本发明涉及计算机、通信和信息安全,特别涉及一种基于神经网络和svm的sdn恶意控制器检测方法。
背景技术:
1、当今,随着互联网的快速发展,互联设备的数量越来越庞大,相应的网络业务也趋于复杂。近几年来,软件定义网络(software define network,sdn)技术发展迅速,通过对控制层和数据层的解耦简化了网络管理,实现了网络可编程。sdn技术实现了逻辑上的集中控制,针对分布式网络状态进行集中统一管理,在sdn架构中,控制器担负起收集和管理所有网络状态信息的重任。但集中控制的特点也给了一些恶意程序可乘之机,恶意程序通过对sdn控制器发起攻击进而影响整个控制器集群。因此,sdn对控制器安全性要求越来越高。
2、当前传统方法针对恶意程序检测主要还停留在静态特征扫描检测上,在运行该程序前对程序进行反汇编、反编译,获取应用程序静态字节码,提取相应的特征码,再与特征库中恶意特征码进行比较,判断是否为恶意程序;或者采用静态动态结合方法,在应用程序运行之前将其上传到隔离的虚拟机环境下运行,并对样本程序的系统函数接口调用进行监视。此方法对于恶意程序的发现和防止的效率都比较低,难以满足当前网络的需求。
3、神经网络的发展一定程度上缓解了上述问题,通过特征提取和深度学习算法可以缓解部分控制器安全压力,比如利用决策树或者随机森林算法对收集到的控制器特征数据进行训练。但其也存在自身缺陷,此方法依赖于需要广泛领域级知识的特征工程、特征学习和特征表示技术,一旦攻击者了解了使用技术的特性就可以轻易避开检测,威胁网络安全。
技术实现思路
1、发明目的:针对以上问题,本发明目的是提供一种基于神经网络和svm的sdn恶意控制器检测方法。
2、技术方案:本发明的一种基于神经网络和svm的sdn恶意控制器检测方法,包括如下步骤:
3、步骤1,利用带内遥测技术获取sdn网络中onos控制器数据;
4、步骤2,从获取的数据中提取特征数据,并形成特征子图;
5、步骤3,利用注意力机制对特征数据赋予初始权重;
6、步骤4,利用多分类器svm对带有初始权重的特征数据进行分类,输出分类结果。
7、进一步,所述步骤1具体包括如下步骤:
8、步骤11,在onos环境下,当普通数据报文传输至带内遥测系统的第一个交换节点时,利用带内网络遥测技术,将普通数据报文映射匹配出对应遥测报文,将数据遥测任务要求插入至报文头部;
9、步骤12,利用遥测服务器解析遥测报文内的遥测信息,上报至上层遥测应用程序,开始采集数据;
10、步骤13,通过onos系统api读出控制器数据。
11、进一步,所述步骤2具体包括如下步骤:
12、步骤21,对控制器数据流图 h中的邻居节点进行采样,提取深度为 d,判断提取深度 d是否大于0,若大于0,则将树中叶子节点在数据流图 h中的邻居节点作为该叶子节点的孩子节点,并将当前提取深度 d的大小减1,循环采样,直至提取深度 d为0时,返回子图;
13、步骤22,通过聚合函数聚合邻居顶点包含的信息,聚合函数采用平均聚合函数,表达式为:
14、,
15、式中,为深度学习中的激活函数, w为参数矩阵, n为邻居节点集合,表示提取深度为 l的根节点为 a的聚合信息, j表示邻居节点,表示邻居节点j的输出求和;
16、步骤23,利用各邻居顶点的聚合信息组成一维向量作为特征子图。
17、进一步,所述步骤3具体包括如下步骤:
18、步骤31,将特征子图中的数据进行相似度计算,表达式为:
19、,
20、式中,query为特征数据需求,key为特征子图中的特征数据,i表示特征数据索引,n表示特征数据长度;
21、步骤32,通过softmax函数对步骤31中的相似度得分进行归一化处理,计算出各元素的权重系数ai,表达式为:
22、,
23、式中,为步骤31计算出的相似度,e为自然指数,lx表示key的个数;
24、步骤33,对各权重系数进行加权求和,得到attention数值,表达式为:
25、。
26、进一步,所述步骤4包括:
27、将数据样本分为五个类别,分别是一类正常和四类攻击情况,在攻击情况下分出1类攻击和其他类攻击,再依次对其他类攻击作二分类,得到最后的分类结果,利用构造出的5个二分类svm模型用于样本分类,其中svm模型的径向基函数表达式为:
28、,
29、式中,(x,y)表示输入比较的特征数据,表示径向基函数的正实数参数;
30、使用基分类器svm模型对带有注意力机制分配的权重的样本数据进行初始分类,分成-1或者1,1表示正常控制器,-1表示恶意控制器,表示为:
31、,
32、式中,表示初始分类结果集合,x表示控制器集合;
33、计算分类误差率,表达式为:
34、,
35、表示的实例个数,;
36、计算基分类器权重,表达式为:
37、,
38、更新样本权重,表达式为:
39、,
40、输出强分类器,表达式为:
41、,
42、通过强分类器对控制器数据进行分类,输出结果,1表示正常控制器,-1表示恶意控制器。
43、有益效果:本发明与现有技术相比,其显著优点是:本发明结合带内网络遥测技术对控制器数据进行采集,相较于传统的网络测量方案,本发明的带内网络遥测能够对网络拓扑、网络性能和网络流量实现更细粒度的测量,对恶意控制器的检测提高的准确性;本发明引入注意力机制,为初始样本数据进行权重分配,可以提高检测效率。
1.一种基于神经网络和svm的sdn恶意控制器检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于神经网络和svm的sdn恶意控制器检测方法,其特征在于,所述步骤1具体包括如下步骤:
3.根据权利要求1所述的基于神经网络和svm的sdn恶意控制器检测方法,其特征在于,所述步骤2具体包括如下步骤:
4.根据权利要求1所述的基于神经网络和svm的sdn恶意控制器检测方法,其特征在于,所述步骤3具体包括如下步骤:
5.根据权利要求1所述的基于神经网络和svm的sdn恶意控制器检测方法,其特征在于,所述步骤4包括: