CN113378168A - 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 - Google Patents

Abstract

本发明涉及一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法。属于网络信息安全的技术领域。首先利用OpenFlow交换机收集流表信息，从收集的数据中提取6个特征向量作为攻击检测的特征向量，然后应用Renyi熵进行异常流量检测，检测划分为正常、异常两种结果。检测为异常的流量将应用BiGRU(bi‑gated recurrent unit，BiGRU)算法进行攻击检测。本发明采用Renyi熵，包含了多种类型的熵，可以在初检过程中能够应对更多的复杂情况，应用BiGRU模型，解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题，实现了双向传播，使输出层具有了输入序列中每个点的完整过去和未来的信息，训练参数少，收敛时间快，提高了SDN网络中DDoS攻击的检测率。

Description

一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检 测方法

技术领域

本发明涉及一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，属于网络信息安全的范畴。

背景技术

分布式拒绝服务攻击(DDoS)是当前互联网面临的主要威胁之一，如何对DDoS攻击进行快速准确的检测以及有效的防御一直是网络信息安全领域的研究热点。近年来，DDoS攻击愈演愈烈，无论受控主还是攻击对象，都日益呈现出大规模化和多样化的态势。频繁出现的DDoS攻击事件给全社会造成了重大经济损失。面向DDoS攻击的防护技术逐渐得到学术界和工业界的广泛关注，成为网络安全领域的研究热点。

传统网络架构下的DDoS检测与防御工作己处于一个比较成熟的阶段，而SDN作为一个新型的网络架构，关于SDN网络架构的DDoS检测和防御工作还处在一个相对比较薄弱的阶段。SDN的集中控制、高可编程性和自动化等特性可以为DDoS攻击的检测与防御工作创造条件。SDN的主要思想是将网络中的转发与控制平面分离，并将控制平面集中在SDN控制器中，而转发设备，例如OpenFlow交换机，则专注于数据转发。控制平面的集中式设计使控制平面随时掌握全网的信息与状态，提升了控制平面对网络请求的敏捷性、降低了控制平面对设备管理的复杂性。SDN架构主要由数据平面、控制平面和应用平面三个平面和南向和北向两个接口组成。

由于SDN在下一代网络部署过程中的重要性，国内外己经存在较多文献涉及SDN环境下对DDoS攻击的检测或防御。现有方案中存在关于SDN环境下针对服务器的DDoS攻击:基于流量统计、基于行为分析或基于流量分析工具sFlow；同时，近年来出现关于针对控制器的DDoS攻击的方案:基于流量过滤机制、借助支持向量机SVM、无线网络中的控制器安全或是复杂网络环境下的安全控制平面问题。

由于SDN在下一代网络部署过程中的重要性，国内外己经存在较多文献涉及SDN环境下对DDoS攻击的检测或防御。Marwan Ali Albahar提出了一种基于正则化(RNN-SDR)的网络(RNN)递归神经网络模型，用于SDN环境下的入侵检测。Kokila RT等人提出了使用SVM分类算法检测DDoS攻击。ALEroud和Alsmadi使用基于KNN的模型检测SDN中的异常流。Mousavi等人提出了一种基于SDN中流的目的IP地址的熵变化的算法。Tang等人提出了在SDN环境中应用了DNN和门控递归单元递归神经网络(GRU-RNN)进行攻击检测。Ashraf等人提出一种SDN中基于深度学习混合模型的DDoS攻击检测研究，该模型结合了DNN模型和CNN神经网络模型的特点，减少了神经元的个数和网络参数，防止了CNN算法中参数过多导致的过拟合问题，虽然提高了DDoS检测的准确率，但是训练时间过长。

而GRU神经网络，解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题。GRU模型结构将SLTM的忘记门和输入门合成为单一的更新门，由输入门和更新门两个门控单元构成。在检测模型中应用BiGRU模型，又叫双向GRU神经网络，GRU的一个变体，实现了双向传播，在正向传播的基础上再进行一次反向传播，使输出层具有了输入序列中每个点的完整过去和未来的信息。相比传统的RNN模型和单向的GRU模型，即解决梯度消失的问题，又使得训练参数少，收敛时间快，不容易过度拟合，它的输出取决于前向状态和后向状态的双重影响，解决了单向GRU存在的问题，使得最后的输出结果更加准确。

综上所述，本文提出一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，具有更高的检测准确率、更快的响应时间及有较好的综合检测能力。

发明内容

本发明要解决的技术问题是以较短的时间获取尽可能高的DDoS攻击检测准确率，提出一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，并引入SVM算法和BP神经网络算法对比实验，突出基于Renyi熵+BiGRU算法实现SDN环境下的DDoS攻击检测模型在准确率等评价指标的优越性。

基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方案，主要由5个模块组成：分别是数据收集模块、特征提取模块、模型训练模块、攻击检测模块、模型评价模块组成。

本发明采用的技术方案是：首先收集流表信息数据，然后进行特征提取及数据预处理，进一步地训练BiGRU模型，最后进行异常检测判断和攻击检测判断。

具体步骤如下：

(1)收集流表信息数据。流表数据包括正常流量数据和异常流量数据，利用Python脚本实时生成流量数据，正常流量训练样本由源主机进行正常的网络访问产生，而对于异常流量的产生选用DDoS攻击工具Hping3或者其他工具产生。

(2)特征提取及数据预处理。对步骤1)采集到的数据进行预处理，对特征所占权重较大的计算时，对数据进行归一化处理，若输入时算法数据类型不符，进行标准化处理。从步骤1)流表信息中提取以下6个特征字段：流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H_(Sip)、源端口熵H_(Sport)、目的端口熵H_(Dport)。

(3)训练BiGRU模型。根据步骤2)特征向量，对样本进行反复的训练，寻找最优模型参数，提高检测的准确率。

(4)异常检测判断。使用Renyi熵进行异常检测。通过计算Renyi熵值初步发现网络中的可疑流量，将检测结果分为正常状态和异常状态。

(5)攻击检测判断。利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认，第一级检测模型检测为异常状态的网络流量数据送入第二级检测模型中进行再次检测。

所述步骤1)收集流表信息数据,具体包括如下步骤：

控制器定期向Open Flow交换机发送流表请求指令ofp_flow_status_request，交换机收到信息并回复。交换机中流表项执行sudo ovs-ofctl dump-flows s1>atxt命令后，读取重定向文件进行流表收集。

所述步骤2)特征提取及数据预处理具体包括：

Renyi熵-BiGRU混合模型中使用两种检测特征，分别是基于Renyi嫡的统计特征和基于网络连接属性的统计特征。其中基于Renyi嫡的统计特征作为第一级检测模型的检测特征，基于网络连接属性的统计特征作为第二级检测模型BiGRU的检测特征，第二级检测特征为：源地址熵H_(Sip)、源端口熵H_(Sport)、目的端口熵H_(Dport)、流包数均值APF、流表平均比特数ABF、流表项速率FR。计算公式如下：

流表平均比特数ABF：

其中，pcount表示数据包数、bcount表示比特数。

流包数均值APF：

其中，pcount表示数据包数，N表示不同流表项总数。

流表项速率FR：

其中，N₁和N₂分别表示目的地址与源IP地址的流表项数目，T表示交换机进行流表条目提取的周期。

源IP地址熵：

其中，定义不用源地址集合为{Sip_n|n＝1,2,…，N}，N维矩阵Sip[N]：Sip[n]表示源地址为Sip_n的权重。

目的端口熵：

其中，满足不同目的端口集合为{Dport_l|l＝1,2,…，L}，定义L维矩阵Dp[L]：Dp[l]为目的端口Dp_l的权重。

源端口熵：

其中，满足不同源端口集合为{Sport_m|m＝1,2,…，M}，定义M维矩阵Sp[M]：Sp[m]为源端口为Sp_m的权重。

所述步骤3)训练BiGRU模型，具体步骤如下：

步骤3.1调整训练样本集中导致偏差的样本，修改学习过程中的参数来应对新的攻击，提高检测的准确性；

步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数；

步骤3.3设置隐藏层激活函数为ReLU，输出层选取Softmax函数作为激活函数；

步骤3.4使用Dropout算法进行正则化，最大化提高模型的泛化能力，减小过拟合。Dropout率设置为04即40％的神经元失活，迭代过程中随机保留一部分神经元进行前向、反向传播，其余的神经元暂时从网络中舍去，将某一层的输入单元以一定的概率随机设为0，打破该层训练数据中的偶然相关性；

所述步骤4)使用Renyi熵进行异常检测，具体还包括：

Renyi熵特征具体为：基于源IP的Renyi熵特征、基于目的IP的Renyi熵特征、基于源端口的Renyi熵特征以及基于目的端口的Renyi熵特征。根据时间段的不同、α阶数选取、或者数据包的个数确定Window(窗口)的大小和阈值。计算公式如下：

p_i∈{p_x1,p_x2,…,p_xn}，(p_i)是随机变量x_i的概率，α阶Renyi熵为:

所述步骤5)利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行攻击检测判断。具体还包括：

BiGRU包含更新门和重置门，双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中，使输出层将具有输入序列中每个点的完整过去和将来的信息。根据步骤2)提取的特征向量，应用如下计算公式进行检测：

z_t＝σ(W_z·[h_t-1,x_t])

r_t＝σ(W_r·[h_t-1,x_t]

其中，r表示重置门；z表示更新门；h_t-1表示前一时刻的输出状态；

表示当前时刻的隐状态信息；ht表示当前时刻的输出值；σ表示sigmoid函数；*表示向量对应元素相乘的运算；W,W_Z,W_r是权重矩阵。

本发明的有益效果在于：

(1)采用循环Dropout正则化降低过度拟合，使用Adam优化算法代替传统的随机梯度下降算法，实现了BiGRU算法的优化。

(2)使用Renyi熵+BiGRU检测模型，相比SVM、BP检测模型准确率高，误报率低，计算复杂度低，可以在较短时间内完成检测，能够有效的提高DDoS攻击检测的准确性。

(3)应用BiGRU模型，解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题；实现了双向传播，既有正向传播又有反向传播，在正向传播的基础上再进行一次反向传播，使输出层具有了输入序列中每个点的完整过去和未来的信息，使得训练参数少，收敛时间快，输出结果更加准确。

(5)Renyi熵包含了多种类型的熵，可以在检测过程中应对更多的情况。当检测到正常流量事件和检测到攻击流量事件的概率不停变化，仅使用香农熵或者最小熵无法更好的描述正常流量和攻击流量的分布情况，而这一过程中，存在某一阶数的Renyi熵使得正常流量和攻击流量之间的分布差距最大，从而体现出Renyi熵在复杂情况检测上具有重大意义。

附图说明

图1本发明工作流程图；

图2本发明SDN网络拓扑图；

图3本发明BiGRU检测模训练流程图；

图4本发明ReLU激活函数图；

图5本发明softmax激活函数图；

图6本发明目的IP Renyi信息嫡变化图；

图7本发明目的端口Renyi信息嫡变化图；

图8本发明源端口Renyi信息嫡变化图；

图9本发明源IP Renyi信息嫡变化图；

图10本发明Renyi和BiGRU检测模型整体架构图；

图11本发明SVM、BPNN、BiGRU准确率比较图；

图12本发明BiGRU单一模型和Renyi+BiGRU混合模型比较图。

具体实施方式

下面结合附图和具体实施例，对本发明作进一步说明。

实施例1：如图1所示，一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，首先收集流表信息数据，然后进行特征提取及数据预处理,进一步地训练BiGRU模型，最后进行异常检测判断和攻击检测判断。

具体步骤为：

(1)收集流表信息数据。流表数据包括正常流量数据和异常流量数据，利用Python脚本实时生成流量数据，正常流量训练样本由源主机进行正常的网络访问产生，而对于异常流量的产生选用DDoS攻击工具Hping3或者其他工具产生。

(2)特征提取及数据预处理。对步骤1)采集到的数据进行预处理，对特征所占权重较大的计算时，对数据进行归一化处理，若输入时算法数据类型不符，进行标准化处理。从步骤1)流表信息中提取以下6个特征字段：流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H_(Sip)、源端口熵H_(Sport)、目的端口熵H_(Dport)。

(3)训练BiGRU模型。根据步骤2)特征向量，对样本进行反复的训练，寻找最优模型参数，提高检测的准确率。具体步骤如下：

步骤3.1调整训练样本集中导致偏差的样本，修改学习过程中的参数来应对新的攻击，提高检测的准确性；

步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数；

步骤3.3设置隐藏层激活函数为ReLU，输出层选取Softmax函数作为激活函数；

步骤3.4使用Dropout算法进行正则化，最大化提高模型的泛化能力，减小过拟合。Dropout率设置为04即40％的神经元失活，迭代过程中随机保留一部分神经元进行前向、反向传播，其余的神经元暂时从网络中舍去，将某一层的输入单元以一定的概率随机设为0，打破该层训练数据中的偶然相关性；

(4)异常检测判断。使用Renyi熵进行异常检测。通过计算Renyi熵值初步发现网络中的可疑流量，将检测结果分为正常状态和异常状态。具体还包括：

Renyi熵特征具体为：基于源IP的Renyi熵特征、基于目的IP的Renyi熵特征、基于源端口的Renyi熵特征以及基于目的端口的Renyi熵特征。根据时间段的不同、α阶数选取、或者数据包的个数确定Window(窗口)的大小和阈值。计算公式如下：

p_i∈{p_x1,p_x2,…,p_xn}，(p_i)是随机变量x_i的概率，α阶Renyi熵为:

(5)攻击检测判断。利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认，第一级检测模型检测为正常状态的网络流量数据送入第二级检测模型中进行再次检测。具体还包括：

BiGRU包含更新门和重置门，双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中，使输出层将具有输入序列中每个点的完整过去和将来的信息。根据步骤2)提取的特征向量，应用如下计算公式进行检测：

x_t＝σ(W_z·[h_t-1,x_t])

r_t＝σ(W_r·[h_t-1，x_t]

其中，r表示重置门；z表示更新门；h_t-1表示前一时刻的输出状态；

表示当前时刻的隐状态信息；ht表示当前时刻的输出值；σ表示sigmoid函数；*表示向量对应元素相乘的运算；W,W_Z,W_r是权重矩阵。

实施例2：本实施例中采用如实施例1所示的方法进行SDN环境下的DDoS攻击检测，具体实施步骤如下：

利用Mininet仿真平台,OpenvSwitch交换机和Floodlight控制器搭建SDN仿真环境，SDN网络拓扑模型图如图2所示。

使用TensorFlow开源深度学习框完成BiGRU检测模型训练，训练流程图如图3所示，训练中使用激活函数和损失函数进行优化，函数图分别为图4和图5所示。

将攻击检测模块部署在SDN架构中的应用层，然后模拟正常的网络背景流量和DDoS攻击流量进行检测，正常流量以及DDoS异常流量的Renyi熵随时间变化曲线图如图6、图7、图8、图9所示，检测模型整体架构图如图10所示。

为了证明BiGRU检测模型的优越性，设置对比实验，将基于BiGRU算法得到的结果与其他2种算法(即BP神经网络、SVM)进行比较，在两种模型的训练数据和测试数据都相同的情况下进行攻击检测，通过实验结果来证实BiGRU检测模型的精度更高。图11为三种攻击诊断模型，在针对不同攻击比例相同的数据样本下5次试验的检测准确率。

为了证明基于Renyi熵和BiGRU混合的检测模型进行检测的准确率要高于只基于BiGRU的检测，还设置了第二组对比试验，进行5次对比实验，每次实验都对相同的流量数据，进行两种实验，第一种是只使用基于BiGRU的检测模块对流量进行检测，而第2种试验利用基于Renyi熵初检模块进行初检和基于BiGRU的检测模块进行检测.检测得到的准确率结果如图12所示。

通过两组对比试验，结果表明，基于Renyi熵和BiGRU的检测模型，提高了检测准确率，有较好的综合检测能力。

上面结合附图对本发明的具体实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims (6)

1.一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：具体步骤为：

1)收集流表信息数据：流表数据包括正常流量数据和异常流量数据，利用Python脚本实时生成流量数据，正常流量训练样本由源主机进行正常的网络访问产生，而对于异常流量的产生选用DDoS攻击工具Hping3产生；

2)特征提取及数据预处理：对步骤1)采集到的数据进行预处理，特征所占权重较大的计算时，对数据进行归一化处理，输入算法数据类型不符的，进行标准化处理，从步骤1)流表信息中提取以下6个特征字段：流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H_(Sip)、源端口熵H_(Sport)、目的端口熵H_(Dport)；

3)训练BiGRU模型：根据步骤2)特征向量，对样本进行反复的训练，寻找最优模型参数，提高检测的准确率；

4)异常检测判断：使用Renyi熵进行异常检测，通过计算Renyi熵值初步发现网络中的可疑流量，将检测结果分为正常状态和异常状态；

5)攻击检测判断：利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认，第一级检测模型检测为异常状态的网络流量数据送入第二级检测模型中进行再次检测。

2.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：所述步骤1)收集的流表信息数据的具体包括如下步骤：

控制器定期向OpenFlow交换机发送流表请求指令ofp_flow_status_request，交换机收到信息并回复，交换机中流表项执行sudoovs-ofctldump-flowss1>a.txt命令后，读取重定向文件进行流表收集。

3.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：所述步骤2)特征提取及数据预处理的具体步骤为包括：Renyi熵-BiGRU混合模型中使用两种检测特征，分别是基于Renyi嫡的统计特征和基于网络连接属性的统计特征，其中基于Renyi嫡的统计特征作为第一级检测模型的检测特征；基于网络连接属性的统计特征作为第二级检测模型BiGRU的检测特征，第二级检测特征为：源地址熵H_(Sip)、源端口熵H_(Sport)、目的端口熵H_(Dport)、流包数均值APF、流表平均比特数ABF、流表项速率FR，计算公式如下：

流表平均比特数ABF：

其中，pcount表示数据包数、bcount表示比特数；

流包数均值APF：

其中，pcount表示数据包数，N表示不同流表项总数；

流表项速率FR：

其中，N₁和N₂分别表示目的地址与源IP地址的流表项数目，T表示交换机进行流表条目提取的周期；

源IP地址熵：

其中，定义不用源地址集合为{Sip_n|n＝1,2,…，N}，N维矩阵Sip[N]：Sip[n]表示源地址为Sip_n的权重；

目的端口熵：

其中，满足不同目的端口集合为{Dport_l|l＝1,2,…，L}，定义L维矩阵Dp[L]：Dp[l]为目的端口Dp_l的权重；

源端口熵：

其中，满足不同源端口集合为{Sport_m|m＝1,2,…，M}，定义M维矩阵Sp[M]：Sp[m]为源端口为Sp_m的权重。

4.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：所述步骤3)训练BiGRU模型的具体步骤如下：

步骤3.1调整训练样本集中导致偏差的样本，修改学习过程中的参数来应对新的攻击，提高检测的准确性；

步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数；

步骤3.3设置隐藏层激活函数为ReLU，输出层选取Softmax函数作为激活函数；

步骤3.4使用Dropout算法进行正则化，最大化提高模型的泛化能力，减小过拟合，Dropout率设置为0.4即40％的神经元失活，迭代过程中随机保留一部分神经元进行前向、反向传播，其余的神经元暂时从网络中舍去，将某一层的输入单元以一定的概率随机设为0，打破该层训练数据中的偶然相关性。

5.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：所述步骤4)使用Renyi熵进行异常检测的具体步骤包括：

Renyi熵特征具体为：基于源IP的Renyi熵特征、基于目的IP的Renyi熵特征、基于源端口的Renyi熵特征以及基于目的端口的Renyi熵特征，根据时间段的不同、α阶数选取、或者数据包的个数确定Window的大小和阈值，计算公式如下：

p_i∈{p_x1,p_x2,…,p_xn}，p_i是随机变量x_i的概率，α阶Renyi熵为:

lim_α→∞H_x(α)＝min(-)log₂p_i＝-max(log₂(p_i)) ③。

6.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法，其特征在于：所述步骤5)利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行攻击检测判断的具体步骤包括：

BiGRU包含更新门和重置门，双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中，使输出层将具有输入序列中每个点的完整过去和将来的信息，根据步骤2)提取的特征向量，应用如下计算公式进行检测：

z_t＝σ(W_Z·[h_t-1,x_t])

r_t＝σ(W_r·[h_t-1,x_t]

其中，r表示重置门；z表示更新门；h_t-1表示前一时刻的输出状态；

表示当前时刻的隐状态信息；ht表示当前时刻的输出值；σ表示sigmoid函数；*表示向量对应元素相乘的运算；W,W_Z,W_r是权重矩阵。

Images