本发明专利技术公开了基于RF‑GMM的SDN中LDoS攻击检测方法,属于网络安全领域。其中所述方法包括:本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征作为攻击检测的指标。为了选取对检测最有益的特征,增加检测准确率,减少运算量,本方法使用了随机森林模型计算每个特征的重要性并进行排序。根据特征重要性选择最优特征作为高斯混合模型的输入,对不同的网络状态进行聚类,从而实现攻击检测。本发明专利技术提出的基于RF‑GMM的SDN中LDoS攻击检测方法能准确、高效、快速、自适应地检测SDN中的LDoS攻击。
【技术实现步骤摘要】
基于RF-GMM的SDN中LDoS攻击检测方法
本专利技术属于计算机网络安全领域,具体涉及基于RF-GMM的SDN中LDoS攻击检测方法。
技术介绍
DoS(DenialofService,拒绝服务)攻击是常用的网络攻击手段之一,其通过消耗有限的计算机系统或者网络中的带宽资源,使得受害的计算机系统或者网络系统无法对于合法的用户访问进行接收或者处理,从而使得系统不能提供正常的服务。LDoS(Low-rateDenialofService,低速率拒绝服务)攻击作为一种特殊的DoS攻击,针对TCP(TransmissionControlProtocol,传输控制协议)中的漏洞,只需要少量的攻击数据就可以使得TCP流量明显降低,从而影响受害者的服务质量和性能,而且已有的针对DoS攻击的检测方法很难区分LDoS的攻击流和正常的流量。SDN(SoftwareDefinedNetwork,软件定义网络)已经成为促进通信网络创新的最重要的网络体系结构之一,其将网络管理功能从分组交换设备中移出,并将其放入逻辑上集中的控制器中。在SDN框架为维护网络安全提供便利的同时,控制和数据平面的分离也产生了安全挑战。LDoS攻击具有普遍性,在SDN环境中的主机也有可能受到LDoS攻击,且当SDN控制器受到LDoS攻击时,可能会导致整个网络的瘫痪,造成比传统网络中更严重的后果。本专利技术针对当前的LDoS攻击检测方法存在检测率低、误报率和漏报率高和实时性不强等不足,以及控制平面受到LDoS攻击时将影响整个SDN的情况,提出一种基于RF-GMM(GaussianMixtureModelbasedonRandomForestFeatureSelection,基于随机森林特征选择的高斯混合模型)的SDN中LDoS攻击检测方法。本方法从SDN交换机采样得到的流量数据中提取TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征作为攻击检测的指标。为了选取最具有代表性的特征,增加检测准确率,减少运算量,本方法使用了随机森林模型计算每个特征对于检测的重要性并进行排序。根据特征重要性选择了最优特征作为高斯混合模型的输入,对不同的网络状态进行聚类,从而实现攻击检测。本方法能够较为准确地检测LDoS攻击,且能够实时地估计攻击的发起时间和结束时间,具有较低的漏报率和误报率,因此本检测方法适用于SDN环境中的LDoS攻击。
技术实现思路
针对当前的LDoS攻击检测方法存在检测率低、误报率和漏报率高和实时性不强等不足,以及控制平面受到LDoS攻击时将影响整个SDN网络的情况,提出了基于RF-GMM的SDN中LDoS攻击检测方法。本方法能够较为准确地检测LDoS攻击,且能够实时地估计攻击的发起时间和结束时间,具有较低的漏报率和误报率,因此本检测方法适用于SDN环境中的LDoS攻击。本专利技术为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:数据采样、特征计算、特征选取、聚类检测。1.数据采样。对于SDN中经过交换机端口的流量数据包,按照相等的时间间隔进行实时采样和记录,形成原始的流量数据。2.特征计算。经过对不同网络状态的分析比较,TCP流量和UDP流量的波动剧烈程度在不同的网络状态中表现出不同的特征,可以据此对不同网络状态进行区分。对于获取的原始流量数据,提取其中的TCP流量和UDP流量,维护一个长度固定且大于采样间隔的窗口并滑动得到多个检测窗口。为了量化每个检测窗口内流量的集中程度和离散程度,本方法对TCP流量和UDP流量分别选取了均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度共计16个统计特征。3.特征选取。基于随机森林模型对计算得到了16个特征进行重要性评估。具体是:1)使用随机森林模型对检测窗口进行分类。CART树是随机森林的基本单元,其能够在给定输入随机变量X条件下输出随机变量Y的条件概率。CART分类树在节点分裂时使用基尼指数最小化准则选择最优特征,同时对该特征的最优二值切分点进行计算,并依此建立决策二叉树。对于给定的样本集合D,其基尼指数为:其中,Ck是D中属于第k类的数据集子集,K是数据集中分类的个数。随机森林模型的构造方法为:先有放回地随机选择部分检测窗口形成决策树的训练集,在决策树划分结点时,从每个训练集中随机选择部分特征,决策树从中选取最优特征作为结点的分裂属性,通过上述步骤建立多棵决策树进行分类,对每棵决策树得出的分类结果使用投票法确定该检测窗口最终预测值。2)根据分类结果计算每个特征的重要性。为了选择对结果影响较大的特征以缩减建立模型所需要的特征个数,使用随机森林模型对特征进行重要性评估。用随机森林进行特征重要性评估的方法为:对每个特征在随机森林中的每棵树上做的贡献求平均值,再进行比较排序。根据上述过程计算得到的基尼指数GI,使用VIM表示特征的重要性评分。假设有m个特征X1,X2,...,Xm,要计算每个特征Xj的基尼指数评分VIMj,即第j个特征在所有决策树中划分节点时不纯度的平均变化值。基尼指数的计算公式为:其中,K表示数据集中类别的个数,pmk表示类别k在结点m中所占的比例。特征Xj在结点m的重要性,即结点m被划分之后,基尼指数的变化为:其中GIl和GIr分别表示节点划分结束后得到的两个新结点的基尼指数。如果集合M存在某一特征Xj在决策树i中出现的结点,那么Xj在决策树i的重要性为:假设该随机森林中共有n棵决策树,则其重要性为:最后把所有求得的重要性评分进行归一化处理就得到重要性评分为:4.聚类检测。对于选取的特征使用EM(Expectation-Maximizationalgorithm,期望最大算法)求解高斯混合模型,由聚类得到的标签值即可判定SDN中是否存在LDoS攻击。高斯混合模型是假设所有的数据点都是生成于有限个带有未知参数的单高斯模型。假设混合高斯模型由K个单高斯模型组合而成,即数据包含K个类,则高斯混合模型的概率密度函数为:其中,p(x|k)=N(x|μk,Σk),是第k个高斯模型的概率密度函数,即选定第k个模型后,该模型产生x的概率;p(k)=πk,是类分布概率,表示第k个高斯模型的权重,又称为第k个模型的先验概率,且满足对于采样得到的符合混合高斯分布的流量数据,需要使用EM算法通过迭代的过程得到一组参数,使得这组参数表示的模型最有可能产生现有的流量数据,从而求解得到对应的高斯混合模型。高斯混合模型参数估计的EM算法步骤如下:1)在初始时随机生成K个高斯分布,取参数的初始值开始迭代;2)E步:在给定的多维高斯分布下,计算各样本属于各个类别的概率为:3)M步:根据概率重新计算更优的高斯参数:4)不断迭代步骤2)和步骤3)直到似然函数收敛或者达到了最大迭代次数。使用计算得到的高本文档来自技高网...
【技术保护点】
1.基于RF-GMM的SDN中LDoS攻击检测方法,其特征在于,RF-GMM的全称是GaussianMixture Model based on Random Forest Feature Selection,即基于随机森林特征选择的高斯混合模型,该方法具体包括以下四个步骤:/n步骤1、数据采样:在SDN中对于经过交换机的流量数据包进行采样,得到原始的流量数据;/n步骤2、特征计算:提取原始流量数据中的TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征;/n步骤3、特征选取:基于随机森林模型对多个特征进行重要性评估,提取出对检测最有益的特征;/n步骤4、聚类检测:对于选取的特征使用期望最大算法求解高斯混合模型,由聚类得到的标签值即可判定SDN中是否存在LDoS攻击。/n
【技术特征摘要】
1.基于RF-GMM的SDN中LDoS攻击检测方法,其特征在于,RF-GMM的全称是GaussianMixtureModelbasedonRandomForestFeatureSelection,即基于随机森林特征选择的高斯混合模型,该方法具体包括以下四个步骤:
步骤1、数据采样:在SDN中对于经过交换机的流量数据包进行采样,得到原始的流量数据;
步骤2、特征计算:提取原始流量数据中的TCP流量和UDP流量,滑动划分检测窗口,并计算其多个特征;
步骤3、特征选取:基于随机森林模型对多个特征进行重要性评估,提取出对检测最有益的特征;
步骤4、聚类检测:对于选取的特征使用期望最大算法求解高斯混合模型,由聚类得到的标签值即可判定SDN中是否存在LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤1中对于SDN中经过交换机端口的流量数据包,按照相等的时间间隔进行实时采样和记录,形成原始的流量数据。
3.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中对于步骤1获取的原始流量数据,提取其中的TCP流量和UDP流量,维护一个长度固定且大于采样间隔的窗口,并滑动得到多个检测窗口;为了量化每个检测窗口内流量的集中程度和离散程度,本方法对TCP流量和UDP流量分别选取了均值、方差、极差、四分位差、标准差、离散系数、峰度、偏度共计16个统计特征。
4.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中对于步骤2中计算得到的多个特征,基于随机森林模型对其重要性进行排序,包括两个步骤:
步骤3.1、使用随机森林模...
【专利技术属性】
技术研发人员:汤澹,张冬朔,王曦茵,郑芷青,王思苑,张诗涵,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。