[发明专利]一种在SDN架构下基于机器学习的网络攻击防御方法和系统

说明书

本发明公开一种基于机器学习的网络攻击防御方法和系统，利用机器学习训练一个网络攻击识别模型，然后将该模型部署在SDN控制器上，对由交换机的上传的报文利用机器学习模型进行检测，根据检测结果做出相应的防御措施，最终达到了对99.97％网络攻击的成功防御的效果。

技术领域

本发明属于网络安全技术领域，尤其涉及一种在SDN架构下基于机器学习的网络攻击防御方法和系统。

背景技术

随着网络技术的发展，互联网让人们的生活越来越便捷，但是随之而来的网络安全问题暴露在人们眼前。在传统网络中都将防火墙作为安全的第一道的防线，但是由于网络攻击者的技术和手段的快速提升，网络攻击更加难以防御，对网络的防卫也必须采用一种细粒度、适应性强的手段。

SDN是一种新型的网络架构，设计理念是将网络的控制平面与数据转发层面分离，并实现可编程化控制。SDN架构通常分为三层，最上层为应用层，包括不同的业务和应用；控制层主要负责处理数据资源的编排，维护网络拓扑，信息状态等；数据转发层负责基于流表的数据处理，转发和状态收集。在SDN架构下可以通过深层次的数据包分析，实现更加灵活的更新流量策略，在复杂的网络环境中可以实现更高级的网络监控，为细粒度的网络攻击识别提供了基础，并且SDN的可编程性为在网络攻击识别中应用机器学习模块提供了良好的接口。

在网络攻击防御系统中，至关重要的一步是对网络攻击的检测，已有的检测方案为：采用SDN控制器流表分析和KNN算法，来完成异常流量的检测。流量进入OVS交换机时首先查看交换机上的流表，有匹配项执行相应的行动，比如转发操作；如果没有匹配的表项，则将报文发送给SDN控制器，由SDN控制器生成流表并发送给交换机。SDN控制器还可以随时获取交换机上的流表信息，通过分析流表信息，可以得知网络该段时间内有没有遭到DDoS攻击。

现有的技术方案下，在进行网络攻击检测时，是基于网络流量的平均每个流中的报文数，平均每个流中的字节数，平均每个流表项的持续时间，交互流的比率，非交互流的增速，不同端口的增速等特征对网络流量进行分类，判定哪些网络流量属于网络攻击。但是这些特征的获取都是在网络流结束以后，得出的检测结果无法在真实网络中应用。

因此，在目前的技术方案中，即使是依据上述网络流量特征判断出哪些网络流量属于网络攻击，但是所检测的网络流已经结束，检测结果已经没有意义了。于是，研究一种能够实时检测网络流量的系统方法是十分必要的。

发明内容

本发明主要在SDN架构下设计了一套基于机器学习的网络攻击防御方法和系统，解决在复杂网络下的网络攻击问题。在本发明中，首先利用机器学习训练一个网络攻击识别模型，然后将该模型部署在SDN控制器上，对由交换机的上传的报文利用机器学习模型进行检测，根据检测结果做出相应的防御措施，最终达到了对99.97％网络攻击的成功防御的效果。为了解决网络流量检测的实时性问题，本发明在特征选取时并不使用只有当网络流量结束时才能获取的特征，同时为了提高对网络攻击识别的准确率，本发明设计了一个报文信息库，用来存储历史报文信息，并且通过历史报文和当前报文的联系作为新的特征对网络攻击进行识别，这样既解决了对网络攻击识别的实时性问题，又通过新的统计特征的加入而缓解了特征不足的问题。

为实现上述目的，本发明采用如下的技术方案：