CN113242211A - 一种高效的软件定义网络DDoS攻击检测方法 - Google Patents

一种高效的软件定义网络DDoS攻击检测方法 Download PDF

Info

Publication number
CN113242211A
CN113242211A CN202110386947.0A CN202110386947A CN113242211A CN 113242211 A CN113242211 A CN 113242211A CN 202110386947 A CN202110386947 A CN 202110386947A CN 113242211 A CN113242211 A CN 113242211A
Authority
CN
China
Prior art keywords
software defined
defined network
model
deep learning
ddos attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110386947.0A
Other languages
English (en)
Other versions
CN113242211B (zh
Inventor
殷永峰
宿庆冉
王轶辰
李秋儒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202110386947.0A priority Critical patent/CN113242211B/zh
Publication of CN113242211A publication Critical patent/CN113242211A/zh
Application granted granted Critical
Publication of CN113242211B publication Critical patent/CN113242211B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种高效的软件定义网络DDoS攻击检测方法,包括:软件定义网络流表部分字段特征提取及训练输入集初步构建;分析软件定义网络流量特性变化情况,组合相关流表项补充输入集;以深度学习模型卷积神经网络CNN作为集成学习的基本分类器,设定该模型的基本结构,替换其激活函数,采用批标准化方法进行训练;采用Stacking方法对卷积神经网络模型进行融合,使用完整数据集对其进行训练,得到其输出后作为输入,传递给元学习器支持向量机SVM进行最终分类。本发明形成基于集成深度学习的软件定义网络DDoS攻击检测方法,有助于高效识别、检测DDoS攻击,提升软件定义网络安全性水平。

Description

一种高效的软件定义网络DDoS攻击检测方法
技术领域
本发明属于网络安全领域,尤其涉及一种高效的软件定义网络DDoS攻击检测方法。
背景技术
随着社会信息化程度不断提升,互联网发展与社会进步已经密不可分。我们在享受互联网发展带来的多种便利,同样也需要面对网络所带来的风险和挑战。目前,网络安全的重要性已经得到了国家重视。
软件定义网络作为下一代网络架构的典型代表,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)是对其安全性威胁最大的网络攻击类型之一。目前软件定义网络对DDoS攻击的相关检测算法存在特征考虑不全,检测准确性不高、难以检测复杂类型攻击、模型泛化能力差的问题,导致软件定义网络安全性处在较低水平。
因此,考虑到深度学习可实现特征自动提取识别的优势,集成学习方法可提升模型综合性能的特点,形成了基于集成深度学习的软件定义网络DDoS攻击检测算法,有助于实现对DDoS攻击的高效准确检测,提升了检测模型的稳定性及泛化能力。
发明内容
为解决上述问题,本发明提出了一种高效的软件定义网络DDoS攻击检测方法,以解决现有技术的不足。
一种高效的软件定义网络DDoS攻击检测方法,包括以下步骤:
步骤1、软件定义网络流表信息自动提取,提取与DDoS攻击检测相关的部分字段作为深度学习模型训练的输入集;
步骤2、分析软件定义网络在受到攻击时的流量特性变化情况,将部分流表项进行组合形成软件定义网络流表信息组合字段,将所述组合字段作为深度学习模型训练的输入集的补充;
步骤3、以深度学习模型卷积神经网络作为集成学习的基本分类器,设定所述深度学习模型的基本结构,替换其激活函数,采用批规范化方法进行训练;
步骤4、采用Stacking方法对卷积神经网络模型进行融合,使用完整数据集对卷积神经网络模型进行训练,得到卷积神经网络模型的输出后作为输入,传递给元学习器支持向量机SVM进行最终分类。
优选的,所述软件定义网络流表信息自动提取的字段包括但不限于该条流表以太网目的地址、源地址、流表数据量、持续时间的字段信息。
优选的,所述软件定义网络流表信息组合字段包括但不限于无匹配流表数量增加速率、随机端口数量增加速率的组合字段信息。
优选的,所述深度学习模型的基本结构设定为典型卷积神经网络模型,包括3层卷积层,2层池化层和2层全连接层。
优选的,所述激活函数为非饱和非线性激活函数。
优选的,所述Stacking方法以深度学习模型作为模型的基本分类器,利用输入集进行训练,并将其输出输入到具有强泛化能力的元学习器支持向量机SVM中进行最终决策分类。
本发明的有益效果:
在软件定义网络对分布式拒绝服务攻击防御效果差的背景下,针对传统机器学习方法特征提取困难,模型泛化能力差等问题,结合深度学习和集成学习技术,形成基于集成深度学习的软件定义网络DDoS攻击检测方法,实现了软件定义网络流量特征的自动提取,有助于高效、准确识别DDoS攻击,提升了软件定义网络对DDoS攻击的应对能力,具有较强的工程实用性。
附图说明
图1为本发明基于集成深度学习的软件定义网络DDoS攻击检测方法流程示意图。
具体实施方式
现结合附图对本发明作进一步详细说明:
本发明的实施例提供了一种高效的软件定义网络DDoS攻击检测方法,包括以下步骤:
步骤1、软件定义网络流表字段信息自动提取,作为深度学习训练的部分输入集,包括该条流表匹配的源IP、目的IP,对应端口、流表数据量、持续时间、流表处理优先级等字段信息等。如表1所示。
表1流表部分字段自动提取
Figure BDA0003015445330000021
Figure BDA0003015445330000031
步骤2、分析软件定义网络在受到攻击时的流量特性变化情况,提取相关流表项进行组合形成软件定义网络流表信息组合字段,得到组合字段作为深度模型训练的补充输入集,包括无匹配流表数量增加速率、随机端口数量增加速率。各组合流表项解释如下:
·无匹配流表数量增加速率(Increase rate of unmatched flow number,Irufn)
计算单位时间内无匹配流表增加的数量,以此指标作为一个检测DDoS攻击的参考特征,其计算公式如下:
Figure BDA0003015445330000032
其中,T表示流表信息采样时间,Num_Unidirectional_Flows表示时间T内采集流表中单向流表的数量。
·随机端口数量增加速率(Increase rate of randomport number,Ircpn)
计算软件定义网络端口增加速率,对无效随机请求进行检测,其计算公式如下:
Figure BDA0003015445330000033
其中,T表示流表信息采样时间,Numt_port表示每个采样周期T内流表对应的不同端口数目。
步骤3、以CNN模型作为Stacking集成方案的基本分类器,设定该模型的基本结构,替换其激活函数(采用非饱和非线性激活函数),采用批标准化方法进行训练,提高模型训练效率;
其中,CNN模型的基本结构设定为3层卷积层,2层池化层,2层全连接层,以非饱和非线性激活函数替换原典型结构中的饱和非线性激活函数。同时对训练数据分批,然后进行归一化和线性变换,即可得到原训练数据的标准化输出,进一步提升模型训练速度。归一化及线性变换公式如下:
Figure BDA0003015445330000041
步骤4、如图1所示,采用Stacking方法对卷积神经网络模型进行融合,以CNN模型作为基本分类器,使用完整数据集对卷积神经网络模型进行训练,得到模型的后验概率,将其作为输入,传递给元学习器支持向量机(Support Vector Machines,SVM)进行最终分类,完成攻击流量识别。
综上所述,本发明在提升软件定义网络安全性研究背景下,针对传统DDoS攻击检测方法存在检测准确率不高、复合攻击类型检测效果差等问题,结合集成深度学习和DDoS攻击检测技术,形成基于集成深度学习的软件定义网络DDoS攻击检测方法,有助于高效识别、检测DDoS攻击,提升软件定义网络安全性水平。
以上所述仅为本发明的较佳实施例而己,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种高效的软件定义网络DDoS攻击检测方法,其特征在于,包括以下步骤:
步骤1、软件定义网络流表信息自动提取,提取与DDoS攻击检测相关的部分字段作为深度学习模型训练的输入集;
步骤2、分析软件定义网络在受到攻击时的流量特性变化情况,将部分流表项进行组合形成软件定义网络流表信息组合字段,将所述组合字段作为深度学习模型训练的输入集的补充;
步骤3、以深度学习模型卷积神经网络作为集成学习的基本分类器,设定所述深度学习模型的基本结构,替换其激活函数,采用批规范化方法进行训练;
步骤4、采用Stacking方法对卷积神经网络模型进行融合,使用完整数据集对卷积神经网络模型进行训练,得到卷积神经网络模型的输出后作为输入,传递给元学习器支持向量机SVM进行最终分类。
2.根据权利要求1所述的一种高效的软件定义网络DDoS攻击检测方法,所述软件定义网络流表信息自动提取的字段包括但不限于该条流表以太网目的地址、源地址、流表数据量、持续时间的字段信息。
3.根据权利要求1所述的一种高效的软件定义网络DDoS攻击检测方法,所述软件定义网络流表信息组合字段包括但不限于无匹配流表数量增加速率、随机端口数量增加速率的组合字段信息。
4.根据权利要求1所述的一种高效的软件定义网络DDoS攻击检测方法,所述深度学习模型的基本结构设定为典型卷积神经网络模型,包括3层卷积层,2层池化层和2层全连接层。
5.根据权利要求1所述的一种高效的软件定义网络DDoS攻击检测方法,所述激活函数为非饱和非线性激活函数。
6.根据权利要求1所述的一种高效的软件定义网络DDoS攻击检测方法,所述Stacking方法以深度学习模型作为模型的基本分类器,利用输入集进行训练,并将其输出输入到具有强泛化能力的元学习器支持向量机SVM中进行最终决策分类。
CN202110386947.0A 2021-04-12 2021-04-12 一种软件定义网络DDoS攻击检测方法 Active CN113242211B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110386947.0A CN113242211B (zh) 2021-04-12 2021-04-12 一种软件定义网络DDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110386947.0A CN113242211B (zh) 2021-04-12 2021-04-12 一种软件定义网络DDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN113242211A true CN113242211A (zh) 2021-08-10
CN113242211B CN113242211B (zh) 2022-10-25

Family

ID=77128115

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110386947.0A Active CN113242211B (zh) 2021-04-12 2021-04-12 一种软件定义网络DDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN113242211B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792794A (zh) * 2024-02-23 2024-03-29 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106357622A (zh) * 2016-08-29 2017-01-25 北京工业大学 基于软件定义网络的网络异常流量检测防御系统
CN108123931A (zh) * 2017-11-29 2018-06-05 浙江工商大学 一种软件定义网络中的DDoS攻击防御装置及方法
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN108833376A (zh) * 2018-05-30 2018-11-16 中国人民解放军战略支援部队信息工程大学 面向软件定义网络的DoS攻击检测方法
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN112261021A (zh) * 2020-10-15 2021-01-22 北京交通大学 软件定义物联网下DDoS攻击检测方法
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106357622A (zh) * 2016-08-29 2017-01-25 北京工业大学 基于软件定义网络的网络异常流量检测防御系统
CN108123931A (zh) * 2017-11-29 2018-06-05 浙江工商大学 一种软件定义网络中的DDoS攻击防御装置及方法
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network
CN108833376A (zh) * 2018-05-30 2018-11-16 中国人民解放军战略支援部队信息工程大学 面向软件定义网络的DoS攻击检测方法
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN112261021A (zh) * 2020-10-15 2021-01-22 北京交通大学 软件定义物联网下DDoS攻击检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792794A (zh) * 2024-02-23 2024-03-29 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统
CN117792794B (zh) * 2024-02-23 2024-04-26 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统

Also Published As

Publication number Publication date
CN113242211B (zh) 2022-10-25

Similar Documents

Publication Publication Date Title
Yuan et al. Detecting phishing scams on ethereum based on transaction records
CN106911669B (zh) 一种基于深度学习的ddos检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
WO2021227322A1 (zh) 一种SDN环境DDoS攻击检测防御方法
CN109951444B (zh) 一种加密匿名网络流量识别方法
Zhu et al. A deep learning approach for network anomaly detection based on AMF-LSTM
CN113364787B (zh) 一种基于并联神经网络的僵尸网络流量检测方法
Yang et al. Research on network traffic identification based on machine learning and deep packet inspection
CN110868404B (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
CN104135385A (zh) Tor匿名通信流量应用分类的方法
Wang et al. Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things
CN113242211B (zh) 一种软件定义网络DDoS攻击检测方法
Han et al. A packet-length-adjustable attention model based on bytes embedding using flow-wgan for smart cybersecurity
CN113901448A (zh) 基于卷积神经网络和轻量级梯度提升机的入侵检测方法
Ding et al. TMG-GAN: Generative Adversarial Networks-Based Imbalanced Learning for Network Intrusion Detection
CN114726802A (zh) 一种基于不同数据维度的网络流量识别方法及装置
CN114398685A (zh) 一种政务数据处理方法、装置、计算机设备及存储介质
Hagar et al. Deep Learning for Improving Attack Detection System Using CSE-CICIDS2018
CN116827666A (zh) 一种基于图注意力网络的恶意网络流量检测方法
Zhang et al. A Intrusion Detection Model Based on Convolutional Neural Network and Feature Selection
He Research on the key technology of network security based on machine learning
Zhao et al. Intrusion detection model of Internet of Things based on LightGBM
Du et al. Fenet: Roles classification of ip addresses using connection patterns
Ma et al. A Multi-perspective Feature Approach to Few-shot Classification of IoT Traffic
CN114528596A (zh) 一种基于深度学习的有向无环图区块链可扩展性增强方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant