基于神经网络的DDos攻击云边协作防御方法与系统技术方案

本发明专利技术公开了基于神经网络的DDos攻击云边协作防御方法与系统，本发明专利技术通过在云端训练多个SOM模型借助熵度量确定最优的SOM输出层结构，SDN中的网络控制器在云端提前注册，下发部署模型参数到提前在云端注册的SDN网络控制器；定时监控对于网络中边缘的物理设备经由的流量进行多级检测和筛选；通过SOM模型将网络流量分为正常、异常和存疑三种，并进一步通过KD树对存疑的网络流量进行细粒度的识别。这种基于云边协作的SOM训练和DDos检测方法适用于应用SDN网络架构的工业互联网场景，能在合理利用边缘网络物理资源的算力基础上，有效地对传入网络包进行实时检测，提高辨别的准确率。提高辨别的准确率。提高辨别的准确率。

【技术实现步骤摘要】
基于神经网络的DDos攻击云边协作防御方法与系统


[0001]本专利技术属于网络安全事件发现领域，尤其涉及一种基于神经网络的DDos攻击云边协作防御方法与系统。

技术介绍

[0002]软件定义网络(SDN)将控制平面与数据平面分离，路由算法由集中框架实现，交换机仅仅实现转发的功能，得以实现可编程、灵活和可靠的网络服务。如今，SDN结合边缘计算被应用于工业互联网中。接入互联网的设备数量也不断增加，SDN的集中控制框架使得SDN容易被攻击者利用进行大规模的DDos攻击缓冲区饱和和流表溢出，抵御大规模DDos攻击作为当前网络安全的课题，网络流量检测的重要性不言而喻。
[0003]当前SDN网络的DDOS检测方案主要分为统计方案、基于机器学习以及人工神经网络的方案。
[0004]非专利文献1(R.F.Fouladi,et.al,“A DDoS attack detection and defense scheme using time
‑
series analysis for SDN,”Journal of Information Security and Applications,vol.54,2020.)使用过滤器并设置动态阈值来检测即时异常变化,方案虽然高效直接但是统计方法的阈值设置不当会影响结果的判别结果。
[0005]非专利文献2(R.F.Fouladi,et.al,“A DDoS attack detection and defense scheme using time
‑
series analysis for SDN,”Journal of Information Security and Applications,vol.54,2020.)在边缘网络控制器中部署了基于KNN的检测器，可以实现高精度异常检测，由于需要计算距离带来较大的检测延时以及给边缘网络控制器带来较大的计算负担。
[0006]非专利文献3(T.M.Nam,P.H.Phong,T.D.Khoa et al.,“Self
‑
organizing map
‑
based approaches in DDoS flooding detection using SDN,”2018.)将SOM与KNN相结合以提高SOM检测精度。但SOM图的拓扑结构需要手动设置，会影响检测结果。
[0007]基于以上文献中的信息，当前SDN网络的DDOS检测方案中仍然存在诸多的问题，其中重要参数阈值的设置严重依赖于人工经验，对最后的准确率影响较大，且检测方法的计算负担大、检测延时高。

技术实现思路

[0008]本专利技术的目的在于针对现有基于SOM的DDoS攻击处理方法中存在的准确率不高、模型训练占用过多边缘网络控制资源、检测延时高的问题，提出了一种基于信息熵SOM针对DDos攻击的SDN云边协作识别系统，解决了传统SOM神经元拓扑结构选择的困难，提高了SOM检测的准确率。
[0009]本专利技术的目的是通过以下步骤实现：
[0010]S1、预处理DDos流量数据集：对DDos流量数据集中的M个节点，筛选网络流量特征，得到每个节点的特征变量，并将特征值进行压缩；
[0011]S2、由DDos流量数据集的理想簇数量来确定训练的SOM输出层拓扑中的神经元数量范围；
[0012]S3、创建SOM模型并进行训练，得到训练好的SOM模型参数；
[0013]S4、通过数据的映射类型和SOM模型的不准确系数对训练好的SOM模型参数进行筛选，得到最优SOM模型参数；
[0014]S5、根据欧氏距离对SOM模型的输出层神经元权重坐标按照KD树建模；
[0015]S6、将训练好的SOM模型参数、KD树和不同映射类型的神经元集合打包分发给SDN边缘网络的控制器集群；
[0016]S7、将获取到的网络流量特征进行标准化，发送至控制器集群进行流量类型判断。
[0017]进一步地，所述网络流量特征具体为：协议名称、目的端口、网络流持续时间、均网络包大小APS、网络包传输速率PR、网络流字节传输速率BR，其中APS、PR、BR计算公式如下：
[0018][0019][0020][0021]进一步地，所述S2中具体步骤如下：根据K
‑
means++聚类算法将训练的数据集划分为1～k
m
个簇，从DDos流量数据集中随机选取一个样本点，第i个簇记为C
i
，对应的簇中心点记为U
i
，定义聚集系数SSE
k
为每个簇C
i
中的点到其簇中心U
i
距离之和的总和，来反映这个聚类集群的聚集程度：
[0022][0023]基于肘部方法，SOM模型搜索范围的下界取为聚集系数下降最快的那个点，记为α，由以下的公式来计算得到：
[0024][0025]SOM模型搜索范围的上界取为聚集系数下降趋于平缓的点，记为β，由以下的公式来计算得到：
[0026][0027]进一步地，所述创建SOM模型包括：创建SOM二维输出层拓扑S＝L*R满足α≤S≤β，并对每个神经元W
i
的6维变量赋予随机初始值W
i
＝(w
i1
,w
i2
,w
i3
,w
i4
…
w6)1≤i≤S。
[0028]进一步地，对SOM进行训练具体步骤为：
[0029]对范围内的每个的SOM模型进行训练，训练的数据集中每个节点计算到神经元的距离，取距离的最小值的神经元作为映射神经元的权重，记为W
z
，计算每个节点计算到神经元的距离的公式如下：
[0030]Dis(U
i
‑
W
i
)＝‖U
i
‑
W
i
‖；
[0031]对于U
i
根据邻域聚合函数η和学习率α更新每个映射神经元的权重：
[0032]W
z
(t+1)＝W
z
(t)+η(t)*α(t)(U
i
(t)
‑
W
z
(t))。
[0033]进一步地，所述对训练好的SOM模型参数进行筛选具体为：
[0034]根据训练集中的每个数据的标签统计映射的网络流量类型，正常流量数量记为a
i
，异常流量数量记为b
i
，根据信息熵函数计算得到ENT
i
，用于衡量每个SOM模型中神经元W
i
的映射类型，当信息熵越大时该神经元的映射不确定度就越大，当a
i
＝b
i
＝0时，该神经元未映射到任何训练集中的数据，此时ENT
i
记为1，不确定本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，该方法包括以下步骤：S1、预处理DDos流量数据集：选取DDos流量数据集中的M个节点，筛选网络流量特征，得到每个节点的特征变量，并将特征值进行压缩；S2、由DDos流量数据集的理想簇数量来确定训练的SOM输出层拓扑中的神经元数量范围；S3、创建SOM模型并进行云端训练，得到训练好的SOM模型参数；S4、通过数据的映射类型和SOM模型的不准确系数对训练好的SOM模型参数进行筛选，得到最优SOM模型参数；S5、根据欧氏距离对SOM模型的输出层神经元权重坐标按照KD树建模；S6、将训练好的SOM模型参数、KD树和不同映射类型的神经元集合打包分发给SDN边缘网络的控制器集群；S7、将获取到的网络流量特征进行标准化，发送至控制器集群进行流量类型判断，对攻击流量进行处理。2.根据权利要求1所述的一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，所述网络流量特征具体为：协议名称、目的端口、网络流持续时间、均网络包大小APS、网络包传输速率PR、网络流字节传输速率BR，其中APS、PR、BR计算公式如下：络包传输速率PR、网络流字节传输速率BR，其中APS、PR、BR计算公式如下：络包传输速率PR、网络流字节传输速率BR，其中APS、PR、BR计算公式如下：3.根据权利要求1所述的一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，所述S2中具体步骤如下：根据K
‑
means++聚类算法将DDos流量数据集划分为1～k
m
个簇，从DDos流量数据集中随机选取一个样本点，第i个簇记为C
i
，对应的簇中心点记为U
i
，定义聚集系数SSE
k
为每个簇C
i
中的点到其簇中心U
i
距离之和的总和，来反映这个聚类集群的聚集程度：基于肘部方法，SOM模型搜索范围的下界取为聚集系数下降最快的那个点，记为α，由以下的公式来计算得到：SOM模型搜索范围的上界取为聚集系数下降趋于平缓的点，记为β，由以下的公式来计算得到：
4.根据权利要求3所述的一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，所述创建SOM模型包括：创建SOM二维输出层拓扑S＝L*R满足α≤Sβ，并对每个神经元W
i
的6维变量赋予随机初始值W
i
＝(w
i1
,w
i2
,w
i3
,w
i4
…
w6)1≤i≤S。5.根据权利要求1所述的一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，对SOM进行训练具体步骤为：对范围内的每个的SOM模型进行训练，DDos流量数据集中每个节点计算到神经元的距离，取距离的最小值的神经元作为映射神经元的权重，记为W
z
，计算每个节点计算到神经元的距离的公式如下：Dis(U
i
‑
W
i
)＝‖U
i
‑
W
i
‖；对于U
i
根据邻域聚合函数η和学习率α更新每个映射神经元的权重：W
z
(t+1)＝W
z
(t)+η(t)*(t)(U
i
(t)
‑
W
z
(t))。6.根据权利要求1所述的一种基于神经网络的DDos攻击云边协作防御方法，其特征在于，所述对训练好的SOM模型参数进行筛选具体为：根据训练集中的每个数据的标签统计映射的网络流量类型，正常流量数量记为a
i
，异常流量数量记为b
i
，根据信息熵函数计算得到ENT
i
，用于衡量每个SOM模型中神经元W
i
的映射类型，当信息熵越大时该神经元的映射不确定度就越大，当a
i
＝b
i
＝0时，该神经元未映射到任何训练集中的数据，此时ENT
i
记为1，不确定的右边界为信息熵函数为：当ENT
i
∈[0,T]时，若a
i
＜b
i
该神经元...

【专利技术属性】
技术研发人员：沈晓翔，庄永真，罗进开，万志远，
申请(专利权)人：浙江大学，
类型：发明
国别省市：