[发明专利]SDN中基于无监督深度学习的DDoS检测方法、系统及介质

权利要求书

1.一种SDN中基于无监督深度学习的DDoS检测方法，其特征在于，包括以下步骤：

在SDN控制器上设置流数据收集器，收集网络中交换机的流数据；

设置独立的检测引擎，所述检测引擎包括预处理模块和检测器模块；

数据预处理模块对收集到的所述流数据进行预处理，并将经过预处理后的流数据传输至检测器模块；

检测器模块采用基于无监督深度学习模型的自编码器，对接收到的流数据进行检测，检测是否出现DDoS攻击；

所述对收集到的所述流数据进行预处理，包括：

从所述流数据中提取9个字段：流持续秒数、流持续纳秒数、流中包含的数据包数、流中包含的字节数、源IP地址、目的IP地址、协议类型、源端口号、目的端口号；

将源IP地址和目的IP地址中的IP地址转化为十进制表示的数值；

采用z-score归一化方法对经过数值转化的9个字段进行特征缩放；

所述检测引擎作为独立服务器存在于网络中，所述检测引擎与所述SDN控制器通过网络套接字进行通信。

2.根据权利要求1所述的一种SDN中基于无监督深度学习的DDoS检测方法，其特征在于，所述收集网络中交换机的流数据，包括：

流数据收集器使用OpenFlow协议，周期性地向网络中的交换机发送请求消息；

所述交换机在接收到请求消息后，反馈回复消息；

所述回复消息中包含交换机中的流表项数据。

3.根据权利要求1所述的一种SDN中基于无监督深度学习的DDoS检测方法，其特征在于，所述自编码器包括编码器和解码器，所述自编码器的网络包括输入层、第一隐藏层、瓶颈层、第二隐藏层以及输出层；输入层、第一隐藏层和瓶颈层组成编码器；

输入层将9维的向量作为输入，输入被压缩转化为第一隐藏层中的4维向量，4维向量再次被编码为瓶颈层的2维向量，瓶颈层所得到的向量为编码Code；在解码器部分，编码Code被扩展为4维向量，4维向量被解码为输出层的9维向量。

4.根据权利要求3所述的一种SDN中基于无监督深度学习的DDoS检测方法，其特征在于，所述对接收到的流数据进行检测，检测是否出现DDoS攻击，包括：

将经过预处理后的流数据作为输入数据，输入到采用无监督方式训练好的模型中，获得输出数据；

计算输入数据与输出数据重构误差，若所述重构误差超过预设阈值，判定出现DDoS攻击。

5.根据权利要求1所述的一种SDN中基于无监督深度学习的DDoS检测方法，其特征在于，所述无监督深度学习模型的训练步骤，包括：

将经过预处理的流数据划分为训练集和测试集，其中，训练集中不添加标签，测试集中添加标签；

采用训练集对无监督深度学习模型进行训练，并采用测试集对经过训练的无监督深度学习模型进行评估。

6.一种SDN中基于无监督深度学习的DDoS检测系统，其特征在于，包括：

若干个交换机；

SDN控制器，内置有流数据收集器，所述流数据收集器用于收集网络中交换机的流数据；

独立的检测引擎，包括预处理模块和检测器模块；

数据预处理模块用于对收集到的所述流数据进行预处理，并将经过预处理后的流数据传输至检测器模块；

检测器模块用于采用基于无监督深度学习模型的自编码器，对接收到的流数据进行检测，检测是否出现DDoS攻击；

所述对收集到的所述流数据进行预处理，包括：

从所述流数据中提取9个字段：流持续秒数、流持续纳秒数、流中包含的数据包数、流中包含的字节数、源IP地址、目的IP地址、协议类型、源端口号、目的端口号；

将源IP地址和目的IP地址中的IP地址转化为十进制表示的数值；

采用z-score归一化方法对经过数值转化的9个字段进行特征缩放；

所述检测引擎作为独立服务器存在于网络中，所述检测引擎与所述SDN控制器通过网络套接字进行通信。