[发明专利]一种基于sketch与联邦学习的DDoS攻击检测系统及应用

权利要求书

1.一种基于sketch与联邦学习的DDoS攻击检测系统，其特征在于，所述攻击检测系统中应用的sketch为一种时序多维sketch，包括四个维度：第一个维度记录数据流的数据包数量，第二个维度记录数据流的总大小信息，第三个维度记录当前时间区间内CPU的累计利用率，第四个维度使用摩尔投票算法记录众数流的ID与计数信息；

所述攻击检测系统利用联邦学习的分布式特性降低分布式控制器中模型部署的复杂度，提升系统维护的效率；首先使用基于sketch的联邦学习技术分析时序sketch是否存在DDoS攻击，当存在DDoS攻击时，从多维时序sketch的第四维度中提取可疑流，然后使用基于数据流特征的联邦学习技术判断可疑流是否是攻击数据流；对于攻击流生成过滤规则下发到数据平面的交换机中，自动过滤攻击数据流，从而防御网络中的DDoS攻击。

2.如权利要求1所述的攻击检测系统，其特征在于，所述攻击检测系统部署在软件定义网络中的数据平面、控制平面与应用平面；

所述数据平面中部署系统的数据流的特征提取，数据流过滤，多维时序sketch生成功能；当数据包到达交换机时，交换机提取数据包的五元组信息生成数据流标识字符串；系统中的过滤器自动过滤攻击数据流，没有被过滤的数据流添加到多维sketch中，每隔一个时间周期生成时序多维sketch发送到控制器；所述五元组信息是指：源IP、源端口、目的IP、目的端口、协议类型；

所述控制平面使用基于sketch的联邦学习技术分析时序多维sketch中记录的数据流信息是否存在DDoS攻击流信息；如果不存在DDoS攻击无需执行后序流程，如果存在DDoS攻击，则从多维时序sketch的第四维度提取可疑数据流，使用基于数据流特征的联邦学习技术判断数据流是否是DDoS攻击数据流；如果有攻击数据流，则生成过滤规则，下发到数据平面，并将攻击数据流的信息上传到应用平面；

所述应用平面部署攻击信息统计功能和联邦学习模型聚合分发功能；所述攻击信息统计功能负责攻击数据的记录与统计信息可视化；所述联邦学习模型聚合分发功能在模型训练过程中执行联邦平均算法聚合模型并分发聚合后的模型；在模型部署过程中将模型部署到应用平面，模型将被自动分发到各个控制平面中。