[论文解读] Securing Heterogeneous IoT with Intelligent DDoS Attack Behavior Learning
MECshield 是一种基于移动边缘计算(MEC)的分布式 DDoS 防御框架,通过在攻击源和目标网络中部署使用自组织映射(SOM)的本地智能过滤器,实现对 DDoS 攻击的防御。在中央控制器的监督下,这些过滤器能够从本地流量中自适应学习攻击行为,从而缩短响应时间、提高检测准确率,并避免控制器瓶颈——相比集中式方法,平均 CPU 使用率降低至 36%,而集中式方法为 46%。
The rapid increase of diverse Internet of things (IoT) services and devices has raised numerous challenges in terms of connectivity, computation, and security, which networks must face in order to provide satisfactory support. This has led to networks evolving into heterogeneous IoT networking infrastructures characterized by multiple access technologies and mobile edge computing (MEC) capabilities. The heterogeneity of the networks, devices, and services introduces serious vulnerabilities to security attacks, especially distributed denial-of-service (DDoS) attacks, which exploit massive IoT devices to exhaust both network and victim resources. As such, this study proposes MECshield, a localized DDoS prevention framework leveraging MEC power to deploy multiple smart filters at the edge of relevant attack-source/destination networks. The cooperation among the smart filters is supervised by a central controller. The central controller localizes each smart filter by feeding appropriate training parameters into its self-organizing map (SOM) component, based on the attacking behavior. The performance of the MECshield framework is verified using three typical IoT traffic scenarios. The numerical results reveal that MECshield outperforms existing solutions.
研究动机与目标
- 为应对资源受限设备被劫持以淹没网络的异构物联网(H-IoT)网络中 DDoS 攻击日益增长的威胁。
- 克服集中式 DDoS 检测的局限性,即控制器瓶颈和响应延迟问题。
- 通过利用实时流量模式在边缘网络本地训练基于 SOM 的过滤器,提高检测准确率和适应性。
- 通过中央控制器基于 IP 范围的策略分发,仅在需要时启用智能过滤器,从而降低系统整体资源消耗。
提出的方法
- 该框架利用 MEC 基础设施在攻击源和攻击目标网络的边缘部署多个智能过滤器。
- 每个智能过滤器使用一个自组织映射(SOM)组件,该组件在中央控制器的监督下基于本地流量特征进行训练。
- 中央控制器分析受害站点的攻击行为,并向攻击源站点的 SOM 过滤器分发定制化策略。
- 策略基于攻击行为分析生成,包含训练参数,以使 SOM 映射与恶意流量模式对齐。
- 系统采用分布式架构,每个过滤器独立运行,但通过来自控制器的策略更新实现协调。
- 该框架仅对目标 IP 范围动态启用 SOM 过滤器,从而减少不必要的计算,节省 CPU 资源。
实验结果
研究问题
- RQ1在具有多样化、低功耗设备的异构物联网网络中,如何有效缓解 DDoS 攻击?
- RQ2集中式与分布式 DDoS 检测对控制器瓶颈和响应时间的影响有何不同?
- RQ3与全局或合并的 SOM 训练相比,本地训练 SOM 过滤器是否能提高检测准确率?
- RQ4MECshield 框架在 DDoS 攻击场景下如何降低 CPU 资源消耗?
- RQ5与现有集中式或分布式 SOM 方案相比,基于边缘的、策略监督的 SOM 过滤在检测性能方面提升了多少?
主要发现
- 在 DDoS 攻击期间,MECshield 将平均 CPU 使用率降低至 36%,相比集中式 SOM 方法(46% CPU 使用率)提升了 10%。
- 由于在边缘实现本地检测并立即执行策略,该框架的攻击响应时间快于集中式和分布式 SOM 方案。
- 检测准确率和检测速率在 MECshield 中最高,因为本地训练的 SOM 过滤器比全局训练或合并的 SOM 更好地适应了特定站点的流量模式。
- 分布式架构避免了控制器瓶颈,MECshield 和分布式 SOM 的 CPU 使用率稳定在约 35%,而集中式 SOM 方法的 CPU 使用率高达 83%。
- 通过仅对目标 IP 范围启用 SOM 过滤器,该框架节省了系统资源,避免了在空闲或未受攻击网络中持续计算。
- 该框架在三种真实物联网流量场景中表现出更强的鲁棒性和可扩展性,在检测和性能指标方面优于现有解决方案。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。