[发明专利]SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法

说明书

SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法,涉及信息与通信技术领域，具体涉及SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法，本发明提出一种在SDN网络架构下结合SVM和优化LSTM模型的DDoS攻击检测方法，不仅可以对时间序列做出分类判断，达到通过一段时间的流量特征进行检测判断，以减少由于单一机器学习分类器对个别异常流量造成的误警问题，还可以降低由于LSTM模型对数据的敏感性所带来的网络初始阶段流量的误判率，并减少检测耗时，减轻系统负担。

技术领域

本发明涉及信息与通信技术领域，具体涉及SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法。

背景技术

在SDN网络架构中，控制面和转发面分离，而控制器的安全是整个SDN网络安全保障的关键，而DDoS攻击是控制器安全的主要威胁之一，在DDoS攻击中，攻击者入侵SDN中的目标主机，然后向网络中输入大量伪造的无效网络流量，使得控制器资源最终被耗尽，继而无法转发合法数据包，所以如何快速并准确地检测DDoS攻击已成为SDN安全领域的研究热点，当前，在SDN网络中对DDoS攻击的检测方法主要有利用统计分析方法和机器学习方法，即基于异常探测技术部署在SDN控制器中对DDoS攻击进行检测，现有的DDoS攻击检测方法，如基于熵值的检测方法存在一些局限性，基于熵值的检测方案通常是检测流量特性熵的意外变化，但是流的统计分布中的相关信息可能会丢失，从而掩盖了异常效应，传统机器学习应用于DDoS攻击检测的局限性是无法使用流量的历史特征，而是通过提取流量特征来区分正常流量和攻击流量，目前这些基于机器学习的检测学习方法主要在于提高单条样本的分类检测精度，而没有对时间序列进行处理，而在DDoS攻击检测中，流量样本更符合时间序列样本特性，更适合使用一类能对时间序列进行分类预测的深度学习方法，于是，本发明提出一种在SDN网络架构下结合SVM和优化LSTM模型的DDoS攻击检测方法，不仅可以对时间序列做出分类判断，达到通过一段时间的流量特征进行检测判断，以减少由于单一机器学习分类器对个别异常流量造成的误警问题，还可以降低由于LSTM模型对数据的敏感性所带来的网络初始阶段流量的误判率，并减少检测耗时，减轻系统负担，此外，本发明还采用改进的遗传算法来优化LSTM深度学习模型的参数，以更好地评估时间序列预测问题，最后，搭建实验仿真平台，在SDN网络环境中验证了该检测方法的可行性。

发明内容

本发明是为了在DDoS攻击检测过程中，降低由于LSTM模型对数据的敏感性所带来的网络初始阶段流量的误判率，减少检测耗时，减轻系统负担，以及利用改进遗传算法来优化LSTM深度学习模型的参数，以找到较优的时间窗口大小和神经元单位数，以便更好地评估时间序列预测问题，从而提供一种SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法。

SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法，它包括以下步骤：

步骤一、根据现有LSTM模型，利用改进的遗传算法来优化LSTM模型，获得优化LSTM模型；

步骤二、搭建虚拟SDN网络拓扑结构；

步骤三、对步骤二搭建的虚拟SDN网络拓扑结构进行数据采集，获得SDN网络数据集；

步骤四、使用步骤三获得SDN网络数据集，经标准差标准化和时间序列处理后，对步骤一获得的优化LSTM模型进行训练；

步骤五、使用步骤三获得SDN网络数据集对支持向量机SVM进行训练；

步骤六、利用SDN控制器采集虚拟SDN网络内的流表信息后，依据特征提取法提取特征向量，并将实时提取的数据缓存成文件进行存储；

步骤七、将步骤六提取的流表特征向量送入SVM模型进行检测，所述SVM通过提供的特征向量信息判断当前为攻击流量还是正常流量，若为正常流量则输出结果，若为异常流量则再次与先前时刻的流量信息经过特征维度标准化处理后组合成时间序列送入优化后的LSTM模型，并执行步骤八；