[发明专利]一种在SDN架构下基于机器学习的网络攻击防御方法和系统

摘要

本发明公开一种基于机器学习的网络攻击防御方法和系统，利用机器学习训练一个网络攻击识别模型，然后将该模型部署在SDN控制器上，对由交换机的上传的报文利用机器学习模型进行检测，根据检测结果做出相应的防御措施，最终达到了对99.97％网络攻击的成功防御的效果。

主权项

1.一种在SDN架构下基于机器学习的网络攻击防御方法，其特征在于，利用机器学习训练一个网络攻击识别模型，然后将该模型部署在SDN控制器上，对由交换机的上传的报文利用机器学习模型进行检测，根据检测结果做出相应的防御措施，具体为：首先，构造一个深度全连接网络来作为网络攻击检测模型，并在此模型中设置接收的统计特征的数量(即输入维度值)和输出参数数量(即输出维度值)；设置输入维度为17，代表当前报文所具有的17个特征，包含报文基本属性特征和当前报文与历史报文的统计特征两类，如协议类型、目标主机网络服务类型、连接正常或错误的状态；设置输出维度为11，代表1种正常报文和10种攻击报文；同时模型中的激活函数使用“sigmoid”，隐藏层数设为3；使用L2正则化损失函数并使用反向传播算法更新神经网络参数；使用NSL‑KDD数据集作为训练集来训练该模型；网络攻击防御方法具体处理流程包含：1)报文进入OVS交换机时，首先查看交换机上的流表，有匹配项执行相应的行动，比如转发操作；如果没有匹配的表项，则将报文发送PacketIn消息给SDN控制器；2)SDN控制器接受到消息后，判断是否为PacketIn消息，如果是PacketIn消息则解析报文的数据域，解析出源、目的IP、MAC、端口号信息；3)根据解析出的源、目的设备信息，在设备管理器中查询是否存在源、目的设备，若都存在则将报文信息录入报文信息库中，若至少有一个设备不存在则下发流表丢弃该报文；4)根据报文信息库里的信息得出当前报文的6个基础特征和11个统计特征；5)将基础特征和统计特征输入网络攻击检测模型中判断是否为攻击报文；6)若判断当前报文为攻击报文则下发流表丢弃报文，并对该报文的发送主机进行违规计数，若违规次数超过设定阈值下发流表屏蔽该主机；7)若判断当前报文为正常报文，则查询该报文目的地址所连接的交换机端口，下发流表转发报文。