CN114745194A - 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 - Google Patents
一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114745194A CN114745194A CN202210440173.XA CN202210440173A CN114745194A CN 114745194 A CN114745194 A CN 114745194A CN 202210440173 A CN202210440173 A CN 202210440173A CN 114745194 A CN114745194 A CN 114745194A
- Authority
- CN
- China
- Prior art keywords
- model
- data
- destination
- address
- ensemble learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出涉及一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质,属于DDoS检测技术领域。包括以下步骤:S1.搭建SDN网络环境,获取交换机的流表消息;S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;S3.构建集成学习模型;S4.输入S2所述数据至集成学习模型中,输出检测结果。本发明实现了能够实时更新DDos检测模型的同时,采用了集成学习的方式,既增强了模型的鲁棒性,又能够增强模型的表达能力,降低实验结果的误差。解决了现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题。
Description
技术领域
本申请涉及一种检测方法,尤其涉及一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质,属于DDoS检测技术领域。
背景技术
自2006年以Mckeown教授为首的团队首次提出软件定义网络(Software DefinedNetwork,SDN)架构以来,给网络管理人员对网络的灵活管理与流量的控制带来了极大的便利,仅仅通过编程的方式就可实现,与传统的分布式控制的网络架构不同,SDN网络将其重构为集中控制的网络架构,克服了原有传统网络架构的封闭性、僵硬性和局限性,极大的提高了网络的可控性和可扩展性,有效解决了传统网络设备中难以配置,协议难更改的问题。作为SDN网络的智能中心,控制平面中的控制器在数据平面转发时可以获得最优的转发路径,而且可以在网络收到攻击时迅速做出反应,保证网络通信的质量和良好的用户体验。
然而,随着SDN网络的普及,关于SDN网络的安全性问题已然是我们不可忽视的一环。分布式拒绝服务(Distributed Denial of Service,DDoS)作为互联网当前最主要的安全威胁之一,在SDN网络中产生了新的攻击手段,导致控制器资源耗尽,影响整个网络的运行,且受到攻击威胁的不仅仅是在SDN网络中的数据平面,中央控制器所在的控制平面也会遭到严重的威胁。因此,安全问题是当下我们亟需解决的问题,为了能够充分发挥SDN网络的优势,保障用户的体验,防止其受到DDoS的攻击,提供一个在SDN网络下安全可靠的DDoS检测与防御方法势在必行。
公开号为CN113691503A的专利中提出了一种基于机器学习的DDoS攻击检测算法,它通过在SDN网络架构下构建出CAS-SVM模型,对实时的DDoS进行攻击检测,若是监测到DDoS攻击就删除攻击的交换机流表,以此来保障SDN网络的正常通信。
上述方法虽然对SDN网络架构下的DDoS攻击起到了一定的作用,对交换机瘫痪等问题提供了帮助,但是仍存在着不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低问题。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。
鉴于此,为解决现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题,本发明提供一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质。
方案一:一种SDN环境下基于集成学习的DDoS检测方法,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;
S4.输入S2所述数据至集成学习模型中,输出检测结果。
优选的,所述获取交换机的流表消息的方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据;
优选的,获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
目的IP地址dp对应的平均数据包大小B(dp):
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
目的IP地址dp对应的源IP地址sp变化速率R1:
目的IP地址dp对应的目的端口dport变化速率R2:
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
根据上式可得:
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
优选的,所述构建集成学习模型的方法是包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
S34.对构建的模型进行评估。
优选的,所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和XGboost算法。
优选的,所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
其中,xi表示,yi表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;随机森林算法基于Bagging的扩展变体,以决策树构建Bagging集成的基础上引入了随机特征选择,XGboost算法通过不断累加树来提升模型的效果,而每一次迭代过程中XGboost都会增加一棵树同时提升整体模型的表达效果;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
而构建K棵树的线性组合用公式表示为:
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
优选的,所述对构建的模型进行评估的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
方案二:一种SDN环境下基于集成学习的DDoS检测装置,其特征在于,包括SDN网络环境和集成学习模块,所述集成学习模块为方案一所述的集成学习模型,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
方案三:一种电子设备,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现方案一所述的一种SDN环境下基于集成学习的DDoS检测方法的步骤。
方案四:一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现方案一所述的一种SDN环境下基于集成学习的DDoS检测方法。
本发明的有益效果如下:本发明实现了能够实时更新DDoS检测模型的同时,采用了集成学习的方式,既增强了模型的鲁棒性,又能够增强模型的表达能力,降低实验结果的误差。解决了现有技术中存在的不能实时优化更新模型,SVM单一算法普适性不高,准确率等指标偏低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为方法流程示意图;
图2为SDN框架示意图;
图3为SDN实验拓扑示意图;
图4为集成学习模型示意图;
图5为整体的SDN流程示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1、参照图1-5说明本实施方式,一种SDN环境下基于集成学习的DDoS检测方法,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;具体方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据;
搭建SDN网络环境(SDN框架)包括应用层、控制层和数据层;
所述应用层包括网络可视化模块、安全应用模块和移动管理模块;
所述控制层包括Floodlight(开放式流量控制器)、NOX(控制器)和RYU(控制器);
所述数据层包括交换机。
所述获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
目的IP地址dp对应的平均数据包大小B(dp):
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
目的IP地址dp对应的源IP地址sp变化速率R1:
目的IP地址dp对应的目的端口dport变化速率R2:
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
根据上式可得:
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
具体的,所述数据预处理主要包括对缺失值与异常值的处理,缺失值指的是因某些原因丢失或不存在的数据,而异常值指的是偏离大多数观测的个别值。
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和Xgboost算法。
所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
其中,xi表示,yi表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;随机森林算法基于Bagging的扩展变体,以决策树构建Bagging集成的基础上引入了随机特征选择,XGboost算法通过不断累加树来提升模型的效果,而每一次迭代过程中XGboost都会增加一棵树同时提升整体模型的表达效果;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
而构建K棵树的线性组合用公式表示为:
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
S34.对构建的模型进行评估,的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
S4.输入S2所述数据至集成学习模型中,输出检测结果。
实施例2、一种SDN环境下基于集成学习的DDoS检测装置,包括SDN网络环境和集成学习模块,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
具体的,所述数据预处理主要包括对缺失值与异常值的处理,缺失值指的是因某些原因丢失或不存在的数据,而异常值指的是偏离大多数观测的个别值。
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
所述集成学习模块为实施例1所述的集成学习模型。
实施例3、本发明的计算机装置可以是包括有处理器以及存储器等装置,例如包含中央处理器的单片机等。并且,处理器用于执行存储器中存储的计算机程序时实现上述的基于CREO软件的可修改由关系驱动的推荐数据的推荐方法的步骤。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
实施例4、计算机可读存储介质实施例
本发明的计算机可读存储介质可以是被计算机装置的处理器所读取的任何形式的存储介质,包括但不限于非易失性存储器、易失性存储器、铁电存储器等,计算机可读存储介质上存储有计算机程序,当计算机装置的处理器读取并执行存储器中所存储的计算机程序时,可以实现上述的基于CREO软件的可修改由关系驱动的建模数据的建模方法的步骤。
所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,包括以下步骤:
S1.搭建SDN网络环境,获取交换机的流表消息;
S2.将S1所述流表消息进行计算处理,以每个交换机作为处理对象,得到最终的数据;
S3.构建集成学习模型;
S4.输入S2所述数据至集成学习模型中,输出检测结果。
2.根据权利要求1所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述获取交换机的流表消息的方法是,获取每个流表包中流表项的数据包数量、大小、双向流量速率、IP地址与端口形成多对一映射数据。
3.根据权利要求2所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,获取映射数据的方法是,对单位时间内的网络流量进行采样,采样周期为T,获得样本集X={(xi,yi),i=1,2…K},yi为xi的类别标记,映射特征如下所示:
目的IP地址dp对应的平均数据包数量C(dp):
目的IP地址dp对应的平均数据包大小B(dp):
目的IP地址dp对应的平均双向数据包数量差值ΔC(dp):
目的IP地址dp对应的平均双向数据包大小差值ΔB(dp):
目的IP地址dp对应的源IP地址sp变化速率R1:
目的IP地址dp对应的目的端口dport变化速率R2:
源IP地址sp关于目的IP地址dp的条件熵和目的端口dport关于目的IP地址dp的条件熵分别用H1和H2表示,而对于随机变量X和Y,X关于Y的条件熵表示为
根据上式可得:
其中,sp,dp和dport分别表示源IP地址,目的IP地址和目的端口,令pcount和bcount方面表示目的IP地址的数据包数和字节数,N1和N2分别表示目的IP地址对应的源IP地址数量和目的端口数量,P1和P2分别代表源IP地址和目的端口关于目的IP地址的条件概率。
4.根据权利要求3所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述构建集成学习模型的方法是包括以下步骤:
S31.对网络中已存在的相关的数据集,选取DDoS流量与正常流量,并对其进行网络流量的预处理;
S32.网络流量对其做特征工程,主要包括流量的特征清洗与标准化;
S33.将处理后的数据进行XGboost特征选择,而后将其送入四个基分类器中,将各个基分类器的模型进行加权融合;
S34.对构建的模型进行评估。
5.根据权利要求4所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述四个基分类器包括:KNN算法、随机森林算法、决策树算法和XGboost算法。
6.根据权利要求5所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述KNN基分类器用于计算样本与数据集中的K个样本的相似度,计算公式如下:
其中,x表示,v表示;
随机森林算法与XGboost算法,都是以决策树为核心的集成学习算法;
所述随机森林算法通过每棵树进行投票决策,得到最终的结果,其公式表示为:
H(x)表示多分类模型***,ht(x)表示单棵决策树分类模型,Y表示目标变量,II表示示性函数,表示当括号内条件成立时取值为1,否则为0;
XGboost算法用于训练目标值与预测值的差值,为使分割后树的代价最小,综合考虑所有叶子节点的权值,将每个特征作分割点的增益,其总权值的增益表示的是叶子节点左子树与右子树总权值的和,用公式表示为:
而构建K棵树的线性组合用公式表示为:
其中,F表示所有树的函数空间,fk(xi)指的是在第i个样本中第k棵树所被分类到叶子节点的权重。
7.根据权利要求6所述的一种SDN环境下基于集成学习的DDoS检测方法,其特征在于,所述对构建的模型进行评估的方法是,通过计算评估指标进行评估,所述评估指标包括准确率、精确率、召回率和F1分数;
准确率:代表分类器能够判别正负的能力,能力越大,判别正负的效果越好,计算公式为:
其中,TP表示被正确分类出的正例数量;FN表示把正例错误分类成负例的数量;FP表示将负例错误分类为正例的数量;TN表示正确的分类为负例的数量;
精确率:代表模型预测为正例的样本中实际为正例的比例,计算公式为:
召回率:代表某一类正确的被分类为该类的比例,计算公式为:
F1分数:综合精确率与召回率两个指标的调和平均,最大值是1,代表模型性能最好,最小值是0,代表模型性能最差,计算公式为:
8.一种SDN环境下基于集成学习的DDoS检测装置,其特征在于,包括SDN网络环境和集成学习模块,所述集成学习模块为权利要求1-7任一项所述的集成学习模型,在服务器与交换机上搭建好SDN网络后,再部署集成学习模块应用到实际环境中使用,具体工作步骤如下:
步骤1、对网络中已存在的相关的数据集,选取DDoS流量与正常流量对数据进行数据预处理,并对其进行特征清洗和标准化;
步骤2、将处理后的数据传输至集成学习模块中,训练结束后的模型将用于实时网络环境下真实流量数据的检测;
步骤3、通过已有的硬件设施,搭建SDN网络,主要由1台RYU控制器,2台Openflow交换机和4台主机构成,其中2台交换机呈线性结构连接,IP地址从10.0.0.1至10.0.0.4;
步骤4、运行RYU控制器,通过步骤3搭建的SDN网络连接远程控制器,在数据平面使用OVS命令对交换机进行数据采集,获得需要的流表信息;
步骤5、通过步骤4获取的数据缓存成文件进行存储,进一步的处理后输入到步骤2所搭建完毕的集成学习模块中进行流量检测;
步骤6、通过集成学习模块,得到最终的检测结果;
步骤7、将得到的检测结果中,将判定为DDoS的数据重新输入到集成学习模型中,对其进行进一步的更新与迭代,高效且实时的完成模型的更新处理,提升模型的鲁棒性,实现了一种基于SDN网络环境下的实时优化更新方法。
9.一种电子设备,其特征在于,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现权利要求1-7任一项所述的一种SDN环境下基于集成学习的DDoS检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的一种SDN环境下基于集成学习的DDoS检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210440173.XA CN114745194B (zh) | 2022-04-25 | 2022-04-25 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210440173.XA CN114745194B (zh) | 2022-04-25 | 2022-04-25 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114745194A true CN114745194A (zh) | 2022-07-12 |
CN114745194B CN114745194B (zh) | 2022-11-01 |
Family
ID=82282998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210440173.XA Active CN114745194B (zh) | 2022-04-25 | 2022-04-25 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745194B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
CN111181939A (zh) * | 2019-12-20 | 2020-05-19 | 广东工业大学 | 一种基于集成学习的网络入侵检测方法及装置 |
CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
CN113378168A (zh) * | 2021-07-04 | 2021-09-10 | 昆明理工大学 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
-
2022
- 2022-04-25 CN CN202210440173.XA patent/CN114745194B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
CN111181939A (zh) * | 2019-12-20 | 2020-05-19 | 广东工业大学 | 一种基于集成学习的网络入侵检测方法及装置 |
WO2021227322A1 (zh) * | 2020-05-13 | 2021-11-18 | 南京邮电大学 | 一种SDN环境DDoS攻击检测防御方法 |
CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
CN113378168A (zh) * | 2021-07-04 | 2021-09-10 | 昆明理工大学 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114745194B (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981691B (zh) | 一种面向SDN控制器的实时DDoS攻击检测***与方法 | |
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
Kozik et al. | A new method of hybrid time window embedding with transformer-based traffic data classification in IoT-networked environment | |
JP6835703B2 (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
CN113452676B (zh) | 一种检测器分配方法和物联网检测*** | |
CN113328985B (zh) | 一种被动物联网设备识别方法、***、介质及设备 | |
CN114531273B (zh) | 一种防御工业网络***分布式拒绝服务攻击的方法 | |
CN112019497A (zh) | 一种基于词嵌入的多阶段网络攻击检测方法 | |
CN111262849A (zh) | 一种基于流表信息的网络异常流量行为识别阻断的方法 | |
CN113660209B (zh) | 一种基于sketch与联邦学习的DDoS攻击检测***及应用 | |
CN113923041A (zh) | 一种SDN网络下DDoS攻击流量识别检测方法 | |
Vu et al. | Handling imbalanced data in intrusion detection systems using generative adversarial networks | |
CN117633657A (zh) | 基于多图表征增强实现加密应用流量识别处理的方法、装置、处理器及计算机可读存储介质 | |
CN114745194B (zh) | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 | |
CN111291078B (zh) | 一种域名匹配检测方法及装置 | |
CN117014182A (zh) | 一种基于lstm的恶意流量检测方法及装置 | |
JPWO2015075862A1 (ja) | ネットワーク制御装置、ネットワーク制御方法およびプログラム | |
CN116707870A (zh) | 防御策略模型训练方法、防御策略确定方法和设备 | |
CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
CN115987643A (zh) | 一种基于lstm和sdn的工控网络入侵检测方法 | |
da Silva et al. | Hashcuckoo: Predicting elephant flows using meta-heuristics in programmable data planes | |
Kalliola et al. | Learning flow characteristics distributions with elm for distributed denial of service detection and mitigation | |
CN113691503A (zh) | 一种基于机器学习的DDoS攻击检测方法 | |
CN112637165B (zh) | 模型训练方法、网络攻击检测方法、装置、设备及介质 | |
Li et al. | Composite lightweight traffic classification system for network management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |