤模块和采用Trans-KAN模型的精细检测模块。流量数据首先进行预处理,然后使用基于目标IP的Rényi熵计算熵值
实验与结果
整个实验硬件环境包括一颗Intel(R) Core(TM) i7-10510U CPU(主频1.80 GHz,最高Turbo频率2.30 GHz)。数据收集在VMware Workstation 16.2.4 Pro虚拟平台上进行,操作系统为Ubuntu 20.04,配置了2个虚拟CPU核心和8 GB内存。模型训练和测试在Kaggle云计算平台上进行,该平台配备了NVIDIA T4 GPU(16 GB VRAM)和Intel Xeon处理器
结论
本研究提出了一种用于软件定义网络(SDN)环境中低速率分布式拒绝服务(LDDoS)攻击的两阶段协同检测框架。所提出的方法结合了基于Rényi熵的预过滤和新型Trans-KAN深度融合模型,实现了粗略流量过滤与精细攻击检测之间的系统协调。该框架包含一个自适应门控机制,动态调整
CRediT作者贡献声明
Na Shiyue:撰写初稿、审稿与编辑、软件实现、方法论设计、调查分析、概念构建。Chen Lin:项目管理、资源协调、监督指导。Lin Muyu:资源协调、监督指导、概念构建。
利益冲突声明
在准备本工作时,使用了DeepSeek-V3工具来提升语言表达和写作能力。使用该工具后,内容经过了必要的审查和编辑。对出版物的内容承担全部责任。
