基于DCNN-GRU架构的SDN中异常流量检测方法

本发明涉及网络安全，尤其涉及一种基于dcnn-gru架构的sdn中异常流量检测方法。

背景技术：

1、互联网、云计算、大数据技术的融合，打破了信息孤岛和数据分割的局面，安全、稳定、可靠的网络连接是实现信息互通共享的基础。随着网络规模不断扩大和网络用户持续增多，传统的组网模式和管理方法已无法满足未来互联网发展的多样性需求。软件定义网络(software defined network，sdn)是一种新型网络架构，是网络虚拟化的一种实施方法。其核心技术openflow将网络设备的控制平面和转发平面分离开来，使网络能够独立于硬件设备发展，从而实现网络的集中控制和可编程性，使网络变得更加智能。

2、sdn独有的集中式控制器的特点以及开放性的设计，使得网络的安全监测和管理更加高效和智能，其网络中心化的架构在方便网络系统构建的同时，也给网络带来一些安全隐患。如针对控制器可用队列容量的拒绝服务(denial of service，dos)攻击，针对交换机流表、缓存、通信链路的溢出攻击及分布式拒绝服务(distributed denial of service，ddos)攻击，针对南向接口的堵塞攻击以及针对传输协议漏洞的各种低速率拒绝服务(lowrate denial of service，ldos)攻击，还有针对系统漏洞的蠕虫、病毒攻击等网络攻击。这些攻击不仅会对网络运行造成不良影响，甚至可将核心控制器攻陷，导致整个sdn网络都会崩塌。

3、考虑到攻击发生时常常伴有网络流量的异常变化或性能的下降，会表现出不符合预期的非正常行为模式。因此研究人员分别提出基于统计分析、基于信息论、基于聚类分析和基于机器学习的检测方法。通过对网络流量进行检测和分析，快速有效有检测网络中异常流量。为进一步采取相应的应对措施，增强网络安全提供支撑。

4、然而sdn网络具有不同于传统网络的运行模式，如果将传统的检测方法迁移到多控制器的大规模sdn网络，势必会对处于流量较高的通信链路和执行集中检测任务的云服务器产生巨大压力，致使整个sdn网络链路上的控制器因检测任务过重而承受过大的计算和存储开销，严重干扰控制器执行核心控制功能，进而导致控制器出现单点故障，甚至造成sdn网络无法正常运行，这也成为目前制约sdn网络发展的瓶颈。因此，如何将sdn网络中检测任务分散配置，实现异常检测过程负载的均衡，从而减少对网络运行的影响，是一项重要的研究议题。

技术实现思路

1、针对现有技术存在的问题，本发明实施例提供一种基于dcnn-gru架构的sdn中异常流量检测方法。

2、本发明提供一种基于dcnn-gru架构的sdn中异常流量检测方法，包括：

3、将sdn网络划分为多个子域，各子域由单独的控制器进行管理；

4、使用部署在各控制器上的卷积神经网络cnn从所述各控制器管理的子域的网络流量数据中提取特征；

5、将所述各子域的网络流量数据的特征进行融合，使用部署在云端服务器上的门控循环单元gru根据融合后的特征确定所述网络流量数据的预测类型为正常或异常；

6、所述cnn和所述gru通过以网络流量数据样本为输入，以所述网络流量数据样本的实际类型为标签进行联合训练得到。

7、根据本发明提供的一种基于dcnn-gru架构的sdn中异常流量检测装置，包括：

8、划分模块，用于将sdn网络划分为多个子域，各子域由单独的控制器进行管理；

9、提取模块，用于使用部署在各控制器上的卷积神经网络cnn从所述各控制器管理的子域的网络流量数据中提取特征；

10、检测模块，用于将所述各子域的网络流量数据的特征进行融合，使用部署在云端服务器上的门控循环单元gru根据融合后的特征确定所述网络流量数据的预测类型为正常或异常；

11、所述cnn和所述gru通过以网络流量数据样本为样本，以所述网络流量数据样本的实际类型为标签进行联合训练得到。

12、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于dcnn-gru架构的sdn中异常流量检测方法。

13、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于dcnn-gru架构的sdn中异常流量检测方法。

14、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述基于dcnn-gru架构的sdn中异常流量检测方法。

15、本发明提供的基于dcnn-gru架构的sdn中异常流量检测方法，通过利用部署在各控制器上基于cnn的轻型检测代理预先提取网络流量数据的特征，然后将特征数据输入到托管在云端的基于gru的深度检测模型进行异常检测，由于将特征提取任务分配到了多个控制器，云服务器只需对提取出的特征数据进行再学习和分类，从而降低计算资源消耗，并且比传输完整数据包占用更小的带宽资源，有较高的检测精度和检测效率，且能够避免资源过度消耗，有利于维护sdn网络的正常运行。

技术特征：

1.一种基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，包括：

2.根据权利要求1所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，所述cnn的卷积计算公式如下：

3.根据权利要求1所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，在所述使用部署在各控制器上的卷积神经网络cnn从所述各控制器管理的子域的网络流量数据中提取特征之前，还包括：

4.根据权利要求3所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，所述cnn训练的损失函数的公式为：

5.根据权利要求1-4任一所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，所述gru包括重置门、更新门、输入块、候选隐藏状态和输出值；

6.根据权利要求5所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，所述gru的计算公式为：

7.根据权利要求1-4任一所述的基于dcnn-gru架构的sdn中异常流量检测方法，其特征在于，所述gru训练的损失函数的公式为：

8.一种基于dcnn-gru架构的sdn中异常流量检测装置，其特征在于，包括：

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述基于dcnn-gru架构的sdn中异常流量检测方法。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述基于dcnn-gru架构的sdn中异常流量检测方法。

技术总结本发明提供一种基于DCNN‑GRU架构的SDN中异常流量检测方法，该方法包括：将SDN网络划分为多个子域，各子域由单独的控制器进行管理；使用部署在各控制器上的卷积神经网络CNN从各控制器管理的子域的网络流量数据中提取特征；将所述各子域的网络流量数据的特征进行融合，使用部署在云端服务器上的门控循环单元GRU根据融合后的特征确定所述网络流量数据的预测类型为正常或异常；所述CNN和所述GRU通过以网络流量数据样本为输入，以所述网络流量数据样本的实际类型为标签进行联合训练得到。本发明有较高的检测精度和检测效率，且能够避免资源过度消耗，有利于维护SDN网络的正常运行。技术研发人员：段雪源,王坤,张健,胡珊瑚,陈俊豪受保护的技术使用者：信阳师范学院技术研发日：技术公布日：2024/7/23