CN113378168A - 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 - Google Patents
一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN113378168A CN113378168A CN202110754028.4A CN202110754028A CN113378168A CN 113378168 A CN113378168 A CN 113378168A CN 202110754028 A CN202110754028 A CN 202110754028A CN 113378168 A CN113378168 A CN 113378168A
- Authority
- CN
- China
- Prior art keywords
- detection
- entropy
- bigru
- flow
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 115
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 27
- 230000002159 abnormal effect Effects 0.000 claims abstract description 20
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims abstract description 11
- 239000013598 vector Substances 0.000 claims abstract description 11
- 230000006870 function Effects 0.000 claims description 17
- 210000002569 neuron Anatomy 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 9
- 239000011159 matrix material Substances 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000005457 optimization Methods 0.000 claims description 6
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims 1
- 230000008034 disappearance Effects 0.000 abstract 1
- 238000004880 explosion Methods 0.000 abstract 1
- 238000012360 testing method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012706 support-vector machine Methods 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 5
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 101000709114 Homo sapiens SAFB-like transcription modulator Proteins 0.000 description 1
- 102100032664 SAFB-like transcription modulator Human genes 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Computer Security & Cryptography (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法。属于网络信息安全的技术领域。首先利用OpenFlow交换机收集流表信息,从收集的数据中提取6个特征向量作为攻击检测的特征向量,然后应用Renyi熵进行异常流量检测,检测划分为正常、异常两种结果。检测为异常的流量将应用BiGRU(bi‑gated recurrent unit,BiGRU)算法进行攻击检测。本发明采用Renyi熵,包含了多种类型的熵,可以在初检过程中能够应对更多的复杂情况,应用BiGRU模型,解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题,实现了双向传播,使输出层具有了输入序列中每个点的完整过去和未来的信息,训练参数少,收敛时间快,提高了SDN网络中DDoS攻击的检测率。
Description
技术领域
本发明涉及一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,属于网络信息安全的范畴。
背景技术
分布式拒绝服务攻击(DDoS)是当前互联网面临的主要威胁之一,如何对DDoS攻击进行快速准确的检测以及有效的防御一直是网络信息安全领域的研究热点。近年来,DDoS攻击愈演愈烈,无论受控主还是攻击对象,都日益呈现出大规模化和多样化的态势。频繁出现的DDoS攻击事件给全社会造成了重大经济损失。面向DDoS攻击的防护技术逐渐得到学术界和工业界的广泛关注,成为网络安全领域的研究热点。
传统网络架构下的DDoS检测与防御工作己处于一个比较成熟的阶段,而SDN作为一个新型的网络架构,关于SDN网络架构的DDoS检测和防御工作还处在一个相对比较薄弱的阶段。SDN的集中控制、高可编程性和自动化等特性可以为DDoS攻击的检测与防御工作创造条件。SDN的主要思想是将网络中的转发与控制平面分离,并将控制平面集中在SDN控制器中,而转发设备,例如OpenFlow交换机,则专注于数据转发。控制平面的集中式设计使控制平面随时掌握全网的信息与状态,提升了控制平面对网络请求的敏捷性、降低了控制平面对设备管理的复杂性。SDN架构主要由数据平面、控制平面和应用平面三个平面和南向和北向两个接口组成。
由于SDN在下一代网络部署过程中的重要性,国内外己经存在较多文献涉及SDN环境下对DDoS攻击的检测或防御。现有方案中存在关于SDN环境下针对服务器的DDoS攻击:基于流量统计、基于行为分析或基于流量分析工具sFlow;同时,近年来出现关于针对控制器的DDoS攻击的方案:基于流量过滤机制、借助支持向量机SVM、无线网络中的控制器安全或是复杂网络环境下的安全控制平面问题。
由于SDN在下一代网络部署过程中的重要性,国内外己经存在较多文献涉及SDN环境下对DDoS攻击的检测或防御。Marwan Ali Albahar提出了一种基于正则化(RNN-SDR)的网络(RNN)递归神经网络模型,用于SDN环境下的入侵检测。Kokila RT等人提出了使用SVM分类算法检测DDoS攻击。ALEroud和Alsmadi使用基于KNN的模型检测SDN中的异常流。Mousavi等人提出了一种基于SDN中流的目的IP地址的熵变化的算法。Tang等人提出了在SDN环境中应用了DNN和门控递归单元递归神经网络(GRU-RNN)进行攻击检测。Ashraf等人提出一种SDN中基于深度学习混合模型的DDoS攻击检测研究,该模型结合了DNN模型和CNN神经网络模型的特点,减少了神经元的个数和网络参数,防止了CNN算法中参数过多导致的过拟合问题,虽然提高了DDoS检测的准确率,但是训练时间过长。
而GRU神经网络,解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题。GRU模型结构将SLTM的忘记门和输入门合成为单一的更新门,由输入门和更新门两个门控单元构成。在检测模型中应用BiGRU模型,又叫双向GRU神经网络,GRU的一个变体,实现了双向传播,在正向传播的基础上再进行一次反向传播,使输出层具有了输入序列中每个点的完整过去和未来的信息。相比传统的RNN模型和单向的GRU模型,即解决梯度消失的问题,又使得训练参数少,收敛时间快,不容易过度拟合,它的输出取决于前向状态和后向状态的双重影响,解决了单向GRU存在的问题,使得最后的输出结果更加准确。
综上所述,本文提出一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,具有更高的检测准确率、更快的响应时间及有较好的综合检测能力。
发明内容
本发明要解决的技术问题是以较短的时间获取尽可能高的DDoS攻击检测准确率,提出一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,并引入SVM算法和BP神经网络算法对比实验,突出基于Renyi熵+BiGRU算法实现SDN环境下的DDoS攻击检测模型在准确率等评价指标的优越性。
基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方案,主要由5个模块组成:分别是数据收集模块、特征提取模块、模型训练模块、攻击检测模块、模型评价模块组成。
本发明采用的技术方案是:首先收集流表信息数据,然后进行特征提取及数据预处理,进一步地训练BiGRU模型,最后进行异常检测判断和攻击检测判断。
具体步骤如下:
(1)收集流表信息数据。流表数据包括正常流量数据和异常流量数据,利用Python脚本实时生成流量数据,正常流量训练样本由源主机进行正常的网络访问产生,而对于异常流量的产生选用DDoS攻击工具Hping3或者其他工具产生。
(2)特征提取及数据预处理。对步骤1)采集到的数据进行预处理,对特征所占权重较大的计算时,对数据进行归一化处理,若输入时算法数据类型不符,进行标准化处理。从步骤1)流表信息中提取以下6个特征字段:流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H(Sip)、源端口熵H(Sport)、目的端口熵H(Dport)。
(3)训练BiGRU模型。根据步骤2)特征向量,对样本进行反复的训练,寻找最优模型参数,提高检测的准确率。
(4)异常检测判断。使用Renyi熵进行异常检测。通过计算Renyi熵值初步发现网络中的可疑流量,将检测结果分为正常状态和异常状态。
(5)攻击检测判断。利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认,第一级检测模型检测为异常状态的网络流量数据送入第二级检测模型中进行再次检测。
所述步骤1)收集流表信息数据,具体包括如下步骤:
控制器定期向Open Flow交换机发送流表请求指令ofp_flow_status_request,交换机收到信息并回复。交换机中流表项执行sudo ovs-ofctl dump-flows s1>atxt命令后,读取重定向文件进行流表收集。
所述步骤2)特征提取及数据预处理具体包括:
Renyi熵-BiGRU混合模型中使用两种检测特征,分别是基于Renyi嫡的统计特征和基于网络连接属性的统计特征。其中基于Renyi嫡的统计特征作为第一级检测模型的检测特征,基于网络连接属性的统计特征作为第二级检测模型BiGRU的检测特征,第二级检测特征为:源地址熵H(Sip)、源端口熵H(Sport)、目的端口熵H(Dport)、流包数均值APF、流表平均比特数ABF、流表项速率FR。计算公式如下:
流表平均比特数ABF:
其中,pcount表示数据包数、bcount表示比特数。
流包数均值APF:
其中,pcount表示数据包数,N表示不同流表项总数。
流表项速率FR:
其中,N1和N2分别表示目的地址与源IP地址的流表项数目,T表示交换机进行流表条目提取的周期。
源IP地址熵:
其中,定义不用源地址集合为{Sipn|n=1,2,…,N},N维矩阵Sip[N]:Sip[n]表示源地址为Sipn的权重。
目的端口熵:
其中,满足不同目的端口集合为{Dportl|l=1,2,…,L},定义L维矩阵Dp[L]:Dp[l]为目的端口Dpl的权重。
源端口熵:
其中,满足不同源端口集合为{Sportm|m=1,2,…,M},定义M维矩阵Sp[M]:Sp[m]为源端口为Spm的权重。
所述步骤3)训练BiGRU模型,具体步骤如下:
步骤3.1调整训练样本集中导致偏差的样本,修改学习过程中的参数来应对新的攻击,提高检测的准确性;
步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数;
步骤3.3设置隐藏层激活函数为ReLU,输出层选取Softmax函数作为激活函数;
步骤3.4使用Dropout算法进行正则化,最大化提高模型的泛化能力,减小过拟合。Dropout率设置为04即40%的神经元失活,迭代过程中随机保留一部分神经元进行前向、反向传播,其余的神经元暂时从网络中舍去,将某一层的输入单元以一定的概率随机设为0,打破该层训练数据中的偶然相关性;
所述步骤4)使用Renyi熵进行异常检测,具体还包括:
Renyi熵特征具体为:基于源IP的Renyi熵特征、基于目的IP的Renyi熵特征、基于源端口的Renyi熵特征以及基于目的端口的Renyi熵特征。根据时间段的不同、α阶数选取、或者数据包的个数确定Window(窗口)的大小和阈值。计算公式如下:
pi∈{px1,px2,…,pxn},(pi)是随机变量xi的概率,α阶Renyi熵为:
所述步骤5)利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行攻击检测判断。具体还包括:
BiGRU包含更新门和重置门,双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中,使输出层将具有输入序列中每个点的完整过去和将来的信息。根据步骤2)提取的特征向量,应用如下计算公式进行检测:
zt=σ(Wz·[ht-1,xt])
rt=σ(Wr·[ht-1,xt]
其中,r表示重置门;z表示更新门;ht-1表示前一时刻的输出状态;表示当前时刻的隐状态信息;ht表示当前时刻的输出值;σ表示sigmoid函数;*表示向量对应元素相乘的运算;W,WZ,Wr是权重矩阵。
本发明的有益效果在于:
(1)采用循环Dropout正则化降低过度拟合,使用Adam优化算法代替传统的随机梯度下降算法,实现了BiGRU算法的优化。
(2)使用Renyi熵+BiGRU检测模型,相比SVM、BP检测模型准确率高,误报率低,计算复杂度低,可以在较短时间内完成检测,能够有效的提高DDoS攻击检测的准确性。
(3)应用BiGRU模型,解决了传统RNN随着序列长度增加出现的梯度消失或梯度爆炸的问题;实现了双向传播,既有正向传播又有反向传播,在正向传播的基础上再进行一次反向传播,使输出层具有了输入序列中每个点的完整过去和未来的信息,使得训练参数少,收敛时间快,输出结果更加准确。
(5)Renyi熵包含了多种类型的熵,可以在检测过程中应对更多的情况。当检测到正常流量事件和检测到攻击流量事件的概率不停变化,仅使用香农熵或者最小熵无法更好的描述正常流量和攻击流量的分布情况,而这一过程中,存在某一阶数的Renyi熵使得正常流量和攻击流量之间的分布差距最大,从而体现出Renyi熵在复杂情况检测上具有重大意义。
附图说明
图1本发明工作流程图;
图2本发明SDN网络拓扑图;
图3本发明BiGRU检测模训练流程图;
图4本发明ReLU激活函数图;
图5本发明softmax激活函数图;
图6本发明目的IP Renyi信息嫡变化图;
图7本发明目的端口Renyi信息嫡变化图;
图8本发明源端口Renyi信息嫡变化图;
图9本发明源IP Renyi信息嫡变化图;
图10本发明Renyi和BiGRU检测模型整体架构图;
图11本发明SVM、BPNN、BiGRU准确率比较图;
图12本发明BiGRU单一模型和Renyi+BiGRU混合模型比较图。
具体实施方式
下面结合附图和具体实施例,对本发明作进一步说明。
实施例1:如图1所示,一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,首先收集流表信息数据,然后进行特征提取及数据预处理,进一步地训练BiGRU模型,最后进行异常检测判断和攻击检测判断。
具体步骤为:
(1)收集流表信息数据。流表数据包括正常流量数据和异常流量数据,利用Python脚本实时生成流量数据,正常流量训练样本由源主机进行正常的网络访问产生,而对于异常流量的产生选用DDoS攻击工具Hping3或者其他工具产生。
(2)特征提取及数据预处理。对步骤1)采集到的数据进行预处理,对特征所占权重较大的计算时,对数据进行归一化处理,若输入时算法数据类型不符,进行标准化处理。从步骤1)流表信息中提取以下6个特征字段:流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H(Sip)、源端口熵H(Sport)、目的端口熵H(Dport)。
(3)训练BiGRU模型。根据步骤2)特征向量,对样本进行反复的训练,寻找最优模型参数,提高检测的准确率。具体步骤如下:
步骤3.1调整训练样本集中导致偏差的样本,修改学习过程中的参数来应对新的攻击,提高检测的准确性;
步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数;
步骤3.3设置隐藏层激活函数为ReLU,输出层选取Softmax函数作为激活函数;
步骤3.4使用Dropout算法进行正则化,最大化提高模型的泛化能力,减小过拟合。Dropout率设置为04即40%的神经元失活,迭代过程中随机保留一部分神经元进行前向、反向传播,其余的神经元暂时从网络中舍去,将某一层的输入单元以一定的概率随机设为0,打破该层训练数据中的偶然相关性;
(4)异常检测判断。使用Renyi熵进行异常检测。通过计算Renyi熵值初步发现网络中的可疑流量,将检测结果分为正常状态和异常状态。具体还包括:
Renyi熵特征具体为:基于源IP的Renyi熵特征、基于目的IP的Renyi熵特征、基于源端口的Renyi熵特征以及基于目的端口的Renyi熵特征。根据时间段的不同、α阶数选取、或者数据包的个数确定Window(窗口)的大小和阈值。计算公式如下:
pi∈{px1,px2,…,pxn},(pi)是随机变量xi的概率,α阶Renyi熵为:
(5)攻击检测判断。利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认,第一级检测模型检测为正常状态的网络流量数据送入第二级检测模型中进行再次检测。具体还包括:
BiGRU包含更新门和重置门,双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中,使输出层将具有输入序列中每个点的完整过去和将来的信息。根据步骤2)提取的特征向量,应用如下计算公式进行检测:
xt=σ(Wz·[ht-1,xt])
rt=σ(Wr·[ht-1,xt]
其中,r表示重置门;z表示更新门;ht-1表示前一时刻的输出状态;表示当前时刻的隐状态信息;ht表示当前时刻的输出值;σ表示sigmoid函数;*表示向量对应元素相乘的运算;W,WZ,Wr是权重矩阵。
实施例2:本实施例中采用如实施例1所示的方法进行SDN环境下的DDoS攻击检测,具体实施步骤如下:
利用Mininet仿真平台,OpenvSwitch交换机和Floodlight控制器搭建SDN仿真环境,SDN网络拓扑模型图如图2所示。
使用TensorFlow开源深度学习框完成BiGRU检测模型训练,训练流程图如图3所示,训练中使用激活函数和损失函数进行优化,函数图分别为图4和图5所示。
将攻击检测模块部署在SDN架构中的应用层,然后模拟正常的网络背景流量和DDoS攻击流量进行检测,正常流量以及DDoS异常流量的Renyi熵随时间变化曲线图如图6、图7、图8、图9所示,检测模型整体架构图如图10所示。
为了证明BiGRU检测模型的优越性,设置对比实验,将基于BiGRU算法得到的结果与其他2种算法(即BP神经网络、SVM)进行比较,在两种模型的训练数据和测试数据都相同的情况下进行攻击检测,通过实验结果来证实BiGRU检测模型的精度更高。图11为三种攻击诊断模型,在针对不同攻击比例相同的数据样本下5次试验的检测准确率。
为了证明基于Renyi熵和BiGRU混合的检测模型进行检测的准确率要高于只基于BiGRU的检测,还设置了第二组对比试验,进行5次对比实验,每次实验都对相同的流量数据,进行两种实验,第一种是只使用基于BiGRU的检测模块对流量进行检测,而第2种试验利用基于Renyi熵初检模块进行初检和基于BiGRU的检测模块进行检测.检测得到的准确率结果如图12所示。
通过两组对比试验,结果表明,基于Renyi熵和BiGRU的检测模型,提高了检测准确率,有较好的综合检测能力。
上面结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (6)
1.一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,其特征在于:具体步骤为:
1)收集流表信息数据:流表数据包括正常流量数据和异常流量数据,利用Python脚本实时生成流量数据,正常流量训练样本由源主机进行正常的网络访问产生,而对于异常流量的产生选用DDoS攻击工具Hping3产生;
2)特征提取及数据预处理:对步骤1)采集到的数据进行预处理,特征所占权重较大的计算时,对数据进行归一化处理,输入算法数据类型不符的,进行标准化处理,从步骤1)流表信息中提取以下6个特征字段:流包数均值APF、流表平均比特数ABF、流表项速率FR、源地址熵H(Sip)、源端口熵H(Sport)、目的端口熵H(Dport);
3)训练BiGRU模型:根据步骤2)特征向量,对样本进行反复的训练,寻找最优模型参数,提高检测的准确率;
4)异常检测判断:使用Renyi熵进行异常检测,通过计算Renyi熵值初步发现网络中的可疑流量,将检测结果分为正常状态和异常状态;
5)攻击检测判断:利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行进一步确认,第一级检测模型检测为异常状态的网络流量数据送入第二级检测模型中进行再次检测。
2.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,其特征在于:所述步骤1)收集的流表信息数据的具体包括如下步骤:
控制器定期向OpenFlow交换机发送流表请求指令ofp_flow_status_request,交换机收到信息并回复,交换机中流表项执行sudoovs-ofctldump-flowss1>a.txt命令后,读取重定向文件进行流表收集。
3.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,其特征在于:所述步骤2)特征提取及数据预处理的具体步骤为包括:Renyi熵-BiGRU混合模型中使用两种检测特征,分别是基于Renyi嫡的统计特征和基于网络连接属性的统计特征,其中基于Renyi嫡的统计特征作为第一级检测模型的检测特征;基于网络连接属性的统计特征作为第二级检测模型BiGRU的检测特征,第二级检测特征为:源地址熵H(Sip)、源端口熵H(Sport)、目的端口熵H(Dport)、流包数均值APF、流表平均比特数ABF、流表项速率FR,计算公式如下:
流表平均比特数ABF:
其中,pcount表示数据包数、bcount表示比特数;
流包数均值APF:
其中,pcount表示数据包数,N表示不同流表项总数;
流表项速率FR:
其中,N1和N2分别表示目的地址与源IP地址的流表项数目,T表示交换机进行流表条目提取的周期;
源IP地址熵:
其中,定义不用源地址集合为{Sipn|n=1,2,…,N},N维矩阵Sip[N]:Sip[n]表示源地址为Sipn的权重;
目的端口熵:
其中,满足不同目的端口集合为{Dportl|l=1,2,…,L},定义L维矩阵Dp[L]:Dp[l]为目的端口Dpl的权重;
源端口熵:
其中,满足不同源端口集合为{Sportm|m=1,2,…,M},定义M维矩阵Sp[M]:Sp[m]为源端口为Spm的权重。
4.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,其特征在于:所述步骤3)训练BiGRU模型的具体步骤如下:
步骤3.1调整训练样本集中导致偏差的样本,修改学习过程中的参数来应对新的攻击,提高检测的准确性;
步骤3.2应用学习率自适应的优化算法Adam算法寻找最优的模型参数;
步骤3.3设置隐藏层激活函数为ReLU,输出层选取Softmax函数作为激活函数;
步骤3.4使用Dropout算法进行正则化,最大化提高模型的泛化能力,减小过拟合,Dropout率设置为0.4即40%的神经元失活,迭代过程中随机保留一部分神经元进行前向、反向传播,其余的神经元暂时从网络中舍去,将某一层的输入单元以一定的概率随机设为0,打破该层训练数据中的偶然相关性。
6.根据权利1要求所述一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法,其特征在于:所述步骤5)利用基于双向BiGRU的DDoS检测模块对疑似异常流量进行攻击检测判断的具体步骤包括:
BiGRU包含更新门和重置门,双向GRU每个数据序列分别向前和向后呈现给两个单独的隐藏层然后这两个隐藏层将会连接到同一个输出层中,使输出层将具有输入序列中每个点的完整过去和将来的信息,根据步骤2)提取的特征向量,应用如下计算公式进行检测:
zt=σ(WZ·[ht-1,xt])
rt=σ(Wr·[ht-1,xt]
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110754028.4A CN113378168B (zh) | 2021-07-04 | 2021-07-04 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110754028.4A CN113378168B (zh) | 2021-07-04 | 2021-07-04 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113378168A true CN113378168A (zh) | 2021-09-10 |
CN113378168B CN113378168B (zh) | 2022-05-31 |
Family
ID=77580878
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110754028.4A Active CN113378168B (zh) | 2021-07-04 | 2021-07-04 | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113378168B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113949550A (zh) * | 2021-10-08 | 2022-01-18 | 东北大学 | 一种SDN环境下的DDoS攻击检测方法 |
CN114219184A (zh) * | 2022-01-24 | 2022-03-22 | 中国工商银行股份有限公司 | 产品交易数据预测方法、装置、设备、介质和程序产品 |
CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
CN114422277A (zh) * | 2022-04-01 | 2022-04-29 | 中国人民解放军战略支援部队航天工程大学 | 防御网络攻击的方法、装置、电子设备和计算机可读介质 |
CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
CN114745194A (zh) * | 2022-04-25 | 2022-07-12 | 东北林业大学 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107018129A (zh) * | 2017-03-20 | 2017-08-04 | 中山大学 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
US20180109556A1 (en) * | 2016-10-17 | 2018-04-19 | Foundation Of Soongsil University Industry Cooperation | SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME |
CN108848095A (zh) * | 2018-06-22 | 2018-11-20 | 安徽大学 | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 |
CN110277173A (zh) * | 2019-05-21 | 2019-09-24 | 湖南大学 | 基于Smi2Vec的BiGRU药物毒性预测系统及预测方法 |
CN110365691A (zh) * | 2019-07-22 | 2019-10-22 | 云南财经大学 | 基于深度学习的钓鱼网站判别方法及装置 |
CN110784481A (zh) * | 2019-11-04 | 2020-02-11 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
CN112231347A (zh) * | 2020-11-12 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、计算机设备及存储介质 |
CN112763967A (zh) * | 2020-12-11 | 2021-05-07 | 国网辽宁省电力有限公司鞍山供电公司 | 一种基于BiGRU的智能电表计量模块故障预测与诊断方法 |
WO2021102257A1 (en) * | 2019-11-21 | 2021-05-27 | Pensando Systems Inc. | Resource fairness enforcement in shared io interfaces |
-
2021
- 2021-07-04 CN CN202110754028.4A patent/CN113378168B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180109556A1 (en) * | 2016-10-17 | 2018-04-19 | Foundation Of Soongsil University Industry Cooperation | SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS AND SWITCH INCLUDED IN THE SAME |
CN107018129A (zh) * | 2017-03-20 | 2017-08-04 | 中山大学 | 一种基于多维Renyi交叉熵的DDoS攻击检测系统 |
CN108848095A (zh) * | 2018-06-22 | 2018-11-20 | 安徽大学 | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 |
CN110277173A (zh) * | 2019-05-21 | 2019-09-24 | 湖南大学 | 基于Smi2Vec的BiGRU药物毒性预测系统及预测方法 |
CN110365691A (zh) * | 2019-07-22 | 2019-10-22 | 云南财经大学 | 基于深度学习的钓鱼网站判别方法及装置 |
CN110784481A (zh) * | 2019-11-04 | 2020-02-11 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
WO2021102257A1 (en) * | 2019-11-21 | 2021-05-27 | Pensando Systems Inc. | Resource fairness enforcement in shared io interfaces |
CN112231347A (zh) * | 2020-11-12 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、计算机设备及存储介质 |
CN112763967A (zh) * | 2020-12-11 | 2021-05-07 | 国网辽宁省电力有限公司鞍山供电公司 | 一种基于BiGRU的智能电表计量模块故障预测与诊断方法 |
Non-Patent Citations (10)
Title |
---|
ICEBIRD_CRAFT: "深度学习实战(1)用Pytorch搭建一个双向GRU", 《HTTPS://BLOG.CSDN.NET/ICESTORM_RAIN/ARTICLE/DETAILS/108395515》, 3 September 2020 (2020-09-03) * |
WENWEN SUN: "An Improved Method of DDoS Attack Detection for Controller of SDN", 《2019 IEEE 2ND INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATION ENGINEERING TECHNOLOGY-CCET》, 10 February 2020 (2020-02-10), pages 249 - 253 * |
YIRAN HAO: "Variant-Gated Recurrent Units With Encoders to Preprocess Packets for Payload-Aware Intrusion Detection", 《IEEE ACCESS》, vol. 7, 25 April 2019 (2019-04-25), pages 49985 - 49998, XP011721297, DOI: 10.1109/ACCESS.2019.2910860 * |
ZOUKANKAN: "openflow控制器和交换机之间的消息", 《T.ZOUKANKAN.COM/MRWUZS-P-10369889.HTML》, 13 February 2019 (2019-02-13) * |
刘川: "SDN 环境下网络流量监测与控制系统设计", 《电信科学》, 30 December 2015 (2015-12-30), pages 163 - 167 * |
布谷AI: "常见的时序模型:RNN/LSTM/GRU", 《HTTPS://AISTUDIO.BAIDU.COM/AISTUDIO/PROJECTDETAIL/590830》, 4 June 2020 (2020-06-04) * |
朱婧: "SDN 环境下基于DBN的DDoS攻击检测", 《计算机工程》, vol. 46, no. 4, 15 April 2020 (2020-04-15), pages 157 - 161 * |
王文涛: "SDN 环境下基于Renyi熵的低速率分布式拒绝攻击的检测", 《中南民族大学学报(自然科学版)》, vol. 36, no. 3, 30 September 2017 (2017-09-30), pages 131 - 136 * |
罗鹏: "基于BiGRU-SVDD的ADS-B异常数据检测模型", 《航空学报》, vol. 41, no. 10, 25 October 2020 (2020-10-25), pages 1 - 11 * |
韩子铮: "SDN中一种基于熵值检测DDoS攻击的方法", 《信息技术》, no. 01, 25 January 2017 (2017-01-25), pages 63 - 66 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113949550A (zh) * | 2021-10-08 | 2022-01-18 | 东北大学 | 一种SDN环境下的DDoS攻击检测方法 |
CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
CN114338206B (zh) * | 2021-12-31 | 2024-05-07 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
CN114219184A (zh) * | 2022-01-24 | 2022-03-22 | 中国工商银行股份有限公司 | 产品交易数据预测方法、装置、设备、介质和程序产品 |
CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
CN114422277A (zh) * | 2022-04-01 | 2022-04-29 | 中国人民解放军战略支援部队航天工程大学 | 防御网络攻击的方法、装置、电子设备和计算机可读介质 |
CN114422277B (zh) * | 2022-04-01 | 2022-07-01 | 中国人民解放军战略支援部队航天工程大学 | 防御网络攻击的方法、装置、电子设备和计算机可读介质 |
CN114745194A (zh) * | 2022-04-25 | 2022-07-12 | 东北林业大学 | 一种SDN环境下基于集成学习的DDoS检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113378168B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113378168B (zh) | 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法 | |
CN109768985B (zh) | 一种基于流量可视化与机器学习算法的入侵检测方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
KR102291869B1 (ko) | 비정상 트래픽 패턴의 탐지 방법 및 장치 | |
Abd Jalil et al. | Comparison of machine learning algorithms performance in detecting network intrusion | |
Wan et al. | Event-Based Anomaly Detection for Non-Public Industrial Communication Protocols in SDN-Based Control Systems. | |
CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
CN109347853B (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
CN113162893B (zh) | 基于注意力机制的工业控制系统网络流量异常检测方法 | |
CN111585948A (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
CN113364787B (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
CN113067798B (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
Hadi et al. | A novel approach to network intrusion detection system using deep learning for Sdn: Futuristic approach | |
CN117113262A (zh) | 网络流量识别方法及其系统 | |
Tan et al. | DDoS detection method based on Gini impurity and random forest in SDN environment | |
Shao et al. | Deep learning hierarchical representation from heterogeneous flow-level communication data | |
CN113765921A (zh) | 一种面向工业物联网的异常流量分级检测方法 | |
CN117014182A (zh) | 一种基于lstm的恶意流量检测方法及装置 | |
Kang et al. | A transfer learning based abnormal can bus message detection system | |
Pan et al. | An integrated model of intrusion detection based on neural network and expert system | |
CN115865459B (zh) | 一种基于二次特征提取的网络流量异常检测方法及系统 | |
CN115664804B (zh) | 一种基于径向基函数神经网络的LDoS攻击检测方法 | |
CN116647844A (zh) | 一种基于堆叠集成算法的车载网络入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |