[发明专利]一种基于sketch与联邦学习的DDoS攻击检测系统及应用

说明书

本发明公开了一种基于sketch与联邦学习的DDoS攻击检测系统，所述攻击检测系统包括一种时序多维sketch，包括四个维度：第一个维度记录数据流的数据包数量，第二个维度记录数据流的总大小信息，第三个维度记录当前时间区间内CPU的累计利用率，第四个维度使用摩尔投票算法记录众数流的ID与计数信息；所述攻击检测系统利用联邦学习的分布式特性降低分布式控制器中模型部署的复杂度，提升系统维护的效率。

技术领域

本发明属于计算机系统技术领域，涉及一种基于sketch与联邦学习的DDoS攻击检测系统及应用。

背景技术

DDoS攻击因为攻击成本低，对被攻击方的损害大，近年来发展越来越猖獗。DDoS攻击通过使用大量傀儡机同时发送大量虚假请求来耗尽系统资源，从而导致系统无法响应正常的用户请求，造成服务瘫痪或者网络瘫痪。DDoS攻击检测对于网络安全防护具有重要意义，但是目前的一些DDoS攻击检测方法如基于sketch的heavy-hitter特征提取方法和基于机器学习的方法通常需要大量的开销。通过sketch的heavy-hitter特征提取方法时，sketch记录数据流的数量信息，为了记录heavy-hitter数据流，需要辅助的数据结构小根堆来记录数据流的唯一标识和流的计数信息。考虑极端情况下所有数据包的计数都相同，这时记录所有的heavy-hitter将会出现大量的内存开销，可能影响可编程交换机的正常转发功能。基于机器学习的DDoS攻击检测有两种方案，一是导出数据流的特征，进行离线检测，但该检测方法通常无法实时检测当前网络中的数据流是否存在DDoS攻击，只能为事后预防提供信息。另一种方案是基于数据流特征的在线检测，该方法通过将每个数据包的特征输入机器学习模型来推断数据流是否是攻击数据流。通过该方法进行检测时，需要消耗网络设备的大量计算资源，当网络中瞬时出现大量的数据流时，该方法可能导致设备无法提供服务。

发明内容

为了解决现有技术存在的不足，本发明的目的是提供一种基于sketch与联邦学习的DDoS攻击检测系统。本发明涉及软件定义网络领域的DDoS攻击检测问题，在考虑现有技术存在的问题的前提下设计了一种时序多维sketch，并结合了机器学习技术，两种方法的结合保证了内存开销的确定性，并且降低了仅使用基于数据流特征机器学习的计算开销，保证了系统的稳定性。因为结合了时序多维sketch与联邦学习技术，降低了传统仅通过sketch或机器学习方法的计算和存储开销。

本发明设计了一种时序多维sketch，利用多维时序sketch记录数据平面中可编程交换机一段时间内数据流的统计信息。在此基础上，本发明首先使用基于sketch的机器学习技术分析时序sketch是否存在DDoS攻击，当存在DDoS攻击时，从多维时序sketch中提取可疑流，然后使用基于流特征的机器学习技术判断可疑流是否是攻击数据流。对于攻击流生成过滤规则下发到数据平面的交换机中，自动过滤攻击数据流，从而防御网络中的DDoS攻击。如图1所示系统主要分为四个部分，分别是系统的搭建，多维时序sketch生成，联邦学习分析，攻击统计与模型维护。后三个部分的功能按照软件定义网络的划分原则，系统主要部署在三个平面，分别是应用平面、控制平面和数据平面。

本发明提出了一种基于sketch与联邦学习的DDoS攻击检测系统，所述攻击检测系统中应用的sketch为一种时序多维sketch，包括四个维度：第一个维度记录数据流的数据包数量，第二个维度记录数据流的总大小信息，第三个维度记录当前时间区间内CPU的累计利用率，第四个维度使用摩尔投票算法记录众数流的ID与计数信息；

所述攻击检测系统利用联邦学习的分布式特性降低分布式控制器中模型部署的复杂度，提升系统维护的效率。

所述攻击检测系统部署在软件定义网络中的数据平面、控制平面与应用平面；