CN112788063B

CN112788063B - 基于RF-GMM的SDN中LDoS攻击检测方法

Info

Publication number: CN112788063B
Application number: CN202110130841.4A
Authority: CN
Inventors: 汤澹; 张冬朔; 王曦茵; 郑芷青; 王思苑; 张诗涵
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2021-01-29
Filing date: 2021-01-29
Publication date: 2022-03-01
Anticipated expiration: 2041-01-29
Also published as: CN112788063A

Abstract

本发明公开了基于RF‑GMM的SDN中LDoS攻击检测方法，属于网络安全领域。其中所述方法包括：本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量，滑动划分检测窗口，并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征，增加检测准确率，减少运算量，本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入，对不同的网络状态进行聚类，从而实现攻击检测。本发明提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。

Description

基于RF-GMM的SDN中LDoS攻击检测方法

技术领域

本发明属于计算机网络安全领域，具体涉及基于RF-GMM的SDN中LDoS攻击检测方法。

背景技术

DoS(Denial ofService，拒绝服务)攻击是常用的网络攻击手段之一，其通过消耗有限的计算机系统或者网络中的带宽资源，使得受害的计算机系统或者网络系统无法对于合法的用户访问进行接收或者处理，从而使得系统不能提供正常的服务。LDoS(Low-rateDenial of Service，低速率拒绝服务)攻击作为一种特殊的DoS攻击，针对TCP(Transmission Control Protocol，传输控制协议)中的漏洞，只需要少量的攻击数据就可以使得TCP流量明显降低，从而影响受害者的服务质量和性能，而且已有的针对DoS攻击的检测方法很难区分LDoS的攻击流和正常的流量。

SDN(Software DefinedNetwork，软件定义网络)已经成为促进通信网络创新的最重要的网络体系结构之一，其将网络管理功能从分组交换设备中移出，并将其放入逻辑上集中的控制器中。在SDN框架为维护网络安全提供便利的同时，控制和数据平面的分离也产生了安全挑战。LDoS攻击具有普遍性，在SDN环境中的主机也有可能受到LDoS攻击，且当SDN控制器受到LDoS攻击时，可能会导致整个网络的瘫痪，造成比传统网络中更严重的后果。

本发明针对当前的LDoS攻击检测方法存在检测率低、误报率和漏报率高和实时性不强等不足，以及控制平面受到LDoS攻击时将影响整个SDN的情况，提出一种基于RF-GMM(Gaussian Mixture Model based on RandomForest Feature Selection，基于随机森林特征选择的高斯混合模型)的SDN中LDoS攻击检测方法。本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量，滑动划分检测窗口，并计算其多个特征作为攻击检测的指标。为了选取最具有代表性的特征，增加检测准确率，减少运算量，本方法使用了随机森林模型计算每个特征对于检测的重要性并进行排序。根据特征重要性选择了最优特征作为高斯混合模型的输入，对不同的网络状态进行聚类，从而实现攻击检测。本方法能够较为准确地检测LDoS攻击，且能够实时地估计攻击的发起时间和结束时间，具有较低的漏报率和误报率，因此本检测方法适用于SDN环境中的LDoS攻击。

发明内容

针对当前的LDoS攻击检测方法存在检测率低、误报率和漏报率高和实时性不强等不足，以及控制平面受到LDoS攻击时将影响整个SDN网络的情况，提出了基于RF-GMM的SDN中LDoS攻击检测方法。本方法能够较为准确地检测LDoS攻击，且能够实时地估计攻击的发起时间和结束时间，具有较低的漏报率和误报率，因此本检测方法适用于SDN环境中的LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该LDoS攻击检测方法主要包括四个步骤：数据采样、特征计算、特征选取、聚类检测。

1.数据采样。对于SDN中经过交换机端口的流量数据包，按照相等的时间间隔进行实时采样和记录，形成原始的流量数据。

2.特征计算。经过对不同网络状态的分析比较，TCP流量和UDP流量的波动剧烈程度在不同的网络状态中表现出不同的特征，可以据此对不同网络状态进行区分。对于获取的原始流量数据，提取其中的TCP流量和UDP流量，维护一个长度固定且大于采样间隔的窗口并滑动得到多个检测窗口。为了量化每个检测窗口内流量的集中程度和离散程度，本方法对TCP流量和UDP流量分别选取了均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度共计16个统计特征。

3.特征选取。基于随机森林模型对计算得到了16个特征进行重要性评估。具体是：

1)使用随机森林模型对检测窗口进行分类。

CART树是随机森林的基本单元，其能够在给定输入随机变量X条件下输出随机变量Y的条件概率。CART分类树在节点分裂时使用基尼指数最小化准则选择最优特征，同时对该特征的最优二值切分点进行计算，并依此建立决策二叉树。

对于给定的样本集合D，其基尼指数为：

其中，C_k是D中属于第k类的数据集子集，K是数据集中分类的个数。

随机森林模型的构造方法为：先有放回地随机选择部分检测窗口形成决策树的训练集，在决策树划分结点时，从每个训练集中随机选择部分特征，决策树从中选取最优特征作为结点的分裂属性，通过上述步骤建立多棵决策树进行分类，对每棵决策树得出的分类结果使用投票法确定该检测窗口最终预测值。

2)根据分类结果计算每个特征的重要性。为了选择对结果影响较大的特征以缩减建立模型所需要的特征个数，使用随机森林模型对特征进行重要性评估。用随机森林进行特征重要性评估的方法为：对每个特征在随机森林中的每棵树上做的贡献求平均值，再进行比较排序。

根据上述过程计算得到的基尼指数GI，使用VIM表示特征的重要性评分。假设有m个特征X₁,X₂,...,X_m，要计算每个特征X_j的基尼指数评分VIM_j，即第j个特征在所有决策树中划分节点时不纯度的平均变化值。基尼指数的计算公式为：

其中，K表示数据集中类别的个数，p_mk表示类别k在结点m中所占的比例。

特征X_j在结点m的重要性，即结点m被划分之后，基尼指数的变化为：

其中GI_l和GI_r分别表示节点划分结束后得到的两个新结点的基尼指数。

如果集合M存在某一特征X_j在决策树i中出现的结点，那么X_j在决策树i的重要性为：

假设该随机森林中共有n棵决策树，则其重要性为：

最后把所有求得的重要性评分进行归一化处理就得到重要性评分为：

4.聚类检测。对于选取的特征使用EM(Expectation-Maximization algorithm，期望最大算法)求解高斯混合模型，由聚类得到的标签值即可判定SDN中是否存在LDoS攻击。

高斯混合模型是假设所有的数据点都是生成于有限个带有未知参数的单高斯模型。假设混合高斯模型由K个单高斯模型组合而成，即数据包含K个类，则高斯混合模型的概率密度函数为:

其中，p(x|k)＝N(x|μ_k,Σ_k)，是第k个高斯模型的概率密度函数，即选定第k个模型后，该模型产生x的概率；p(k)＝π_k，是类分布概率，表示第k个高斯模型的权重，又称为第k个模型的先验概率，且满足

对于采样得到的符合混合高斯分布的流量数据，需要使用EM算法通过迭代的过程得到一组参数，使得这组参数表示的模型最有可能产生现有的流量数据，从而求解得到对应的高斯混合模型。

高斯混合模型参数估计的EM算法步骤如下：

1)在初始时随机生成K个高斯分布，取参数的初始值开始迭代；

2)E步：在给定的多维高斯分布下，计算各样本属于各个类别的概率为：

3)M步：根据概率重新计算更优的高斯参数：

4)不断迭代步骤2)和步骤3)直到似然函数收敛或者达到了最大迭代次数。

使用计算得到的高斯混合模型，以检测窗口为单位，对经过特征选择的流量数据进行聚类，得到每个检测窗口对应的聚类标签，其结果包括正常和存在LDoS攻击两种，从而实现对LDoS攻击的检测。

有益效果

本方法能够较为准确地检测LDoS攻击，且能够实时地估计攻击的发起时间和结束时间，具有较低的漏报率和误报率，因此本检测方法适用于SDN环境中的LDoS攻击。

附图说明

图1为正常的网络状态和存在LDoS攻击的网络状态的TCP流量和UDP流量的对比。正常的网络状态中TCP流量值较高，且波动较小，偶尔出现单独的较大峰值；UDP流量总体值较低，也分布较稳定。网络受到LDoS攻击时，TCP流量的波动较正常情况增大，且流量值整体都较正常情况降低；由于LDoS攻击流由UDP流量发起，在攻击时间内UDP流量会发生剧烈的波动，其流量值整体都较正常情况增加。

图2为特征计算模块的流程图。

图3为随机森林模型计算得到的特征重要性排序图。随机森林模型根据标签值对特征的重要性进行计算，按照特征重要性从高到低对特征进行排序，得到如图3的结果，其中特征编号0-15分别表示TCP流量的均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度和UDP流量的均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度。

图4为基于RF-GMM的SDN中LDoS攻击检测方法的流程图。

具体实施方式

下面结合附图对本发明进一步说明。

如图4所示，该LDoS攻击检测方法主要包括四个步骤：数据采样、特征计算、特征选取、聚类检测。

图1为正常的网络状态和存在LDoS攻击的网络状态的TCP流量和UDP流量的对比。经过对不同网络状态中TCP流量和UDP流量的分析比较可以得到，TCP流量和UDP流量的波动剧烈程度在不同的网络状态中表现出不同的特征，可以据此对不同网络状态进行区分。本方法对TCP流量和UDP流量选取了共16个统计特征来表示每个检测窗口内流量的集中程度和离散程度。

图2为特征计算模块的流程图。对于采样得到的TCP流量和UDP流量，维护一个长度固定且大于采样间隔的窗口并滑动得到多个检测窗口，计算当前检测窗口的特征。并根据是否存在被攻击的数据流量对检测窗口设置标签值，若当前窗口中存在被攻击的流量数据，则将其标签设置为1；若当前窗口中不存在被攻击的流量数据，则将其标签设置为0，使用一维数组对标签进行存储。

图3为随机森林模型计算得到的特征重要性排序图。本方法只选取两个重要性最高的特征作为高斯混合模型的输入，不但能够保证算法的检测准确率，还能够减少高斯混合模型的计算时间。

Claims

1.基于RF-GMM的SDN中LDoS攻击检测方法，其特征在于，RF-GMM的全称是GaussianMixture Model based on Random Forest Feature Selection，即基于随机森林特征选择的高斯混合模型，该方法具体包括以下四个步骤：

步骤1、数据采样：在SDN中对于经过交换机的流量数据包进行采样，得到原始的流量数据；

步骤2、特征计算：提取原始流量数据中的TCP流量和UDP流量，滑动划分检测窗口，并计算其多个特征；

步骤3、特征选取：基于随机森林模型对多个特征进行重要性评估，提取出对检测最有益的特征；

步骤4、聚类检测：对于选取的特征使用期望最大算法求解高斯混合模型，由聚类得到的标签值即可判定SDN中是否存在LDoS攻击。

2.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤1中对于SDN中经过交换机端口的流量数据包，按照相等的时间间隔进行实时采样和记录，形成原始的流量数据。

3.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤2中对于步骤1获取的原始流量数据，提取其中的TCP流量和UDP流量，维护一个长度固定且大于采样间隔的窗口，并滑动得到多个检测窗口；为了量化每个检测窗口内流量的集中程度和离散程度，本方法对TCP流量和UDP流量分别选取了均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度共计16个统计特征。

4.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤3中对于步骤2中计算得到的多个特征，基于随机森林模型对其重要性进行排序，包括两个步骤：

步骤3.1、使用随机森林模型对检测窗口进行分类；

步骤3.2、根据分类结果计算每个特征对检测结果的重要性。

5.根据权利要求4中所述的LDoS攻击检测方法，其特征在于，步骤3.1中随机森林模型的构造方法为：先有放回地随机选择部分检测窗口，形成决策树的训练集，在决策树划分结点时，从每个训练集中随机选择部分特征，决策树从中选取最优特征作为结点的分裂属性，通过上述步骤建立多棵决策树进行分类，对每棵决策树得出的分类结果使用投票法确定该检测窗口最终预测值。

6.根据权利要求4中所述的LDoS攻击检测方法，其特征在于，步骤3.2中进行特征重要性评估的方法为：根据步骤3.1得到的随机森林模型，对每个特征在随机森林中的每棵决策树上做的贡献求平均值，再进行比较。

7.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤4中根据步骤3中计算得到的特征重要性排序，选择最优特征作为高斯混合模型的输入，对网络中的流量数据进行聚类检测；对于采样得到的符合混合高斯分布的流量数据，需要使用期望最大算法通过迭代的过程得到一组参数，使得这组参数表示的模型最有可能产生现有的流量数据，从而求解得到对应的高斯混合模型；使用该模型对经过特征选择的流量数据进行聚类，得到每个检测窗口对应的聚类标签，其结果包括正常和存在LDoS攻击两种，从而实现对于LDoS攻击的检测；其中使用期望最大算法迭代求解高斯混合模型，包括两个步骤：

步骤4.1、利用对隐藏变量的现有估计值，计算其最大似然估计值；

步骤4.2、将在步骤4.1求得的最大似然估计值进行最大化，来计算高斯混合模型的参数取值，计算得到的参数估计值将被用于下一个迭代的期望计算中。