CN114745194A - 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 - Google Patents

一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114745194A
CN114745194A CN202210440173.XA CN202210440173A CN114745194A CN 114745194 A CN114745194 A CN 114745194A CN 202210440173 A CN202210440173 A CN 202210440173A CN 114745194 A CN114745194 A CN 114745194A
Authority
CN
China
Prior art keywords
model
data
destination
address
ensemble learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210440173.XA
Other languages
English (en)
Other versions
CN114745194B (zh
Inventor
李清锋
李博
温林郅
温雪岩
陈家骏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northeast Forestry University
Original Assignee
Northeast Forestry University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northeast Forestry University filed Critical Northeast Forestry University
Priority to CN202210440173.XA priority Critical patent/CN114745194B/zh
Publication of CN114745194A publication Critical patent/CN114745194A/zh
Application granted granted Critical
Publication of CN114745194B publication Critical patent/CN114745194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出涉及一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质,属于DDoS检测技术领域。包括以下步骤:S1.搭建SDN网络环境,获取交换机的流表消息;S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;S3.构建集成学习模型;S4.输入S2所述数据至集成学习模型中,输出检测结果。本发明实现了能够实时更新DDos检测模型的同时,采用了集成学习的方式,既增强了模型的鲁棒性,又能够增强模型的表达能力,降低实验结果的误差。解决了现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题。

Description

一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设 备及存储介质
技术领域
本申请涉及一种检测方法,尤其涉及一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质,属于DDoS检测技术领域。
背景技术
自2006年以Mckeown教授为首的团队首次提出软件定义网络(Software DefinedNetwork,SDN)架构以来,给网络管理人员对网络的灵活管理与流量的控制带来了极大的便利,仅仅通过编程的方式就可实现,与传统的分布式控制的网络架构不同,SDN网络将其重构为集中控制的网络架构,克服了原有传统网络架构的封闭性、僵硬性和局限性,极大的提高了网络的可控性和可扩展性,有效解决了传统网络设备中难以配置,协议难更改的问题。作为SDN网络的智能中心,控制平面中的控制器在数据平面转发时可以获得最优的转发路径,而且可以在网络收到攻击时迅速做出反应,保证网络通信的质量和良好的用户体验。
然而,随着SDN网络的普及,关于SDN网络的安全性问题已然是我们不可忽视的一环。分布式拒绝服务(Distributed Denial of Service,DDoS)作为互联网当前最主要的安全威胁之一,在SDN网络中产生了新的攻击手段,导致控制器资源耗尽,影响整个网络的运行,且受到攻击威胁的不仅仅是在SDN网络中的数据平面,中央控制器所在的控制平面也会遭到严重的威胁。因此,安全问题是当下我们亟需解决的问题,为了能够充分发挥SDN网络的优势,保障用户的体验,防止其受到DDoS的攻击,提供一个在SDN网络下安全可靠的DDoS检测与防御方法势在必行。
公开号为CN113691503A的专利中提出了一种基于机器学习的DDoS攻击检测算法,它通过在SDN网络架构下构建出CAS-SVM模型,对实时的DDoS进行攻击检测,若是监测到DDoS攻击就删除攻击的交换机流表,以此来保障SDN网络的正常通信。
上述方法虽然对SDN网络架构下的DDoS攻击起到了一定的作用,对交换机瘫痪等问题提供了帮助,但是仍存在着不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低问题。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。
鉴于此,为解决现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题,本发明提供一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质。
方案一:一种SDN环境下基于集成学习的DDoS检测方法,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;
S4.输入S2所述数据至集成学习模型中,输出检测结果。
优选的,所述获取交换机的流表消息的方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据;
优选的,获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
Figure BDA0003613591290000021
目的IP地址dp对应的平均数据包大小B(dp):
Figure BDA0003613591290000022
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
Figure BDA0003613591290000023
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
Figure BDA0003613591290000024
目的IP地址dp对应的源IP地址sp变化速率R1
Figure BDA0003613591290000025
目的IP地址dp对应的目的端口dport变化速率R2
Figure BDA0003613591290000026
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
Figure BDA0003613591290000031
根据上式可得:
Figure BDA0003613591290000032
Figure BDA0003613591290000033
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
优选的,所述构建集成学习模型的方法是包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
S34.对构建的模型进行评估。
优选的,所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和XGboost算法。
优选的,所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
Figure BDA0003613591290000034
其中,xi表示,yi表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;随机森林算法基于Bagging的扩展变体,以决策树构建Bagging集成的基础上引入了随机特征选择,XGboost算法通过不断累加树来提升模型的效果,而每一次迭代过程中XGboost都会增加一棵树同时提升整体模型的表达效果;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
Figure BDA0003613591290000035
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
Figure BDA0003613591290000041
而构建K棵树的线性组合用公式表示为:
Figure BDA0003613591290000042
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
优选的,所述对构建的模型进行评估的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
Figure BDA0003613591290000043
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
Figure BDA0003613591290000044
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
Figure BDA0003613591290000045
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
Figure BDA0003613591290000046
方案二:一种SDN环境下基于集成学习的DDoS检测装置,其特征在于,包括SDN网络环境和集成学习模块,所述集成学习模块为方案一所述的集成学习模型,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
方案三:一种电子设备,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现方案一所述的一种SDN环境下基于集成学习的DDoS检测方法的步骤。
方案四:一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现方案一所述的一种SDN环境下基于集成学习的DDoS检测方法。
本发明的有益效果如下:本发明实现了能够实时更新DDoS检测模型的同时,采用了集成学习的方式,既增强了模型的鲁棒性,又能够增强模型的表达能力,降低实验结果的误差。解决了现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为方法流程示意图;
图2为SDN框架示意图;
图3为SDN实验拓扑示意图;
图4为集成学习模型示意图;
图5为整体的SDN流程示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1、参照图1-5说明本实施方式,一种SDN环境下基于集成学习的DDoS检测方法,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;具体方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据;
搭建SDN网络环境(SDN框架)包括应用层、控制层和数据层;
所述应用层包括网络可视化模块、安全应用模块和移动管理模块;
所述控制层包括Floodlight(开放式流量控制器)、NOX(控制器)和RYU(控制器);
所述数据层包括交换机。
所述获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
Figure BDA0003613591290000061
目的IP地址dp对应的平均数据包大小B(dp):
Figure BDA0003613591290000062
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
Figure BDA0003613591290000063
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
Figure BDA0003613591290000064
目的IP地址dp对应的源IP地址sp变化速率R1
Figure BDA0003613591290000065
目的IP地址dp对应的目的端口dport变化速率R2
Figure BDA0003613591290000071
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
Figure BDA0003613591290000072
根据上式可得:
Figure BDA0003613591290000073
Figure BDA0003613591290000074
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
具体的,所述数据预处理主要包括对缺失值与异常值的处理,缺失值指的是因某些原因丢失或不存在的数据,而异常值指的是偏离大多数观测的个别值。
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和Xgboost算法。
所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
Figure BDA0003613591290000075
其中,xi表示,yi表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;随机森林算法基于Bagging的扩展变体,以决策树构建Bagging集成的基础上引入了随机特征选择,XGboost算法通过不断累加树来提升模型的效果,而每一次迭代过程中XGboost都会增加一棵树同时提升整体模型的表达效果;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
Figure BDA0003613591290000081
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
Figure BDA0003613591290000082
而构建K棵树的线性组合用公式表示为:
Figure BDA0003613591290000083
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
S34.对构建的模型进行评估,的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
Figure BDA0003613591290000084
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
Figure BDA0003613591290000085
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
Figure BDA0003613591290000086
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
Figure BDA0003613591290000087
S4.输入S2所述数据至集成学习模型中,输出检测结果。
实施例2、一种SDN环境下基于集成学习的DDoS检测装置,包括SDN网络环境和集成学习模块,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
具体的,所述数据预处理主要包括对缺失值与异常值的处理,缺失值指的是因某些原因丢失或不存在的数据,而异常值指的是偏离大多数观测的个别值。
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
所述集成学习模块为实施例1所述的集成学习模型。
实施例3、本发明的计算机装置可以是包括有处理器以及存储器等装置,例如包含中央处理器的单片机等。并且,处理器用于执行存储器中存储的计算机程序时实现上述的基于CREO软件的可修改由关系驱动的推荐数据的推荐方法的步骤。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
实施例4、计算机可读存储介质实施例
本发明的计算机可读存储介质可以是被计算机装置的处理器所读取的任何形式的存储介质,包括但不限于非易失性存储器、易失性存储器、铁电存储器等,计算机可读存储介质上存储有计算机程序,当计算机装置的处理器读取并执行存储器中所存储的计算机程序时,可以实现上述的基于CREO软件的可修改由关系驱动的建模数据的建模方法的步骤。
所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (10)

1.一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;
S4.输入S2所述数据至集成学习模型中,输出检测结果。
2.根据权利要求1所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述获取交换机的流表消息的方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据。
3.根据权利要求2所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
Figure FDA0003613591280000011
目的IP地址dp对应的平均数据包大小B(dp):
Figure FDA0003613591280000012
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
Figure FDA0003613591280000013
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
Figure FDA0003613591280000014
目的IP地址dp对应的源IP地址sp变化速率R1
Figure FDA0003613591280000015
目的IP地址dp对应的目的端口dport变化速率R2
Figure FDA0003613591280000016
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
Figure FDA0003613591280000021
根据上式可得:
Figure FDA0003613591280000022
Figure FDA0003613591280000023
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
4.根据权利要求3所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述构建集成学习模型的方法是包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
S34.对构建的模型进行评估。
5.根据权利要求4所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和XGboost算法。
6.根据权利要求5所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
Figure FDA0003613591280000024
其中,x表示,v表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
Figure FDA0003613591280000031
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
Figure FDA0003613591280000032
而构建K棵树的线性组合用公式表示为:
Figure FDA0003613591280000033
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
7.根据权利要求6所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述对构建的模型进行评估的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
Figure FDA0003613591280000034
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
Figure FDA0003613591280000035
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
Figure FDA0003613591280000036
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
Figure FDA0003613591280000041
8.一种SDN环境下基于集成学习的DDoS检测装置,其特征在于,包括SDN网络环境和集成学习模块,所述集成学习模块为权利要求1-7任一项所述的集成学习模型,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
9.一种电子设备,其特征在于,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现权利要求1-7任一项所述的一种SDN环境下基于集成学习的DDoS检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的一种SDN环境下基于集成学习的DDoS检测方法。
CN202210440173.XA 2022-04-25 2022-04-25 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 Active CN114745194B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210440173.XA CN114745194B (zh) 2022-04-25 2022-04-25 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210440173.XA CN114745194B (zh) 2022-04-25 2022-04-25 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114745194A true CN114745194A (zh) 2022-07-12
CN114745194B CN114745194B (zh) 2022-11-01

Family

ID=82282998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210440173.XA Active CN114745194B (zh) 2022-04-25 2022-04-25 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114745194B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置
CN112995202A (zh) * 2021-04-08 2021-06-18 昆明理工大学 一种基于SDN的DDoS攻击检测方法
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法
WO2021227322A1 (zh) * 2020-05-13 2021-11-18 南京邮电大学 一种SDN环境DDoS攻击检测防御方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置
WO2021227322A1 (zh) * 2020-05-13 2021-11-18 南京邮电大学 一种SDN环境DDoS攻击检测防御方法
CN112995202A (zh) * 2021-04-08 2021-06-18 昆明理工大学 一种基于SDN的DDoS攻击检测方法
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法

Also Published As

Publication number Publication date
CN114745194B (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN109981691B (zh) 一种面向SDN控制器的实时DDoS攻击检测***与方法
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
Kozik et al. A new method of hybrid time window embedding with transformer-based traffic data classification in IoT-networked environment
JP6835703B2 (ja) サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム
CN113452676B (zh) 一种检测器分配方法和物联网检测***
CN113328985B (zh) 一种被动物联网设备识别方法、***、介质及设备
CN114531273B (zh) 一种防御工业网络***分布式拒绝服务攻击的方法
CN112019497A (zh) 一种基于词嵌入的多阶段网络攻击检测方法
CN111262849A (zh) 一种基于流表信息的网络异常流量行为识别阻断的方法
CN113660209B (zh) 一种基于sketch与联邦学习的DDoS攻击检测***及应用
CN113923041A (zh) 一种SDN网络下DDoS攻击流量识别检测方法
Vu et al. Handling imbalanced data in intrusion detection systems using generative adversarial networks
CN117633657A (zh) 基于多图表征增强实现加密应用流量识别处理的方法、装置、处理器及计算机可读存储介质
CN114745194B (zh) 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质
CN111291078B (zh) 一种域名匹配检测方法及装置
CN117014182A (zh) 一种基于lstm的恶意流量检测方法及装置
JPWO2015075862A1 (ja) ネットワーク制御装置、ネットワーク制御方法およびプログラム
CN116707870A (zh) 防御策略模型训练方法、防御策略确定方法和设备
CN113726809B (zh) 基于流量数据的物联网设备识别方法
CN115987643A (zh) 一种基于lstm和sdn的工控网络入侵检测方法
da Silva et al. Hashcuckoo: Predicting elephant flows using meta-heuristics in programmable data planes
Kalliola et al. Learning flow characteristics distributions with elm for distributed denial of service detection and mitigation
CN113691503A (zh) 一种基于机器学习的DDoS攻击检测方法
CN112637165B (zh) 模型训练方法、网络攻击检测方法、装置、设备及介质
Li et al. Composite lightweight traffic classification system for network management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant