申请/专利权人：湖南大学

申请日：2024-02-01

公开（公告）日：2024-04-26

公开（公告）号：CN117938528A

主分类号：H04L9/40

分类号：H04L9/40;G06N3/006;G06N20/10

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.14#实质审查的生效;2024.04.26#公开

摘要：本发明公开了一种基于DBO‑SVM的SDN中LDoS攻击检测方法，属于计算机网络安全领域，其中所述方案包括：基于OpenFlow协议使用滑动窗口采集正常网络和受到LDoS攻击网络的TCP和UDP流量序列，并为其标上标签。计算窗口内TCP和UDP的流量特征，并计算特征和标签的互信息值，对互信息值排序，选择前k个互信息值最大的特征作为最优特征组合。通过更新蜣螂的位置以及计算适应度值，更新DBO‑SVM模型参数，直到达到最大迭代次数，使用迭代最终得到的参数训练LDoS攻击检测模型DBO‑SVM。本发明提出的攻击检测方法具有较高的全准率和较低的误报率和漏报率，且能实际部署在SDN控制器上，在SDN中检测LDoS攻击有着良好的效果。

主权项：1.基于DBO-SVM的SDN中LDoS攻击检测方法，其特征在于，DBO是蜣螂优化算法，SVM是SupportVectorMachines，即支持向量机，SDN是SoftwareDefinedNetwork，即软件定义网络，LDoS是Low-RateDenialofService，即低速率拒绝服务，DBO-SVM是基于蜣螂优化算法的支持向量机模型，在选取用于训练分类模型的流量特征时，基于互信息的概念计算流量特征与标签之间的互信息值，从而选出最优特征组合，使用DBO优化训练后的SVM对网络流量进行分类，检测网络是否受到LDoS攻击，所述训练和检测方法包括以下五个步骤：步骤1、采集流量数据：流量采集基于软件定义网络所采用的OpenFlow协议实现，搭建网络拓扑，模拟生成正常网络和存在LDoS攻击两种场景下的网络流量，设置采样时间间隔，以固定时间为采样窗口时间长度，使用滑动窗口进行采样，获取正常网络和存在LDoS攻击网络中的TCP和UDP流量序列；步骤2、提取特征：对每个窗口内的TCP流量和UDP流量计算10个流量特征，分别为：TCP均值、UDP均值、TCP方差、UDP方差、TCP极差、UDP极差、TCP变异系数、UDP变异系数、TCP包数信息熵、UDP包数信息熵，并为每个窗口标上0或1的标签，即正常网络窗口标为0，受到LDoS攻击的窗口标为1；步骤3、选择特征：计算每个流量特征与标签的互信息值，选取前k个互信息值最大的特征作为最优特征组合，根据k值不同，即特征组合中特征数量不同，选择多组最优特征组合；步骤4、训练检测模型：将步骤3得到的多组特征组合，输入到初始化的DBO-SVM模型中，观察其对分类准确率的影响，选出最优特征组合，进而将其作为DBO-SVM模型的输入，通过更新蜣螂的位置以及计算适应度值，更新DBO-SVM模型参数，包括惩罚参数C和核函数参数gamma，从而训练出有效的LDoS攻击检测模型DBO-SVM；步骤5、检测数据：根据步骤4建立的检测模型，对待检测流量进行检测判定，对于待检测流量窗口，将其中TCP和UDP流量作为输入，根据选定的最优特征组合，通过特征计算模块计算相应特征的值，得到特征数据，作为模型DBO-SVM的输入，通过模型分类结果判断是否受到攻击，若输出结果为0，则为正常窗口，若输出结果为1，则判定是受到LDoS攻击的窗口。

全文数据：

权利要求：

百度查询： 湖南大学 基于DBO-SVM的SDN中LDoS攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD