[发明专利]SDN中基于无监督深度学习的DDoS检测方法、系统及介质

说明书

本发明公开了一种SDN中基于无监督深度学习的DDoS检测方法、系统及介质，其中方法包括以下步骤：在SDN控制器上设置流数据收集器，收集网络中交换机的流数据；设置独立的检测引擎，所述检测引擎包括预处理模块和检测器模块；数据预处理模块对收集到的所述流数据进行预处理，并将经过预处理后的流数据传输至检测器模块；检测器模块采用基于无监督深度学习模型的自编码器，对接收到的流数据进行检测，检测是否出现DDoS攻击。本发明通过设置独立的检测引擎，有效地减轻SDN控制器的计算负担；采用无监督深度学习算法，对模型的训练无需数据标签，减少用于数据标注的开销，可广泛应用于DDoS检测技术领域。

技术领域

本发明涉及DDoS检测技术领域，尤其涉及一种SDN中基于无监督深度学习的DDoS检测方法、系统及介质。

背景技术

DDoS(DistributedDenialofService)攻击近年来在网络中频发，DDoS攻击是一种以消耗目标系统资源为目的的攻击，攻击者从不同位置同时向受害目标发送大量数据包，致使目标系统瘫痪而无法再提供服务，DDoS以其简单暴力的攻击方式成为一种十分流行的网络攻击。

SDN(Software Defined Network)是一种新型网络架构，SDN如今已在数据中心和运营商网络中被广泛应用，SDN将控制平面与数据平面分离，控制功能转移到了逻辑集中的控制器上，网络中的设备只负责根据控制器下发的转发策略进行数据包转发，网络的管理和配置变得更为便捷，网络也变得更为灵活，同时还具备可编程性，但由于集中控制，DDoS攻击对SDN的破坏性也变得更大，一旦控制器遭受到了DDoS攻击，极可能导致整个网络的瘫痪。

目前SDN中常见检测DDoS攻击的技术有基于信息熵的检测技术以及基于传统机器学习的检测技术，简单介绍如下：

现有技术一：基于信息熵的检测技术。

原理：统计网络中流数据中某些特征(如，目的IP地址)的信息熵，当攻击发生时，这些特征的信息熵往往会降低，如果熵值低于设定的阈值，则检测到了DDoS攻击。

缺点：该技术会消耗控制器大量的计算资源，可能会导致可扩展性问题，如何选择合适的特征也同样不易。

现有技术二：基于传统机器学习的检测技术。

原理：使用传统的机器学习分类模型，如KNN(K-Nearest Neighbor)和SVM(Support Vector Machine)，通过学习后对数据进行分类，以区分出攻击流量和正常流量。

缺点：数据集需要标签，而对数据进行标注是一项相当耗时耗力的工作，传统机器学习方法不适合从大数据中进行学习。

综上所述，现有技术在检测SDN中DDoS攻击有着诸多的问题，如会加大控制器的开销以及需要对数据进行标注等。

术语解释：

OpenFlow：SDN中，控制平面与数据平面分离，OpenFlow是两个平面之间的通信协议，该协议是SDN南向协议的事实标准。

发明内容

为至少一定程度上解决现有技术中存在的技术问题之一，本发明的目的在于提供一种SDN中基于无监督深度学习的DDoS检测方法、系统及介质。

本发明所采用的技术方案是：

一种SDN中基于无监督深度学习的DDoS检测方法，包括以下步骤：

在SDN控制器上设置流数据收集器，收集网络中交换机的流数据；

设置独立的检测引擎，所述检测引擎包括预处理模块和检测器模块；

数据预处理模块对收集到的所述流数据进行预处理，并将经过预处理后的流数据传输至检测器模块；