分布式拒绝服务（distributed denial of service，DDoS）攻击是目前黑客经常采用，用户难以防范的攻击手段. 它是由拒绝服务（denial of service，DoS）攻击衍生出来的攻击技术^[1]. 这一类攻击通常为攻击者利用不同位置的多台傀儡机对受害者同时实施大规模网络攻击，或者处于不同位置的多个攻击者同时向一个或者数个目标发起攻击. DDoS攻击的破坏性大、危害范围广、易于实现且难以追踪、防范和预警，对因特网的安全会产生巨大威胁^[2]. 近年来，随着电子加密虚拟货币技术的快速发展，物联网设备的持续增加，DDoS攻击蔓延到了虚拟货币交易领域及物联网领域，且攻击方式更趋于复杂多样. 2017年，中国互联网网络安全报告^[3]指出利用弱口令、漏洞等方式入侵并控制物联网设备发起的DDoS攻击威胁巨大. 著名信息安全公司Verisign 2017年发布的一份DDoS攻击趋势报告中认为，对于DDoS攻击，目前仍缺乏精准的预测方式，更难以预警. 学术界与工业界都曾提出过一些DDoS攻击预警方法，但DDoS攻击手段日趋多样化，使得DDoS攻击预警效果滞后、准确性较低，且单点预警方法无法及时预测攻击态势. 监测各网络节点网络流状态实时变化情况，建立有效的DDoS态势预警模型，分析DDoS攻击态势，设定DDoS攻击预警级别，显得十分必要和紧迫.

为了解决上述问题，降低DDoS攻击的安全威胁，本文研究DDoS攻击态势预警技术，设计DDoS攻击态势预警模型逻辑结构，定义区域的网络安全脆弱性因子. 基于长短时记忆（long-short-time memory，LSTM）预测模型和区域网络安全脆弱性因子，提出基于动态自适应阈值的DDoS攻击态势预警模型. 该模型使用LSTM神经网络预测模型对IP数据包统计特征（IP-data-counts feature，IPDCF）序列建模，基于LSTM神经网络预测模型对正常流进行预测. 根据预测结果和区域网络安全脆弱性因子，实时动态计算阈值和阈值区间，设定DDoS攻击态势预警级别. 实验结果表明，利用该模型能够实时有效地预警DDoS攻击态势，准确地识别DDoS攻击态势安全级别.

近年来，研究者们在DDoS攻击检测方面有了一些新的突破. Xiang等^[4]提出广义熵度量和信息距离度量2种新的度量方式，以检测DDoS攻击. Li等^[5]提出使用概率度量来有效地区分DDoS攻击流或Flash群流中的异常流和普通网络流的方法. Cheng等^[6]提出基于时间序列预测的DDoS攻击检测方法. Cheng等^[7]提出在大数据环境下基于异常网络流特征序列预测的DDoS攻击检测方法. Toklu等^[8]提出对低速率DDoS攻击和高速率DDoS攻击进行混合过滤的方法，检测DDoS攻击. Kesavamoorthy等^[9]利用自主多智能体系统对DDoS攻击进行检测和防御. Hoque等^[10]提出利用相关测度来识别DDoS攻击的实时检测方法. Wang等^[11]研究TarGuess框架，利用多个数学模型设计猜测算法，解决了跨站点弱口令在线猜测问题. Ding等^[12]提出新的口令数据集强度度量方法，以缓解利用弱口令攻击产生的威胁.

由于DDoS检测方法都存在一定的滞后性，不利于及时采取有效的防御措施. 预警技术可以结合检测DDoS攻击状态进行预测，并提前告警，因此DDoS攻击态势预警技术成为了研究的热点.

在DDoS攻击预警技术方面，国内外展开了一些研究. Xylogiannopoulos等^[13]通过数据挖掘技术结合ARPaD算法，以及早警告潜在的DDoS攻击. Liu等^[14]提出基于网络漏洞分析的DDoS威胁评估方法，进行DDoS攻击预警. Liu等^[15]提出基于双向的DDoS检测机制，进行DDoS攻击预警. Xiao等^[16]提出基于Bloom过滤器的检测方案来生成检测结果，同时通过向未受害主机发送请求来主动协助警告的方法. Yi等^[17]引入脆片点和脆片层概念，提出脆片挖掘算法预测和检测脆片点，进行DDoS攻击评估. Liu等^[18]提出基于D-S证据理论的DDoS分层网络威胁评估方法. 从文献[13-18]可以看出，目前DDoS攻击预警方法主要是采用单点或静态的预警技术，无法通过全局视角来动态分析DDoS攻击态势，难以及时采取有效的防御措施.

态势预警技术主要是当发生外界入侵时，通过采集分析各监测点的攻击信息来感知网络攻击态势，以便及时采取主动策略抵御入侵，为信息系统争取响应时间. 态势预警可以分为静态和动态两种^[19]. 静态态势预警是针对网络中的所有因素，对网络潜在的威胁进行评估，主要是从管理和技术等方面进行的. 动态态势预警是考虑网络运行时的所有因素，实时测量和评估网络系统的状态，预测正在发生和将要发生的风险.

尽管目前态势预警技术在国内外已经得到了较长时间的关注，但未形成完整的体系和明确一致的目标^[20-21]，未针对DDoS攻击开展态势预警研究. DDoS攻击可以利用漏洞扫描方式大量获取不同国家、不同地区和不同网段中的傀儡机以发动攻击，使攻击具有分布性、大规模性和大流量性. 攻击者会根据受害方的防御能力，动态调整攻击源数量，使攻击具有动态对抗性. 攻击可以综合利用“三次握手”漏洞、UDP协议漏洞、大量的ICMP请求数据包和IP欺骗等方式随时发起攻击以逃脱检测，使得攻击具有多样性和突发性. 综上所述，DDoS攻击可以较容易地逃避现有的单一或静态的检测和预警方法. 本文提出基于动态自适应阈值的DDoS攻击态势预警模型. 该模型能够有效地利用网络各个感知关键节点，从全局的角度动态地分析DDoS攻击态势，根据动态自适应阈值实时识别和预测DDoS攻击的发展趋势，以便用户迅速采取相应的防御措施.

DDoS攻击态势预警模型的逻辑结构如图1所示. 该模型采用分层结构，由受害者端监测点、攻击源端监测点、各主干链路监测点以及DDoS攻击态势预警中心组成. 模型的总体功能如下.

1）对各监测点的网络流量进行实时监测.

2）将监测到的数据进行分析处理.

3）将分析处理好的数据传送到DDoS攻击态势预警中心.

4）DDoS攻击态势预警中心通过LSTM预测模型，对突发性DDoS攻击进行识别.

5）根据基于动态自适应阈值的预警模型评估和预警，并发布预警级别.

本文主要研究受害者端和主干链路端的监测预警. 受害者端主要由区域内的关键主机组成，主干链路主要是链接受害者的关键链路. DDoS攻击态势预警中心由嵌入LSTM预测模型的服务器和动态自适应阈值算法服务器组成.

长短时记忆（long-short-time memory，LSTM）神经网络是一种递归神经网络，适合处理和预测时间序列，且适用于大数据环境^[22]. 使用LSTM神经网络模型对网络流量进行预测，首先要对网络流数据进行采集，将其存于数据库中，然后进行特征提取. 使用IPDCF来描述网络流的状态变化特征.

定义1：对网络流（net flow，NF）进行时间间隔为∆t=1 min的采样，定义网络流的IPDCF：

(1) $ {\rm{IPDCF}} = \mathop \sum {\left\{ {\rm{Packet}} \right\}_{\Delta t}}. $

式中：Packet为数据包的个数，数据包采样时间T∈（0，N），∆t=1.

对IPDCF时间序列进行建模，将数据包进行时间间隔为∆t的采样，计算每次采样的IPDCF，n次采样后，获得IPDCF时间序列样本M， $ M\left( {{{N}},\Delta {{t}}} \right) = \left\{ {{\rm{IPDC}}{{\rm F}_i},{{i}} = 1,2, \cdots ,N} \right\}$，其中N为序列长度.

使用LSTM神经网络模型，对该时间序列进行训练. 构建LSTM预测模型时，以每分钟为时间间隔进行预测，搭建的预测模型选取了2个隐含层，其中第1个隐含层有512个神经元，第2个隐含层有256个神经元，输出层只有1个预测值Y，LSTM神经网络图如图2所示.

检测DDoS攻击实际上是判断每个时间样本点的IPDCF是否异常，一旦发现非正常的IPDCF，则可以认定发生了DDoS攻击；同时，该异常检测方法可以消除网络噪声和正常网络拥塞对预测结果的影响.

为了更精确地定义DDOS攻击预警级别，定义区域的网络安全脆弱性因子（security-vulnerabilities-factor，SVF），来设定区域风险等级. SVF的主要作用是评估某个区域网络的安全水平，然后根据SVF设定DDoS攻击预警的阈值. 现有的实时动态设定的指标没有对区域安全进行评估，例如Xiang等^[4-5]是根据网络流量的采样频率和采样周期设定阈值的. 本文的阈值设定与区域安全因素相结合，用于不同区域的DDoS攻击态势预警. 鉴于各区域有各区域的评估方式，采用用户问卷调查的方式^[23]. 由区域管理员填写自己区域的安全脆弱性调查表，根据调查表中的结果进行加权计算，得到SVF. 得到的SVF的取值为（0，1.0），某区域k的网络安全脆弱性因子计算表达式为

(2) $ {\rm{SV}}{{\rm F}_k} = 1 - \frac{{\displaystyle\mathop \sum \nolimits_{j = 1}^m \displaystyle\mathop \sum \nolimits_{i = 1}^{{n_j}} {Q_{ij}}}}{{\displaystyle\mathop \sum \nolimits_{j = 1}^m {n_j}}}. $

式中：m为问题的类别数；n_j为每类问题中的问题数；Q_ij为各个问题的答案，如果答案为“是”，则Q_ij的取值为1，否则取值为0.

根据SVF可以将区域风险划分为5个风险等级. 当SVF<0.2时，判定为1级风险；当0.2≤SVF<0.4时，判定为2级风险；当0.4≤SVF<0.6时，判定为3级风险；当0.6≤SVF<0.8时，判定为4级风险；当SVF≥0.8时，判定为5级风险. 网络安全脆弱性越低，判定该区域发生DDoS攻击的可能性越小.

与现有的相关方法比较，根据SVF所设定的DDOS攻击态势预警级别，有效地降低了DDoS攻击预警的误报和漏报率.

DDoS攻击态势预警是指DDoS攻击的状态趋势，通常先设定一个阈值，将监测值与阈值进行对比，若监测值超过阈值，则判定发生了DDoS攻击. 在DDoS攻击检测和预警中，阈值的设定尤为重要，阈值的变化会使误报率和漏报率发生相应的变化. 若阈值设置过低，则可能会误将热点事件^[7]识别为DDoS攻击，产生误报的现象；若阈值设置过高，则可能会把DDoS攻击流量当成正常流量而出现漏报. 近年来，阈值设定方面的研究工作有很多. Nashat等^[24]提出基于变点检测方法的自适应阈值以识别DDoS攻击，可以提高假阳性的概率和避免依赖检测网站和访问模式. Agosta等^[25]根据输入的数据进行有监督训练生成分类器，对流量进行预测用于调整阈值. Xia等^[26]给出动态自适应的异常检测算法，根据网络自相似度自适应调整阈值. Sun等^[27]提出优化的累积和（cumulative sum，CUSUM）算法，该算法能够自适应调整阈值. 这些研究在阈值设定方法的选择方面取得了一定的成就，但都没有进行DDoS攻击预警级别的动态自适应设定.

本文提出基于LSTM网络流量预测和SVF的动态自适应阈值的DDoS攻击态势预警方法，较好地解决了现有的大多数DDoS攻击预警方法准确率不高和预警时间滞后等问题. 该方法结合LSTM神经网络模型的预测结果和SVF，设计自适应阈值的动态计算方法.

定义2：I_t为t时刻基于LSTM神经网络模型预测的预测值，SVF_k为区域k的网络安全脆弱性因子，则定义区域k的阈值：

(3) $ U = \frac{{2{I_t}}}{{{\rm{SV}}{{\rm F}_k}}} - {I_t}. $

定义3：区域k的阈值区间为

(4) $ D = \frac{{{I_t}}}{{{\rm{SV}}{{\rm F}_k}}} - {I_t}. $

在实时监测网络流量的IPDCF时，分析流量与阈值之间的关系，定义不同的预警级别. 当IPDCF<U时，判定为无攻击，预警级别为绿色. 当U≤IPDCF<U+D时，判定为1级攻击，预警级别为蓝色. 当U+D≤IPDCF<U+2D时，判定为2级攻击，预警级别为黄色. 当U+2D≤IPDCF<U+3D时，判定为3级攻击，预警级别为橙色. 当IPDCF≥U+3D时，判定为4级攻击，预警级别为红色. 其中1级攻击和2级攻击为轻度预警，3级和4级攻击判定为重度预警. 用户可以根据不同的预警级别，采取相应的措施.

DDoS攻击态势预警系统架构如图3所示，系统功能为根据区域安全脆弱性因子和历史数据预测值设定阈值，进行DDoS攻击态势预警，发出不同级别的预警信息. 主要功能如下.

1）获取区域信息，计算区域安全脆弱性因子，建立安全脆弱性因子数据库.

2）根据历史数据库的数据信息，使用LSTM神经网络模型进行网络流量预测.

3）将各监测点的数据处理后传入DDoS攻击态势预警服务器，根据LSTM神经网络模型的预测结果进行实时流量监测，同时将监测的流量数据存入历史数据库.

4）根据基于动态自适应阈值的DDoS攻击态势预警模型，判断是否发生DDoS攻击以及受到攻击后的DDoS攻击态势的预警级别.

5）以可视化的形式显示DDoS攻击态势预警级别.

安全人员可以从攻防对抗的角度，根据不同的DDoS攻击态势预警级别，采取应急策略进行防御. 尽早追踪到攻击源，切断与攻击源的联系，监控关联节点情况，从而阻挡从已知攻击节点进行的攻击.

实验是在Linux环境中进行的，采用麻省理工实验室1999年实验室网络流量数据^[28]进行训练并预测. 该数据共包含3个星期，每个星期5天，每天24 h，共计360 h，21 600 min. 其中1~20 160 min为训练样本数据，20 161~21 600 min为测试样本数据. 采用麻省理工实验室2000年实验室攻击数据^[29]作为攻击样本数据.

实验分为3个部分，将数据以1 min为时间间隔提取IPDCF特征. 利用LSTM神经网络模型，预测未来一天的IPDCF序列^[30]. 根据动态自适应阈值，判定DDoS攻击态势预警级别.

将预测结果进行可视化呈现，验证提出的基于LSTM神经网络的预测方法具有更好的序列建模. 如图4所示为测试一天的预测值和真实值的数据情况. 图中，N为数据数量，带“×”的曲线为真实数据，平滑曲线为预测数据. 从图4所示的LSTM神经网络模型的测试结果可以看出，预测的网络流数据和真实数据基本吻合，准确率较高.

根据预测结果，使用攻击样本数据模拟4次DDoS攻击，根据动态自适应阈值和阈值区间可视化，给出DDoS攻击预警结果. 攻击测试结果如图5~8所示.

在图5~8的模拟攻击实验中，网络环境模拟 “政府网”，政府网对网络安全的要求较高，获得安全脆弱性因子的调查问卷是在参考国防科技大学计算机学院国家“863”计划课题的基础上，加入了DDoS攻击相关的特定问题，包括是否遭受过DDoS攻击、是否发生过（a/b/c…）类型的攻击，（a/b/c…指不同种类的攻击类型）. 将调查结果代入式（2），计算获得网络安全脆弱性因子为0.6. 4次模拟攻击为不同时间和不同级别的攻击，其他条件相同. 根据t时刻的LSTM模型的预测结果，其中平滑曲线为预测值，带圆点曲线为实时监测值. 根据阈值和阈值区间给出2条区间分界线，带菱形曲线表示攻击阈值分界线，若监测值小于该攻击阈值线，则判定为无攻击；若监测值大于该攻击阈值线，则发出DDoS攻击预警. 在预警DDoS攻击时，为了便于展示，只给定一条轻度DDoS攻击预警和重度DDoS攻击预警级别的分割线，即阈值与2倍区间叠加值，以带正方形曲线表示. 在带正方形曲线下，即为轻度DDoS攻击预警，在带正方形曲线上，即为重度DDoS攻击预警. 从图5~8可以看出，阈值是一条动态变化的曲线，而不是一条固定的直线，预警区间随着动态阈值的变化进行动态变化.

图5~8中，DDoS攻击起止时间段分别为第36~37、45、14~15和37~38、19~20 min. 从图5~8可见，在正常情况下，IPDCF的监测值与预测值基本吻合，能够较好地反映网络流状态变化；在发生攻击时，监测值与预测值产生较大的偏差，能够较好地区分攻击流状态. 图5~8中自适应地攻击阈值：在正常情况下，所有监测值都在正常范围内；在攻击情况下，所有监测值都超过攻击阈值，动态设定的自适应攻击阈值能够根据网络流状态变化，动态自适应调整阈值，较好地识别DDoS攻击，降低误报率和漏报率. 图5~8中，从攻击阈值连线到预警级别分割线显示，预警级别区间值能够根据网络流状态变化动态设定，有利于DDoS攻击态势预警模型，准确识别攻击态势预警级别.

图5~8的实验结果表明，利用建立的基于LSTM神经网络和区域网络安全脆弱性因子的DDoS攻击态势预警模型，可以动态设定自适应阈值. 通过动态阈值区间设定预警级别，能够较好地识别DDoS攻击，有利于提高DDoS攻击态势预警模型的鲁棒性，准确识别攻击态势预警级别.

基于动态自适应阈值的DDoS攻击预警结果如表1所示. 表1给出安全脆弱性因子、预测值、实时监测值、阈值、阈值区间和预警级别，其中实时监测值只呈现遭受攻击时刻的实时监测值. 如表2所示为没有引入SVF进行动态阈值设定，采用以往预测值的2倍的单一静态阈值进行判定的结果. 表1的结果表明，利用建立的基于LSTM神经网络和区域网络安全脆弱性因子的DDoS攻击态势预警模型，能够较好地设定自适应阈值和预警级别，准确地识别攻击预警级别. 从表2可知，使用单一静态阈值的设定方法会存在一定的漏报率和误报率，第1次攻击实验的第36分钟和第3次攻击的第15分钟，均应该发生攻击，但没有发出攻击预警，存在22.2%的漏报. 这会使得设定预警级别静态区间值不可信. 对比表1、2可知，利用建立的基于LSTM神经网络和SVF的DDoS攻击态势预警模型，能够动态自适应计算阈值和阈值区间，设定预警级别，有效降低误报率和漏报率，且能够准确地识别DDoS攻击态势安全级别. 安全人员可以根据不同的DDoS攻击态势预警级别，采取相应的防御措施. 比如在受到弱口令攻击时，安全人员通过预警级别，判定是否需要进行攻击源追踪、过滤及升级设备等操作.

针对DDoS攻击预警技术滞后性和不准确等问题，本文研究DDoS攻击态势预警技术，设计DDoS攻击态势预警模型逻辑结构，定义区域网络安全脆弱性因子. 基于长短时记忆神经网络预测模型和SVF，提出基于动态自适应阈值的DDoS攻击态势预警模型. 该模型使用LSTM神经网络预测模型对IPDCF序列建模，基于LSTM神经网络预测模型对正常流进行预测. 根据预测结果和SVF实时地动态计算阈值和阈值区间，设定DDoS攻击态势预警级别. 实验结果表明，利用该模型能够实时地预警DDoS攻击态势，有效地降低误报率和漏报率，准确地识别DDoS攻击态势安全级别，以尽早采取相应的防御措施.

本文下一步的研究工作是针对不同的攻击时间、不同攻击类型、不同的攻击节点和不同攻击级别，给出相应的防御方法.