基于集成学习的软件定义网络DDOS攻击协同防御方法技术

本发明专利技术涉及入侵检测技术领域，具体涉及一种基于集成学习的软件定义网络DDOS攻击协同防御方法，首先提出了一种基于Bagging集成的特征选择算法，避免单特征选择算法忽略特征间联系，倾向选择冗余特征的情况；其次引入成对多样性度量用于选择性集成，选择出较为优秀的异质集成模型，并采用分层十倍交叉验证方法避免了过度拟合；最后，采用基于Bagging集成算法的加权投票机制进行基分类器模型的集成，并将该模型嵌入SDN控制器当中，设置检测时间间隔，实现实时监测。实现实时监测。实现实时监测。

【技术实现步骤摘要】
基于集成学习的软件定义网络DDOS攻击协同防御方法


[0001]本专利技术涉及入侵检测
，具体涉及一种基于集成学习的软件定义网络DDOS攻击协同防御方法。

技术介绍

[0002]近年来，随着互联网快速发展，网络的规模日趋庞大，传统网络压力日益见长。软件定义网络(Software Defined Networking，SDN)采用可编程的方式，实现转控分离，可有效地管理网络设备资源，集中体现了以控制器为中心的管理模式，在云计算网络的发展中起着重要的作用。但这种模式会给各种恶意应用软件带来相应的攻击机会。尽管OpenFlow可以提供一些基于流的安全检测第法，但其潜在的假设是在SDN中应用软件未受到恶意攻击或北向接口未受到破坏的前提条件下，这会对SDN起到一定的安全保护作用，但对DDOS攻击却束手无策。基于SDN对数据流细粒化的控制，在DDOS攻击中可以利用控制器方便地进行报文过滤、速率限制和攻击溯源。然而，传统的分类算法使用较为单一的特征降维算法进行特征降维，没有考虑特征与特征之间的联系，且该方法只使用单个算法评估模型，导致模型的稳定性较弱，且冗余特征浪费计算资源。其次，在进行检测算法设计上仅以单一分类算法作为支撑，或者仅以准确值作为集成分类器的赋权指标，致使分类结果存在偏向性。

技术实现思路

[0003]本专利技术的目的在于提供一种基于集成学习的软件定义网络DDOS攻击协同防御方法，避免了现有防御方法中的单特征选择算法忽略特征间联系的情况，同时采用分层十倍交叉验证方法避免了过度拟合问题。
[0004]为实现上述目的，本专利技术提供了一种基于集成学习的软件定义网络DDOS攻击协同防御方法，包括下列步骤：
[0005]启动SDN控制器进行流量数据采集，并将所述流量数据存储在CSV文件中；
[0006]将收集到的数据放入Double
‑
Bagging检测模型进行训练；
[0007]将训练生成的集成模型嵌入SDN控制器，启动DDOS攻击检测模块。
[0008]其中，所述流量数据包括正常流量和攻击流量的数据，由IP源的速度、流量计数、流量表项的速度和流量对比值组成，所述IP源的速度、所述流量计数、所述流量表项的速度和所述流量对比值的数值在正常流量时均比在攻击流量时低。
[0009]其中，所述Double
‑
Bagging检测模型的建立过程，包括下列步骤：
[0010]进行数据预处理及特征降维，通过基于bagging集成算法的特征子集选择投票机制获取最优特征子集；
[0011]所述最优特征子集输入基分类器进行训练，选择优质的异质集成学习基分类器模型；
[0012]采用基于Bagging集成算法的加权投票机制进行选择基分类器模型的集成。
[0013]其中，特征降维采用结合过滤法和嵌入法的降维算法，并选用滤法中的两种特征
选择算法卡方验证与互信息算法以及嵌入法中的极限随机树算法计算特征贡献的排序。
[0014]其中，获取最优特征子集的过程，具体为通过设定的阈值决定每个特征选择算法结果的个数，根据特征贡献排序生成结果特征子集，采用投票策略选择出现次数最多的特征子集作为最优特征子集。
[0015]其中，在所述最优特征子集输入基分类器进行训练，选择优质的异质集成学习基分类器模型的过程中，引入集成学习中的多样性度量进行基分类器间的组合效果评估，并采用贝叶斯优化参数，通过计算模型的准确率和曲线下面积完成第一次的基分类器过滤。
[0016]其中，所述加权投票机制的权重由准确率和曲线下面积值确定，所述曲线下面积值通过基分类器的受试者工作特征曲线计算获取。
[0017]其中，启动DDOS攻击检测模块后，当正常流量产生时，Double
‑
Bagging模型算法将其预测为正常流量，当有攻击流量产生时，立即将其检测为DDOS攻击，并阻断其进入的端口。
[0018]本专利技术提供了一种基于集成学习的软件定义网络DDOS攻击协同防御方法，首先提出了一种基于Bagging集成的特征选择算法，避免单特征选择算法忽略特征间联系，倾向选择冗余特征的情况；其次引入成对多样性度量用于选择性集成，选择出较为优秀的异质集成模型，并采用分层十倍交叉验证方法避免了过度拟合；最后，采用基于Bagging集成算法的加权投票机制进行基分类器模型的集成，并将该模型嵌入SDN控制器当中，设置检测时间间隔，实现实时监测。
附图说明
[0019]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0020]图1是本专利技术的一种基于集成学习的软件定义网络DDOS攻击协同防御方法的流程示意图。
[0021]图2是本专利技术的基于集成学习的软件定义网络DDOS攻击协同防御方法的具体实施流程图。
[0022]图3是本专利技术的Double
‑
Bagging算法的流程图；
[0023]图4是本专利技术的基于Bagging的特征选择投票机制流程图。
具体实施方式
[0024]下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本专利技术，而不能理解为对本专利技术的限制。
[0025]以下为本专利技术的部分名词以及术语说明：
[0026]软件定义网络(Software Defined Networking，SDN)；
[0027]受试者工作特征(receiver operating characteristic，ROC)；
[0028]曲线下面积(Area Under Curve，AUC)。
[0029]请参阅图1，本专利技术提供了一种基于集成学习的软件定义网络DDOS攻击协同防御方法，包括下列步骤：
[0030]S1：启动SDN控制器进行流量数据采集，并将所述流量数据存储在CSV文件中；
[0031]S2：将收集到的数据放入Double
‑
Bagging检测模型进行训练；
[0032]S3：将训练生成的集成模型嵌入SDN控制器，启动DDOS攻击检测模块。
[0033]基于集成学习的软件定义网络DDOS攻击协同防御方法总体设计如图2所示，协同防御模型的设计过程包括三个方面，分别是流量收集模块、算法模型选择模块以及检测防御机制设计三个模块，并将该模型嵌入Ryu控制器当中，设置检测时间间隔，实现实时监测，其详细的实施过程如下:
[0034]S1：启动SDN控制器进行流量数据采集，并将所述流量数据存储在CSV文件中，其中先采集正常流量数据，再采集攻击流量数据，供Double...

【技术保护点】

【技术特征摘要】
1.一种基于集成学习的软件定义网络DDOS攻击协同防御方法，其特征在于，包括下列步骤：启动SDN控制器进行流量数据采集，并将所述流量数据存储在CSV文件中；将收集到的数据放入Double
‑
Bagging检测模型进行训练；将训练生成的集成模型嵌入SDN控制器，启动DDOS攻击检测模块。2.如权利要求1所述的基于集成学习的软件定义网络DDOS攻击协同防御方法，其特征在于，所述流量数据包括正常流量和攻击流量的数据，由IP源的速度、流量计数、流量表项的速度和流量对比值组成，所述IP源的速度、所述流量计数、所述流量表项的速度和所述流量对比值的数值在正常流量时均比在攻击流量时低。3.如权利要求1所述的基于集成学习的软件定义网络DDOS攻击协同防御方法，其特征在于，所述Double
‑
Bagging检测模型的建立过程，包括下列步骤：进行数据预处理及特征降维，通过基于bagging集成算法的特征子集选择投票机制获取最优特征子集；所述最优特征子集输入基分类器进行训练，选择优质的异质集成学习基分类器模型；采用基于Bagging集成算法的加权投票机制进行选择基分类器模型的集成。4.如权利要求3所述的基于集成学习的软件定义网络DDOS攻击协同防御方法，其特征在于，特征降维采用结合过滤法和嵌入法的降维算法...

【专利技术属性】
技术研发人员：陈俊彦，卢贤涛，黄雪锋，谢小兰，廖岑卉珊，
申请(专利权)人：桂林电子科技大学，
类型：发明
国别省市：