一種在SDN架構下基于機器學習的網絡攻擊防御方法和系統技術方案

本發明專利技術公開一種基于機器學習的網絡攻擊防御方法和系統，利用機器學習訓練一個網絡攻擊識別模型，然后將該模型部署在SDN控制器上，對由交換機的上傳的報文利用機器學習模型進行檢測，根據檢測結果做出相應的防御措施，最終達到了對99.97％網絡攻擊的成功防御的效果。

【技術實現步驟摘要】
一種在SDN架構下基于機器學習的網絡攻擊防御方法和系統
本專利技術屬于網絡安全
，尤其涉及一種在SDN架構下基于機器學習的網絡攻擊防御方法和系統。
技術介紹
隨著網絡技術的發展，互聯網讓人們的生活越來越便捷，但是隨之而來的網絡安全問題暴露在人們眼前。在傳統網絡中都將防火墻作為安全的第一道的防線，但是由于網絡攻擊者的技術和手段的快速提升，網絡攻擊更加難以防御，對網絡的防衛也必須采用一種細粒度、適應性強的手段。SDN是一種新型的網絡架構，設計理念是將網絡的控制平面與數據轉發層面分離，并實現可編程化控制。SDN架構通常分為三層，最上層為應用層，包括不同的業務和應用；控制層主要負責處理數據資源的編排，維護網絡拓撲，信息狀態等；數據轉發層負責基于流表的數據處理，轉發和狀態收集。在SDN架構下可以通過深層次的數據包分析，實現更加靈活的更新流量策略，在復雜的網絡環境中可以實現更高級的網絡監控，為細粒度的網絡攻擊識別提供了基礎，并且SDN的可編程性為在網絡攻擊識別中應用機器學習模塊提供了良好的接口。在網絡攻擊防御系統中，至關重要的一步是對網絡攻擊的檢測，已有的檢測方案為：采用SDN控制器流表分析和KNN算法，來完成異常流量的檢測。流量進入OVS交換機時首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送給SDN控制器，由SDN控制器生成流表并發送給交換機。SDN控制器還可以隨時獲取交換機上的流表信息，通過分析流表信息，可以得知網絡該段時間內有沒有遭到DDoS攻擊?，F有的技術方案下，在進行網絡攻擊檢測時，是基于網絡流量的平均每個流中的報文數，平均每個流中的字節數，平均每個流表項的持續時間，交互流的比率，非交互流的增速，不同端口的增速等特征對網絡流量進行分類，判定哪些網絡流量屬于網絡攻擊。但是這些特征的獲取都是在網絡流結束以后，得出的檢測結果無法在真實網絡中應用。因此，在目前的技術方案中，即使是依據上述網絡流量特征判斷出哪些網絡流量屬于網絡攻擊，但是所檢測的網絡流已經結束，檢測結果已經沒有意義了。于是，研究一種能夠實時檢測網絡流量的系統方法是十分必要的。
技術實現思路
本專利技術主要在SDN架構下設計了一套基于機器學習的網絡攻擊防御方法和系統，解決在復雜網絡下的網絡攻擊問題。在本專利技術中，首先利用機器學習訓練一個網絡攻擊識別模型，然后將該模型部署在SDN控制器上，對由交換機的上傳的報文利用機器學習模型進行檢測，根據檢測結果做出相應的防御措施，最終達到了對99.97％網絡攻擊的成功防御的效果。為了解決網絡流量檢測的實時性問題，本專利技術在特征選取時并不使用只有當網絡流量結束時才能獲取的特征，同時為了提高對網絡攻擊識別的準確率，本專利技術設計了一個報文信息庫，用來存儲歷史報文信息，并且通過歷史報文和當前報文的聯系作為新的特征對網絡攻擊進行識別，這樣既解決了對網絡攻擊識別的實時性問題，又通過新的統計特征的加入而緩解了特征不足的問題。為實現上述目的，本專利技術采用如下的技術方案：一種基于機器學習的網絡攻擊防御方法，利用機器學習訓練一個網絡攻擊識別模型，然后將該模型部署在SDN控制器上，對由交換機的上傳的報文利用機器學習模型進行檢測，根據檢測結果做出相應的防御措施，具體為：首先，構造一個深度全連接網絡來作為網絡攻擊檢測模型，并在此模型中設置接收的統計特征的數量(即輸入維度值)和輸出參數數量(即輸出維度值)；設置輸入維度為17，代表當前報文所具有的17個特征，包含報文基本屬性特征和當前報文與歷史報文的統計特征兩類，如協議類型、目標主機網絡服務類型、連接正?；蝈e誤的狀態；設置輸出維度為11，代表1種正常報文和10種攻擊報文；同時模型中的激活函數使用“sigmoid”，隱藏層數設為3；使用L2正則化損失函數并使用反向傳播算法更新神經網絡參數；使用NSL-KDD數據集作為訓練集來訓練該模型；網絡攻擊防御方法具體處理流程包含：1)報文進入OVS交換機時，首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送PacketIn消息給SDN控制器；2)SDN控制器接受到消息后，判斷是否為PacketIn消息，如果是PacketIn消息則解析報文的數據域，解析出源、目的IP、MAC、端口號信息；3)根據解析出的源、目的設備信息，在設備管理器中查詢是否存在源、目的設備，若都存在則將報文信息錄入報文信息庫中，若至少有一個設備不存在則下發流表丟棄該報文；4)根據報文信息庫里的信息得出當前報文的6個基礎特征和11個統計特征；5)將基礎特征和統計特征輸入網絡攻擊檢測模型中判斷是否為攻擊報文；6)若判斷當前報文為攻擊報文則下發流表丟棄報文，并對該報文的發送主機進行違規計數，若違規次數超過設定閾值下發流表屏蔽該主機；7)若判斷當前報文為正常報文，則查詢該報文目的地址所連接的交換機端口，下發流表轉發報文。一種基于機器學習的網絡攻擊防御系統包括：偽造報文檢測模塊、網絡攻擊檢測模塊、網絡攻擊處理模塊；其中，偽造報文檢測模塊工作流程為：1)設備管理器從Packet-in報文中獲取設備信息，通過設備的IP、MAC、VLAN和與交換機相連的端口來唯一確定一臺設備；設備管理器將設備的信息維護在實時設備表中，并設置一個過期時間，在設備信息過期后則將設備信息從實時設備表中刪除；2)對控制器收到解析出的源、目的設備信息，在設備管理器中查詢是否存在源、目的設備，若都存在則將報文信息錄入報文信息庫中，若至少有一個設備不存在則下發流表丟棄該報文；網絡攻擊檢測模塊工作流程為：1)根據報文信息庫里的信息得出當前報文的6個基礎特征和11個統計特征；2)將基礎特征和統計特征輸入網絡攻擊檢測模型中判斷是否為攻擊報文；網絡攻擊處理模塊工作流程為：1)當前報文為攻擊報文則下發流表丟棄報文，并對該報文的發送主機進行違規計數；2)當主機的違規次數超過設定閾值下發流表屏蔽該主機。附圖說明圖1網絡攻擊防御處理流程；圖2偽造報文檢測流程；圖3網絡攻擊檢測流程；圖4網絡攻擊處理流程。具體實施方式本專利技術針對現有的網絡安全問題，設計了一套基于機器學習的網絡攻擊防御方法和系統，通過機器學習訓練的網絡攻擊識別模型對網絡中存在的攻擊行為進行有效的識別并對網絡攻擊做出相應的防御措施。首先，構造一個深度全連接網絡來作為網絡攻擊檢測模型，并在此模型中設置接收的統計特征的數量(即輸入維度值)和輸出參數數量(即輸出維度值)。本專利技術設置輸入維度為17，代表當前報文所具有的17個特征，包含報文基本屬性特征和當前報文與歷史報文的統計特征兩類，如協議類型、目標主機網絡服務類型、連接正?；蝈e誤的狀態等，具體見表2所示。設置輸出維度為11，代表1種正常報文和10種攻擊報文。同時，本模型中的激活函數使用“sigmoid”，隱藏層數設為3。為了避免過擬合，使用L2正則化損失函數并使用反向傳播算法更新神經網絡參數。使用NSL-KDD數據集作為訓練集來訓練該模型。網絡攻擊防御方法具體處理流程如圖1所示：8)報文進入OVS交換機時，首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送PacketIn消息給SDN控制器。9)SDN控制器接受本文檔來自技高網...

【技術保護點】
1.一種在SDN架構下基于機器學習的網絡攻擊防御方法，其特征在于，利用機器學習訓練一個網絡攻擊識別模型，然后將該模型部署在SDN控制器上，對由交換機的上傳的報文利用機器學習模型進行檢測，根據檢測結果做出相應的防御措施，具體為：首先，構造一個深度全連接網絡來作為網絡攻擊檢測模型，并在此模型中設置接收的統計特征的數量(即輸入維度值)和輸出參數數量(即輸出維度值)；設置輸入維度為17，代表當前報文所具有的17個特征，包含報文基本屬性特征和當前報文與歷史報文的統計特征兩類，如協議類型、目標主機網絡服務類型、連接正?；蝈e誤的狀態；設置輸出維度為11，代表1種正常報文和10種攻擊報文；同時模型中的激活函數使用“sigmoid”，隱藏層數設為3；使用L2正則化損失函數并使用反向傳播算法更新神經網絡參數；使用NSL?KDD數據集作為訓練集來訓練該模型；網絡攻擊防御方法具體處理流程包含：1)報文進入OVS交換機時，首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送PacketIn消息給SDN控制器；2)SDN控制器接受到消息后，判斷是否為PacketIn消息，如果是PacketIn消息則解析報文的數據域，解析出源、目的IP、MAC、端口號信息；3)根據解析出的源、目的設備信息，在設備管理器中查詢是否存在源、目的設備，若都存在則將報文信息錄入報文信息庫中，若至少有一個設備不存在則下發流表丟棄該報文；4)根據報文信息庫里的信息得出當前報文的6個基礎特征和11個統計特征；5)將基礎特征和統計特征輸入網絡攻擊檢測模型中判斷是否為攻擊報文；6)若判斷當前報文為攻擊報文則下發流表丟棄報文，并對該報文的發送主機進行違規計數，若違規次數超過設定閾值下發流表屏蔽該主機；7)若判斷當前報文為正常報文，則查詢該報文目的地址所連接的交換機端口，下發流表轉發報文。...

【技術特征摘要】
1.一種在SDN架構下基于機器學習的網絡攻擊防御方法，其特征在于，利用機器學習訓練一個網絡攻擊識別模型，然后將該模型部署在SDN控制器上，對由交換機的上傳的報文利用機器學習模型進行檢測，根據檢測結果做出相應的防御措施，具體為：首先，構造一個深度全連接網絡來作為網絡攻擊檢測模型，并在此模型中設置接收的統計特征的數量(即輸入維度值)和輸出參數數量(即輸出維度值)；設置輸入維度為17，代表當前報文所具有的17個特征，包含報文基本屬性特征和當前報文與歷史報文的統計特征兩類，如協議類型、目標主機網絡服務類型、連接正?；蝈e誤的狀態；設置輸出維度為11，代表1種正常報文和10種攻擊報文；同時模型中的激活函數使用“sigmoid”，隱藏層數設為3；使用L2正則化損失函數并使用反向傳播算法更新神經網絡參數；使用NSL-KDD數據集作為訓練集來訓練該模型；網絡攻擊防御方法具體處理流程包含：1)報文進入OVS交換機時，首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送PacketIn消息給SDN控制器；2)SDN控制器接受到消息后，判斷是否為PacketIn消息，如果是PacketIn消息則解析報文的數據域，解析出源、目的IP、MAC、端口號信息；3)根據解析出的源、目的設備信息，在設備管理器中查詢是否存在源、目的設備，若都存在則將報文信息錄入報文信息庫中，若至少有一個設備不存在則下發流表丟棄...

【專利技術屬性】
技術研發人員：霍如，薛寧，劉江，黃韜，鄂新華，謝人超，晁代崇，劉韻潔，
申請(專利權)人：北京工業大學，
類型：發明
國別省市：北京,11