CN112653687A - 一种DDoS检测环境下基于差分进化的SDN网络特征提取方法 - Google Patents

Abstract

本发明涉及一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，属于网络通信技术领域。本发明通过差分进化算法结合DDoS检测模型，通过获取网络状态属性，以二进制编码方式标记每个特征的选择状态，生成种群；基于个体适应度的基因型分布，调整个体基因的选择概率，使种群进化、跳出局部最优解，提取与DDoS检测算法性能相关性较强的SDN网络状态特征，继而避免由于特征过多或者使用大量无用特征造成DDoS检测算法精度低、求解速度慢、计算效率低和计算资源浪费等问题，进而提高SDN网络对DDoS攻击的抵抗能力。

Description

一种DDoS检测环境下基于差分进化的SDN网络特征提取方法

技术领域

本发明涉及一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，属于网络通信技术领域。

背景技术

软件定义网络(Software-Defined Networking，SDN)作为一种动态、可编程、经济高效且易于快速升级部署的新兴虚拟网络架构，解耦了传统网络设备的转发功能与控制功能。基于此架构，SDN将网络设备的控制功能逻辑性地集中在了统一的控制平面上，可以通过软件定义的方式对网络功能进行全局优化，从而实现统一管理和动态配置的目的，在可编程性、硬件通用性和管理控制方面具有一定的优势。SDN通过实现统一管理和动态配置，优化了网络配置、监控和资源调度、管理等工作。虽然SDN目前已经比较成熟且已在数据中心、局域网等领域应用，但由于SDN架构的数据平面和控制平面解耦的特点，当数据平面与控制平面的连接失败时，网络将失去控制，导致SDN网络可用性、可靠性下降，制约了SDN的发展及进一步应用。

拒绝式分布服务(Distributed Denial of Service，DDoS)攻击破坏力强、实施简单且难以防御，是集中化控制与开发的SDN中严重的网络安全问题之一。DDoS攻击发起者首先收集大量的傀儡机，然后协同调度这些傀儡机同时伪造数据，发送大量的服务请求信息给目标主机系统，以耗尽网络的计算、带宽资源等资源，使目标无法对外提供正常的服务。DDoS具有破坏力强、实施简单且难以防御的特点，目前已成为威胁网络安全的最严重网络攻击方式之一。DDoS所具备的高速传输数据特性，使其成为容易造成SDN数据平面及控制平面连接失败的主要攻击手段。因此，提供一种能够提高SDN网络对DDoS攻击的抵抗能力的方法是十分必要的。

发明内容

本发明为了解决现有技术中由于特征过多或者使用大量无用特征造成DDoS检测算法精度低、速度慢、效率低和消耗大量计算资源等问题，提供一种DDoS检测环境下基于差分进化的SDN网络特征提取方法。

一种面向DDoS检测的差分进化网络特征提取方法，该方法包括以下步骤：

S1，获取SDN网络状态初始化种群；

S2，计算种群中个体的适应度F(x)，记录当代种群中最优个体的适应度；

S3，采用基于个体突变和基因突变的细粒度差分变异策略，计算个体和特征突变概率，产生新的变异体；

S4，采用基于高适应度个体基因分布特性的跳出局部最优策略，替换高适应度个体中与DDoS检测算法性能相关性弱的基因；选择高适应度个体中与DDoS检测算法性能相关性强的基因，加快收敛速度，搜索全局最优解；

S5，通过交叉策略确定某个个体是否变异，选择策略将交叉中间体与父代个体比较，保留适应度大的个体进入下一代；

S6，对输入的子代种群返回步骤S2循环操作，直到满足迭代终止条件，即达到最大迭代次数时，终止循环，输出最优个体。

进一步限定，S1为从网络状态属性中提取网络状态特征集合，随机选取所述网络状态特征集合中的特征子集作为个体，生成初始规模为N的种群P；所述的网络状态特征包括目的IP地址、源IP地址、目的端口、源端口和协议类型信息。

更进一步限定，S1具体操作步骤为：

S11，从网络状态属性中提取出基本的d维网络状态特征序列：

X(ω)＝{x₁(ω),x₂(ω),…,x_d(ω)},x_i(ω)∈{0,1}；

当e_i(ω)＝1时代表e_i特征被选中；当e_i(ω)＝0时代表e_i特征未被选中；

S12，随机选取网络特征集合中的特征子集生成初始规模为N的种群P，网络状态特征子集表示，第一代种群生成方式为：

X_i(g)＝(x_i,0,x_i,1,…,x_i,d)X_i(0)＝bin(rand(2^d,2^d+1))

x∈Ω,x_i,j∈{1,0},i＝1,2,…,N；j＝0,1,2,…,d

其中，i代表第i个个体，j代表第j维特征，g代表第g代，Ω代表d维样本空间，rand()为随机函数，bin()为二进制转换函数。

进一步限定，S2的具体操作过程为：

S21，在训练集中结合检测模型使用网络状态特征子集对数据的检测分类评价指标，以及特征子集的复杂度作为适应度评价函数：

其中，r(f)是优化目标的平方，f⁺是对适应度函数正相关的优化目标，f^-是对适应度函数负相关的优化目标，其中优化目标包括AUC值，检测精度，特征维度和检测时间，即f＝{AUC,ACC,DIM,TIME}。

进一步限定，S3为采用个体变异概率作为动态阈值，当生成的随机因子小于阈值时，个体将发生变异，生成变异中间体；然后从当代个体中选取高适应度个体，统计基因分布规律；再然后从当代个体中选取一个个体，基于最优个体的基因型和高适应个体的基因分布，调整该个体基因的突变概率；最后依据变异个体中不同基因的变异概率，对个体中的基因依次执行变异操作。

更进一步限定，S3的具体操作过程为：

S31，设个体变异概率

其中，μ₀是初始值，ε是调整因子，g为种群迭代数；

S32，当rand(0,1)<μ时，个体X_i(g)产生变异中间体V_i(g)：

X_i(g)→V_i(g)if rand(0,1)<μ；

S33，设一个d维概率向量P_i(g)＝{p_i,1(g),p_i,2(g),…,p_i,d(g)}，其中p_i,j(g)表示第i个个体第j位基因的突变概率，从当代N个个体中取H个适应度高的个体，根据下述公式计算基因在H群体中的比例：

S34，设当前个体为X_a，最优适应度个体为X_best，F(X_best)>F(X_a)：

其中，α是学习率，p_·j表示进化步长，X_best,j为种群进化方向。

进一步限定，S4为：首先，从适应度高的个体中选取一个个体，然后计算该个体每个特征被选择的概率，与动态阈值比较，被选择概率比阈值大的特征为与DDoS检测相关性强的基因，被选择概率比阈值小的特征为与DDoS检测相关性弱的基因；当特征被选择的概率小于阈值时，将弱相关基因与该个体中其余特征进行交换；当特征被选择的概率大于等于阈值时，产生随机因子；当随机因子小于阈值时，选择强相关基因；当随机因子大于等于阈值时，不改变强相关基因的选择状态。

更进一步限定，S4的具体操作过程为：

S41，H个适应度高的个体中，取每个个体中p_i,j(g)<μ的第j维特征，与其余特征进行交换,得到变异个体V_i,j(g)：

S42，H个适应度高的个体中，取每个个体中p_i,j(g)>μ的第j维特征：

x_i,j＝1,if rand(0,1)<μand p_i,j(g)>μ。

本发明具有以下有益效果：本发明提供一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，该方法通过获取网络状态属性，以二进制编码方式标记每个特征的选择状态，生成种群；基于个体适应度的基因型分布，调整个体基因的选择概率，使种群进化、跳出局部最优解，提取与DDoS检测算法性能相关性较强的SDN网络状态特征，继而避免由于特征过多或者使用大量无用特征造成DDoS检测算法精度低、速度慢、效率低和消耗大量计算资源等问题，减少SDN网络负载，提高SDN网络对DDoS攻击的抵抗能力。此外，本发明采用基于个体突变和基因突变的细粒度差分变异策略，计算个体和特征变异概率，使变异个体的基因型向最优个体收敛，产生新的变异体；采用基于高适应度个体基因分布特性的局部最优跳出策略，避免求解陷入局部最优，加快收敛速度，搜索全局最优解。

附图说明

图1为本发明提供的DDoS检测环境下基于差分进化的SDN网络特征提取方法流程图；

图2为本发明提供的DDoS检测环境下基于差分进化的SDN网络特征提取方法的变异策略和跳出局部最优流程图；

图3为实施例1中DDoS检测环境下基于差分进化的SDN网络特征提取方法的基因变异策略图。

具体实施方式

实施例1：

如图1所示，本实施例的DDoS检测环境下基于差分进化的SDN网络特征提取方法流程图，其具体步骤为：

S1、从网络状态属性中提取网络状态特征集合，随机选取所述网络状态特征集合中的特征子集作为个体，生成初始规模为N的种群P；

S2、计算种群P中个体的适应度，使用所述种群中的个体对网络进行检测，通过适应度评价函数筛选与DDoS检测算法性能相关性较强、计算资源和时间消耗较少的网络状态特征，记录当代种群中最优个体的适应度；

S3、采用一种基于个体突变和基因突变的细粒度差分变异策略，计算个体和特征突变概率，产生新的变异体；

S4、采用一种基于高适应度个体基因分布特性的跳出局部最优策略，替换高适应度个体中与DDoS检测算法性能相关性弱的基因；选择高适应度个体中与DDoS检测算法性能相关性强的基因，加快收敛速度，搜索全局最优解；

S5、通过交叉策略确定某个个体是否变异，选择策略将交叉中间体与父代个体比较，保留适应度大的个体进入下一代；

S6、对输入的子代种群返回步骤S2循环操作，直到满足迭代终止条件，即达到最大迭代次数时，终止循环，输出最优个体。

其中，S1的具体操作过程为：

S11、所述网络状态特征集合包括从网络状态属性中提取出基本的d维网络状态特征序列X(ω)＝{x₁(ω),x₂(ω),…,x_d(ω)},x_i(ω)∈{0,1}。Ω＝{ω}是d维样本空间；当e_i(ω)＝1时代表e_i特征被选中；反之，当e_i(ω)＝0时代表e_i特征未被选中。所述网络状态特征包含目的IP地址、源IP地址、目的端口、源端口、协议类型信息等；

S12、随机选取所述网络特征集合中的特征子集生成初始规模为N的种群P，所述网络状态特征子集表示，第一代种群生成方式为：

X_i(g)＝(x_i,0,x_i,1,…,x_i,d)X_i(0)＝bin(rand(2^d,2^d+1))

x∈Ω,x_i,j∈{1,0},i＝1,2,…,N；j＝0,1,2,…,d

其中，i代表第i个个体，j代表第j维特征，g代表第g代，Ω代表d维样本空间，rand()为随机函数，bin()为二进制转换函数。

S2的具体操作过程为：

S21、在训练集中结合检测模型使用所述网络状态特征子集对数据的检测分类评价指标，以及所述特征子集的复杂度作为适应度评价函数：

其中，r(f)是优化目标的平方，f⁺是对适应度函数正相关的优化目标，f^-是对适应度函数负相关的优化目标，其中优化目标包括AUC值，检测精度，特征维度，检测时间：f＝{AUC,ACC,DIM,TIME}。

如图2和图3所示，S3具体包括以下分步骤：

S31、设个体变异概率

其中，μ₀是初始值，ε是调整因子，g为种群迭代数；

S32、当rand(0,1)<μ时,个体X_i(g)产生变异中间体V_i(g)：X_i(g)→V_i(g)if rand(0,1)<μ；

S33、设一个d维概率向量P_i(g)＝{p_i,1(g),p_i,2(g),…,p_i,d(g)}，其中p_i,j(g)表示第i个个体第j位基因的突变概率，从当代N个个体中取H个适应度高的个体。根据以下公式计算基因在H群体中的比例：

S34、设当前个体为X_a，最优适应度个体为X_best，F(X_best)>F(X_a)：

其中，α是学习率，p_·j表示进化步长，X_best,j为种群进化方向。

S4具体包括以下分步骤：

S41、H个适应度高的个体中，取每个个体中p_i,j(g)<μ的第j维特征，与其余特征进行交换,得到变异个体V_i,j(g)：

if p_i,j(g)<μand k＝rand(0,D)；

S42、H个适应度高的个体中，取每个个体中p_i,j(g)>μ的第j维特征：x_i,j＝1,ifrand(0,1)<μand p_i,j(g)>μ。

Claims (8)

1.一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的方法包括以下步骤：

S1，获取SDN网络状态初始化种群；

S2，计算种群中个体的适应度F(x)，记录当代种群中最优个体的适应度；

S3，采用基于个体突变和基因突变的细粒度差分变异策略，计算个体和特征突变概率，产生新的变异体；

S4，采用基于高适应度个体基因分布特性的跳出局部最优策略，替换高适应度个体中与DDoS检测算法性能相关性弱的基因；选择高适应度个体中与DDoS检测算法性能相关性强的基因；

S5，通过交叉策略确定某个个体是否变异，选择策略将交叉中间体与父代个体比较，保留适应度大的个体进入下一代；

S6，对输入的子代种群返回步骤S2循环操作，直到满足迭代终止条件，即达到最大迭代次数时，终止循环，输出最优个体。

2.根据权利要求1所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S1为从网络状态属性中提取网络状态特征集合，随机选取网络状态特征集合中的特征子集作为个体，生成初始规模为N的种群P；所述的网络状态特征包括目的IP地址、源IP地址、目的端口、源端口和协议类型信息。

3.根据权利要求2所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S1具体操作步骤为：

S11，从网络状态属性中提取出基本的d维网络状态特征序列：

X(ω)＝{x₁(ω)，x₂(ω)，...，x_d(ω)}，x_i(ω)∈{0，1}；

当e_i(ω)＝1时代表e_i特征被选中；当e_i(ω)＝0时代表e_i特征未被选中；

S12，随机选取网络特征集合中的特征子集生成初始规模为N的种群P，网络状态特征子集表示，第一代种群生成方式为：

X_i(g)＝(x_i，0，x_i，1，...，x_i，d)X_i(0)＝bin(rand(2^d，2^d+1))x∈Ω，x_i，j∈{1，0}，i＝1，2，...，N；j＝0，1，2，...，d

其中，i代表第i个个体，j代表第j维特征，g代表第g代，Ω代表d维样本空间，rand()为随机函数，bin()为二进制转换函数。

4.根据权利要求3所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S2的具体操作过程为：

S21，在训练集中结合检测模型使用网络状态特征子集对数据的检测分类评价指标，以及特征子集的复杂度作为适应度评价函数：

其中，r(f)是优化目标的平方，f⁺是对适应度函数正相关的优化目标，f^-是对适应度函数负相关的优化目标，其中优化目标包括AUC值，检测精度，特征维度和检测时间，即f＝{AUC，ACC，DIM，TIME}。

5.根据权利要求4所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S3为：首先，采用个体变异概率作为动态阈值，当生成的随机因子小于阈值时，个体将发生变异，生成变异中间体；然后从当代个体中选取高适应度个体，统计基因分布规律；再然后从当代个体中选取一个个体，基于最优个体的基因型和高适应个体的基因分布，调整该个体基因的突变概率；最后依据变异个体中不同基因的变异概率，对个体中的基因依次执行变异操作。

6.根据权利要求5所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S3的具体操作过程为：

S31，设个体变异概率

其中，μ₀是初始值，ε是调整因子，g为种群迭代数；

S32，当rand(0，1)＜μ时，个体X_i(g)产生变异中间体V_i(g)：

X_i(g)→V_i(g) if rand(0，1)＜μ；

S33，设一个d维概率向量P_i(g)＝{p_i，1(g)，p_i，2(g)，...，p_i，d(g)}，其中p_i，j(g)表示第i个个体第j位基因的突变概率，从当代N个个体中取H个适应度高的个体，根据下述公式计算基因在H群体中的比例：

S34，设当前个体为X_a，最优适应度个体为X_best，F(X_best)＞F(X_a)：

其中，α是学习率，p._j表示进化步长，X_best，j为种群进化方向。

7.根据权利要求6所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S4为：首先，从适应度高的个体中选取一个个体，然后计算该个体每个特征被选择的概率，与动态阈值比较，被选择概率比阈值大的特征为与DDoS检测相关性强的基因，被选择概率比阈值小的特征为与DDoS检测相关性弱的基因；当特征被选择的概率小于阈值时，将弱相关基因与该个体中其余特征进行交换；当特征被选择的概率大于等于阈值时，产生随机因子；当随机因子小于阈值时，选择强相关基因；当随机因子大于等于阈值时，不改变强相关基因的选择状态。

8.根据权利要求7所述的一种DDoS检测环境下基于差分进化的SDN网络特征提取方法，其特征在于，所述的S4的具体操作过程为：

S41，H个适应度高的个体中，取每个个体中p_i，j(g)＜μ的第j维特征，与其余特征进行交换，得到变异个体V_i，j(g)：

if p_i，j(g)＜μand k＝rand(0，D)；

S42，H个适应度高的个体中，取每个个体中p_i，j(g)＞μ的第j维特征：

x_i，j＝1，if rand(0，1)＜μand p_i，j(g)＞μ。

Images