CN114978667B - 一种基于图神经网络的SDN网络DDoS攻击检测方法 - Google Patents
一种基于图神经网络的SDN网络DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN114978667B CN114978667B CN202210541198.9A CN202210541198A CN114978667B CN 114978667 B CN114978667 B CN 114978667B CN 202210541198 A CN202210541198 A CN 202210541198A CN 114978667 B CN114978667 B CN 114978667B
- Authority
- CN
- China
- Prior art keywords
- flow
- neural network
- graph neural
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 65
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 230000001133 acceleration Effects 0.000 claims abstract description 12
- 230000008859 change Effects 0.000 claims abstract description 6
- 238000010586 diagram Methods 0.000 claims abstract description 6
- 230000000052 comparative effect Effects 0.000 claims abstract description 4
- 239000011159 matrix material Substances 0.000 claims description 33
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000000034 method Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000005070 sampling Methods 0.000 claims description 7
- 238000000354 decomposition reaction Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000004806 packaging method and process Methods 0.000 claims description 4
- 230000004083 survival effect Effects 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 2
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 238000004458 analytical method Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于图神经网络的SDN网络DDoS攻击检测方法,涉及人工智能与网络安全技术领域。本发明根据SDN网络环境下流表数据中提取的六个DDoS相关的流特征值建立流表图,其中六个流特征值包括:源IP地址增速GSIP、流生存时间变化ADF、端口增速GSP、流表项速率RFE、流表匹配成功率RFM、对比流比例PPF。本发明通过图神经网络双层结构处理数据包,建立基于图神经网络的DDoS攻击检测模型,增加对网络数据判断分析的准确性,隔离可能存在的网络安全威胁,并给出警告提示和实时防护的措施,尽可能地避免用户在接触数据信息后受到影响,带来各方面的损失,为授权用户提供安全可靠的网络环境。
Description
技术领域
本发明涉及人工智能与网络安全技术领域,尤其涉及一种基于图神经网络的SDN网络DDoS攻击检测方法。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是目前黑客经常采用而难以防范的攻击手段。DDoS的攻击方式一直在不断变化且非常多样,但是DDoS攻击并未得到有效控制,且近年来DDoS攻击呈现出攻击模式更加智能化、攻击范围不断扩大的特点。
软件定义网络(Software Defined Networking,简称SDN),将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,实现了网络流量的灵活控制,使网络作为管道变得更加智能。然而,SDN架构使得各种资源的配置以及服务都全面集中在控制器层面上,使SDN控制器成为了以DDoS攻击为代表的各种网络安全攻击的重点目标。自国家对网络安全概念加强重视以来,网络安全问题已经成为社会关注的问题。
随着国家对网络安全的重视,网络安全防护显得尤其重要。传统的安全防护体系对于如今快速发展的网络环境,已经不再适用;对于现阶段而言,需要更全面、时效性更强的分析算法,来保障网络安全。
因此,有必要提供一种基于图神经网络的SDN网络DDoS攻击检测方法来解决上述技术问题。
发明内容
为了高效地甄别DDoS攻击以及潜在威胁数据,来助力安全的SDN网络环境维护。针对现有方法在实际SDN网络环境中难以进行更加高效迅速检测DDoS攻击的不足,本发明提出了一种基于图神经网络的SDN网络DDoS攻击检测方法,主要根据SDN网络环境下流表数据中提取的六个DDoS相关的流特征值建立流表图,对疑似DDoS攻击进行更加快速的筛选和分析,使用图神经网络减少模型训练的复杂度,从而能够在保证高速建立算法模型的同时保证检测的高正确率。同时建立节点白名单,结合基于图神经网络的DDoS攻击检测模型进行双重判定,具有较高的DDoS攻击检测准确率,减少误判的概率。为解决上述技术问题,本发明提供一种基于图神经网络的SDN网络DDoS攻击检测方法,包括数据收集模块、训练模块、人工智能分析模块、反馈补偿模块、数据库加密存储模块和可视化模块。
为实现上述目的,本发明的技术方案在于一种基于图神经网络的SDN网络DDoS攻击检测方法:
S1、SDN控制器向OpenFlow交换机发送流表数据请求,并获取流表的状态信息;其中,OpenFlow交换机将流表的状态信息回复至SDN控制器的流特征值提取模块,定期获取信息数据的时间间隔为T;
S2、SDN控制器中的流特征值提取模块对收集的流表信息数据进行分解处理,提取出与DDoS相关的流特征值,并建立流表图;其中,流特征值包括:源IP地址增速GSIP、流生存时间变化ADF、端口增速GSP、流表项速率RFE、流表匹配成功率RFM和对比流比例PPF;
将各OpenFlow交换机作为图神经网络中的节点(Node),交换机之间的连接关系作为边(Edge),建立图神经网络;
S3、初始化图神经网络的各算法参数,通过流表传递图神经网络处理信息,建立节点白名单,并给出符合DDoS攻击的漏洞标签;
S4、建立完整的基于图神经网络的DDoS攻击检测模型,并对DDoS攻击进行预测;
S5、若检测样本中有符合DDoS攻击的漏洞标签的节点结构,则向SDN控制器发出告警,并由SDN控制器命令对应漏洞节点丢弃疑似攻击数据包,更改相关安全配置。
作为更进一步的解决方案,所述S1中,由OpenFlow交换机将流表信息回复至SDN控制器的流特征值提取模块,其中,定期获取信息数据的时间间隔T为9秒。
作为更进一步的解决方案,在S2的提取出与DDoS相关的流特征值:
源IP地址增速GSIP计算公式为:
其中,为源IP数量,T为采样的时间间隔;
流生存时间变化ADF计算公式为:
其中,Tdur为流生存时间,Tflow为流的总时间;
端口增速GSP计算公式为:
其中,Sport为攻击源端口的增加数量,T为采样的时间间隔;
流表项速率RFE计算公式为:
其中,Sflow为流表项的总数,T为采样的时间间隔;
流表匹配成功率RFM计算公式为:
其中,Mpacket为匹配成功的数据包数量,Spacket为数据包总数;
对比流比例PPF计算公式为:
其中,Fpair为网络中交互流的数量,Fsum为流的总数。
作为更进一步的解决方案,所述S2进一步包含以下过程:
S2-1 SDN控制器中的流特征值提取模块对收集的流表信息数据进行分解处理,提取出与DDoS相关的流特征值;
S2-2将各OpenFlow交换机作为图神经网络中的节点(Node),交换机之间的连接关系作为边(Edge),构造图神经网络;
S2-3根据各项流表参数生成流表图,流表图为无向图:
Gflow=(V,E)
其中,N个OpenFlow交换机作为节点vi∈V,任意边(vi,vj)∈E;
S2-4将SDN控制器提取的流特征值,组成一维特征向量。
作为更进一步的解决方案,所述S3进一步包含以下过程:
S3-1初始化图神经网络各算法参数,包括输入层、隐藏层以及输出层之间的权重值和阈值;
S3-2根据以往经验建立节点白名单;节点白名单由SDN控制器发布于每个OpenFlow交换机,若数据包传输经过路径中任意两个节点的源IP地址与目的IP地址都在节点白名单内,且数据流为双向,则数据包能继续由交换机传递;若数据包传输经过路径中任一节点的IP地址不在节点白名单内,或数据流为单向传播,则初步标记异常节点,并给出DDoS攻击的漏洞标签,表达式为:
(Psrc∈Qlst)∩(Pdst∈Qlst)
其中,Psrc为数据包的源IP地址,Pdst为数据包的目的IP地址,Qlst为节点白名单内的IP地址。
作为更进一步的解决方案,所述S4进一步包含以下过程:
S4-1根据流表图数据,建立图神经网络;其中,图神经网络包括N个节点,且每个节点都有对应特征值,将各节点的特征组成一个N×D维的矩阵X;各个节点之间的关系组成一个N×N维的矩阵A;将矩阵X和矩阵A作为图神经网络输入;
S4-2设置图神经网络中层与层之间的传播方式:
其中,I为单位矩阵,/>为/>的度矩阵,即/>H(l)是第l层的特征矩阵,对于输入层而言H(0)即为X;σ为非线性激活函数,W(l)是每一层的隐藏层权重参数矩阵;
S4-3构造一个两层的GCN结构,前向网络模型形式如下:
其中,为输入层映射到隐藏层的权重矩阵,隐藏层的特征维度为H,为隐藏层映射到输出层的权重矩阵,ReLU是第一层激活函数,softmax激活函数定义为/>为第二层激活函数,即/>
S4-4建立完整的基于图神经网络的DDoS攻击检测模型,根据交叉熵损失函数进行DDoS攻击模式判断:
其中,yL为带有特征分类标签的节点集合,F表示分类标签个数,Ylf为带有第f种标签的节点集合,Zlf为对应的预测概率;
S4-5 DDoS攻击经过的传输路径中,交叉熵损失值会在单位时间内激增;若交叉熵损失值明显增大,则检测路径上的节点将给出DDoS攻击的漏洞标签并从节点白名单中删除,且通过此路径传输的数据包将被全部隔离封装以保护SDN网络安全;若交叉熵损失值在单位时间内的值持平缓水平,则视该检测路径上的所有节点为安全节点,并加入节点白名单之中。
与相关技术相比较,本发明提供的一种基于图神经网络的SDN网络DDoS攻击检测方法具有如下有益效果:
1、本发明结合图神经网络技术与SDN网络结构特征,形成了一个全面的网络安全检测模型,使模型更加贴近实际网络安全环境。图神经网络算法适用于多种实际SDN网络环境,且根据网络的数据特征的不同可灵活形成对应其特征的智能分析模型,从而提高网络安全防护与预测的准确率;
2、本发明根据SDN网络环境下流表数据,提取六个DDoS相关的流特征值,并建立流表图;对疑似DDoS攻击进行了更加快速的筛选和分析,使用图神经网络减少了模型训练的复杂度,从而能够在保证高速建立算法模型的同时保证检测的高正确率;
3、本发明建立节点白名单并结合交叉熵损失函数的二次判断,提高了检测及预测的准确率,及时封装或丢弃可疑数据包,保护了SDN网络的信息安全性。
附图说明
图1为本发明提供的一种基于图神经网络的SDN网络DDoS攻击检测方法较佳实施例整体流程示意图;
图2为本发明提供的一种基于图神经网络的SDN网络DDoS攻击检测方法较佳实施例节点白名单原理执行流程图;
图3为本发明提供的一种基于图神经网络的SDN网络DDoS攻击检测方法较佳实施例图神经网络结构图。
具体实施方式
下面将结合本发明附图和实施例对本发明的技术方案进行详细、完整地的描述;显然,所描述的实施例仅为本发明的一部分实施例,而并非全部实施例。
基于图神经网络(Graph Convolutional Networks,简称GCN)的算法模型,可避免在实际应用场景中训练算法模型的高复杂度问题,并提高判别DDoS攻击的准确性。
如图1所示,一种基于图神经网络的SDN网络DDoS攻击检测方法,包括以下步骤:
S1、软件定义网络(Software Defined Networking,简称SDN)控制器向OpenFlow交换机发送流表数据请求,通过OpenFlow协议记录模块收集流表的状态信息,由OpenFlow交换机将流表信息回复至SDN控制器的流特征值提取模块,其中定期获取信息数据的时间间隔为T(该示例中T为9秒);
其中OpenFlow交换机由流表(Flow Table)、通信的安全通道(Secure Channel)和OpenFlow协议(OpenFlow Protocol)三部分组成;
S2、SDN控制器中的流特征值提取模块对收集的流表信息数据进行分解处理,提取出与DDoS相关的六个流特征值,并建立流表图,其中六个流特征值包括:源IP地址增速GSIP、流生存时间变化ADF、端口增速GSP、流表项速率RFE、流表匹配成功率RFM、对比流比例PPF;
所有OpenFlow交换机作为图神经网络中的节点(Node),交换机之间的连接关系作为边(Edge);
S3、初始化图神经网络算法的各参数,通过流表传递图神经网络处理信息,建立节点白名单,并给出符合DDoS攻击的漏洞标签;
S4、建立完整的基于图神经网络的DDoS攻击检测模型,同时具备预测功能;
S5、若检测样本中有符合DDoS攻击的漏洞标签的节点结构,则向SDN控制器发出告警,并由SDN控制器命令该漏洞节点(即OpenFlow交换机)丢弃疑似攻击数据包,更改相关安全配置。
作为更加具体点的解决方案,S2所述的“与DDoS相关的六个流特征值”,包括:
源IP地址增速(Growth Speed of Source IP,GSIP),即单位时间内源IP地址的增加数量:
其中为源IP数量,T为采样的时间间隔;DDoS攻击随机伪造产生大量的攻击流发送数据包,其源IP地址会快速增加;
流生存时间的变化(Average of Duration per Flow,ADF),即单位时间内流规格的生存持续时间相对变化程度:
其中,Tdur为流生存时间,Tflow为流的总时间;在流表项中,若存在大量的异常流量,其流生存持续时间会明显减少;
端口的增速(Growth of Port,GSP),即单位时间内攻击源端口数量的增长速度:
其中,Sport为攻击源端口的增加数量;DDoS攻击的发生会随机生成大量的端口号;
流表项速率(The Rate of Flow Entries,RFE),即单位时间流表项的增长速度:
其中,Sflow为流表项的总数,攻击发生时SDN控制器会快速产生大量的流表信息。
流表匹配成功率(The Rate of Flow Table Matching,RFM),即流量中匹配成功的数据包流量占总数量的比例:
其中,Mpacket为匹配成功的数据包数量,Spacket为数据包总数;发生DDoS攻击时,因为当有大量的新流产生存在,其匹配成功率将急剧下降。
对比流比例(Percentage of Pair-Flow,PPF),即流表对比流量占总流量的比例:
其中,Fpair为网络中交互流的数量,Fsum为流的总数;DDoS攻击发生时网络中,具有一定的交互性的对比流数量会减少。
作为更加具体点的解决方案,如图2所示,节点白名单原理执行流程如下:
根据以往经验建立节点白名单,即根据历史记录将常用IP地址所在节点加入节点白名单;
节点白名单由SDN控制器发布于每个OpenFlow交换机节点;
若数据包传输经过路径中任意两个节点的源IP地址与目的IP地址都在“白名单”范围内,且数据流为双向,则数据包能继续由交换机传递;若数据包传输经过路径中任一节点的IP地址不属于“白名单”范围内,亦或数据流为单向传播,则初步标记异常节点,给出DDoS攻击的漏洞标签,此过程可表示为:
(Psrc∈Qlst)∩(Pdst∈Qlst)
其中,Psrc为数据包的源IP地址,Pdst为目的IP地址,Qlst为IP地址的“白名单”。
作为更加具体点的解决方案,所有数据包继续正常传递至基于图神经网络的DDoS攻击检测模型根据交叉熵损失函数进行DDoS攻击模式判断:
其中,yL为带有特征分类标签的节点集合。F表示分类标签个数,Ylf为带有第f种标签的节点集合,Zlf为对应的预测概率;
DDoS攻击经过的传输路径中,交叉熵损失值会在单位时间内激增。若交叉熵损失值明显增大,则检测路径上的节点将给出DDoS攻击的漏洞标签并从节点白名单中删除,且通过此路径传输的数据包将被全部隔离封装以保护SDN网络安全;若交叉熵损失值在单位时间内的值持平缓水平,则视该检测路径上的所有节点为安全节点,并加入节点白名单之中。
如图3所示,图神经网络结构及流程如下:
根据提取出与DDoS相关的六个流特征值,建立流表图,所有OpenFlow交换机作为图神经网络中的节点,交换机之间的连接关系作为边;
根据各项流表参数生成流表图,此流表图为无向图:
Gflow=(V,E)
其中N个OpenFlow交换机作为节点vi∈V,任意边(vi,vj)∈E;
提取的六个SDN控制器中的流特征值,组成一维特征向量;
初始化图神经网络算法的各参数,包括输入层、隐藏层以及输出层之间的权重值和阈值,之后流表图数据将作为图神经网络的输入;
图神经网络中包括N个节点,且每个节点都有自己的特征值,设这些节点的特征组成一个N×D维的矩阵X;各个节点之间的关系形成一个N×N维的矩阵A,即为邻接矩阵(Adjacency Matrix);矩阵X和矩阵A便是整个检测模型的输入;
图神经网络(Graph Convolutional Network,简称GCN)中层与层之间的传播方式如下:
其中,I为单位矩阵,/>为/>的度矩阵(Degree Matrix),即H(l)是第l层的特征矩阵,对于输入层而言H(0)即为X,σ为非线性激活函数,W(l)是每一层的隐藏层权重参数矩阵;
如图3所示,本示例中使用的是一个两层的GCN结构,前向网络模型形式如下:
其中,为输入层映射到隐藏层的权重矩阵,隐藏层的特征维度为H,为隐藏层映射到输出层的权重矩阵,ReLU是第一层激活函数,softmax激活函数定义为/>为第二层激活函数即,/>
建立完整的基于图神经网络的DDoS攻击检测模型,根据交叉熵损失函数进行DDoS攻击模式判断:
其中,yL为带有特征分类标签的节点集合,F表示分类标签个数,Ylf为带有第f种标签的节点集合,Zlf为对应的预测概率。
综上所述,本发明通过SDN网络流量的特征值形成了流表图,并建立了基于图神经网络的DDoS攻击检测模型,减小了整体运行的复杂度;同时建立了节点白名单,结合基于图神经网络的DDoS攻击检测模型进行双重判定,具有较高的DDoS攻击检测准确率,减少了误判的概率。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (3)
1.一种基于图神经网络的SDN网络DDoS攻击检测方法,其特征在于,包括以下步骤:
S1、SDN控制器向OpenFlow交换机发送流表数据请求,并获取流表的状态信息;其中,OpenFlow交换机将流表的状态信息回复至SDN控制器的流特征值提取模块,定期获取信息数据的时间间隔为T;
S2、SDN控制器中的流特征值提取模块对收集的流表信息数据进行分解处理,提取出与DDoS相关的流特征值,并建立流表图;其中,流特征值包括:源IP地址增速GSIP、流生存时间变化ADF、端口增速GSP、流表项速率RFE、流表匹配成功率RFM和对比流比例PPF;
将各OpenFlow交换机作为图神经网络中的节点,交换机之间的连接关系作为边,建立图神经网络;
在S2提取出与DDoS相关的流特征值:
源IP地址增速GSIP计算公式为:
其中,为源IP数量,T为采样的时间间隔;
流生存时间变化ADF计算公式为:
其中,Tdur为流生存时间,Tflow为流的总时间;
端口增速GSP计算公式为:
其中,Sport为攻击源端口的增加数量,T为采样的时间间隔;
流表项速率RFE计算公式为:
其中,Sflow为流表项的总数,T为采样的时间间隔;
流表匹配成功率RFM计算公式为:
其中,Mpacket为匹配成功的数据包数量,Spacket为数据包总数;
对比流比例PPF计算公式为:
其中,Fpair为网络中交互流的数量,Fsum为流的总数;
S3、初始化图神经网络的各算法参数,通过流表传递图神经网络处理信息,建立节点白名单,并给出符合DDoS攻击的漏洞标签;
所述S3进一步包含以下过程:
S3-1初始化图神经网络各算法参数,包括输入层、隐藏层以及输出层之间的权重值和阈值;
S3-2根据以往经验建立节点白名单;节点白名单由SDN控制器发布于每个OpenFlow交换机,若数据包传输经过路径中任意两个节点的源IP地址与目的IP地址都在节点白名单内,且数据流为双向,则数据包能继续由交换机传递;若数据包传输经过路径中任一节点的IP地址不在节点白名单内,或数据流为单向传播,则初步标记异常节点,并给出DDoS攻击的漏洞标签,表达式为:
(Psrc∈Qlst)∩(Pdst∈Qlst)
其中,Psrc为数据包的源IP地址,Pdst为数据包的目的IP地址,Qlst为节点白名单内的IP地址;
S4、建立完整的基于图神经网络的DDoS攻击检测模型,并对DDoS攻击进行预测;
所述S4进一步包含以下过程:
S4-1根据流表图数据,建立图神经网络;其中,图神经网络包括N个节点,且每个节点都有对应特征值,将各节点的特征组成一个N×D维的矩阵X;各个节点之间的关系组成一个N×N维的矩阵A;将矩阵X和矩阵A作为图神经网络输入;
S4-2设置图神经网络中层与层之间的传播方式:
其中,I为单位矩阵,/>为/>的度矩阵,即/>H(l)是第l层的特征矩阵,对于输入层而言H(0)即为X;σ为非线性激活函数,W(l)是每一层的隐藏层权重参数矩阵;
S4-3构造一个两层的GCN结构,前向网络模型形式如下:
其中,为输入层映射到隐藏层的权重矩阵,隐藏层的特征维度为H,为隐藏层映射到输出层的权重矩阵,ReLU是第一层激活函数,softmax激活函数定义为/>为第二层激活函数,即/>
S4-4建立完整的基于图神经网络的DDoS攻击检测模型,根据交叉熵损失函数进行DDoS攻击模式判断:
其中,yL为带有特征分类标签的节点集合,F表示分类标签个数,Ylf为带有第f种标签的节点集合,Zlf为对应的预测概率;
S4-5 DDoS攻击经过的传输路径中,交叉熵损失值会在单位时间内激增;若交叉熵损失值明显增大,则检测路径上的节点将给出DDoS攻击的漏洞标签并从节点白名单中删除,且通过此路径传输的数据包将被全部隔离封装以保护SDN网络安全;若交叉熵损失值在单位时间内的值持平缓水平,则视该检测路径上的所有节点为安全节点,并加入节点白名单之中;
S5、若检测样本中有符合DDoS攻击的漏洞标签的节点结构,则向SDN控制器发出告警,并由SDN控制器命令对应漏洞节点丢弃疑似攻击数据包,更改相关安全配置。
2.根据权利要求1所述的一种基于图神经网络的SDN网络DDoS攻击检测方法,其特征在于,所述S1中,由OpenFlow交换机将流表信息回复至SDN控制器的流特征值提取模块,其中,定期获取信息数据的时间间隔T为9秒。
3.根据权利要求1所述的一种基于图神经网络的SDN网络DDoS攻击检测方法,其特征在于,所述S2进一步包含以下过程:
S2-1 SDN控制器中的流特征值提取模块对收集的流表信息数据进行分解处理,提取出与DDoS相关的流特征值;
S2-2将各OpenFlow交换机作为图神经网络中的节点,交换机之间的连接关系作为边,构造图神经网络;
S2-3根据各项流表参数生成流表图,流表图为无向图:
Gflow=(V,E)
其中,N个OpenFlow交换机作为节点vi∈V,任意边(vi,vj)∈E;
S2-4将SDN控制器提取的流特征值,组成一维特征向量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210541198.9A CN114978667B (zh) | 2022-05-17 | 2022-05-17 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210541198.9A CN114978667B (zh) | 2022-05-17 | 2022-05-17 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978667A CN114978667A (zh) | 2022-08-30 |
CN114978667B true CN114978667B (zh) | 2024-02-09 |
Family
ID=82982662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210541198.9A Active CN114978667B (zh) | 2022-05-17 | 2022-05-17 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978667B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116232770B (zh) * | 2023-05-08 | 2023-07-21 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657107A (zh) * | 2016-12-30 | 2017-05-10 | 南京邮电大学 | 一种SDN中基于信任值的自适应启动的ddos防御方法和系统 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN110784481A (zh) * | 2019-11-04 | 2020-02-11 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
KR20200095219A (ko) * | 2019-01-31 | 2020-08-10 | (주)에이알씨엔에스 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
CN112995238A (zh) * | 2021-05-21 | 2021-06-18 | 华中科技大学 | 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10104119B2 (en) * | 2016-05-11 | 2018-10-16 | Cisco Technology, Inc. | Short term certificate management during distributed denial of service attacks |
KR101907752B1 (ko) * | 2016-10-17 | 2018-10-12 | 숭실대학교산학협력단 | 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
US10536480B2 (en) * | 2017-05-02 | 2020-01-14 | Shenzhen University | Method and device for simulating and detecting DDoS attacks in software defined networking |
US11470101B2 (en) * | 2018-10-03 | 2022-10-11 | At&T Intellectual Property I, L.P. | Unsupervised encoder-decoder neural network security event detection |
-
2022
- 2022-05-17 CN CN202210541198.9A patent/CN114978667B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657107A (zh) * | 2016-12-30 | 2017-05-10 | 南京邮电大学 | 一种SDN中基于信任值的自适应启动的ddos防御方法和系统 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
KR20200095219A (ko) * | 2019-01-31 | 2020-08-10 | (주)에이알씨엔에스 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
CN110784481A (zh) * | 2019-11-04 | 2020-02-11 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
WO2021088372A1 (zh) * | 2019-11-04 | 2021-05-14 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
CN112995238A (zh) * | 2021-05-21 | 2021-06-18 | 华中科技大学 | 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器 |
Non-Patent Citations (4)
Title |
---|
SDN中基于信息熵与DNN的DDoS攻击检测模型;张龙;王劲松;;计算机研究与发展(第05期);全文 * |
SDN环境下基于BP神经网络的DDoS攻击检测方法;王晓瑞;庄雷;胡颖;王国卿;马丁;景晨凯;;计算机应用研究(03);全文 * |
Z. Li ; S. Peng ; Huawei Technologies ; M. Negi ; RtBrick India ; Q. Zhao ; Etheric Networks ; C. Zhou ; Cisco Systems ; .PCEP Procedures and Protocol Extensions for Using PCE as a Central Controller (PCECC) of SR-LSPs draft-zhao-pce-pcep-extension-pce-controller-sr-07.IETF .2020,全文. * |
浅谈SDN环境下基于BP神经网络的DDoS攻击检测方法;苏礼;;电脑知识与技术(33);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114978667A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及系统 | |
CN104836702B (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
Le et al. | Data analytics on network traffic flows for botnet behaviour detection | |
Wang et al. | A DDoS attack detection method based on information entropy and deep learning in SDN | |
CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
Abraham et al. | A comparison of machine learning approaches to detect botnet traffic | |
Moustaf et al. | Creating novel features to anomaly network detection using DARPA-2009 data set | |
Scaranti et al. | Artificial immune systems and fuzzy logic to detect flooding attacks in software-defined networks | |
Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
Mazzariello | IRC traffic analysis for botnet detection | |
CN114978667B (zh) | 一种基于图神经网络的SDN网络DDoS攻击检测方法 | |
CN110213280A (zh) | 一种SDN环境下基于LDMDBF的DDoS攻击检测方法 | |
CN112422584A (zh) | 一种基于深度学习的DDoS攻击回溯抵御方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
Barthakur et al. | An efficient machine learning based classification scheme for detecting distributed command & control traffic of P2P botnets | |
Thamaraiselvi et al. | Attack and anomaly detection in iot networks using machine learning | |
Ma et al. | DDoS detection for 6G Internet of Things: Spatial-temporal trust model and new architecture | |
Yang et al. | Detecting DNS covert channels using stacking model | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Rajesh et al. | Evaluation of machine learning algorithms for detection of malicious traffic in scada network | |
Zhu et al. | CMTSNN: A deep learning model for multiclassification of abnormal and encrypted traffic of Internet of Things |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |