[发明专利]一种软件定义网络DDoS攻击检测方法

权利要求书

1.一种软件定义网络DDoS攻击检测方法，其特征在于，包括以下步骤：

步骤1、软件定义网络流表信息自动提取，提取与DDoS攻击检测相关的部分字段作为深度学习模型训练的输入集，所述软件定义网络流表信息自动提取的字段包括但不限于该条流表以太网目的地址、源地址、流表数据量、持续时间的字段信息，所述软件定义网络流表信息组合字段包括但不限于无匹配流表数量增加速率、随机端口数量增加速率的组合字段信息，无匹配流表数量增加速率作为一个检测DDoS攻击的参考特征无匹配流表数量增加速率计算公式化为：Irufn=(Num_Unidirectional_Flows)/T，其中，T表示流表信息采样时间，Num_Unidirectional_Flows表示时间T内采集流表中单向流表的数量，计算软件定义网络端口增加速率，对无效随机请求进行检测，随机端口数量增加速率计算公式为：Ircpn=(Num_port)/T，其中，T表示流表信息采样时间，Numt_port表示每个采样周期T内流表对应的不同端口数目；

步骤2、分析软件定义网络在受到攻击时的流量特性变化情况，将部分流表项进行组合形成软件定义网络流表信息组合字段，将所述组合字段作为深度学习模型训练的输入集的补充；

步骤3、建立多个基本分类器，以深度学习模型卷积神经网络作为集成学习的所述基本分类器，设定所述深度学习模型的基本结构，替换其激活函数，采用批规范化方法进行训练；

步骤4、采用Stacking方法对多个卷积神经网络模型进行融合，使用完整数据集对卷积神经网络模型进行训练，得到卷积神经网络模型的输出后作为输入，传递给元学习器支持向量机SVM进行最终分类。

2.根据权利要求1所述的一种软件定义网络DDoS攻击检测方法，所述深度学习模型的基本结构设定为典型卷积神经网络模型，包括3层卷积层，2层池化层和2层全连接层。

3.根据权利要求1所述的一种软件定义网络DDoS攻击检测方法，所述激活函数为非饱和非线性激活函数。

4.根据权利要求1所述的一种软件定义网络DDoS攻击检测方法，所述Stacking方法以深度学习模型作为模型的基本分类器，利用输入集进行训练，并将其输出输入到具有强泛化能力的元学习器支持向量机SVM中进行最终决策分类。