3850                                                       软件学报  2025  年第  36  卷第  8  期


                    与对比机制     Euclid  相比, 本文机制在检测结果的各方面指标上均有明显的提升. 这一提升的根本原因在于, 本
                 文所提出的攻击检测方法深入地考虑了源目地址熵之间的关系, 能够有效地区分                          DDoS  攻击与正常的网络流量变
                 化. 而  Euclid  分别考虑源目地址熵是否产生突增或突减, 易受到背景流量变化的影响, 当                   DDoS  攻击流量占比较低
                 熵值或合法网络流量产生突变时, 会产生较大的误检与漏检现象.

                                                      表 4 实验结果

                    DDoS攻击种类       检测级别       检测方法      总样本      DDoS样本    准确率     精确率     召回率     F1值
                                              本文机制       932       172      0.976   0.921   0.953  0.937
                                   观察窗口       流量采集       932       172      0.990   0.966   0.982  0.973
                                   状态检测        Euclid    932       172      0.790   0.419   0.380  0.399
                                               Jaqen     932       172      0.996   1.000   0.982  0.991
                  TCP-SYN洪泛攻击
                                              本文机制     9 329 393  125 557   0.996   0.812   0.867  0.839
                                   DDoS攻击     流量采集     9 329 393  125 557   0.996   0.783   0.916  0.844
                                   数据包过滤       Euclid  9 329 393  125 557   0.969   0.171   0.346  0.229
                                               Jaqen   9 329 393  125 557   0.999   1.000   0.999  0.999
                                              本文机制       804       172      0.970   0.925   0.936  0.931
                                   观察窗口       流量采集       804       172      0.978   0.937   0.965  0.951
                                   状态检测        Euclid    804       172      0.801   0.528   0.663  0.588
                                               Jaqen     804       172      0.806   0.524   0.959  0.678
                    UDP洪泛攻击
                                              本文机制     8 047 335  260 646   0.998   0.973   0.977  0.976
                                   DDoS攻击     流量采集     8 047 335  260 646   0.997   0.961   0.931  0.946
                                   数据包过滤       Euclid  8 047 335  260 646   0.951   0.375   0.689  0.486
                                               Jaqen   8 047 335  260 646   0.970   0.517   0.983  0.678
                                              本文机制       795       180      0.972   0.925   0.956  0.940
                                   观察窗口       流量采集       795       180      0.979   0.922   0.989  0.954
                                   状态检测        Euclid    795       180      0.733   0.373   0.261  0.307
                                               Jaqen     795       180      0.994   1.000   0.978  0.989
                  DNS反射放大攻击
                                              本文机制     7 950 000  172 496   0.995   0.897   0.851  0.873
                                   DDoS攻击     流量采集     7 950 000  172 496   0.996   0.906   0.898  0.902
                                   数据包过滤       Euclid  7 950 000  172 496   0.951   0.240   0.579  0.340
                                               Jaqen   7 950 000  172 496   0.999   1.000   0.998  0.999
                                              本文机制       793       184      0.957   0.993   0.821  0.899
                                   观察窗口       流量采集       793       184      0.969   0.968   0.918  0.931
                                   状态检测        Euclid    793       184      0.815   0.598   0.609  0.603
                                               Jaqen     793       184      0.994   1.000   0.978  0.989
                    ICMP洪泛攻击
                                              本文机制     7 930 083  144 750   0.996   0.860   0.913  0.886
                                   DDoS攻击     流量采集     7 930 083  144 750   0.996   0.883   0.925  0.903
                                   数据包过滤       Euclid  7 930 083  144 750   0.949   0.165   0.443  0.242
                                               Jaqen   7 930 083  144 750   0.999   1.000   0.998  0.999

                    流量采集方法在控制面中使用了与本文机制所设计                   DDoS  攻击检测方法. 这一方法在计算过程中不涉及可编
                 程交换机计算与存储限制, 对浮点数与对数等计算相较于本文机制的真实可编程交换机硬件, 其实现更加准确. 在
                 实验结果中, 此方法的攻击检测效果与本文机制接近, 可以说明本文所提出的检测与防御算法在硬件与软件中的
                 不同实现方式均有良好的效果. 同时, 硬件实现方法在性能上有更好的表现                       (见第  5.6  节).

                 5.5.2    检测原理分析
                    为了对实验结果产生的原因进行深层次的分析, 图                 17  展示了在  UDP  洪泛攻击中, 本文机制和对比算法在各
                 观察窗口的详细      DDoS  攻击检测结果. 其中, 每个观察窗口的检测结果按观察窗口序号                    (即时间顺序) 依次排列,
                 分别由不同的颜色进行标识, 表示该观察窗口在对应                 DDoS  攻击检测机制的检测过程中详细的所属状态              (真阳性、