计算机论文哪里有?本文以SDN网络安全为研究对象,针对提取特征单一和数据不均衡等问题,提出了基于特征融合的SDN网络攻击检测方法,从网络流量数据特征分析、数据样本均衡处理、数据特征提取以及网络攻击检测这4个方面进行了研究。
1 绪论
1.2 国内外研究现状
1.2.1 SDN网络攻击检测方法研究现状
SDN技术被公认为面向网络虚拟化和智能化高度融合的未来网络演进方向,因而在应对不同的网络安全挑战方面备受关注。为了提高SDN网络异常行为的检测效率和准确性,研究人员已经广泛运用多种传统和新兴技术来开展网络攻击检测工作[18]。针对SDN网络架构中可能遭受的异常流量攻击,研究人员已经提出了许多检测方法,目前主要包括基于统计分析和基于机器学习的SDN网络攻击检测方法。
(1)基于统计分析的SDN网络攻击检测方法
基于统计分析的攻击检测方法依赖于对网络流量数据的深入分析,通过捕获大量的网络流量数据,然后构建诸如信息距离等统计指标来度量流量序列间的随机性或者评估它们之间的相关性[19]。它的核心是在于比较当前网络流量序列与正常流量序列的差异性,从而准确判断是否存在网络攻击活动。目前基于统计分析的检测方法主要包括基于信息熵和基于流量统计两种方法。
(2)基于机器学习的SDN网络攻击检测方法
随着近年来人工智能在各个领域的进展,机器学习算法已被广泛应用于模式识别、目标检测以及分类和回归问题。机器学习算法利用大量的数据来改进算法策略和参数,实现计算机的最佳性能标准[30]。在SDN网络攻击检测中,可以根据历史流量数据训练,基于机器学习的流量分类实现对网络流量的异常检测,常用机器学习算法包括支持向量机(SVM)、朴素贝叶斯算法、监督学习算法、自组织映射(SOMs)和无监督算法等。Bhayo[31]等人将基于机器学习的检测模块集成到控制器中,并建立了一个测试平台环境来模拟DDoS攻击流量的生成。SDN-WISE控制器中添加的日志机制捕获流量,该机制将网络日志写入日志文件,该日志文件经过预处理并转换为数据集。机器学习DDoS检测模块集成在SDN-WISE控制器中,使用朴素贝叶斯(NB)、决策树(DT)和支持向量机(SVM)算法对SDN-IoT网络数据包进行分类。并使用不同的流量模拟场景评估了所提出框架的性能。Anyanwu等人[32]提出了一种入侵检测模型(IDM)来识别车辆空间中的分布式拒绝服务(DDoS)攻击。该方案采用支持向量机(SVM)分类器的径向基函数(RBF)核和一种称为网格搜索交叉验证(GSCV)的穷举参数搜索技术。
3 SDN安全威胁及流量数据分析
3.1 SDN三层网络架构及其安全威胁
SDN网络是三层网络架构,如图3-1所示,分别为应用平面、控制平面与数据转发平面。与传统互联网络架构相比较,SDN网络架构更加具有优势,能够通过控制器,网络管理员可以掌握全局网络状态,从而实现网络资源的统一管理和调度执行。这不仅提高了网络管理的效率,还使得网络配置和变更更加快速和简单。其次,SDN网络还具有高度的可编程性。通过开放的API接口,网络管理员可以编写自定义的网络控制逻辑,实现个性化的网络功能和服务。这种可编程性使得SDN网络能够更好地适应复杂的网络环境和业务需求,提供更为灵活和多样化的网络服务。
5 检测算法实验结果与分析
5.1 实验数据与实验环境
本研究提出的SDN网络攻击检测方法的实验数据来自InSDN公开数据集。实验数据信息如表5-1所示,实验环境如表5-2所示。
5.2 数据增强实验结果与分析
数据增强具体的实验步骤如下,首先将原始数据集输入至数据预处理模块,通过数值化、独热编码以及归一化等一系列处理,将其转换为适合机器学习算法训练的数据格式。然后构建WGAN-GP模型用于增强少数类别的样本数据。把少数类异常流量Web-attack、BFA、U2R以及Botnet输入到数据增强模型,得到合成的新数据样本,在数据生成后通过观察生成器和鉴别器的损失函数曲线判断数据生成过程;搭建Tomek links多数类数据采样模型,把训练集多数类作为模型的输入进行数据欠采样处理;最后把WGAN-GP少数类数据增强模型和Tomek links多数类数据欠采样模型得到的数据进行结合得到数据分布平衡的数据集。
WGAN-GP少数类样本数据增强是由一个生成器和一个判别器构成。其中生成器和判别器都是一个多层的全连接神经网络。生成器的输入是一个随机噪声变量,输入维度 是generator_input_size,参数默认为100,输出一个83维的样本数据。生成器的全连接网络一共有6层包含输入层、输出层以及4个隐藏层,各层之间采用全连接的连接方式,激活函数为ReLU函数,ReLU函数可以使模型在训练过程中的收敛速度更快,梯度消失问题也得到了缓解。输出层是生成器的最后一层用于模拟少数类Web-attack、BFA、U2R以及Botnet攻击样本。
6 总结和展望
6.2 工作展望
从本文的研究内容和实验结果来看,本文所设计的基于SDN网络的攻击检测算法已经完成了相应的功能,但是随着实验过程的深入,会发现还有一些方面需要开展和完善的内容,下面是对下一步工作内容的讨论。
(1)SDN网络流量特点分析方面。本文首先通过分析SDN网络三层平面以及受到的安全威胁,根据SDN网络特点实现流量数据仿真,但是仅仅只使用Hping3工具仿真了DDoS攻击,没有考虑SDN中的其它攻击。例如像Web-attack、Botnet攻击等。此外在分析仿真数据集和InSDN数据集的数据特征时应该对时空特征以及数据载核特征更加深入分析,挖掘具有深度的特征有助于完成对网络流量的分析,为攻击检测提供支持。
(2)在本文所提出的数据不平衡处理算法WGT(WGAN-GP+Tomek links)只是针对本文的数据集进行了实验,并没有在其他的公开数据集中进行测试,验证其普适性。同时针对多数类样本欠采样技术有更好的方法,从而更好地改变多数样本数据实现数据均衡处理。
参考文献(略)
