CN113691503A

CN113691503A - 一种基于机器学习的DDoS攻击检测方法

Info

Publication number: CN113691503A
Application number: CN202110888851.4A
Authority: CN
Inventors: 吴昊; 侯爱琴
Original assignee: Northwest University
Current assignee: Northwest University
Priority date: 2021-08-03
Filing date: 2021-08-03
Publication date: 2021-11-23

Abstract

本发明公开一种基于机器学习的DDoS攻击检测方法，获取包含SSIP、SDFP、SDFB、SFE和RFIP的数据集，利用SVM算法训练得到SVM分类模型，搭建SDN网络拓扑结构；在SDN网络架构下结合SVM算法通过CAS‑SVM模型进行实时的DDoS攻击检测，对受到攻击的OpenFlow Switch删除其流表，从而保证了SDN网络可以正常通信，避免了由于DDoS攻击所造成的网络瘫痪等问题。减少了检测DDoS攻击的时间。而CAS‑SVM模型也可以实时监测SDN网络中是否存在DDoS攻击，若存在DDoS攻击就删除受到攻击的交换机流表，从而保证SDN网络可以正常通信，减少由于网络攻击造成的交换机瘫痪、网络拥塞等问题。

Description

一种基于机器学习的DDoS攻击检测方法

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种基于机器学习的DDoS攻击检测方法。

背景技术

随着互联网发展进程的不断推进，一种未来式网络架构SDN走入了我们的视野。它通过将控制平面与数据平面解耦，克服了传统网络架构的局限性，极大地提高了网络的可管理性、可扩展性、可控性和动态性。然而，随着软件定义网络(Software DefinedNetwork，SDN)的普及，SDN网络的安全性已成为SDN领域的急需解决的难题之一。分布式拒绝服务(Distributed Denial of Service，DDoS)攻击作为当今互联网面临的最重要的安全威胁之一，由于其破坏力强、实施简单、缺乏简易可行对抗措施，在SDN 网络中尤其危险。所以准确、快速地检测DDoS攻击是安全领域的一个关键点。基于以上内容，在总结了SDN的架构与工作原理的基础上，本发明提出了一种基于机器学***台，在SDN网络环境中验证了CAS-SVM模型对应的检测方法的可行性，以及比较了SVM和CAS-SVM两种模型在检测DDoS攻击时在同一时间所检测到的攻击数量。

发明内容

针对现有技术中存在的问题，本发明的目的在于，在SDN网络环境中，使用机器学习技术快速检测到网络中存在的DDoS攻击，以便快速抵御由于DDoS攻击所造成的网络中某些主机无Internet、交换机端口带宽被全部占用造成无法正常通信等问题，从而提供一种基于机器学习的DDoS攻击检测方法。

为了实现上述目的，本发明采用如下技术方案：

一种基于机器学习的DDoS攻击检测方法，包括如下步骤：

步骤1，获取包含SSIP、SDFP、SDFB、SFE和RFIP的数据集，利用SVM算法训练得到SVM分类模型，搭建SDN网络拓扑结构；

步骤2，SDN网络拓扑结构连接远程控制器，在数据平面使用OVS命令对SDN网络拓扑结构中的交换机进行数据采集，获得交换机的流表信息；

步骤3，利用步骤2获取到的流表信息进行计算，计算得到交换机的SSIP数值、SDFP数值、SDFB数值、SFE数值和RFIP数值；

步骤4，以每个交换机为处理对象，提取步骤3得到的SSIP数值，根据CAS算法判断SSIP数值是否大于给定的阈值，SSIP数值若大于给定的阈值，则为恶意流量；SSIP 数值若小于给定的阈值，则将交换机的SSIP数值、SDFP数值、SDFB数值、SFE数值和 RFIP数值输入步骤1中得到的SVM分类模型进行检测，判断当前流量为正常流量或恶意流量。

可选的，若步骤4的输出结果为恶意流量，删除交换机的流表信息，给交换机添加初始化流表信息。

可选的，所述的交换机为OpenFlow交换机。

可选的，SVM分类模型进行检测具体包括：

将给定训练样本集D＝{(X₁,Y₁)(X₂,Y₂),…,(X_m,Y_m)},Y_i∈{-1,+1}，i＝1,2,3……m；基于训练集D在样本空间中寻找超平面f(x)＝ω^Tρ+β＝0,其中:ω和β是模型参数，ρ为样本集的列向量，x表示输入；然后进行二分类；

式中，W＝(W₁，W₂…W_m)为法向量，决定超平面的方向，共有m个样本个数；

(X_i,Y_i)为训练样本集D＝{(X₁,Y₁)(X₂,Y₂),…,(X_m,Y_m)},Y_i∈{-1,+1}；i＝1,2,3…… m；

b为位移项，决定了超平面与原点之间的距离；

T为向量的转置；

s.t.为subject to的缩写，表示“使得...满足...”的意思；

可选的，所述的步骤4中计算出交换机的SSIP数值、SDFP数值、SDFB数值、SFE 数值和RFIP数值采用如下的公式：

Number of different IP source：不同源ip地址的数据包数量；

Tperiod：T为周期时间，单位为秒(s)；

Packet_i：T周期内接收的数据包数量；

Mean_packets:T周期内所有接收的数据包数量的均值；

Bytes_i：以T为周期所接收的字节数；

Mean_bytes：T周期内所有接收的字节数的平均值；

Number of flow entries:流表项的数量；

Total number of flow in T period:在T周期内所接收到的流表数量；

Interactive of flow entries:交互式的流表项数量。

可选的，所述的SDN网络拓扑结构包括1台RYU控制器、4台OpenFlow交换机和 8台主机。

本发明提出一种基于机器学习的防御机制CAS-SVM和SDN网络的DDoS攻击检测方法，结合防御机制CAS-SVM对网络中流量自动进行分类，通过对SDN网络数据中SSIP 属性值与给定阈值进行比较，若SSIP值大于给定阈值，则直接判断当前流量为恶意流量，不用在对SDN网络中数据用SVM模型来预测结果，从而减少了检测DDoS攻击的时间。而CAS-SVM模型也可以实时监测SDN网络中是否存在DDoS攻击，若存在DDoS攻击就删除受到攻击的交换机流表，从而保证SDN网络可以正常通信，减少由于网络攻击造成的交换机瘫痪、网络拥塞等问题。

下面结合附图和具体实施方式对本发明的方案作进一步详细地解释和说明。

附图说明

附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为本发明设计的SDN网络架构下DDoS攻击检测防御架构示意图；

图2为SVM模型的混淆矩阵示意图；

图3为SDN网络拓扑结构示意图；

图4为网络中主机h4抓取到DDoS攻击数据包结果示意图；

图5为拓扑结构中OpenFlow Switch2的数据在相同周期内所计算出的SDFB、SDFP、SFE、SSIP、RFIP示意图；

图6为CAS-SVM与SVM在相同时间内检测到的DDoS攻击数量示意图；

具体实施方式

以下将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，以下所描述的实施例仅是本发明的一部分实施例，并非全部实施例，也并未对本发明做任何形式上的限制，凡是利用本实施例的技术方案，包括对本实施例做了简单的变化，均属于本发明保护的范围。

本发明的基于机器学习的防御机制CAS-SVM和SDN网络的DDoS攻击检测方法，包括以下步骤：

步骤1，根据已有包括SSIP、SDFP、SDFB、SFE、RFIP属性的数据集，利用SVM 算法训练出SVM分类模型，然后保存模型；SSIP表示单位时间内源IP地址的个数；SDFP 表示在T时间内数据包的标准差；SDFB表示T时间内流表对应字节数的标准差；SFE 表示单位时间内流表项的个数；RFIP表示流表项的交互比率；

步骤2，搭建SDN网络拓扑结构，分别有1台RYU控制器、4台OpenFlow交换机和8台主机；

步骤3，运行RYU控制器，用步骤2搭建的虚拟SDN网络拓扑结构连接远程控制器，然后在数据平面使用OVS命令对交换机进行数据采集，从而获得SDN网络拓扑中各个交换机的流表信息。

其中每条流表包含多个流表项，而流表项由匹配字段、优先级、计数器、指令、超时和Cookie共6个基本要素组成。匹配字段还包括输入端口(Ingress port)、以太网帧的发送源以太网地址(Ethernet source address)、以太网帧的目标以太网地址 (Ethernetdestination address)、IPv4头中的发送源地址(IP source address)、IPv4 头中的目标地址(IP destination address)等内容。流表中包含的计数器用来统计已处理的数据包数量信息，其中保存的信息有接收的字节数(Received Bytes)、接收的数据包数量(ReceivedPackets)、传输的字节数(Transmitted Bytes)、传输的数据包数量(TransmittedPackets)等。

而在本发明中所获取的流表信息数据有源IP、目的IP、接收的字节数(Bytes)、接收的数据包数量(Packets)，并且把检测SDN网络的次数计为周期数(T_COUNT)；除此之外，运行检测SDN网络环境的程序，以此来对网络中状态进行监测，判断网络中是否存在DDoS攻击；

步骤4，使用步骤3获取到的SDN网络中数据进行计算，分别计算出每个OpenFlow交换机对应的SSIP、SDFP、SDFB、SFE、RFIP的数据，然后将实时提取的数据缓存成文件进行存储；

步骤5，提取步骤4计算出的SDN网络中各个交换机对应的数据文件中SSIP的数值，根据现有的SVM模型，结合防御机制CAS-SVM(Capture attribute SSIP-Support VectorMachine)进行判断，首先根据CAS算法判断SSIP数值是否大于给定的阈值，若大于给定的阈值则直接判断当前流量为恶意流量，并输出结果。若小于给定的阈值，就将各个交换机对应的数据文件送入步骤1所训练出的SVM模型进行检测，SVM模型通过提供的数据信息判断当前流量为正常流量还是恶意流量，并输出结果，最终将结果缓存成文件进行存储；

步骤6，查看步骤5所输出的结果，若输出结果为0，表示此交换机目前并未受到攻击；若输出结果为1，表示此交换机受到DDoS攻击；

步骤7，查看步骤6获取的结果如果为1，就在SDN网络架构的数据平面使用OVS 命令，删除受到攻击的OpenFlow交换机所对应的流表信息，然后将之前保存的初始化流表信息重新添加到受到攻击的OpenFlow交换机上，以保证SDN网络的正常通信。

实施例一：

如图1所示为本发明设计的一种基于机器学习的防御机制CAS-SVM和SDN网络的DDoS攻击检测方法，具体包括以下步骤：

步骤1，根据已有包括SSIP、SDFP、SDFB、SFE、RFIP属性的数据集，通过特征工程处理数据，然后利用SVM算法训练出SVM分类模型，然后保存模型；

本发明通过混淆矩阵来评判SVM分类模型的结果。在分类任务下，预测标记(Predicted label)与正确标记(True label)之间存在四种不同的组合，构成混淆矩阵。这4种不同组合分别为TP(True Positive)表示真实值是positive，模型预测是positive的数量、FN(False Negative)表示真实值是positive，模型预测是 negative的数量、FP(FalsePositive)表示真实值是negative，模型预测是positive 的数量、TN(True Negative)表示真实值是negative，模型预测是negative的数量。通过混淆矩阵可以计算出4个指标，分别为准确率(Accuracy)、精确率(Precision)、召回率(Recall)、特异度(Specificity)。计算公式如下所示，

如图2所示，SVM模型对应的混淆矩阵TP＝379，FN＝25，FP＝28，TN＝368，则Accuracy＝0.93，Precision＝0.93，Recall＝0.93，Specificity＝0.92。

步骤2，如图3所示搭建SDN网络拓扑结构，此拓扑结构为自定义网络拓扑结构，分别有1台RYU控制器、4台OpenFlow交换机和8台主机。其中4台交换机呈线性结构连接，每台OpenFlow交换机连接2台主机，共有8台主机,IP地址从10.0.0.1～ 10.0.0.8。

步骤3，运行RYU控制器，用步骤2搭建的虚拟SDN网络拓扑结构连接远程控制器，然后在数据平面使用OVS命令对交换机进行数据采集，从而获得SDN网络拓扑中各个交换机的流表信息。除此之外，运行检测SDN网络环境的程序，以此来对网络中状态进行监测，判断网络中是否存在DDoS攻击。

步骤4，使用步骤3获取到的SDN网络中数据进行计算，分别计算出每个OpenFlow交换机对应的SSIP、SDFP、SDFB、SFE、RFIP的数据，然后将实时提取的数据缓存成文件进行存储。在仿真实验中在周期为10时加入DDoS攻击，攻击OpenFlowSwitch2 所连的主机PC4，在周期为50时取消DDoS攻击，并且网络中主机PC2与PC6、PC7与 PC5、PC8与PC3保持通信，从而计算出OpenFlowSwitch2的SDFB、SDFP、SFE、SSIP、 RFIP数据如图5所示；

其中，SSIP(Source IP Speed)表示单位时间内源IP地址的个数；SDFP(StandardDeviation of Flow Packets)表示在T时间内数据包的标准差；SDFB(Standard Deviationof Flow Bytes)表示T时间内流表对应字节数的标准差；SFE(Speed of Flow Entries)表示单位时间内流表项的个数；RFIP(Ratio of Pair-Flow Entries)表示流表项的交互比率；

各个属性的计算公式如下所示，

Number of different IP source：不同源ip地址的数据包数量(因为在网络中发送的数据不止一条流表，所以会接收到多条流表，并且每条流表包含多条流表项，而一条流表项就有一个源ip地址)；

Tperiod：T为周期时间，单位为秒(s)；

Packet_i：T周期内接收的数据包数量；

Mean_packets:T周期内所有接收的数据包数量的均值；

Bytes_i：以T为周期所接收的字节数；

Mean_bytes：T周期内所有接收的字节数的平均值；

Number of flow entries:流表项的数量；

Total number of flow in T period:在T周期内所接收到的流表数量；

Interactive of flow entries:交互式的流表项数量；

其中，CAS-SVM算法原理为：

(1)SVM：支持向量机(SVM)算法是一种使用标记数据对模型进行训练的监督学***面。这些超平面附近的点叫做极值点。该算法通过建立超平面的边界来优化这些决策边界，几个用于优化这些决策边界的内核。线性、RBF、多项式和Sigmoid是最常用的内核。真实世界的数据可以是一维的，也可以是多维的。这些数据集并不总是线性可分的。线性内核可以处理线性分离的数据集，对于非线性数据集，可以使用其他内核将非线性数据集转换成线性数据集并进行分类。支持向量机在多维数据集中是一种有效的记忆效率模型。本发明使用的是SVM线性内核。

当训练样本线性可分时，通过硬间隔最大化，学***f(x)＝ω^Tρ+β＝0面(其中ω和β是模型参数，ρ为样本集的列向量)，然后进行二分类；

注：W＝(W₁，W₂…W_n)为法向量，决定超平面的方向，共有m个样本个数；

(X_i,Y_i)为训练样本集D＝{(X₁,Y₁)(X₂,Y₂),…,(X_m,Y_m)},Y_i∈{-1,+1}，i＝1,2,3…… m；

b为位移项，决定了超平面与原点之间的距离；

T为向量的转置；

s.t.为subject to的缩写，表示“使得...满足...”的意思；

(2)CAS-SVM：CAS-SVM(Capture attribute SSIP-Support Vector Machine)，首先捕获SDN网络中各个交换机数据所计算出的SSIP属性值，然后与给定的阈值进行比较，若SSIP大于给定的阈值，则判断当前检测的流量为恶意流量即受到DDoS攻击；若 SSIP小于给定的阈值，则加载SVM模型，根据SDN网络中的数据对结果进行预测。

通过CAS-SVM(算法1)描述可以得出此模型在检测DDoS攻击时优化了时间，若网络中存在大量的DDoS攻击时，可以直接通过SSIP属性值与阈值的比较结果得出此时网络状态，从而避免了加载SVM模型和运行SVM模型预测结果所带来的时间耗费。同时，在SSIP属性值与阈值的比较之下不能准确得出结果时，在使用SVM模型进行预测，从而保证了CAS-SVM模型在检测DDoS攻击时的准确度。

步骤6，查看步骤5所输出的结果信息，若输出结果为0，表示此交换机目前并未受到攻击；若输出结果为1，表示此交换机受到DDoS攻击；

实施例二：

通过仿真实验比较SVM和Decision Tree模型在SDN网络架构下对DDoS攻击进行检测的性能。为了模拟真实的SDN网络环境，在本地Windows10 X64***上使用Pycharm2021.1.1执行RYU控制器，在Ubuntu18.04 64bit***上使用Mininet2.2.1仿真SDN 的数据平面。

在仿真实验中，为了模拟DDoS攻击使用Scapy工具包编写一个发送SYN包的程序。当进行到步骤3时，就运行监测程序，来检测SDN网络中的状态。在实验中使用CAS-SVM 和SVM模型进行SDN网络状态检测，网络中使用软件wireshark显示主机h4抓取到DDoS 攻击数据包结果，如图4所示。本发明在仿真实验中对网络中的每个OpenFlow交换机进行了60分钟的检测，在检测期间，让主机PC1和PC5向主机PC4发送SYN包，从而模拟实现DDoS攻击；同时，让主机PC2 pingPC6、PC7 ping PC5、PC8 pingPC3，实现网络之间的通信。

给网络中发送DDoS攻击后，用SVM和CAS-SVM模型进行检测，如图6所示，在对 SDN网络中每个交换机进行60分钟的检测时，使用SVM模型，可以检测到1200多次DDoS 攻击；而使用CAS-SVM模型时能检测到1400多次DDoS攻击，从而在相同的检测时间内， SCS-SVM模型比SVM模型能更多的检测到DDoS攻击，所以通过比较可以得出，CAS-SVM 模型在检测DDoS攻击时比SVM模型更优。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。

Claims

1.一种基于机器学习的DDoS攻击检测方法，其特征在于，包括如下步骤：

步骤4，以每个交换机为处理对象，提取步骤3得到的SSIP数值，根据CAS算法判断SSIP数值是否大于给定的阈值，SSIP数值若大于给定的阈值，则为恶意流量；SSIP数值若小于给定的阈值，则将交换机的SSIP数值、SDFP数值、SDFB数值、SFE数值和RFIP数值输入步骤1中得到的SVM分类模型进行检测，判断当前流量为正常流量或恶意流量。

2.根据权利要求1所述的基于机器学习的DDoS攻击检测方法，其特征在于，若步骤4的输出结果为恶意流量，删除交换机的流表信息，给交换机添加初始化流表信息。

3.根据权利要求1或2所述的基于机器学习的DDoS攻击检测方法，其特征在于，所述的交换机为OpenFlow交换机。

4.根据权利要求1或2所述的基于机器学习的DDoS攻击检测方法，其特征在于，SVM分类模型进行检测具体包括：

将给定训练样本集D＝{(X₁,Y₁)(X₂,Y₂),…,(X_m,Y_m)},Y_i∈{-1,+1，i＝1,2,3……m；基于训练集D在样本空间中寻找超平面f(x)＝ω^Tρ+β＝0,其中:ω和β是模型参数，ρ为样本集的列向量，x表示输入；然后进行二分类；

(X_i,Y_i)为训练样本集D＝{(X₁,Y₁)(X₂,Y₂),…,(X_m,Y_m)},Y_i∈{-1,+1]；i＝1,2,3……m；

b为位移项，决定了超平面与原点之间的距离；

T为向量的转置；

s.t.为subject to的缩写，表示“使得...满足...”的意思。

5.根据权利要求1或2所述的基于机器学习的DDoS攻击检测方法，其特征在于，所述的步骤4中计算出交换机的SSIP数值、SDFP数值、SDFB数值、SFE数值和RFIP数值采用如下的公式：

Number of different IP source：不同源ip地址的数据包数量；

Tperiod：T为周期时间，单位为秒(s)；

Packet_i：T周期内接收的数据包数量；

Mean_packets:T周期内所有接收的数据包数量的均值；

Bytes_i：以T为周期所接收的字节数；

Mean_bytes：T周期内所有接收的字节数的平均值；

Number of flow entries:流表项的数量；

Total number of flow in T period:在T周期内所接收到的流表数量；

Interactive of flow entries:交互式的流表项数量。

6.根据权利要求1或2所述的基于机器学习的DDoS攻击检测方法，其特征在于，所述的SDN网络拓扑结构包括1台RYU控制器、4台OpenFlow交换机和8台主机。