本发明专利技术公开一种软件定义网络异常流量检测方法,准确率高,速度快。本发明专利技术目的软件定义网络异常流量检测方法,包括如下步骤:(10)样本数据获取:从软件定义网络抓取原始流量文件,对原始流量文件内所有的流量数据进行预处理,得到样本数据集;(20)数据粗粒度划分:采用局部异常因子法,将所述样本数据集进行粗粒度划分,得到正常数据和异常数据;(30)异常数据细粒度划分:采取K‑means方法,将所述异常数据进行细粒度划分,检测出异常数据及其种类。
【技术实现步骤摘要】
软件定义网络异常流量检测方法
本专利技术属于信息安全
,特别是一种软件定义网络异常流量检测方法。
技术介绍
随着虚拟化和云计算技术的发展,软件定义网络作为一种新兴的网络架构,逐渐受到了研究者的青睐。它通过转发平面和数据平面分类的设计思想和网络可编程的特点,解决了传统网络灵活性差、难以管理、维护代价大等问题。然而由于软件定义网络在设计时对安全问题缺少相应的考虑,以及软件定义网络集中控制和开放性的特点,使得软件定义网络更容易遭受网络攻击,尤其是控制平面和数据平面。现阶段面对软件定义网络存在的安全问题,网络异常流量检测开始应用于软件定义网络,它能够感知软件定义网络中存在的异常流量,通过流量分析技术实现网络攻击溯源取证,帮助安全人员采取相应措施。现有的网络异常流量检测基本处理流程如下:首先进行数据采集,包括终端数据、中间件数据、流量抓取、第三方设备日志。然后进行数据预处理,对采集的数据进行预处理,包括数据数值化、标准化、数据筛选,最终转换成平台可理解的格式化数据,以文件形式存储等待解析。最后进行数据分析,对数据进行识别、分类,筛选出异常的数据并进行报告。上述网络异常检测方法存在如下不足:1、检测方法准确率低,大约为80%-90%,误报率高,约为15%:现有的检测方法为提高效率,对数据特征的保留少,难以保证不丢失主要信息。2、无法具体区分网络攻击的种类:现有检测方法对正常数据采用数学建模方式分析其行为,对于符合行为模型的网络流量认定为正常流量,不符合行为模型的网络流量只是认定为异常流量,无法对其进行分类。3、与软件定义网络不适配:软件定义网络尚处于初期阶段,对软件定义网络的异常流量检测研究还不成熟。
技术实现思路
本专利技术的目的在于提供一种软件定义网络异常流量检测方法,准确率高,速度快。实现本专利技术目的的技术解决方案为:一种软件定义网络异常流量检测方法,包括如下步骤:(10)样本数据获取:从软件定义网络抓取原始流量文件,对原始流量文件内所有的流量数据进行预处理,得到样本数据集;(20)数据粗粒度划分:采用局部异常因子法,将所述样本数据集进行粗粒度划分,得到正常数据和异常数据;(30)异常数据细粒度划分:采取K-means方法,将所述异常数据进行细粒度划分,检测出异常数据及其种类。本专利技术与现有技术相比,其显著优点为:1、检测方法准确率高,误报率低:本专利技术改善了现有技术中对主要信息保留不完整的问题,在样本数据获取步骤中对原始流量文件进行预处理中,采用了熵值法将最能体现原数据特征的属性进行提取,保留下来;准确率可以达到98%以上,误报率在5%以下。2、可以区分具体攻击的类别:本专利技术对异常流量进行了进一步的分类,在步骤(30)中对异常流量数据进行细粒度的划分,区分出异常流量具体所属种类,包括DoS、U2R、R2L、probe等网络攻击类型。3、适用于软件定义网络环境:本专利技术可以在软件定义网络平台中运行。下面结合附图和具体实施方式对本专利技术作进一步的详细描述。附图说明图1是本专利技术软件定义网络异常流量检测方法的主流程图。图2为图1中样本数据获取步骤的流程图。图3为图1中数据粗粒度划分步骤的流程图。图4为图1中数据细粒度划分步骤的流程图。具体实施方式如图1所示,本专利技术软件定义网络异常流量检测方法,包括如下步骤:(10)样本数据获取:从软件定义网络抓取原始流量文件,对原始流量文件内所有的流量数据进行预处理,得到样本数据集;如图2所,所述(10)样本数据获取步骤包括:(11)原始流量文件抓取:利用抓包软件从软件定义网络获取原始流量文件;(12)流量数据预处理:对原始流量文件中的流量数据进行数值化、标准化、归一化处理,得到同一类型的原始数据集;(13)数据降维:采用熵值法计算原始数据集中所有特征参数的熵值,选取熵值较大的多个特征参数组成降维的样本数据集。所述(13)数据降维步骤包括:(131)数据集熵值计算:按下式计算含有n个变量x1,x2,…,xn的数据集X的熵H(X),式中,pi是第i个变量的概率;(132)特征参数选取:计算原始数据集中所有特征参数的熵值,从大到小排列,根据原始数据集规模大小,选取与原始数据集规模相应的熵值较大的多个特征参数组成样本数据集。例如,实验使用KDDCUP99网络入侵检测数据集,该数据集是从一个模拟的美国空军局域网上采集来的9个星期的网络连接数据,分成具有标识的训练数据和未加标识的测试数据。测试数据和训练数据有着不同的概率分布,测试数据包含了一些未出现在训练数据中的攻击类型,这使得入侵检测更具有现实性。首先对数据集随机选取大小为2000的子集,将数据集进行数值化、标准化、归一化,首先将非数字类型的数据转化为数字,然后消除由于属性度量的差异对聚类产生的影响,对属性值进行标准化,最后将所有数值归一化,即把所有数值映射到[0,1]区间;用熵值法选取区分度较大的特征参数,提高数据间的差异,主要包括duration(连接的持续时间)、src_bytes(从源主机发送到目的主机的数据的字节数)、dst_bytes(从目的主机发送到源主机的数据的字节数)、count(过去两秒内,与当前连接具有相同目标主机的连接数)、srv_count(过去两秒内,与当前连接有相同服务的连接数)、dst_host_count(前100个连接中,与当前连接目标主机相同的连接数)、dst_host_srv_count(前100个连接中,与当前连接目标主机相同且服务也相同的连接数)在内的7个特征作为输入数据。(20)数据粗粒度划分:采用局部异常因子法,将所述样本数据集进行粗粒度划分,得到正常数据和异常数据;如图3所示,所述(20)数据粗粒度划分步骤包括:(21)数据点间距离计算:设样本数据集为D,假设共有n个检测样本,数据的特征参数个数为为m,对于对于数据集D中任意两个数据点Xi,Xj,统一使用d(Xi,Xj)表示该两点间的距离,其中:(22)计算第k距离:dk(O)表示点O的第k距离,需要满足下列条件:①至少有k个点P′∈D\{O},满足d(O,P′)≤d(O,P)②至多有k-1个点P′∈D\{O},满足d(O,P′)<d(O,P)此时,dk(O)=d(O,P)(23)计算第k距离邻域:设Nk(O)为点O的第k距离邻域,其计算方式如下:Nk(O)={P′∈D\{O}|d(O,P′)≤dk(O)}(24)计算可达距离:点P到中心点O的第k可达距离为:dk(P,O)=max{dk(O),d(P,O)}即点P到点O的第k可达距离至少是点O的第k距离;距离中心点O最近的k个点到中心点O的可达距离均为dk(O);(25)计算局部可达密度:按下式计算所有属于点P本文档来自技高网...
【技术保护点】
1.一种软件定义网络异常流量检测方法,其特征在于,包括如下步骤:/n(10)样本数据获取:从软件定义网络抓取原始流量文件,对原始流量文件内所有的流量数据进行预处理,得到样本数据集;/n(20)数据粗粒度划分:采用局部异常因子法,将所述样本数据集进行粗粒度划分,得到正常数据和异常数据;/n(30)异常数据细粒度划分:采取K-means方法,将所述异常数据进行细粒度划分,检测出异常数据及其种类。/n
【技术特征摘要】
1.一种软件定义网络异常流量检测方法,其特征在于,包括如下步骤:
(10)样本数据获取:从软件定义网络抓取原始流量文件,对原始流量文件内所有的流量数据进行预处理,得到样本数据集;
(20)数据粗粒度划分:采用局部异常因子法,将所述样本数据集进行粗粒度划分,得到正常数据和异常数据;
(30)异常数据细粒度划分:采取K-means方法,将所述异常数据进行细粒度划分,检测出异常数据及其种类。
2.根据权利要求1所述的异常流量检测方法,其特征在于,所述(10)样本数据获取步骤包括:
(11)原始流量文件抓取:利用抓包软件从软件定义网络获取原始流量文件;
(12)流量数据预处理:对原始流量文件中的流量数据进行数值化、标准化、归一化处理,得到同一类型的原始数据集;
(13)数据降维:采用熵值法计算原始数据集中所有特征参数的熵值,选取熵值较大的多个特征参数组成降维的样本数据集。
3.根据权利要求2所述的异常流量检测方法,其特征在于,所述(13)数据降维步骤包括:
(131)数据集熵值计算:按下式计算含有n个变量x1,x2,…,xn的数据集X的熵H(X),
式中,pi是第i个变量的概率;
(132)特征参数选取:计算原始数据集中所有特征参数的熵值,从大到小排列,根据原始数据集规模大小,选取与原始数据集规模相应的熵值较大的多个特征参数组成样本数据集。
4.根据权利要求2所述的异常流量检测方法,其特征在于,所述(20)数据粗粒度划分步骤包括:
(21)数据点间距离计算:设样本数据集为D,假设共有n个检测样本,数据的特征参数个数为为m,对于
对于数据集D中任意两个数据点Xi,Xj,统一使用d(Xi,Xj)表示该两点间的距离,其中:
(22)计算第k距离:dk(O)表示点O的第k距离,需要满足下列条件:
①至少有k个点P′∈D...
【专利技术属性】
技术研发人员:仇炳楠,徐雷,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。