基于杂草优化算法优化极限学习机的DoS攻击检测研究

张帅, 贾如春

(川北幼儿师范高等专科学校 初等教育系，广元 628017)

0 引言

随着无线局域网WLAN的不断发展，新的攻击方法不断涌现，安全问题日益突出，在众多攻击方法中，拒绝服务攻击(Denial of Service，DoS)的危害最大并且难以防范[1-2]。所谓拒绝服务攻击是指通过拒绝服务攻击行动使得网站服务器充斥大量要求回复的信息，消耗系统资源或网络带宽资源，导致网络或系统不能提供正常的网络服务，拒绝提供访问服务。因此，对无线局域网拒绝服务攻击检测的技术进行归纳和总结，有助于提出防范措施，对拒绝服务攻击检测技术的发展和应用具有重要的理论价值和实际意义。针对ELM分类结果易受其初始输入权值和阀值的影响，提出一种入侵杂草算法优化ELM的DoS攻击检测模型。选择DoS攻击检测的准确率为适应度，通过IWO优化ELM的初始输入权值和阀值，实现DoS攻击检测最佳检测。

1 拒绝服务分类

1.1 验证洪水攻击

验证洪水攻击(Authentication Flood Attack)主要针对那些处于通过验证和无线接入点(Access Point，AP)建立关联的关联客户端，攻击者在某一时间段内向AP发送大量身份认证信息，使得验证身份请求超过AP的负载能力，AP断开其它无线连接服务，其攻击原理如图1所示。

图1 验证洪水攻击

1.2 取消验证洪水攻击

取消验证洪水攻击(De-authentication Flood Attack)，攻击者同时向无线客户端和AP反复发送取消身份验证的信息，AP误认为客户端请求断开连接服务，其攻击原理如图2所示。

1.3 关联洪水攻击

关联洪水攻击(Association Flood Attack)，AP点内置一个连接状态表，攻击者伪造大量客户端淹没 AP 的连接状态表，使其无法响应合法用户的接入请求，使得合法客户端无法连接，其攻击原理如图3所示。

图3 关联洪水攻击

1.4 信标洪水攻击

攻击者持续不断地向无线信道发送大量虚假的服务集标识， 用户接收到这些虚假的服务集标识之后，误以为存在很多AP点可以使用，之后不断刷新网络，使得客户端找不到真正的可以使用的AP点，其攻击原理如图4所示。

图4 信标洪水攻击

1.5 持续时间攻击

持续攻击时间(Duration Attack)，攻击者连续发送占用巨大持续时间值的数据包，若成功占用网络分配向量(Network Allocation Vector，NAV)，那么此时将在很长时间内阻碍其他节点进行操作，达到拒绝服务的目的，其攻击原理如图5所示。

1.6 RF干扰攻击

RF干扰攻击(Radio Frequency Jamming Attack)，该攻击属于物理层攻击，攻击者通过发出干扰射频信号，使得AP覆盖范围内所有连接断开，实现拒绝服务的目的，其攻击原理如6所示。

2 入侵杂草优化算法

入侵杂草优化算法[6-7](Invasive Weed Optimization，IWO)是受自然界杂草生存入侵的启发而提出的优化算法，其通过种子的空间扩散、生长、繁殖和竞争消亡四实现算法进化寻优。该算法具有计算简单、存储空间小和较强的自适应性、鲁棒性和收敛特性等优点，被广泛地应用于函数优化、车间调度、网络结构优化等领域。IWO算法流程如下：

图5 持续时间攻击

图6 RF干扰攻击

(1)种群初始以及参数设定

IWO算法参数设定如下：初始种群数N0、最大种群规模Nmax、所求问题的维度D、最大迭代次数itermax、生成种子数目的最大和最小值分别为seedmax和seedmin、标准差的初始值和终值分别为σini和σfin、非线性指数n、搜索空间的区间[xmaxxmin]、最优适应度f。

(2)个体繁殖

由于杂草个体繁殖所产生的种子数量与其适应度大小密切相关，适应度小杂草个体的产生的种子数量多，反之适应度大杂草个体的产生的种子数量少，因此假设适应值最小的杂草个体所对应的种子数量为smax，适应值最大的杂草个体所对应的种子数量为smin，处于二者之间的根据公式(1)进行繁殖如式(1)。

(1)

其中fmin、fmax分别表示杂草的最小适应度和最大适应度；smin、smax分别表示种子数量的最小值和最大值。

(3)杂草空间扩散

种子在[0,σ]区间内正态分布，并散落于杂草四周，并根据步长D进行生长扩散，D∈[-σ,σ]。σ根据公式(2)进行变化，在算法迭代的开始阶段，σ取值较大，此时杂草种子的分布较为分散，搜索范围广，算法可以进行全局寻优；随着迭代次数的增加，σ数值变小，种子的分布相对集中，搜索范围变窄，此时算法主要进行局部寻优，如式(2)。

(2)

其中，σini、σiter、σfin分别表示起始阶段的标准差、第iter次迭代次数的标准差以及最终迭代次数的标准差；itermax表示最大迭代次数。

(4)计算新种群中杂草的最优适应值，若优于当前位置的最优适应值，则更新适应度f的大小和杂草的位置。

(5)竞争性生存，优胜劣汰。

当种群繁殖到最大规模Nmax时，则依照种群适应度的大小进行杂草个体排序，选择适应度排序前Nmax的个体，使种群数目保持在Nmax不变。

(6)重复(2)～(5)，当达到最大迭代次数，算法终止。

IWO算法流程图如图7所示。

图7 IWO算法流程图

3 极限学习机

极限学习机[8](Extreme Learning Machine，ELM)是在Moore-Penrose矩阵理论基础上所提出的一种新型的单隐含层前馈神经网络(single-hidden layer feed-forward neural networks，SLFNs)，其结构模型图如图8所示。

图8 ELM结构模型图

(3)

其中ai=[ai1,ai2,…,ain]T、βi=[βi1,βi2,…,βim]T和bi分别表示第i个隐含层神经元的输入权值、输出权值和偏置；ai·xj表示ai和xj的内积。

公式(3)可表示为矩阵形式如式(4)、式(5)。

Hβ=T

(4)

其中

(5)

求解该问题是在保证期望值与实际值之间的误差平方和E(W)最小的前提下，寻找最优的权值W=(a,b,β)使代价函数E(W)最小的过程，其数学模型为[9]式(6)。

(6)

其中εj=[εj1,εj2,…,εjm]表示第j个样本的误差。

4 基于IWO优化ELM的DoS攻击检测

4.1 适应度函数

通过ELM优化ELM的输入权值和阀值，使得DoS攻击检测的准确率最高，选择DoS攻击检测的准确率为适应度函数，适应度可以表示为式(7)。

(7)

其中，A表示DoS攻击检测正确类别的数量，B表示DoS攻击检测类别的总数量。

4.2 优化流程

IWO优化ELM的DoS攻击检测的优化流程如下：

Step1：归一化Dos攻击检测特征数据，建出训练样本和测试样本；

Step2：设定IWO算法的参数：初始种群数N0、最大种群规模Nmax、所求问题的维度D、最大迭代次数itermax、生成种子数目的最大和最小值分别为seedmax和seedmin、标准差的初始值和终值分别为σini和σfin、非线性指数n、搜索空间的区间[xmaxxmin]、最优适应度f。

Step3：将构建出的训练样本输入ELM，根据适应度(7)计算杂草个体的适应度值，寻找杂草个体最优适应度和最优位置；

Step4：竞争性生存，优胜劣汰。

当种群繁殖到最大规模Nmax时，则依照种群适应度的大小进行杂草个体排序，选择适应度排序前Nmax的个体，使种群数目保持在Nmax不变。

Step5：若gen>itermax，保存最优解；反之gen=gen+1，重复Step2～Step4；

Step6：将IWO优化ELM获取的最优参数ai、βi、bi用于Dos攻击检测。

5 实验分析

5.1 数据来源

为了验证IWO_ELM算法进行DoS攻击检测的效果，以Windows7为操作环境，选择MATLAB2017(b)为仿真软件平台，PC机内存8GB、处理器Intel core I5 2.4GHZ。选择KDD CUP99 Dos数据为研究对象，该标准数据集每组数据包括41个特征属性[11]。

5.2 评价指标

为了评价IWO_ELM进行DoS攻击检测的效果，选择检测准确率Accuracy和误判率Falseij作为评价指标：

(1)准确率Accuracy：若正确检测的DoS攻击类型数量为a，实际DoS攻击类型数量为b，则DoS攻击检测的准确率为式(8)。

(8)

(2)误判率Falseij：若第i类DoS攻击类型的实际数量为a，将第i类DoS攻击类型误判为第j类DoS攻击类型的数量为c，则DoS攻击检测的误判率为式(9)。

(9)

5.3 结果分析

为了说明本文算法的有效性和可靠性，将本文算法IWO_ELM与GA_ELM、PSO_ELM和CS_ELM进行对比，IWO算法参数设定为：N0=50，Nmax=80，D=13，itermax=500，smax=30，smin=2，σinit=10，σfinial=0.001，n=3，CR=0.8。ELM参数设定如下：输入神经元数量inputnum=41、隐含层神经元数量hiddennum=30和输出层神经元数量outputnum=1，寻优对比曲线如图9所示。

(a)IWO_ELM

(b)GA_ELM

(c)PSO_ELM

(d) CS_ELM

图9 寻优对比图

由图9对比可知，与其他算法相比，IWO算法优化ELM具有更快的收敛速度，并且具有更高的准确率。

如表1、图10所示。

由表1和图10(a)-图10(d)可知，GA_ELM[12]、PSO_ELM[13]和CS_ELM[14]的Dos攻击检测的准确率和误判率均差于IWO_ELM算法进行DoS攻击检测的准确率和误判率，IWO算法的DoS攻击检测的准确率和误判率分别为98.45%和1.55%，优于效果最好。与其他算法比较可知，IWO_ELM可以有效提高DoS攻击检测的准确率和降低误判率，为DoS攻击检测提供新的方法和途径。

表1 精度对比

(a)IWO_ELM

(b)GA_ELM

(c)PSO_ELM

(d) CS_ELM

图10 Dos攻击检测结果图

6 总结

针对ELM分类结果易受其初始输入权值和阀值的影响，提出一种入侵杂草算法优化ELM的Dos攻击检测模型。选择Dos攻击检测的准确率为适应度，通过IWO优化ELM的初始输入权值和阀值，实现Dos攻击检测最佳检测。研究结果表明，与其他算法比较可知，IWO_ELM可以有效提高Dos攻击检测的准确率和降低误判率，为Dos攻击检测提供新的方法和途径。