Page 429 - 《软件学报》2025年第8期

P. 429

3852 软件学报 2025 年第 36 卷第 8 期

熵恢复正常状态, 且源地址熵的突增未超过阈值, 因此判定 DDoS 攻击已经结束, 产生假阴性样本; 在序号②所示
的观察窗口中, 由于网络背景流量变化导致源地址熵产生超过阈值的突增, 此时, Euclid 认为 DDoS 攻击发生, 产
生假阳性样本. 而本文所提出的机制中所计算的源目地址熵值差则能稳定且准确地反映当前真实的 DDoS 攻击
状态.
以上的结果说明本文所设计的 DDoS 攻击检测与防御机制相对于现有的研究工作在检测原理与检测效果上
均有明显的优势.

5.5.3 检测参数分析
为了进一步探究相关参数设置对本文所提出的 DDoS 攻击检测机制的影响, 使用第 5.2 节中所述的 TCP_SYN
T S 和不同的观察窗口大小下进行测试, 测试结果如图 19 所示. 其中, 图 19(a)
攻击数据集在不同的熵差固定阈值
展示了 DDoS 攻击检测结果与熵差固定阈值 T S 的关系, 当阈值设定过小时, 由于部分正常状态的观察窗口被误判
为含有 DDoS 攻击的观察窗口, 导致精确率较低; 当阈值设定过大时, 由于部分含有 DDoS 攻击的观察窗口被误判
为正常状态的观察窗口, 导致召回率较低. 当熵差固定阈值范围为 500–1 400 时, 本文所提出的检测机制均能取得
较好的检测效果, 可见, 本文机制在较大的阈值范围内均能正常工作, 无需严格的参数配置. 图 19(b) 展示了
DDoS 攻击检测结果与观察窗口大小的关系, 当窗口大小设定小于 5 000 时, 由于检测精确率较低, 导致最终检测
结果不佳; 当窗口大小设定大于 60 000 时, 由于召回率较低, 导致最终检测结果下降. 在观察窗口大小范围为 10 000–
60 000 时, 本文所提出的检测机制均能取得较好的检测效果.

1.0 1.0

0.8 0.8
阈值范围窗口大小范围
F1 值 F1 值
×10 4
0.6 0.6
0 500 1 000 1 500 2 000 2 500 0 2 4 6 8 10
1.0 1.0
0.8 0.9
0.6 精确率 0.8 召回率
召回率精确率
0.4 0.7 ×10 4
0 500 1 000 1 500 2 000 2 500 0 2 4 6 8 10
熵差固定阈值大小观察窗口大小
(a) 熵差固定阈值大小变化 (b) 观察窗口大小变化
图 19 参数设置变化对检测效果的影响

为了进一步探究观察窗口大小设置与检测效果的关系, 后文图 20 展示了在攻击检测过程中观察窗口大小分
别设定为 10 000、1 000、90 000 时, 对应计算得到的源目地址熵值差. 由图 20 中结果可得, 在不同的窗口大小设
定下都能够明显地观察到 4 次 DDoS 攻击发生时的源目地址熵值差变化. 当窗口大小为 1 000 时, 检测过程中窗口
数量较多且熵值差有更高频率的变化, 导致部分正常状态下的观察窗口被误判为包含 DDoS 的观察窗口, 即过小
的窗口设定会导致较低的精确率. 当窗口大小为 90 000 时, 由于每次熵值计算间隔过长, 导致部分窗口中的 DDoS
数据包无法对熵差特征产生显著的改变, 导致部分含有 DDoS 攻击的观察窗口被误判为正常状态, 即过大的窗口
设定会导致较低的召回率.
以上的结果说明本文所设计的 DDoS 攻击检测与防御机制相对于现有的研究工作具有较大的优势, 并且能够
保证在真实可编程交换机中的可行性, 具有一定的指导意义和实践价值.

5.6 DDoS 攻击检测性能与开销
使用可编程数据平面进行 DDoS 攻击检测的优势在于能够在为网络带来较小开销的情况下实现实时的
DDoS 攻击检测与防御. 如表 5 所示, 实验中在第 5.1 节的参数设定下测试了本文所提出方法所带来的处理时间开

424 425 426 427 428 429 430 431 432 433 434