[发明专利]一种mRMR-SVM的空间网络数据流检测方法

权利要求书

1.一种mRMR-SVM的空间网络数据流检测方法，其特征在于：包括以下步骤：

A、建立基于SDN的空间信息网络架构

基于软件定义网络即SDN的空间信息网络包括应用平面、控制平面和数据平面；

所述的应用平面建立在空间站或者地面上，应用平面用于编程操作，通过北向接口对控制平面的应用模块进行更新，对网络进行配置并对应用业务进行快速部署；

所述的控制平面由GEO组成，通过OpenFlow协议调度全网卫星，获取网络状态，控制平面中的控制器对数据平面的检测结果进行分析处理，查找异常状态流量产生的原因，通过全网调度减少异常状态流量的产生；

所述的数据平面由LEO组成，数据平面包含数据流检测模块，负责数据流的检测和转发；当基站发出的数据到达数据平面时，使用数据流检测模块进行实时检测，识别出正常状态流量或异常状态流量，进行转发或剔除，并将识别的结果上传至控制平面；

所述的GEO为高轨道卫星，LEO为低轨道卫星；

B、数据流检测模块进行数据流检测

B1、获取网络流量

数据平面的卫星节点在某一时刻对空间信息网络中的数据流进行统计和处理，获取网络流量；

B2、获取流表

数据平面通过OpenFlow协议发送给GEO控制器Packet_in消息，GEO控制器下发相应的流表；

B3、提取最大相关与最小冗余的特征

数据流特征属性的重要程度将直接影响网络流量正常和异常状态的准确检测；随着提取特征维数的不断增加，会产生一些不相关和冗余的特征；特征选择是通过消除不相关特征和冗余特征、获取含有最佳辨识能力的子集的过程；设定流包数均值、流平均字节数、流表项增速、流请求速率、源IP增速、端口增速和协议的熵共7个特征属性，根据控制器下发的流表，采用最大相关与最小冗余即mRMR方法提取空间信息网络流量的特征；

控制器下发的流表包含数据流的12项信息，分别为一层标识：交换机入端口，二层标识：源MAC地址、目的MAC地址、以太网类型、VLAN标签、VLAN优先级，三层标识：源IP、目的IP、IP协议字段、IP服务类型，四层标识：TCP/UDP源端口号、TCP/UDP目的端口号，流表的格式如下：

交换机入端口：Ingress Port；

源MAC地址：Ether Source；

目的MAC地址：Ether Dst；

以太网类型：Ether Type；

VLAN标签：VLAN id；

VLAN优先级：VLAN priority；

源IP：IP src；

目的IP：IP dst；

IP协议字段：IP proto；

IP服务类型：IP ToS bits；

TCP/UDP源端口号：TCP/UDP Src Port；

TCP/UDP目的端口号：TCP/UDP Dst Port；

对某一时刻流量统计后，通过皮尔逊相关系数和最大信息系数的相关性度量系数来描述变量之间的关系，表示为：

式中：cov(X,Y)表示变量X与变量Y的协方差，var(X)、var(Y)分别表示变量X和变量Y的方差，I(X；Y)表示变量X与变量Y的互信息量，PCC(X,Y)表示变量X与变量Y的皮尔逊相关系数，MIC(X,Y)表示变量X与变量Y的最大信息系数，MPC(X,Y)表示变量X与变量Y的相关性度量系数，X、Y分别代表特征属性F和类别变量C；假设C_L＝{c₁,c₂,…,c_l}表示类别变量，l、L表示类别总数，区分空间信息网络流量分为正常流量和异常流量，则C_L＝{c₁,c₂}；

设F＝{F₁,F₂,…,F_n}表示特征集合，n表示特征总数，F_i表示第i个特征，根据有监督的特征选择，特征F_i与类别标签C_L的相关度量系数D(F_i,C_L)定义为：

根据最大相关与最小冗余准则即mRMR中的最大相关原则，被选择的特征F_i与类别C_L具有最大相关性，即为D(F_i,C_L)取最大值时的F_i，记为F_max，表示为：

F_max＝argmaxD(F_i,C_L) (3)

同样，根据mRMR中的最小冗余准则，被挑选的特征F_i之间具有最小冗余性，冗余度R(F_i,F_j)计算公式和最小冗余值F_min表示为：

F_min＝argminR(F) (5)

利用增量搜索方法获取由Φ(·)定义的近似最佳特征，算子Φ(D,R)用来定义优化最大相关和最小冗余信息；通过结合相关性D与冗余性R，那么最佳特征F_opt挑选准则表示为：

Φ(D,R)＝(D-R) (6)

F_opt＝argmaxΦ(D,R) (7)

实验已经获取了k-1个特征的特征子集F_k-1，那么第k个特征F_k需要从特征集合{F-F_k-1}中挑选，则通过Φ(D,R)，F_k的详细挑选准则表示为：

根据F_k的计算结果，训练分类器；

B4、改进支持向量机训练分类器

支持向量机训练分类器即SVM训练分类器是一类按监督学习方式对数据进行二元分类的分类器，其目标是找到一个超平面把两类数据分开，适合二分类问题；采用加权欧氏距离和径向基核函数方法改进SVM，找到满足分类要求的最大分类间隔超平面，使得正常数据和异常数据正确分离；首先为检测的数据集的每个特征属性赋予一定的权重，使用权重向量w修改标准欧几里德距离为：

d^w(x_i,x_j)是两条流量x_i和x_j之间的加权欧几里德距离；x_ik是第i条流的第k个特征属性值；w＝(w₁,…,w_n)是权重向量；权重向量是每个特征属性的重要度量；权重向量w使用计算的mRMR归一化定义为：

式中：F_k表示特征属性mRMR值，值越大，特征属性对分类的影响越大；

在改进的支持向量机中，设K是样本空间H×H中的核函数，P是给定输入空间的n阶线性变换矩阵；特征属性加权核函数定义为表示为：

特征属性加权矩阵是n阶对角矩阵，变换矩阵的公式为：

参数Gamma影响分类器分类的精度，公式表示如下：

Gamma越大，σ越小，支持向量越少，Gamma越小，σ越大，支持向量越多；采用粒子群即PSO算法优化SVM训练分类器的精度；将空间信息网络流量集Z定义为一组M个粒子；

Z＝{z₁,z₂,…,z_m} (14)

每个粒子代表数据集Z的一个数据流，将其映射为空间B的一个点；

z_i＝[z_i1,z_i2,…,z_iB]^T∈A,i＝1,2,…,M (15)

A代表搜索空间，定义优化的适应度函数为：

若干粒子组合成一个群体，群体包含当前适应度的信息；通过先前位置的最佳适应度以及随机添加的一个或多个其它粒子群的最佳适合度来确定其在搜索空间中的移动；粒子将在搜索空间A中迭代地移动，粒子移动的速度表示为：

v_i＝[v_i1,v_i2,…,v_iB]^T,i＝1,2,…,M (17)

在PSO中有一个Q参数，它是一个存储集，存储最佳位置被标记为本地最佳Q_best；

Q_best＝[q_i1,q_i2,…,q_iB]^T∈A,i＝1,2,…,M (18)

从每一个群体中，将获得全局最佳值G_best，G_best表明所有群体的最佳粒子值；

为了获得G_best值，则必须在每次迭代时更新粒子的位置，更新速度和位置变换公式为：

根据公式(20)-(21)和适应度函数来优化SVM，提高区分正常流量和异常流量的准确度；通过适应度函数f评估种群数据是否正常；适应度值越小，正常流量和异常流量的分类程度越好；反之，则分类程度越差。