基于无向图流程创建聚合推理的k近邻SDN可疑流量检测

发布时间：2020-03-01 01:04

【摘要】：为提高软件定义网络(Software Defined Network,SDN)可疑流量检测算法性能,提出一种基于无向图流程创建信息聚合推理的k近邻SDN可疑流量检测方法.利用OpenFlow模块进行数据流创建,并进行入侵规则构建.然后,基于马尔可夫链的图节点/边表示,采用无向图方式进行攻击特征表示,实现新增攻击的增量化表示,降低无向图构建的计算复杂度,并利用k近邻算法对无向图恶意攻击流量特征进行分类,实现攻击有效检测.最后,通过构建的SDN测试平台,对所提算法的性能进行验证.
【图文】：

控制器,数据包,数据流,交换机

近邻查询算法．本文主要创新点：（１）证明了使用现有的攻击特征来识别ＳＤＮｓ攻击的可行性．（２）创建了一个灵活的方法，可使用包含标记的事件在不同层面上构建攻击预测模型，以确定ＳＤＮｓ攻击数据集．（３）证明了该方法通过在运行时查询预创建的图形，可有效地实现ＳＤＮｓ的攻击识别．实验结果表明所提方法优于传统的分类器和现有ＳＤＮＳ攻击分类技术．（４）提出了一个图模型的增量创建技术，通过添加新类型的节点使其与现有节点建立关联．２系统模型考虑如图１所示ＳＤＮｓ，基于ＳＤＮ的网络架构由一个ＳＤＮ控制器和ＯＦ启用开关构成．ＯＦ是一种通信网络协议，使ＳＤＮ控制器可访问交换机的转发表．控制平面上，ＳＤＮ控制器与ＯＦ启用开关直接连接，通过这种连接可在每个交换机上进行转发表流量控制和采集．ＳＤＮ控制器通过启用开关可实现对所有数据包的交换操作［５－６］．图１软件定义网络图１显示了一个基于ＳＤＮ网络的ＩＤＳ对可疑流量检查．对于基于ＳＤＮ的ＩＤＳ流量监测，可通过镜像方法再任何启用开关进行数据包采样，实现ＳＤＮ的完全可配置．ＩＤＳ对交换机所有镜像数据包进行检查，如果检测到网络流量可疑数据包，则产生警报信息，反馈至ＳＤＮ控制器．基于交换机状态和ＩＤＳ检查结果，ＳＤＮ控制器可重新配置网络，以抵御网络攻击．假设有ｆ个流量包和Ｎ个网络启用开关．令λｉ表示属于ｉ数据流的恶意攻击率．如果数据流不包含任何攻击数据包，其恶意攻击率是０．数据流的发送速率可由发送速率向量表示：

节点,马尔可夫链,数值表示,边表

尔森相关进行节点间的相关性计算，，如下所示．ｓｉｍｎｉ，ｎｊ＝ｃｏｖσＶｎｉ，σＶｎ（（））ｊσＶｎｉ×σＶｎｊｅＶｎｉ－μＶｎ（）ｉＶｎｊ－μＶｎ（（））ｊσＶｎｉ×σＶｎｊ（１）将所得的权重进行归一化，然后分配连接节点的边缘上．在节点间间接路径推理发现过程中，在基于遍历路径长度基础上，进行相似性图形创建．选择数值得分最高的作为最可行的路径，表示任何两个节点之间的关系可能性．图３显示了一个具有四个节点的图例．图３基于马尔可夫链的图节点／边表示．图中边缘上显示的数值表示从一个节点到另一个节点的跃迁概率．可根据下列步骤确定最可能的关系：Ｓｔｅｐ１：利用连接节点（ｎｉ，ｎｊ）所有路径的权重和长度ｔ的乘积之和，进行分数ｌ计算．Ｓｔｅｐ２：根据节点（ｎｉ，ｎｊ）长度为ｔ的所有路径数量，ｌ＝Ｎｔｎｉ－ｎｊ，则不同的ｔ取值，会有不同的分数ｌ取值，选取最大值作为最有可能的节点链接．当发现了新节点ｎｉ，没有必要重新生成整个图７

【相似文献】