基于机器学习的软件定义光网络入侵检测策略
发布时间:2021-07-22 00:52
软件定义光网络(SDON)中,控制平面可能遭遇入侵威胁从而对网络的稳定可靠服务供给造成影响。文章针对SDON集中控制平面安全问题提出了一种基于机器学习的入侵检测策略,采用孤立森林算法来检测点异常,采用指数权重移动平均(EWMA)算法来检测序列异常。理论分析和仿真实验结果表明,所提的基于机器学习的SDON检测技术能够实现90%点异常检测准确率和85%序列异常检测准确率。
【文章来源】:光通信研究. 2020,(06)北大核心
【文章页数】:4 页
【部分图文】:
异常序列检测
所有训练数据测试均在国家科学基金会网络(NSFNET)中生成,如图2所示。对于基于点异常的检测方案,假设用户经常使用其中的部分光节点,业务链路在这些节点对中建立。使用节点集{0、1、2、4、5 }中的随机源—目标对生成10 000个训练数据实例。为了直观地表明结果,选择了光网络的两个特征,即所需带宽和路由长度。生成的带宽遵循高斯分布,即N(15,3),平均带宽为15 GHz,方差为3。路由长度采用Dijkstra算法计算。首先利用训练数据集进行孤立森林训练。对于孤立森林算法来说,一个小子采样就足够用于从正常数据中区分异常。一般将subsample size设置在28=256即可保证在一个较大的数据范围内实现异常检测。根据经验值发现,路径长度通常在Number of trees设置为100时收敛得最好。调整Tree height会更改异常分数的粒度,本文经多次试验发现,将Tree height取为8表现比较好。为了测试本文所提方案,仿真中使用2 000个数据实例(里面包含了30个异常数据)作为测试数据集。对于异常数据,在[0,60] GHz内随机设置所需带宽,随机选择源—目标节点对。仿真结果如图3所示,红色的点声明为入侵点。从中检测出了27个异常点(27/30),检测准确率为90%。
首先利用训练数据集进行孤立森林训练。对于孤立森林算法来说,一个小子采样就足够用于从正常数据中区分异常。一般将subsample size设置在28=256即可保证在一个较大的数据范围内实现异常检测。根据经验值发现,路径长度通常在Number of trees设置为100时收敛得最好。调整Tree height会更改异常分数的粒度,本文经多次试验发现,将Tree height取为8表现比较好。为了测试本文所提方案,仿真中使用2 000个数据实例(里面包含了30个异常数据)作为测试数据集。对于异常数据,在[0,60] GHz内随机设置所需带宽,随机选择源—目标节点对。仿真结果如图3所示,红色的点声明为入侵点。从中检测出了27个异常点(27/30),检测准确率为90%。在时间序列检测中,使用现网中某地的实际流量数据作为训练数据集[18],包括1 500个训练数据实例。使用EWMA算法来拟合曲线,根据EWMA算法的表达式,系数β选为 0.9,0.9 10 ≈ 1 e ,因此认为此时是近10个数值的加权平均,虽然曲线有些波动,但总体能拟合真实数据,符合网络数据波动。生成20个异常数据将它们随机插入测试数据中。图4所示为EWMA算法拟合而成的曲线图,由此用3-sigma理论进行上下界计算并判断。通过该方案,完成了20次测试,平均检测准确率超过85%。
本文编号:3296110
【文章来源】:光通信研究. 2020,(06)北大核心
【文章页数】:4 页
【部分图文】:
异常序列检测
所有训练数据测试均在国家科学基金会网络(NSFNET)中生成,如图2所示。对于基于点异常的检测方案,假设用户经常使用其中的部分光节点,业务链路在这些节点对中建立。使用节点集{0、1、2、4、5 }中的随机源—目标对生成10 000个训练数据实例。为了直观地表明结果,选择了光网络的两个特征,即所需带宽和路由长度。生成的带宽遵循高斯分布,即N(15,3),平均带宽为15 GHz,方差为3。路由长度采用Dijkstra算法计算。首先利用训练数据集进行孤立森林训练。对于孤立森林算法来说,一个小子采样就足够用于从正常数据中区分异常。一般将subsample size设置在28=256即可保证在一个较大的数据范围内实现异常检测。根据经验值发现,路径长度通常在Number of trees设置为100时收敛得最好。调整Tree height会更改异常分数的粒度,本文经多次试验发现,将Tree height取为8表现比较好。为了测试本文所提方案,仿真中使用2 000个数据实例(里面包含了30个异常数据)作为测试数据集。对于异常数据,在[0,60] GHz内随机设置所需带宽,随机选择源—目标节点对。仿真结果如图3所示,红色的点声明为入侵点。从中检测出了27个异常点(27/30),检测准确率为90%。
首先利用训练数据集进行孤立森林训练。对于孤立森林算法来说,一个小子采样就足够用于从正常数据中区分异常。一般将subsample size设置在28=256即可保证在一个较大的数据范围内实现异常检测。根据经验值发现,路径长度通常在Number of trees设置为100时收敛得最好。调整Tree height会更改异常分数的粒度,本文经多次试验发现,将Tree height取为8表现比较好。为了测试本文所提方案,仿真中使用2 000个数据实例(里面包含了30个异常数据)作为测试数据集。对于异常数据,在[0,60] GHz内随机设置所需带宽,随机选择源—目标节点对。仿真结果如图3所示,红色的点声明为入侵点。从中检测出了27个异常点(27/30),检测准确率为90%。在时间序列检测中,使用现网中某地的实际流量数据作为训练数据集[18],包括1 500个训练数据实例。使用EWMA算法来拟合曲线,根据EWMA算法的表达式,系数β选为 0.9,0.9 10 ≈ 1 e ,因此认为此时是近10个数值的加权平均,虽然曲线有些波动,但总体能拟合真实数据,符合网络数据波动。生成20个异常数据将它们随机插入测试数据中。图4所示为EWMA算法拟合而成的曲线图,由此用3-sigma理论进行上下界计算并判断。通过该方案,完成了20次测试,平均检测准确率超过85%。
本文编号:3296110
本文链接:https://www.wllwen.com/kejilunwen/xinxigongchenglunwen/3296110.html
