CN111064706B - 一种mRMR-SVM的空间网络数据流检测方法 - Google Patents

Abstract

本发明公开了一种mRMR‑SVM的空间网络数据流检测方法，包括以下步骤：建立基于SDN的空间信息网络架构；获取网络流量；获取流表；提取最大相关与最小冗余的特征；改进支持向量机训练分类器。本发明利用SDN数控分离、集中控制的特点，在控制平面集中控制，实时获取网络状态，对空间信息网络的数据流实时检测，避免二次扫描占用存储空间，降低了卫星负载，提高了空间信息网络的运行效率。本发明针对空间信息网络中的异常数据流会快速消耗网络带宽、占用系统资源等特点，在SDN架构下制定有效的空间信息网络数据流检测方法，提高空间信息网络的数据流检测的准确率，保证空间信息网络的安全性。

Description

一种mRMR-SVM的空间网络数据流检测方法

技术领域

本发明涉及数据流检测技术，特别是一种mRMR-SVM的空间网络数据流检测方法。

背景技术

空间信息网络中的卫星节点和链路都暴露在太空中，易受到环境干扰和蓄意破坏，其中卫星突然瘫痪造成流量中断异常，流量集中过大引起突发异常以及恶意流量的攻击破坏卫星节点正常运行，都是网络受到干扰和破坏的重要表现形式。因此，建立有效的数据流检测安全机制对空间信息网络的正常运行具有十分重要的意义。

传统的空间信息网络数据流检测方法，通过对数据流先进行存储再扫描，来检测空间信息网络数据流的正常和异常两种状态。但是此类方法占用星上较大的存储空间，给卫星带来过大负载。空间信息网络数据流具有无序性和突变性等特点，异常流对网络进行恶意攻击会对空间信息网络的安全造成隐患。同时星上存储资源有限，数据流进行存储和二次扫描会增加卫星负载，影响运行效率。

发明内容

为解决现有技术存在的上述问题，本发明要设计一种既能避免异常流对空间信息网络的安全造成隐患，又能降低卫星负载提高运行效率的mRMR-SVM的空间网络数据流检测方法。

为了实现上述目的，本发明的技术方案如下：一种mRMR-SVM的空间网络数据流检测方法，包括以下步骤：

A、建立基于SDN的空间信息网络架构

基于软件定义网络即SDN的空间信息网络包括应用平面、控制平面和数据平面；

所述的应用平面建立在空间站或者地面上，应用平面用于编程操作，通过北向接口对控制平面的应用模块进行更新，对网络进行配置并对应用业务进行快速部署；

所述的控制平面由GEO组成，通过OpenFlow协议调度全网卫星，获取网络状态，控制平面中的控制器对数据平面的检测结果进行分析处理，查找异常状态流量产生的原因，通过全网调度减少异常状态流量的产生；

所述的数据平面由LEO组成，数据平面包含数据流检测模块，负责数据流的检测和转发。当基站发出的数据到达数据平面时，使用数据流检测模块进行实时检测，识别出正常状态流量或异常状态流量，进行转发或剔除，并将识别的结果上传至控制平面。

所述的GEO为高轨道卫星，LEO为低轨道卫星。

B、数据流检测模块进行数据流检测

B1、获取网络流量

数据平面的卫星节点在某一时刻对空间信息网络中的数据流进行统计和处理，获取网络流量。

B2、获取流表

数据平面通过OpenFlow协议发送给GEO控制器Packet_in消息，GEO控制器下发相应的流表。

B3、提取最大相关与最小冗余的特征

数据流特征属性的重要程度将直接影响网络流量正常和异常状态的准确检测。随着提取特征维数的不断增加，会产生一些不相关和冗余的特征。特征选择是通过消除不相关特征和冗余特征、获取含有最佳辨识能力的子集的过程。设定流包数均值、流平均字节数、流表项增速、流请求速率、源IP增速、端口增速和协议的熵共7个特征属性，根据控制器下发的流表，采用最大相关与最小冗余即mRMR方法提取空间信息网络流量的特征。

控制器下发的流表包含数据流的12项信息，分别为一层标识：交换机入端口，二层标识：源MAC地址、目的MAC地址、以太网类型、VLAN标签、VLAN优先级，三层标识：源IP、目的IP、IP协议字段、IP服务类型，四层标识：TCP/UDP源端口号、TCP/UDP目的端口号，流表的格式如下：

交换机入端口：Ingress Port；

源MAC地址：Ether Source；

目的MAC地址：Ether Dst；

以太网类型：EtherType；

VLAN标签：VLAN id；

VLAN优先级：VLAN priority；

源IP：IP src；

目的IP：IP dst；

IP协议字段：IPproto；

IP服务类型：IPToS bits；

TCP/UDP源端口号：TCP/UDP Src Port；

TCP/UDP目的端口号：TCP/UDP DstPort；

对某一时刻流量统计后，通过皮尔逊相关系数和最大信息系数的相关性度量系数来描述变量之间的关系，表示为：

式中：cov(X,Y)表示变量X与变量Y的协方差，var(X)、var(Y)分别表示变量X和变量Y的方差，I(X；Y)表示变量X与变量Y的互信息量，PCC(X,Y)表示变量X与变量Y的皮尔逊相关系数，MIC(X,Y)表示变量X与变量Y的最大信息系数，MPC(X,Y)表示变量X与变量Y的相关性度量系数，X、Y分别代表特征属性F和类别变量C。假设C_L＝{c₁,c₂,…,c_l}表示类别变量，l、L表示类别总数，区分空间信息网络流量分为正常流量和异常流量，则C_L＝{c₁,c₂}。

设F＝{F₁,F₂,…,F_n}表示特征集合，n表示特征总数，F_i表示第i个特征，根据有监督的特征选择，特征F_i与类别标签C_L的相关度量系数D(F_i,C_L)定义为：

根据最大相关与最小冗余准则即mRMR中的最大相关原则，被选择的特征F_i与类别C_L具有最大相关性，即为D(F_i,C_L)取最大值时的F_i，记为F_max，表示为：

F_max＝arg maxD(F_i,C_L) (3)

同样，根据mRMR中的最小冗余准则，被挑选的特征F_i之间具有最小冗余性，冗余度R(F_i,F_j)计算公式和最小冗余值F_min表示为：

F_min＝argminR(F) (5)

利用增量搜索方法获取由Φ(·)定义的近似最佳特征，算子Φ(D,R)用来定义优化最大相关和最小冗余信息。通过结合相关性D与冗余性R，那么最佳特征F_opt挑选准则表示为：

Φ(D,R)＝(D-R) (6)

F_opt＝argmaxΦ(D,R) (7)

实验已经获取了k-1个特征的特征子集F_k-1，那么第k个特征F_k需要从特征集合{F-F_k-1}中挑选，则通过Φ(D,R)，F_k的详细挑选准则表示为：

根据F_k的计算结果，训练分类器。

B4、改进支持向量机训练分类器

支持向量机训练分类器即SVM训练分类器是一类按监督学习方式对数据进行二元分类的分类器，其目标是找到一个超平面把两类数据分开，适合二分类问题。采用加权欧氏距离和径向基核函数方法改进SVM，找到满足分类要求的最大分类间隔超平面，使得正常数据和异常数据正确分离。首先为检测的数据集的每个特征属性赋予一定的权重，使用权重向量w修改标准欧几里德距离为：

d^w(x_i,x_j)是两条流量x_i和x_j之间的加权欧几里德距离。x_ik是第i条流的第k个特征属性值。w＝(w₁,…,w_n)是权重向量。权重向量是每个特征属性的重要度量。权重向量w使用计算的mRMR归一化定义为：

式中：F_k表示特征属性mRMR值，值越大，特征属性对分类的影响越大。

在改进的支持向量机中，设K是样本空间H×H中的核函数，

P是给定输入空间的n阶线性变换矩阵。特征属性加权核函数定义为

表示为：

特征属性加权矩阵是n阶对角矩阵，变换矩阵的公式为：

参数Gamma影响分类器分类的精度，公式表示如下：

Gamma越大，σ越小，支持向量越少，Gamma越小，σ越大，支持向量越多。采用粒子群即PSO算法优化SVM训练分类器的精度。将空间信息网络流量集Z定义为一组M个粒子。

Z＝{z₁,z₂,…,z_m} (14)

每个粒子代表数据集Z的一个数据流，将其映射为空间B的一个点。

z_i＝[z_i1,z_i2,…,z_iB]^T∈A,i＝1,2,…,M (15)

A代表搜索空间，定义优化的适应度函数为：

若干粒子组合成一个群体，群体包含当前适应度的信息。通过先前位置的最佳适应度以及随机添加的一个或多个其它粒子群的最佳适合度来确定其在搜索空间中的移动。粒子将在搜索空间A中迭代地移动，粒子移动的速度表示为：

v_i＝[v_i1,v_i2,…,v_iB]^T,i＝1,2,…,M (17)

在PSO中有一个Q参数，它是一个存储集，存储最佳位置被标记为本地最佳Q_best。

Q_best＝[q_i1,q_i2,…,q_iB]^T∈A,i＝1,2,…,M (18)

从每一个群体中，将获得全局最佳值G_best，G_best表明所有群体的最佳粒子值。

为了获得G_best值，则必须在每次迭代时更新粒子的位置，更新速度和位置变换公式为：

根据公式(20)-(21)和适应度函数来优化SVM，提高区分正常流量和异常流量的准确度。通过适应度函数f评估种群数据是否正常。适应度值越小，正常流量和异常流量的分类程度越好。反之，则分类程度越差。

与现有技术比较，本发明的有益效果是：

1、本发明利用SDN数控分离、集中控制的特点，在控制平面集中控制，实时获取网络状态，对空间信息网络的数据流实时检测，避免二次扫描占用存储空间，降低了卫星负载，提高了空间信息网络的运行效率。

2、本发明针对空间信息网络中的异常数据流会快速消耗网络带宽、占用系统资源等特点，在SDN架构下制定有效的空间信息网络数据流检测方法，提高空间信息网络的数据流检测的准确率，保证空间信息网络的安全性。

附图说明

图1为基于SDN的空间信息网络模型。

图2为基于SDN的空间信息网络数据流检测流程。

图3为流包数均值、源IP增速、端口增速、协议的熵随时间变化情况统计图。

图4为流平均字节数随时间变化情况统计图。

图5为流表项增速和流请求速率随时间变化情况统计图。

图6为Gamma和分类器精度关系图。

图7为数据流检测准确率曲线。

图8表示正常数据流检测为异常数据流的误判率曲线。

图9是三种方法的检测时间对比曲线。

具体实施方式

下面结合附图对本发明作进一步地说明。如图2所示，基于SDN的空间信息网络的数据流检测方法步骤如下所示：

Step1：数据平面的卫星收集空间信息网络的数据流，通过OpenFlow协议发送给GEO控制器Packet_in消息，GEO控制器下发流表；

Step2：数据平面根据下发的流表，采用最大相关与最小冗余(mRMR)方法提取空间信息网络流量的主要特征；

Step3：采用加权欧式距离和径向基核函数方法改进SVM，训练分类器；

Step4：采用粒子群算法优化SVM分类器的精度；

Step5：检测空间信息网络正常和异常状态的数据流，异常数据流量丢弃，正常数据流量转发。

本发明的具体实施例如下：

1、实验环境设定

在虚拟机VMware下安装Ubuntu系统，使用Mininet搭建一个SDN网络环境，Mininet可以简单迅速的创建用户自定义拓扑，将floodlight控制器作为GEO节点，OpenVSwich交换机作为LEO节点，建立一个11颗卫星的小型星座代表基于SDN的空间信息网络的三层网络结构(如图1所示)，使用KDDCup'99数据集中10％的训练子集和测试子集作为实验仿真数据，通过仿真工具Mininet和python脚本可根据数据信息生成数据流，发送给交换机，SDN控制器通过OpenFlow协议与SDN交换机进行网络交互，基于OpenFlow协议下发流表。卫星节点信息如表1所示。

表1卫星节点信息表

本发明设计3颗GEO卫星，高度为35860km，8颗LEO卫星，LEO卫星网络参数表如表2所示。

表2 LEO卫星网络参数表

2、特征子集参数设定

本发明通过提取流表项中与数据流相关的信息，选择出对分类有效的相关特征子集，特征子集设定如下：

1)流包数均值(Average Number ofPackets,ANPF)

式中：PacketsNum_i是一定时间间隔内第i条流中数据包的数目，FlowsNum是这个时间间隔内流的总数。通过连续随机快速地生成大量的异常流，每条流的数据包数量将减少。

2)流平均字节数(Average Bytes perFlow,ABF)

式中：BitNum_i是一定时间间隔内第i条流的字节总数。同ANPF，异常流的字节数不是太高就是太低，因此，ABF成为检测异常流的重要特性。

3)流表项增速(Rate ofFlow Entries,RFE)

式中：FlowTableNum是一定时间间隔内流表项的总数，ΔT为时间间隔，异常流会使控制器产生大量的流表信息。

4)流请求速率(Flow Request Rate,FRR)

式中：FlowsNum是一定时间间隔内流的总数。异常流的生成速度会显著提高，所以，异常流的请求速率会比正常流大。

5)源IP增速(Source IP Growing Speed,SGS)

式中：sIPNum指一定时间间隔内源IP地址的数目。异常流可能生成大量虚假IP地址对目标卫星进行破坏，所以，源IP地址的增速一定会明显提升。

6)端口增速(Ports Gennerating Speed,PGS)

式中：PortsNum是一定时间间隔内不同端口的数量。正常情况下端口的变化量比较稳定，而异常流不但会伪造IP地址，还会随机生成端口号。

7)协议的熵(Entropy ofProtocol Type,EPT)

式中：TypeNum是一定时间间隔内不同协议的数量。异常流量越多，流量协议的随机性就越小，导致异常流量协议的熵比正常流量的熵小。

3、评价指标

在流量识别中评估分类器的分类能力，通常使用真正数、假正数、真负数、假负数、准确率和误判率等。对任一输出类别A，真正数TP(True Positive)是指类别为A的流被判定为类别A的流个数；假正数FP(False Positive)是指类别非A的流被误判为类别A的流个数；真负数TN(True Negative)是指类别非A被判定为非A的流个数；假负数FN(FalseNegative)是指类别为A误判为非A的流个数。上述四种变量的不同代数组合构成以下常用的评价指标。

其中，准确率和误判率代表分类器对每种类别的检测能力，基于SDN的空间信息网络数据流检测模型性能的指标：

4、实验结果分析

本发明的实验仿真数据包括训练子集和测试子集，数据集中共有39种异常类型，训练集中包括22种，其余17种异常类型在测试集中。图3-5是训练子集中上述7个特征参数随时间变化情况统计图。

从图中可以看出，随着时间的变化，7个特征都会出现不同程度的变化，流表项增速、流请求速率、源IP增速、端口增速的提高，流包数均值、协议的熵的降低以及流平均字节数的大幅度提高和降低都是异常数据流的聚集区，异常数据流的增多，特征参数会出现明显的变化。

上述7个特征变化情况服从正态分布，其参数如表3所示。

表3 7个特征变化情况正态分布参数

采用粒子群算法优化SVM参数Gamma，提高分类器的精度，因此，本发明的Gamma值取0.9，分类器的精度达到最佳。分类器精度随参数Gamma变化情况如图6所示。

本发明与MADMAS、ARIMA-SVR的对比分析如下：数据集包含正常和异常两种状态的数据，在相同的数据集下对比其检测正常和异常两种状态数据流的准确率和正常数据流被检测为异常数据流的误判率。

图7表示检测数据流正常和异常的准确率。从图中看出，随着数据数量的增加，三种方法检测准确率略有下降。但本发明方法整体准确率要比其它两种方法高，因为本发明所采用的mRMR算法提取流量中状态相关性最大、特征属性之间冗余最小的特征，改进的SVM算法适合大数据环境下的数据流检测，优化分类器参数提高分类器的精度，提高识别正常和异常数据流的准确率。本发明方法的检测的平均准确率比MADMAS提高了2.1％，比ARIMA-SVR提高了4.9％，对数据流的检测具有较高的准确率。

图8表示正常数据流检测为异常数据流的误判率。随着数据数量的增加，三种方法误判率有所上升，但本发明方法要比其他两种方法误判率低，因为特征提取的mRMR算法在数据增多、流量种类变多时会影响对数据流检测的结果。通过实验对比分析，本发明方法检测的平均误判率比MADMAS提高了6.1％，比ARIMA-SVR提高了11.4％。

图9是三种方法的检测时间对比。从图中可以看出，随着数据数量的增加，三种方法的检测时间都有所增多。在开始阶段，本发明方法所用的检测时间高于其他两种方法，数据平面包含数据流检测和转发功能，特征提取和优化分类器参数会有一定的时间消耗，本发明方法检测时间总体介于MADMAS和ARIMA-SVR之间。

本发明不局限于本实施例，任何在本发明披露的技术范围内的等同构思或者改变，均列为本发明的保护范围。

Claims (1)

1.一种mRMR-SVM的空间网络数据流检测方法，其特征在于：包括以下步骤：

A、建立基于SDN的空间信息网络架构

基于软件定义网络即SDN的空间信息网络包括应用平面、控制平面和数据平面；

所述的应用平面建立在空间站或者地面上，应用平面用于编程操作，通过北向接口对控制平面的应用模块进行更新，对网络进行配置并对应用业务进行快速部署；

所述的控制平面由GEO组成，通过OpenFlow协议调度全网卫星，获取网络状态，控制平面中的控制器对数据平面的检测结果进行分析处理，查找异常状态流量产生的原因，通过全网调度减少异常状态流量的产生；

所述的数据平面由LEO组成，数据平面包含数据流检测模块，负责数据流的检测和转发；当基站发出的数据到达数据平面时，使用数据流检测模块进行实时检测，识别出正常状态流量或异常状态流量，进行转发或剔除，并将识别的结果上传至控制平面；

所述的GEO为高轨道卫星，LEO为低轨道卫星；

B、数据流检测模块进行数据流检测

B1、获取网络流量

数据平面的卫星节点在某一时刻对空间信息网络中的数据流进行统计和处理，获取网络流量；

B2、获取流表

数据平面通过OpenFlow协议发送给GEO控制器Packet_in消息，GEO控制器下发相应的流表；

B3、提取最大相关与最小冗余的特征

数据流特征属性的重要程度将直接影响网络流量正常和异常状态的准确检测；随着提取特征维数的不断增加，会产生一些不相关和冗余的特征；特征选择是通过消除不相关特征和冗余特征、获取含有最佳辨识能力的子集的过程；设定流包数均值、流平均字节数、流表项增速、流请求速率、源IP增速、端口增速和协议的熵共7个特征属性，根据控制器下发的流表，采用最大相关与最小冗余即mRMR方法提取空间信息网络流量的特征；

控制器下发的流表包含数据流的12项信息，分别为一层标识：交换机入端口，二层标识：源MAC地址、目的MAC地址、以太网类型、VLAN标签、VLAN优先级，三层标识：源IP、目的IP、IP协议字段、IP服务类型，四层标识：TCP/UDP源端口号、TCP/UDP目的端口号，流表的格式如下：

交换机入端口：Ingress Port；

源MAC地址：Ether Source；

目的MAC地址：Ether Dst；

以太网类型：Ether Type；

VLAN标签：VLAN id；

VLAN优先级：VLAN priority；

源IP：IP src；

目的IP：IP dst；

IP协议字段：IP proto；

IP服务类型：IP ToS bits；

TCP/UDP源端口号：TCP/UDP Src Port；

TCP/UDP目的端口号：TCP/UDP Dst Port；

对某一时刻流量统计后，通过皮尔逊相关系数和最大信息系数的相关性度量系数来描述变量之间的关系，表示为：

式中：cov(X,Y)表示变量X与变量Y的协方差，var(X)、var(Y)分别表示变量X和变量Y的方差，I(X；Y)表示变量X与变量Y的互信息量，PCC(X,Y)表示变量X与变量Y的皮尔逊相关系数，MIC(X,Y)表示变量X与变量Y的最大信息系数，MPC(X,Y)表示变量X与变量Y的相关性度量系数，X、Y分别代表特征属性F和类别变量C；假设C_L＝{c₁,c₂,…,c_l}表示类别变量，l、L表示类别总数，区分空间信息网络流量分为正常流量和异常流量，则C_L＝{c₁,c₂}；

设F＝{F₁,F₂,…,F_n}表示特征集合，n表示特征总数，F_i表示第i个特征，根据有监督的特征选择，特征F_i与类别标签C_L的相关度量系数D(F_i,C_L)定义为：

根据最大相关与最小冗余准则即mRMR中的最大相关原则，被选择的特征F_i与类别C_L具有最大相关性，即为D(F_i,C_L)取最大值时的F_i，记为F_max，表示为：

F_max＝argmaxD(F_i,C_L) (3)

同样，根据mRMR中的最小冗余准则，被挑选的特征F_i之间具有最小冗余性，冗余度R(F_i,F_j)计算公式和最小冗余值F_min表示为：

F_min＝argminR(F) (5)

利用增量搜索方法获取由Φ(·)定义的近似最佳特征，算子Φ(D,R)用来定义优化最大相关和最小冗余信息；通过结合相关性D与冗余性R，那么最佳特征F_opt挑选准则表示为：

Φ(D,R)＝(D-R) (6)

F_opt＝argmaxΦ(D,R) (7)

实验已经获取了k-1个特征的特征子集F_k-1，那么第k个特征F_k需要从特征集合{F-F_k-1}中挑选，则通过Φ(D,R)，F_k的详细挑选准则表示为：

根据F_k的计算结果，训练分类器；

B4、改进支持向量机训练分类器

支持向量机训练分类器即SVM训练分类器是一类按监督学习方式对数据进行二元分类的分类器，其目标是找到一个超平面把两类数据分开，适合二分类问题；采用加权欧氏距离和径向基核函数方法改进SVM，找到满足分类要求的最大分类间隔超平面，使得正常数据和异常数据正确分离；首先为检测的数据集的每个特征属性赋予一定的权重，使用权重向量w修改标准欧几里德距离为：

d^w(x_i,x_j)是两条流量x_i和x_j之间的加权欧几里德距离；x_ik是第i条流的第k个特征属性值；w＝(w₁,…,w_n)是权重向量；权重向量是每个特征属性的重要度量；权重向量w使用计算的mRMR归一化定义为：

式中：F_k表示特征属性mRMR值，值越大，特征属性对分类的影响越大；

在改进的支持向量机中，设K是样本空间H×H中的核函数，

P是给定输入空间的n阶线性变换矩阵；特征属性加权核函数定义为

表示为：

特征属性加权矩阵是n阶对角矩阵，变换矩阵的公式为：

参数Gamma影响分类器分类的精度，公式表示如下：

Gamma越大，σ越小，支持向量越少，Gamma越小，σ越大，支持向量越多；采用粒子群即PSO算法优化SVM训练分类器的精度；将空间信息网络流量集Z定义为一组M个粒子；

Z＝{z₁,z₂,…,z_m} (14)

每个粒子代表数据集Z的一个数据流，将其映射为空间B的一个点；

z_i＝[z_i1,z_i2,…,z_iB]^T∈A,i＝1,2,…,M (15)

A代表搜索空间，定义优化的适应度函数为：

若干粒子组合成一个群体，群体包含当前适应度的信息；通过先前位置的最佳适应度以及随机添加的一个或多个其它粒子群的最佳适合度来确定其在搜索空间中的移动；粒子将在搜索空间A中迭代地移动，粒子移动的速度表示为：

v_i＝[v_i1,v_i2,…,v_iB]^T,i＝1,2,…,M (17)

在PSO中有一个Q参数，它是一个存储集，存储最佳位置被标记为本地最佳Q_best；

Q_best＝[q_i1,q_i2,…,q_iB]^T∈A,i＝1,2,…,M (18)

从每一个群体中，将获得全局最佳值G_best，G_best表明所有群体的最佳粒子值；

为了获得G_best值，则必须在每次迭代时更新粒子的位置，更新速度和位置变换公式为：

根据公式(20)-(21)和适应度函数来优化SVM，提高区分正常流量和异常流量的准确度；通过适应度函数f评估种群数据是否正常；适应度值越小，正常流量和异常流量的分类程度越好；反之，则分类程度越差。

Images