【技术实现步骤摘要】
一种基于GSODNN和SDN的DDoS检测方法
[0001]本专利技术涉及计算机领域,特别涉及一种基于人工萤火虫群优化算法的深度神经网络(Deep Neural Network Based on Glowworm Swarm Optimization Algorithm,GSODNN)和软件定义网络(Software Defined Network,SDN)的DDoS检测方法。
技术介绍
[0002]网络安全一直是近年来网络研究中的热点,如何更好的规避DDoS攻击,许多研究者都对其进行了研究,并提出了很多的方法。尽管针对DDoS攻击的研究有很多,但由于技术和实际情况的限制,目前还存在很多需要攻克的问题,面临很多应有的挑战,目前主要存在问题如下:
[0003](1)何时收集流量信息进行DDoS攻击检测。崔允贺等人采用控制器不断轮询方式,向交换机消息管理队列中提取需要的信息进行处理,并将其作为检测的依据,检测DDoS攻击是否发生。这种方法的缺点在于使用轮询方式提取流量信息会额外加重控制器的负载并且无法实时检测DDoS攻击的发生。
[0004](2)SDN流量特征的选取。在实际的应用场景中,DDoS的流量特征选择决定着检测的有效性和效率。尹文成等人采用提取与DDoS攻击相关性较大的SDN网络流量信息作为模型输入,这种做法可能会有冗余特征并且没有完全利用DDoS攻击特性。谭亮等人针对这点构建了一些对DDoS敏感的流量特征,这样做确实有不错的效果,但是其并未考虑完全,对于类似于DDoS攻击的正常流量场景(例如F ...
【技术保护点】
【技术特征摘要】
1.一种基于GSODNN和SDN的DDoS检测方法,其特征在于,包括以下步骤:SDN控制器统计各交换机时间T内的Packet In数据包数量以判断交换机是否异常,若异常,则计算异常交换机时间T内Packet In数据包的源IP地址熵值,用于判断该异常是否可能是DDoS攻击;对于可能是DDoS攻击的数据包,SDN控制器提取异常交换机的流表特征以及相关的网络流量特征,采用MIC
‑
FCBF算法选出最优特征集,并构建对DDoS攻击敏感的特征;将选出最优特征集和构建的对DDoS攻击敏感的特征输入基于人工萤火虫群优化算法的深度神经网络进行DDoS攻击检测。2.根据权利要求1所述的一种基于GSODNN和SDN的DDoS检测方法,其特征在于,控制器进行DDoS攻击预检测的过程包括:交换机将流表匹配未成功的packet_in数据包上传到控制器;控制器计算设定的一个时间周期内每个交换机的packet_in数据包数量;若每个交换机的packet_in数据包数量未超过设定阈值则将相应数据交给控制器进行后续处理;否则计算该数据包的源IP地址的熵值;判断数据包的源IP地址的熵值是否超过设定阈值,若未超过则将相应数据交给控制器进行后续处理;否则进行DDoS攻击检测。3.根据权利要求2所述的一种基于GSODNN和SDN的DDoS检测方法,其特征在于,数据包的源IP地址的熵值表示为:其中,H(X)为数据包的源IP地址的熵值;X为数据包的源IP地址的集合;p
i
为源IP地址集合中第i个源IP地址占的数量比例,n为数据包的源IP地址的集合元素的数量。4.根据权利要求1所述的一种基于GSODNN和SDN的DDoS检测方法,其特征在于,采用MIC
‑
FCBF算法选出最优特征集的过程包括:101、计算流量特征与目标特征的最大互信息系数,记为MIC
Yi
,并选择最大互信息系数值最大的m个特征;102、将与目标特征的最大互信息系数值最大的特征作为主特征F
Yi
,依次计算选择的其他特征与主特征之间的最大互信息系数值,记为MIC
ij
;103、若MIC
ij
≥MIC
Yi
,则特征j为主特征i的冗余特征分类个,删除特征j;104、选择流量特征与目标特征的最大互信息系数值次高的特征作为主特征,重复102~103。5.根据权利要求4所述的一种基于GSODNN和SDN的DDoS检测方法,其特征在于,两个特征之间的最大互信息系数值的计算包括:其中,MIC(X,Y)表示特征X与特征Y之间的最大互信息系数;IG(X|Y)为特征X的信息熵与特征X在已知特征Y的前提下的的条件熵H(X|Y)间信息增益;H(X)为特征X的信息熵;H(Y)为特征Y的信息熵。6.根据权利要求1所述的一种基于GSODNN和SDN的DDoS检测方法,其特征在于,构建对
DDoS攻击敏感的特征的过程包括:加权目的IP最大占比,表示为:加权数据包平均字节数,表示为:加权流分布熵值,表示为:加权流表项增加速率,表示为:加权源IP地址熵值,表示为:其中,DST
numi
,i∈{1,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。