一种基于联邦学习的SDN网络异常流量协同检测方法技术

本发明专利技术涉及一种基于联邦学习的SDN网络异常流量协同检测方法，属于网络安全技术领域。该方法首选构建基于联邦学习的SDN网络异常流量协同检测系统；然后，从信息熵的角度分析流量特征变化，进而计算边缘检测节点与中心检测节点的熵差值绝对值序列的相对熵，以确定协同更新中的本地参数权重、全局参数权重；最后，基于联邦学习的SDN网络异常流量协同检测系统下，进行多检测点的协同训练与检测。本发明专利技术能提高SDN网络异常流量检测模型对异常流量的识别准确率，易于推广应用。易于推广应用。易于推广应用。

【技术实现步骤摘要】
一种基于联邦学习的SDN网络异常流量协同检测方法


[0001]本专利技术属于网络安全
，具体涉及一种基于联邦学习的SDN网络异常流量协同检测方法。

技术介绍

[0002]软件定义网络(Software Defined Network，SDN)技术在互联网、物联网、5G/6G等网络中正获得越来越广泛的研究和应用，这也吸引了日益增多的安全攻击风险。网络攻击酝酿与发生时常常表现为流量异常，因此，检测网络流量的异常变化，分析并发现潜在的网络攻击，是增强网络安全的重要手段。
[0003]异常流量检测与识别算法通常可以分为两类：传统的非机器学习算法和当前广泛研究的基于机器学习的算法。当前常见的非机器学习算法有基于参数统计的识别算法、基于标签统计的识别算法和基于流量信息熵特征的识别算法等，这类算法虽然具有较低的算法复杂度，但是算法中预设的阈值对算法的识别效果有着决定性的影响，故这类算法可识别的异常流量种类较少。此外，阈值的设定往往与应用环境密切相关，当应用环境变化时，由于不具备学习性，据该类算法训练得到的模型性能也将受到影响。从而，利用机器学习提升异常流量检测的效率与准确性，是异常流量检测领域的重要方法与发展趋势，诸如朴素贝叶斯算法、SVM、随机森林算法、循环神经网络(Recurrent Neural Network,RNN)、长短期记忆(Long short
‑
term memory,LSTM)等机器学习算法，都被广泛研究应用于异常流量检测。但是，目前基于机器学习的异常流量检测算法，还存在如下问题：
[0004](1)当前针对异常流量通常有基于单设备与基于多设备两种检测方式，单设备、集中式机器学习通常受到训练样本不足的问题；基于多设备的方式中，多个设备间通常缺少协作，或者只进行有限的协作，每个设备还是相对独立的实施检测工作。单设备、集中式的机器学习架构对模型训练节点的计算和存储能力有着较高的要求，如果在网络中只部署一个检测模型，该模型可利用的训练数据往往是有限的，这种有限性将使模型的检测效果受到影响。鉴于异常流量在局部视角与全局视图上所表现出的数据特征是有差异的，如果在网络中部署多个独立训练的检测模型，由于模型在独立训练时无法综合各个局部视角下的数据特征，模型性能仍然受到训练数据有限性的影响，这种方式只是徒增了资源开销，并没有解决训练数据有限性的问题。
[0005](2)当前有些研究中也引入分布式思路，将诸如联邦学习等分布式学习机制应用于异常流量检测，以解决机器学习中数据不足、设备异构等问题。但是，传统的联邦学习目标是利用多方资源来共同训练一个唯一的全局模型，然后将所得到的模型参数与各检测节点共享。在联邦平均算法中，各边缘检测节点在训练时不使用利用本地数据训练得到的模型参数，只使用由中心服务器聚合得到的全局参数，最终训练得到的模型性能与在集中式架构下训练的模型性能相当，但是，在最后得到的全局模型中并没有考虑到应用该模型的不同边缘检测节点的环境差异，如果模型的普适性较强，那么其针对某些应用环境的针对性将可能降低，如果模型的对某些应用环境的针对性较强，那么该模型在其他应用环境下
的检测准确率将可能降低。因此如何克服现有技术的不足是目前网络安全
亟需解决的问题。

技术实现思路

[0006]本专利技术的目的是为了解决现有技术的不足，针对广泛应用的软件定义网络(Software Defined Network,SDN)中，如何检测网络流量中存在的异常、分析并发现潜在网络攻击的问题，结合SDN网络的网络拓扑与流量特征，提供一种基于联邦学习的SDN网络异常流量协同检测方法。本专利技术将检测节点分为中心检测节点与边缘检测节点两种类型，根据边缘检测节点与中心检测节点之间的流量变化关联性制定模型参数的更新策略，并基于该策略在联邦学习架构下实现异常流量检测模型的协同训练，提升检测模型对异常流量的识别准确率。
[0007]为实现上述目的，本专利技术采用的技术方案如下：
[0008]一种基于联邦学习的SDN网络异常流量协同检测方法，包括：
[0009]构建基于联邦学习的SDN网络异常流量协同检测系统；
[0010]从信息熵的角度分析流量特征变化，进而计算边缘检测节点与中心检测节点的熵差值绝对值序列的相对熵，以确定协同更新中的本地参数权重、全局参数权重；
[0011]基于联邦学习的SDN网络异常流量协同检测系统下，进行多检测点的协同训练与检测。
[0012]进一步，优选的是，构建基于联邦学习的SDN网络异常流量协同检测系统的具体方法为：
[0013]构建包括SDN控制器、若干交换机与终端设备的SDN网络；在SDN控制器或与其直连的流量检测设备上部署中心检测节点，在交换机或与其直连的流量检测设备上部署边缘检测节点。
[0014]进一步，优选的是，多台交换机所构成区域中的某一台交换机或与该交换机直接连接的流量检测设备部署边缘检测节点。
[0015]进一步，优选的是，将中心检测节点表示为C，则C在联邦学习过程中根据各边缘检测节点上传的模型参数聚合的全局参数表示为g
c
；
[0016]将边缘检测节点集合表示为D，其数量表示为m，则有D＝{d1，d2，...，d
m
}，则边缘检测节点d
i
(i≤m，i∈N
+
)在联邦学习过程中的本地模型参数表示为g
i
；
[0017][0018]将全局参数g
c
与本地参数g
i
在参数更新中的权重分别表示为和和
[0019]中心检测节点C根据式(2)更新边缘检测节点d
i
的本地参数g
i
，并将更新后的模型参数g
′
i
下发给对应的边缘检测节点d
i
；
[0020][0021]进一步，优选的是，S1、中心检测节点C计算边缘检测节点d
i
参数更新中的本地参
数权重、全局参数权重；
[0022]S2、边缘检测节点d
i
在本地计算模型参数g
i
，并发送给中心检测节点C；
[0023]S3、中心检测节点C根据式(1)将收到的参数g
i
取平均，得到全局参数g
c
；
[0024]S4、中心检测节点C根据公式(2)更新d
i
的模型参数为g
′
i
，并将g
′
i
发送给d
i
，d
i
据此将之设定为自己的新g
i
；
[0025]S5、d
i
使用更新后的参数g
i
更新本地模型；
[0026]S6、如果损失函数收敛，或者达到迭代次数上限，停止训练并保存当前检测模型，否则转到S2。
[0027]6、根据权利要求4或5所述的基于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于联邦学习的SDN网络异常流量协同检测方法，其特征在于，包括：构建基于联邦学习的SDN网络异常流量协同检测系统；从信息熵的角度分析流量特征变化，进而计算边缘检测节点与中心检测节点的熵差值绝对值序列的相对熵，以确定协同更新中的本地参数权重、全局参数权重；基于联邦学习的SDN网络异常流量协同检测系统下，进行多检测点的协同训练与检测。2.根据权利要求1所述的基于联邦学习的SDN网络异常流量协同检测方法，其特征在于，构建基于联邦学习的SDN网络异常流量协同检测系统的具体方法为：构建包括SDN控制器、若干交换机与终端设备的SDN网络；在SDN控制器或与其直连的流量检测设备上部署中心检测节点，在交换机或与其直连的流量检测设备上部署边缘检测节点。3.根据权利要求2所述的基于联邦学习的SDN网络异常流量协同检测方法，其特征在于，多台交换机所构成区域中的某一台交换机或与该交换机直接连接的流量检测设备部署边缘检测节点。4.根据权利要求1所述的基于联邦学习的SDN网络异常流量协同检测方法，其特征在于，将中心检测节点表示为C，则C在联邦学习过程中根据各边缘检测节点上传的模型参数聚合的全局参数表示为g
c
；将边缘检测节点集合表示为D，其数量表示为m，则有D＝{d1，d2，
…
，d
m
}，则边缘检测节点d
i
(i≤m，i∈N
+
)在联邦学习过程中的本地模型参数表示为g
i
；将全局参数g
c
与本地参数g
i
在参数更新中的权重分别表示为和和中心检测节点C根据式(2)更新边缘检测节点d
i
的本地参数g
i
，并将更新后的模型参数g
′
i
下发给对应的边缘检测节点d
i
；5.根据权利要求4所述的基于联邦学习的SDN网络异常流量协同检测方法，其特征在于：S1、中心检测节点C计算边缘检测节点d
i
参数更新中的本地参数权重、全局参数权重；S2、边缘检测节点d
i
在本地计算模型参数g
i
，并发送给中心检测节点C；S3、中心检测节点C根据式(1)将收到的参数g
i
取平均，得到全局参数g
c
；S4、中心检测节点C根据公式(2)更新d
...

【专利技术属性】
技术研发人员：陈何雄，罗宇薇，谢林江，张振红，罗震宇，郭威，杭菲璐，毛正雄，何映军，韦云凯，杨宁，张军，徐晓龙，
申请(专利权)人：云南电网有限责任公司信息中心，
类型：发明
国别省市：