CN116032515A

CN116032515A - 一种在SDN上基于Transformer的DDoS攻击检测方法

Info

Publication number: CN116032515A
Application number: CN202210275153.1A
Authority: CN
Inventors: 李为; 王皓民; 党芳芳; 张晓良; 吴克河; 谢云澄; 李帅; 王健; 任雪松; 姚若钰
Original assignee: State Grid Corp of China SGCC; North China Electric Power University; Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; North China Electric Power University; Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Priority date: 2022-01-20
Filing date: 2022-03-21
Publication date: 2023-04-28

Abstract

本发明公开了一种在SDN上基于Transformer的DDoS攻击检测方法，采用两层分类聚焦机制，先通过Transformer模型进行一次分类和聚焦，该分类器可以检测出绝大部分的DDoS攻击，通过调整模型尽可能的检测出DDoS攻击，然后更深层次的将当前数据进行聚焦，聚焦用于检测出误检的正常流量，并将这部分流量加入样本重新训练，提高检测的准确度；然后通过CNN层对上一层的输出再次进行检测分类，该方法在保证流量检测准确率的情况下，同时有着较快的检测效率。本发明模型的AUC分数为0.9990，准确率达到99.7％，精确率达到99.98％，F1分数为99.84％，召回率为99.7％。

Description

一种在SDN上基于Transformer的DDoS攻击检测方法

技术领域

本发明涉及一种在SDN上基于Transformer的DDoS攻击检测方法，属于人工智能的网络安全技术领域。

背景技术

随着网络体系结构的复杂性和互联网连接设备连接需求的快速增长，传统的复杂互联网体系结构(复杂的控制、复杂的软件、高线路成本和难以扩展)无法动态处理现代网络应用。因此，现代网络应用需要一个可扩展的体系结构，该体系结构应能够根据特定的流量类型提供可靠和充分的服务。软件定义网络(SDN)是近年来出现的一种新的网络结构；其可扩展性、动态性和可编程性可以简化复杂的传统互联网体系结构，其实时特性可以满足高可用性要求。这种网络结构将网络的控制平面与数据转发平面分离，既可以通过集中式控制器中的软件平台实现底层硬件的可编程控制，又可以根据需要灵活部署网络资源。然而，这种集中管理方法使软件定义网络控制器成为整个网络的一个单一折衷点。与传统的网络结构相比，它更容易受到导致整个网络崩溃的攻击。拒绝服务攻击是一种恶意攻击，攻击者在这种攻击中生成大量数据包或请求，最终使目标系统崩溃。分布式拒绝服务(DDoS)是基于DoS的拒绝服务攻击的一种特殊形式。位于不同位置的多个攻击者同时对一个或多个目标发起攻击，或者一个攻击者在不同位置控制多台机器并使用。这些机器可以在分布式和协调的大规模攻击中同时攻击受害者。然而，使用僵尸设备很难检测分布式拒绝服务攻击，因此利用入侵检测系统检测分布式拒绝服务攻击已经成为一项具有挑战性的任务。

近年来，软件定义网络已经广泛应用于各种物联网系统中，在物联网的实现中，新一代通信(5G)扮演着重要的角色。5G的实现还需要软件定义网络，软件定义网络是目前正在发展的技术。其底层网络的可靠性直接影响系统的整体可靠性。物联网很容易通过DDoS受到攻击。此外，软件定义网络的性质增加了DDoS攻击的数量。因此，确保软件定义网络的安全性对这些系统的安全性具有重要意义，这是物联网技术中经常讨论的主要问题之一。

以往关于DDoS攻击检测的研究主要可以分为两类：传统方法检测和人工智能的方法检测。传统方法检测：DDoS攻击行为发生后，通过分析流量特征信息建立分类器。之后，这种方法会分析识别出的异常流量从而达到识别异常网络攻击。这种方法安装在客户端成本太高，甚至在DDoS攻击发生后就开始检测，实时性较差，并且大部分需要手动功能，这就导致当新的种子存在时，就需要设计新的特征。这个过程也很耗时，并且不能达到令人满意的性能。此外，一旦这些特征被恶意行为者察觉，他们就很容易规避。而人工智能方法检测现如今主要为机器学习和深度学习的方法检测，人工智能方法检测是将流量特征提取后，利用机器学习构建分类器来检测异常流量从而检测出网络攻击。但是现有的人工智能方法精确度还不是很高，准确率还不能达到最优。

发明内容

本发明提供一种在SDN上基于Transformer的DDoS攻击检测方法，该方法可用于监测网络安全攻击尤其是DDoS攻击，提取网络安全流量特征信息以治理异常流量的有效手段。

为解决上述技术问题，本发明所采用的技术方案如下：

一种在SDN上基于Transformer的DDoS攻击检测方法，采用两层分类聚焦机制，先通过Transformer模型进行一次分类和聚焦，然后再通过CNN机制层进行再次分类检测；包括如下步骤：

1)在DDoS攻击检测模块实时采集流量数据，对其中数据特征进行统计，并将流量的特征数据输入数据处理模块进行数据预处理；

2)将步骤1)处理好的数据输入到嵌入层进行维度转换，将转换维度的数据输入到Transformer层中处理；

Transformer层主要由编码器和解码器组成；每个编码器块有两层：多头注意和前馈；解码器有三层：多头注意、多头注意(编码器-解码器注意)和前馈；其处理流程如下：

步骤201：通过输入的嵌入层将编码器输入分为查询、键和值三部分；

步骤202：然后将输出通过位置编码(Positional Encoding)，位置编码用于解决注意机制本身无法捕获位置信息的问题

其中PE(pos,2i)表示偶数位置的编码，PE(pos,2i+1)表示奇数位置的编码，pos表示在序列中的位置，位置编码向量必须与词嵌入向量维度相同；d_model就是PE的维度，i就是指d_model维度向量的某一维；

步骤203：然后通过self-attention层：首先，self-attention会计算出三个新的向量；其次，计算self-attention的分数值，该分数值决定了当我们在某个位置encode一个数据特征时，对输入的其他部分的关注程度；接下来，把点成的结果除以一个常数，下一步就是把Value和softmax得到的值进行相乘，并相加，得到的结果即是self-attetion在当前节点的值；

步骤204：transformer独特的多头注意力将查询和键映射到高维，在β空间的不同子空间(β₁，β₂，...，β_n)中计算相似度，以便在不改变参数数量的情况下增强每个注意层的表达能力，并将前馈层的输出传递给解码器；

步骤205：与编码器对应的解码器转换结果也被转换为三个部分：查询、键和值作为输入，经过位置编码后，蒙蔽的多头注意、前馈和编码器的输出结构共同输入到多头注意，然后通过前馈，前馈首先输出空间；

步骤206：最后通过密集层输出概率分布f(x)＝max(0,x)；

当我们考虑Transformer机制时，我们对于每个块，transformer添加了规范化层，其中包含剩余结构和层规范化，以规范优化空间并加速收敛；

3)将步骤2)输出结果传递给CNN层；

4)最后输出普通流量和DDoS攻击的概率矩阵,通过概率分析得出该流量是否为DDoS攻击。

上述方法采用卷积神经网络(CNN)与Transformer机制相结合的模型，并检测异常流量，降低检测的误报率，提高检测DDoS攻击的准确性。

上述步骤1)中，数据预处理的处理流程如下:

步骤101：删除一些特征列：将源和目标IP、源和目标端口等这些特征去除掉；

步骤102：整合数据并剔除脏数据：整个数据集是分开的，想要训练，必须要整合在一起，同时在数据集中存在Nan和Infiniti，第一行特征名称和重复数据等脏数据需要剔除；

步骤103：平衡数据集，因为数据文件中的部分攻击流量占比太小，导致占比不平衡；

步骤104：数据归一化：得到数据集的压缩表示，量小，但可以得到相近或相同的结果；

步骤105：数据离散化：数据规约的一部分，通过概念分层和数据的离散化来规约数据，对数字型数据比较重要；

步骤106：数据集分割：将经过预处理的数据集按照8∶2、7∶3和6∶4三类比例随机拆分为训练集和测试集，并设置固定的随机数种子，确保进行不同轮次的分类操作时所使用的训练集和测试集是相同的。DDoS攻击一般都是构造特定的协议请求报文进行攻击。比如常见的SYN Flood就是构建TCP的握手请求报文。所以如果收到大量不正常的请求报文就是DDoS。还有就是DDoS攻击大部分源IP是假的，路由不可达。DDoS攻击的报文一般很长而且内容有较大的重复性和规律性。DDoD攻击的目的IP和端口一般是不变的。

上述步骤1)中，为了实现对DDoS攻击的检测，统计的数据特征有以下部分：端口映射,NetBIOS,轻型目录访问协议,MSSQL,用户数据协议,UDP延迟,SYN,NTP,域名服务器和NMP。

在采集到以上数据后，消除了一些删除了源和目标IP、源和目标端口、时间戳和流标识的特征。还删除了无限数据和(NaN)数据。并进行数据填充。

上述步骤3)中，将步骤2)输出结果传递给CNN层的流程如下:

步骤301：卷积层：用于提取特征，运用到卷积核，在输出数据中每一个像素是输入改变维度的数据特征中一个小区域中数据特征的加权平均的权值函数，卷积核可以有多个(两个以上)，卷积核参数可以通过误差反向传播来进行训练；

步骤302：池化层:用于特征降维，对卷积层的输出结果提取特征，减少向下一个阶段传递的数据量；

步骤303：一个完全连接的层：主要用于分类，卷积神经网络中起到“分类器”的作用；如果说卷积层、池化层和激活函数层等操作是将原始数据映射到隐层特征空间的话，全连接层则起到将学到的“分布式特征表示”映射到样本标记空间的作用，对于完全连接的层，我们将其替换为全局平均池(GAP)，因为GAP不需要大量的训练或调整参数，减少了空间参数，具有更好的抗过度拟合效果，并在特征图和最终分类之间进行转换；

步骤304：输出结果到Dense层，总共建立了三个Dense层(单位＝64、32、1)，并通过两个密集层传递CNN层的输出结果，激活函数均为Relu函数f(x)＝max(0,x)，在最后一个Dense层中，模型使用的激活函数是Sigmoid函数

在我们的模型中，我们主要添加了三个Dense层，以及将全连接层换成了全局平均池，其中Dense层用于改变维度，Dense层类似于全连通层。在退出层之前，有一个合并层。

上述方法提出了一个卷积神经网络(CNN)和Transformer的混合检测机制模型，该模型学习流量信息和流量结构，从而学习出较好的流量权重，减少长期依赖，对异常实现更好的检测。

上述在SDN上基于Transformer的DDoS攻击检测方法，包括：

数据处理模块，在检测阶段，选择DDoS攻击流量和正常流量数据特征，并进行数据预处理；

嵌入层模块，通过数据预处理模块处理后的数据进行整数编码，并将该数据所对应流量特征进行维度转化；

Transformer层模块，将通过嵌入层模块进行维度变化后的数据以注意力机制第一次进行分类的流量特征进行聚焦，能产生注意力感知的特征，并且不同模块的特征随着网络的加深会产生适应性改变、并且性能持续提升；

CNN层模块，由Transformer层模块处理后的数据主要考虑检测准确率和对流量的聚焦的问题，具有更高的检测精度，接着将其以CNN算法进行分类，得到的CNN分类器进行流量的异常再次检测；

输出层模块，将普通流量和DDoS攻击的概率矩阵输出，通过概率分析得出该流量是否为DDoS攻击。

本发明未提及的技术均参照现有技术。

本发明提出了一种在SDN上基于Transformer的DDoS攻击检测混合机制处理方法，该方法采用两层分类聚焦机制，即先通过Transformer模型进行第一次分类和聚焦，该分类器可以检测出绝大部分的DDoS攻击，通过调整模型尽可能的检测出DDoS攻击，然后更深层次的将当前数据进行聚焦，聚焦用于检测出误检的正常流量，并将这部分流量加入样本重新训练，提高检测的准确度；然后通过CNN层对上一层的输出再次进行检测分类，该方法在保证流量检测准确率的情况下，同时有着较快的检测效率，最后在通过多个网络层实现分类用来满足DDoS攻击的检测需求，可用于DDoS攻击的处理；从发明的实验结果可以看出，基于模型评估指标AUC，与现有的DDoS攻击检测平均性能最好的模型LSTM相比，本发明的模型的AUC分数为0.9990，相比于LSTM的0.9795提升了1.99％。并且本发明准确率达到99.7％，精确率达到99.98％，F1分数为99.84％，召回率为99.7％。

附图说明

图1为本发明数据预处理流程示意图；

图2为本发明Transformer方法的结构图；

图3为本发明CNN方法的结构图；

图4为本发明混合机制方法的结构图；

图5为本发明混合机制方法的DDosTC流程图；

图6为本发明混合机制方法的AUC实验对比图；

图7为本发明混合机制方法和其他测试方法的准确率、精确度、召回率和F1分数结果图。

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

本发明提出了一种在SDN上基于Transformer的DDoS攻击检测混合机制处理方法。该方法采用两层分类聚焦机制，先通过Transformer模型进行一次分类和聚焦，然后再通过CNN机制层进行再次分类检测。包括如下步骤：

在DDoS攻击检测模块实时采集流量数据，对其中数据特征进行统计，并将流量的特征数据输入数据处理模块进行数据预处理；

图1为本发明所述的数据预处理流程示意图。数据预处理的处理流程如下:

步骤106：数据集分割：将经过预处理的数据集按照8∶2、7∶3和6∶4三类比例随机拆分为训练集和测试集，并设置固定的随机数种子，确保进行不同轮次的分类操作时所使用的训练集和测试集是相同的。

将处理好的数据输入到嵌入层进行维度转换，将转换维度的数据输入到Transformer的嵌入层中：

图2为本发明所述的Transformer方法的结构图。处理流程如下:

Transformer层主要由编码器和解码器组成。每个编码器块有两层：多头注意和前馈。解码器有三层：多头注意、多头注意(编码器-解码器注意)和前馈。其处理流程如下：

步骤201：通过输入的嵌入层将编码器输入分为查询、键和值三部分。.

步骤203：然后通过self-attention层。首先，self-attention会计算出三个新的向量，其次计算self-attention的分数值，该分数值决定了当我们在某个位置encode一个数据特征时，对输入的其他部分的关注程度。接下来，把点成的结果除以一个常数，下一步就是把Value和softmax得到的值进行相乘，并相加，得到的结果即是self-attetion在当前节点的值。

步骤204：transformer独特的多头注意力将查询和键映射到高维。在β空间的不同子空间(β₁，β₂，...，β_n)中计算相似度，以便在不改变参数数量的情况下增强每个注意层的表达能力，并将前馈层的输出传递给解码器。

步骤205：与编码器对应的解码器转换结果也被转换为三个部分：查询、键和值作为输入。经过位置编码后，蒙蔽的多头注意、前馈和编码器的输出结构共同输入到多头注意，然后通过前馈，前馈首先输出空间。

步骤206：最后通过密集层输出概率分布f(x)＝max(0，x)。当我们考虑Transformer机制时，我们对于每个块，transformer添加了规范化层，其中包含剩余结构和层规范化，以规范优化空间并加速收敛。

将上述输出结果传递给CNN层；图3为本发明所述的CNN层模型结构。CNN训练的过程如下：

CNN的处理流程如下：

步骤301：卷积层：用于提取特征，运用到卷积核，在输出数据中每一个像素是输入改变维度的数据特征中一个小区域中数据特征的加权平均的权值函数。卷积核可以有多个，卷积核参数可以通过误差反向传播来进行训练.

步骤302：池化层:用于特征降维。对卷积层的输出结果提取特征，减少向下一个阶段传递的数据量；

步骤303：一个完全连接的层，主要用于分类。卷积神经网络中起到“分类器”的作用。如果说卷积层、池化层和激活函数层等操作是将原始数据映射到隐层特征空间的话，全连接层则起到将学到的“分布式特征表示”映射到样本标记空间的作用，对于完全连接的层，我们将其替换为全局平均池(GAP)，因为GAP不需要大量的训练或调整参数，减少了空间参数，具有更好的抗过度拟合效果，并在特征图和最终分类之间进行转换。.

步骤304：输出结果到Dense层，总共建立了三个密集层(单位＝64、32、1)，并通过两个密集层传递CNN层的输出结果。激活函数均为ReLU。在最后一个致密层中，我们的模型使用的激活函数是Sigmoid函数

最后输出普通流量和DDoS攻击的概率矩阵,通过概率分析得出该流量是否为DDoS攻击。

图4为本发明所述的混合机制方法的结构图。图5为本发明所述的混合机制方法的DDosTC流程图。

上述方法在DDoS攻击检测模块实时采集流量数据，对其中数据特征进行统计，并将流量的特征数据输入数据处理模块进行处理。

在数据预处理过程中，我们消除了一些无用的流量信息。我们使用的CICDDoS2019数据集包含87个提取的IP流特征数据。我们首先删除了源和目标IP、源和目标端口、时间戳和流标识的特征，因为我们只需要通过数据包特征来培训模型。我们还删除了无限数据和(NaN)数据。最终输入特征编号为76，然后对其余特征的数据进行格式化。为了方便分类的标签识别，我们对标签进行了编码，将所有DDoS攻击标签编码为1，将正常流量标签编码为0。然后将数据预处理后的信息进行整数编码填充到嵌入层，在嵌入层进行维度转换给下一层。

上述方法，填充后，第一层为嵌入层。在嵌入层，我们随机初始化向量，并在训练过程中学习这些向量。

第二层是Transformer层，通过训练处理后的样本数据1,得到第二分类模块的分类模型。

第三层是CNN层，通过训练处理后的样本数据2,得到第三分类模块的分类模型。

第四层是Global-Average Pooling层，对于完全连接的层，我们将其替换为全局平均池(GAP)，因为GAP不需要大量的训练或调整参数，减少了空间参数，具有更好的抗过度拟合效果，并在特征图和最终分类之间进行转换。它更简单、更自然。通过训练处理后的样本数据2,得到第三分类模块的分类模型。

第五层是Dense层，通过训练处理后的样本数据4，得到第五分类模块的分类模型。

第六层是激活层，通过训练处理后的样本数据5,得到第六分类模块的分类模型。

最后输出正常流量和DDoS攻击的二值分类。

自第二分类模块开始，当前模块判定为DDoS攻击将通过下一分类模块进行更加准确的判别。下一分类模块主要解决判别准确性的问题，对检测效率的要求较低。如果下一分类模块的判定结果为正常，则说明当前分类器发生误检，则将该部分域名数据输入再下一层模块直至通过激活函数输出分类结果。

图6为本发明所述的混合机制方法的AUC实验对比图。图7为本发明所述的混合机制方法和其他测试方法的准确率、精确度、召回率和F1分数结果。

上述在SDN上基于Transformer的DDoS攻击检测混合机制处理方法，该方法采用多层检测结构，兼顾检测的准确率和检测的效率，同时采用Transformer和CNN的混合机制进行聚焦，提高网络的深度的同时提高检测的准确率，从发明的实验结果可以看出，基于模型评估指标AUC，与现有的DDoS攻击检测平均性能最好的模型LSTM相比，本发明的模型的AUC分数为0.9990，相比于LSTM的0.9795提升了1.99％。并且准确率达到99.7％，精确率达到99.98％，F1分数为99.84％，召回率为99.7％，均明显超于现有的DDoS攻击检测模型。

Claims

1.一种在SDN上基于Transformer的DDoS攻击检测方法，其特征在于：采用两层分类聚焦机制，先通过Transformer模型进行一次分类和聚焦，然后再通过CNN机制层进行再次分类检测；包括如下步骤：

Transformer层主要包括编码器和解码器；每个编码器块有两层：多头注意和前馈；解码器有三层：多头注意、多头注意和前馈；将转换维度的数据输入到Transformer层中处理的处理流程如下：

步骤202：然后将输出通过位置编码，位置编码用于解决注意机制本身无法捕获位置信息的问题

其中，PE(pos,2i)表示偶数位置的编码，PE(pos,2i+1)表示奇数位置的编码，pos表示在序列中的位置，位置编码向量必须与词嵌入向量维度相同，d_model为PE的维度，i指d_model维度向量的某一维；

步骤204：transformer独特的多头注意力将查询和键映射到高维，在β空间的不同子空间(β₁,β₂,…,β_n)中计算相似度，以便在不改变参数数量的情况下增强每个注意层的表达能力，并将前馈层的输出传递给解码器；

步骤206：最后通过密集层输出概率分布f(x)＝max(0,x)；

3)将步骤2)输出结果传递给CNN层；

2.如权利要求1所述的在SDN上基于Transformer的DDoS攻击检测方法，其特征在于：步骤1)中，数据预处理的处理流程如下:

步骤101：删除一些特征列：将源和目标IP、源和目标端口这些特征去除掉；

步骤103：平衡数据集；

3.如权利要求2所述的在SDN上基于Transformer的DDoS攻击检测方法，其特征在于：步骤1)中，统计的数据特征有以下部分：端口映射、NetBIOS、轻型目录访问协议、MSSQL、用户数据协议、UDP延迟、SYN、NTP、域名服务器和NMP。

4.如权利要求1-3任意一项所述的在SDN上基于Transformer的DDoS攻击检测方法，其特征在于：步骤3)中，将步骤2)输出结果传递给CNN层的流程如下:

步骤301：卷积层：用于提取特征，运用到卷积核，在输出数据中每一个像素是输入改变维度的数据特征中一个小区域中数据特征的加权平均的权值函数，卷积核可以有多个，卷积核参数可以通过误差反向传播来进行训练；

步骤303：一个完全连接的层：用于分类，卷积神经网络中起到“分类器”的作用；

步骤304：输出结果到Dense层，总共建立了三个Dense层，并通过两个密集层传递CNN层的输出结果，激活函数均为Relu函数f(x)＝max(0,x)，在最后一个Dense层中，模型使用的激活函数是Sigmoid函数

5.如权利要求1-3任意一项所述的在SDN上基于Transformer的DDoS攻击检测方法，其特征在于：包括：