一种SDDC环境下基于曲线互信息决策融合的饱和攻击检测方法、计算机设备及存储介质与流程

本发明涉及互联网安全，具体涉及一种抵抗饱和攻击技术。

背景技术：

1、软件定义数据中心(software-defined data center，sddc)是以软件定义网络为网络层解决方案的一种新型数据中心架构。软件定义网络(software-definednetworking，sdn)是一种将网络数据平面与控制平面分离的新兴网络创新架构，可为管理人员配置网络、维护网络、更新协议等操作提供方便，具有网络可编程、集中管理控制、接口开放等特点。

2、sdn架构一般由应用层、控制层、数据层、北向接口和南向接口组成。应用层无需关注底层设备各种功能的实现原理，开发者通过轻量变成便可以快速开发、部署新的应用程序。

3、北向接口中nbi为开发者提供需要的应用程序接口，使开发者可以开发自己的sdn网络管理程序和应用程序。控制层负责维护整个网络的拓扑视图并运行控制策略，该层包括逻辑中央控制器。

4、南向接口便于数据层和控制层实现信息的交互，且使用的主流通信协议是openflow。数据层由众多转发设备构成，且各个网络设备之间的连接规范不同。

5、近年来，鉴于sdn在管控网络、安全维护和负载均衡等方面的优势，其已经成为数据中心网络层新型解决方案。该架构虽然将控制操作聚集在控制器中，在管理网络方便确实变得更加方便，但同时也带来了许多新的安全隐患。

6、比如，相较于传统网络而言，各类饱和攻击不仅会把sdn中的控制器、交换机等攻击目标的资源消耗殆尽，而且还会让受害者交换机传送大量的packet_in消息到控制器，使得网络服务质量的降低，这将让受害者交换机中的正常路由和寻路服务受到严重影响。

7、d-s理论在数据信息不准备及信息矛盾等问题中能够有效的处理类别混合等问题，在独立的证据融合中具有以下优势：(1)在进行信息融合的过程中保留所融合信息的不确定性，使得信息融合结果更加准确；(2)所进行融合的信息来源各不相同，将多源信息进行融合可以使得应用范围更加广泛；(3)在进行信息融合结果的表达时可以将结果划分给单个元素组成的类别，也可以将结果划分到特定的单个元素构成的类别中，能够处理信息之间的不确定性以及各个信息源之间的矛盾。

8、曲线互信息(curve mutual information，cmi)指信号波之间相互依赖程度的度量。考虑到修正后的不同概率矩阵中非零元素间密不可分的联系，本发明利用小波变换将首次修正的概率矩阵转换成对应的信号波，接着通过计算曲线相似度得到各条信号波之间的相似性。曲线相似性类比于概率矩阵之间的相似性，便可得到各个证据之间的内部关系。

技术实现思路

1、本发明提出一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法、计算机设备及存储介质，其目的是解决现有技术中高、低速率饱和攻击的检测和定位不精确而引起网络中大量资源的消耗的问题。

2、一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，所述方法包括：

3、采集流表项特征，根据所述流表项特征获得二分类器概率矩阵；

4、将所述二分类器概率矩阵转化为曲线，得到曲线互信息；

5、根据所述曲线互信息修正所述概率矩阵；

6、对修正后的概率矩阵进行决策融合，得到饱和攻击类型；

7、进一步地，所述根据所述流表项特征获得二分类器概率矩阵包括：

8、根据所述流表项特征计算得到网络流的特征值，选择二分类器，利用ovo分类策略对所述网络流的特征值进行检测，将每个二分类器的计算结果转化为概率矩阵；

9、进一步地，所述方法还包括：采用平均加权法将所述概率矩阵转变为原始bpa矩阵；

10、进一步地，所述将所述二分类器概率矩阵转化为曲线包括：

11、采用熵值法计算得到所述概率矩阵的列熵，根据所述列熵计算得到每列权重及每行对应的二分类器得分；

12、根据所述二分类器得分对所述概率矩阵进行首次修正；

13、将首次修正后的概率矩阵中的非零元素插入到数组，利用小波变换转换为曲线；

14、进一步地，所述得到曲线互信息的步骤包括：

15、使用高通滤波器和低通滤波器对曲线波进行去噪，并进行小波重建；

16、提取重建曲线波时域、频域特征，构建异构多分类器特征矩阵；

17、利用欧氏距离计算得到曲线互信息；

18、进一步地，所述对修正后的概率矩阵进行决策融合，得到饱和攻击类型包括：

19、使用d-s证据理论对修正后的概率矩阵进行决策融合，根据决策融合结果检测出每一类饱和攻击类型；

20、进一步地，所述流表项特征包括：pkt_aysm_inter、pkt_rate、byte_rate、ipv4_src、ipv4_dst,、duration。

21、一种计算机设备，所述设备包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行上述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法。

22、一种计算机可读存储介质，所述计算机可读存储介质用于储存计算机程序，所述计算机程序执行上述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法。

23、一种sddc环境下基于曲线互信息决策融合的饱和攻击检测系统，所述系统包括：

24、特征处理模块：用于采集流表项特征，根据所述流表项特征获得二分类器概率矩阵；

25、转换模块：用于将所述二分类器概率矩阵转化为曲线，得到曲线互信息；

26、修正模块：用于根据所述曲线互信息修正所述概率矩阵；

27、融合模块：用于对修正后的概率矩阵进行决策融合，得到饱和攻击类型。

28、本发明的有益效果：

29、1.本发明利用小波变换将首次修正的概率矩阵转换成对应的信号波，接着通过计算曲线相似度得到各条信号波之间的相似性，曲线相似性类比于概率矩阵之间的相似性，可得到各个证据之间的内部关系。

30、2.本发明利用曲线互信息策略计算多个证据之间的相关性，能够避免因简单计算证据相关性导致的信息丢失问题，进而能够提高饱和攻击的检测准确度。具体地，本文可在实验环境中，达到92％的攻击检测准确率以及93％的饱和攻击检测精确率。

31、3.本发明通过对sddc环境下的sdn交换机中的流表项进行计算分析、特征选择得到本发明中需要的流表特征。将上述特征选择的结果作为流表项的特征值，为这些特征值分配对应的标签，生成相应的训练集；基于上述训练集训练机器学习模型，利用训练的模型分析并检测软件定义数据中心中是否存在饱和攻击，并且提高软件定义数据中心抵抗饱和攻击的能力。

32、本发明可应用于针对交换机和控制器的高、低速饱和攻击的检测。

技术特征：

1.一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述根据所述流表项特征获得二分类器概率矩阵包括：

3.根据权利要求2所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述方法还包括：采用平均加权法将所述概率矩阵转变为原始bpa矩阵。

4.根据权利要求2所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述将所述二分类器概率矩阵转化为曲线包括：

5.根据权利要求4所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述得到曲线互信息的步骤包括：

6.根据权利要求5所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述对修正后的概率矩阵进行决策融合，得到饱和攻击类型包括：

7.根据权利要求1所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法，其特征在于，所述流表项特征包括：pkt_aysm_inter、pkt_rate、byte_rate、ipv4_src、ipv4_dst、duration。

8.一种计算机设备，其特征在于：所述设备包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行根据权利要求1-7中任一项中所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法。

9.一种计算机可读存储介质，其特征在于：所述计算机可读存储介质用于储存计算机程序，所述计算机程序执行权利要求1-7中任意一项中所述的一种sddc环境下基于曲线互信息决策融合的饱和攻击检测方法。

10.一种sddc环境下基于曲线互信息决策融合的饱和攻击检测系统，其特征在于，所述系统包括：

技术总结
一种SDDC环境下基于曲线互信息决策融合的饱和攻击检测方法、计算机设备及存储介质，属于互联网安全技术领域，解决现有技术中高、低速率饱和攻击的检测和定位不精确而引起网络中大量资源的消耗的问题。所述方法包括：采集流表项特征，根据所述流表项特征获得二分类器概率矩阵；将所述二分类器概率矩阵转化为曲线，得到曲线互信息；根据所述曲线互信息修正所述概率矩阵；对修正后的概率矩阵进行决策融合，得到饱和攻击类型。本发明适用于针对交换机和控制器的高、低速饱和攻击的检测。

技术研发人员：赵建朋,杨鸿珍,崔允贺,李显超,闫娇娇,刘若琳,卢杉,吴慧
受保护的技术使用者：国网浙江省电力有限公司信息通信分公司
技术研发日：
技术公布日：2024/1/16