本申请实施例公开了一种SDN环境下的DDoS攻击检测方法及装置,其中方法包括:对获取的网络流量数据进行预处理;将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量;其中,所述攻击检测模型部署在SDN网络的控制平面中,包括时间卷积网络和图卷积网络,且所述时间卷积网络用于提取所述网络流量数据的时间序列特征,所述图卷积网络用于提取所述网络流量数据的空间序列特征。本申请通过将TCN和GCN的优势结合起来提出DDoS攻击检测模型并将其部署在SDN的控制平面,进一步提高模型的泛化能力,能够有效提高在SDN网络架构下对DDoS攻击检测的准确率,降低误报率。
【技术实现步骤摘要】
本申请涉及网络信息安全领域,涉及但不限定于一种sdn环境下的ddos攻击检测方法及装置。
技术介绍
1、分布式拒绝服务(distributed denial of service,ddos)攻击是传统网络面临的主要威胁之一,如何对ddos攻击进行准确的检测和高效的防御一直是网络安全领域和相关人员研究的主要问题。现阶段传统网络下对ddos攻击的检测和防御已经趋于成熟。但是随着网络规模的日益扩大和联网设备的快速增长以及各类网络应用的出现,传统网络的弊端逐渐暴露。因此,一个弥补传统网络弊端的可扩展的网络架构即软件定义网络(softwaredefined network,sdn)应运而生。sdn的数控分离、逻辑上的集中控制和网络开放可编程的特点既可以通过集中控制器中的软件平台实现对底层硬件的可编程控制,又可以实现网络资源的按需灵活调配。sdn作为一个新型的网络架构,与传统网络结构相比更容易受到ddos攻击,导致整个网络崩溃。ddos攻击能够导致sdn控制器过载、使sdn网络服务失效、破坏sdn网络稳定性。
2、现阶段在sdn中对ddos的检测研究还处于起步阶段,存在许多问题。但sdn数控分离的特点和通过控制器提供基于软件的流量分析的能力,为使用机器学习和深度学习等智能方法检测ddos攻击提供了前景。针对ddos攻击具有时间序列特征和空间序列特征的问题,并且由于sdn数控分离的特点能导致在sdn控制平面中发生ddos攻击时会影响网络正常运行。目前的技术尚未综合考虑时空特征结合的方法检测sdn网络架构下的ddos攻击。
<
br/>技术实现思路
1、有鉴于此,本申请实施例提供一种sdn环境下的ddos攻击检测方法及装置,解决现阶段ddos攻击具有的主要问题,提高检测的准确率。
2、本申请实施例的技术方案是这样实现的:
3、第一方面,本申请实施例提供一种sdn环境下的ddos攻击检测方法,所述方法包括:
4、对获取的网络流量数据进行预处理;将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量;其中,所述攻击检测模型部署在sdn网络的控制平面中,包括时间卷积网络和图卷积网络,且所述时间卷积网络用于提取所述网络流量数据的时间序列特征,所述图卷积网络用于提取所述网络流量数据的空间序列特征。
5、在一些实施方式中,所述时间卷积网络中包括残差模块,包括两层的卷积和非线性映射,在每层中加入了权重归一化和dropout来正则化网络,用于实现网络的跨层信息传递,加快模型训练过程。
6、在一些实施方式中,所述将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量,包括:通过所述时间卷积网络的卷积操作对所述网络流量数据进行特征提取,得到时间序列特征;以所述sdn网络中的节点作为图的节点,节点之间的连接关系作为图的边,构建所述网络流数据对应的网络结构图,确定所述网络结构图的邻接矩阵以及特征矩阵并作为所述图网络模型的输入,通过特征提取得到空间特征数据;对所述时间序列特征和所述空间序列特征进行特征融合;将融合后的特征输入到softmax分类器中进行ddos攻击的分类,得到网络流量识别结果。
7、在一些实施方式中,所述攻击检测模型的训练过程包括:获取cicddos2019数据集并进行预处理后分为训练集和测试集;将所述训练集输入到所述攻击检测模型中,应用学习率自适应的优化算法adam算法寻找最优的模型参数;设置隐藏层激活函数为relu,输出层选取softmax函数作为激活函数;使用dropout算法进行正则化。
8、在一些实施方式中,在每个训练周期开始时对所述训练集进行洗牌,防止过拟合,通过预设数量的训练周期筛选出所述攻击检测模型的参数组合,找到最优参数;其中,所述训练周期表征所有训练数据在神经网络中都进行了一次正向传播和一次反向传播。
9、在一些实施方式中,所述方法还包括:将训练完成的所述攻击检测模型在所述测试集上进行ddos攻击检测测试,得出分类结果并确定以下评价指标:准确率、精确度、召回率、误报率、f1-分数;利用所述评价指标评估所述攻击检测模型的性能。
10、在一些实施方式中,所述方法还包括:利用mininet仿真平台,openvswitch交换机和pox控制器搭建sdn仿真环境,并将所述攻击检测模型部署在sdn网络架构中的控制平面。
11、第二方面,本申请实施例提供一种sdn环境下的ddos攻击检测装置,包括流量预处理模块和流量检测模块,其中:
12、所述流量预处理模块,用于对获取的网络流量数据进行预处理;
13、所述流量检测模块,将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量;其中,所述攻击检测模型部署在sdn网络的控制平面中,包括时间卷积网络和图卷积网络,且所述时间卷积网络用于提取所述网络流量数据的时间序列特征,所述图卷积网络用于提取所述网络流量数据的空间序列特征。
14、第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法中的步骤。
15、第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
16、本申请实施例提供的技术方案带来的有益效果至少包括:
17、在本申请实施例中,通过利用时间卷积网络对网络流量数据的时间序列特征进行学习和分析,关注流量数据的时间变化和趋势,利用图卷积网络对空间序列特征进行学习和分析,关注网络流量的空间分布和sdn的网络拓扑结构,这样将tcn和gcn的优势结合起来并将其部署在sdn的控制平面,提出ddos攻击检测模型,进一步提高模型的泛化能力,能够有效提高在sdn网络架构下对ddos攻击检测的准确率,降低误报率。
本文档来自技高网...
【技术保护点】
1.一种SDN环境下的DDoS攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述时间卷积网络中包括残差模块,包括两层的卷积和非线性映射,在每层中加入了权重归一化和Dropout来正则化网络,用于实现网络的跨层信息传递,加快模型训练过程。
3.根据权利要求1所述的方法,其特征在于,所述将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量,包括:
4.根据权利要求1所述的方法,其特征在于,所述攻击检测模型的训练过程包括:
5.根据权利要求4所述的方法,其特征在于,所述模型训练过程还包括:
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
8.一种SDN环境下的DDoS攻击检测装置,其特征在于,所述装置包括流量预处理模块和流量检测模块,其中:
9.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述方法中的步骤。
...
【技术特征摘要】
1.一种sdn环境下的ddos攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述时间卷积网络中包括残差模块,包括两层的卷积和非线性映射,在每层中加入了权重归一化和dropout来正则化网络,用于实现网络的跨层信息传递,加快模型训练过程。
3.根据权利要求1所述的方法,其特征在于,所述将处理后的网络流量数据输入到已训练的攻击检测模型中进行检测,以识别网络流量为正常流量或攻击流量,包括:
4.根据权利要求1所述的方法,其特征在于,所述攻击检测模型的训练过程包括:
5.根据权利要求4所述的方法,其特征在于,所述模型训练过...
【专利技术属性】
技术研发人员:王海凤,郑承蔚,刘瑞,王凯江,白倩,刘英华,赵鹏,张舒琦,
申请(专利权)人:内蒙古工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。