李傳煌，吳艷，錢正哲，孫正君，王偉明

?

SDN下基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測(cè)與防御

李傳煌，吳艷，錢正哲，孫正君，王偉明

（浙江工商大學(xué)信息與電子工程學(xué)院，浙江 杭州 310018）

軟件定義網(wǎng)絡(luò)（SDN, software defined network）作為一種新興的網(wǎng)絡(luò)架構(gòu)，其安全問(wèn)題一直是SDN領(lǐng)域研究的熱點(diǎn)，如SDN控制通道安全性、偽造服務(wù)部署及外部分布式拒絕服務(wù)（DDoS, distributed denial of service）攻擊等。針對(duì)SDN安全中的外部DDoS攻擊問(wèn)題進(jìn)行研究，提出了一種基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測(cè)方法——DCNN-DSAE。該方法在構(gòu)建深度學(xué)習(xí)模型時(shí)，輸入特征除了從數(shù)據(jù)平面提取的21個(gè)不同類型的字段外，同時(shí)設(shè)計(jì)了能夠區(qū)分流類型的5個(gè)額外流表特征。實(shí)驗(yàn)結(jié)果表明，該方法具有較高的精確度，優(yōu)于傳統(tǒng)的支持向量機(jī)和深度神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)方法，同時(shí)，該方法還可以縮短分類檢測(cè)的處理時(shí)間。將該檢測(cè)模型部署于控制器中，利用檢測(cè)結(jié)果產(chǎn)生新的安全策略，下發(fā)到OpenFlow交換機(jī)中，以實(shí)現(xiàn)對(duì)特定DDoS攻擊的防御。

分布式拒絕服務(wù)；軟件定義網(wǎng)絡(luò)；攻擊檢測(cè)；深度學(xué)習(xí)

1 引言

分布式拒絕服務(wù)（DDoS, distributed denial of service）[1]攻擊是一種具有極強(qiáng)危害性的分布式、大范圍協(xié)同作戰(zhàn)的網(wǎng)絡(luò)攻擊方式，攻擊者利用其控制的眾多傀儡機(jī)，同時(shí)向被攻擊目標(biāo)發(fā)起拒絕服務(wù)（DoS, denial of service）攻擊，最終導(dǎo)致被攻擊目標(biāo)的系統(tǒng)資源耗盡甚至崩潰，被攻擊目標(biāo)“拒絕”為正常用戶提供所需服務(wù)。DDoS攻擊主要針對(duì)被攻擊目標(biāo)的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，攻擊范圍包括網(wǎng)絡(luò)層到應(yīng)用層。自1999年發(fā)生第一起DDoS攻擊以來(lái)，DDoS已經(jīng)成為廣泛且致命的網(wǎng)絡(luò)安全威脅之一。根據(jù)Radware公司的調(diào)查報(bào)告顯示，DDoS攻擊是目前Internet相關(guān)組織所面臨的最大的網(wǎng)絡(luò)安全威脅[2]。內(nèi)容傳送網(wǎng)絡(luò)（CDN, content delivery network）服務(wù)提供商Akamai的互聯(lián)網(wǎng)安全狀況報(bào)告顯示，2017年第四季度與2016年第四季度相比，DDoS攻擊總數(shù)增加了14%，這也表明DDoS攻擊長(zhǎng)期處于總體上升趨勢(shì)[3]，DDoS攻擊已經(jīng)對(duì)系統(tǒng)和網(wǎng)絡(luò)造成了嚴(yán)重的安全威脅。

軟件定義網(wǎng)絡(luò)[4]作為一種新型的網(wǎng)絡(luò)架構(gòu)，其核心思想是將網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)與決策控制功能進(jìn)行分離，實(shí)現(xiàn)硬件的集中式控制。隨著SDN應(yīng)用的普及，SDN的安全性問(wèn)題已經(jīng)成為SDN領(lǐng)域關(guān)鍵的研究課題之一。在基于OpenFlow技術(shù)的SDN中，較常用的DDoS攻擊防御架構(gòu)使用OpenFlow交換機(jī)采集網(wǎng)絡(luò)流量，并解析數(shù)據(jù)分組的特征值信息，然后與DDoS攻擊規(guī)則庫(kù)進(jìn)行規(guī)則匹配[5]，最終利用控制器完成入侵響應(yīng)。其中，OpenFlow交換機(jī)除了需要完成流量轉(zhuǎn)發(fā)任務(wù)外，還需要完成數(shù)據(jù)協(xié)議分析和DDoS攻擊規(guī)則庫(kù)匹配等額外任務(wù)，控制器則除了需要完成維護(hù)及控制轉(zhuǎn)發(fā)等常規(guī)任務(wù)外，還需要進(jìn)行DDoS攻擊數(shù)據(jù)分組特征收集和入侵響應(yīng)[6]等特殊任務(wù)?？刂破骱徒粨Q機(jī)所帶來(lái)的大量額外任務(wù)均會(huì)使那些已經(jīng)負(fù)擔(dān)過(guò)重的網(wǎng)絡(luò)設(shè)備雪上加霜。因此，針對(duì)SDN體系架構(gòu)的特點(diǎn)，構(gòu)建一種高效合理的DDoS防御機(jī)制，是在設(shè)計(jì)和部署整個(gè)SDN架構(gòu)時(shí)必須慎重考慮的關(guān)鍵性問(wèn)題。

DDoS檢測(cè)是DDoS主要的防御機(jī)制之一，因?yàn)樵诖蠖鄶?shù)情況下，攻擊流量與合法流量非常相似，攻擊者會(huì)嘗試模仿Flash群，導(dǎo)致DDoS攻擊較難被自動(dòng)檢測(cè)，而流量不足的攻擊行為甚至可以被視為一個(gè)早期的合法行為。許多研究人員嘗試使用統(tǒng)計(jì)機(jī)器學(xué)習(xí)方法來(lái)檢測(cè)DDoS攻擊并丟棄攻擊數(shù)據(jù)分組。傳統(tǒng)機(jī)器學(xué)習(xí)方法對(duì)基于統(tǒng)計(jì)特征的DDoS攻擊進(jìn)行分類，性能優(yōu)于統(tǒng)計(jì)方法。但該方法仍然有如下缺點(diǎn)：需要廣泛的網(wǎng)絡(luò)專業(yè)知識(shí)和DDoS的實(shí)驗(yàn)來(lái)選擇合適的統(tǒng)計(jì)特征；僅限于一個(gè)或幾個(gè)DDoS攻擊向量；需要更新其模型和閾值來(lái)滿足系統(tǒng)和攻擊向量的變化；易受到低攻擊速率影響。

深度學(xué)習(xí)為解決傳統(tǒng)機(jī)器學(xué)習(xí)的局限性提供了可能。深度學(xué)習(xí)算法是一個(gè)對(duì)特征學(xué)習(xí)的過(guò)程，在學(xué)習(xí)過(guò)程中能夠發(fā)現(xiàn)多層特征，并將高層特征表示成更抽象的數(shù)據(jù)特征。目前，深度學(xué)習(xí)已經(jīng)被Google、Facebook、Microsoft[7]、百度[8]等公司在語(yǔ)音識(shí)別、計(jì)算機(jī)視覺(jué)、自然語(yǔ)言處理等領(lǐng)域廣泛應(yīng)用。

本文提出了一種SDN中基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測(cè)方法——DCNN-DSAE，該方法將SDN與深度學(xué)習(xí)相結(jié)合，并利用深度卷積神經(jīng)網(wǎng)絡(luò)（DCNN, deep convolution neural network）和深度堆棧自編碼（DSAE, deep stacked autoencoder）進(jìn)行檢測(cè)。DCNN-DSAE混合模型汲取了DCNN和DSAE算法的優(yōu)點(diǎn)，不僅可以提高分類檢測(cè)的精度，還可以縮短分類檢測(cè)的處理時(shí)間，有效地緩解了SDN中的DDoS攻擊效應(yīng)，從而避免了網(wǎng)絡(luò)資源的耗盡。

2 研究現(xiàn)狀

DDoS攻擊如今已經(jīng)成為網(wǎng)絡(luò)安全方面的嚴(yán)重威脅之一[9-10]。隨著互聯(lián)網(wǎng)技術(shù)及應(yīng)用的發(fā)展，DDoS攻擊出現(xiàn)的次數(shù)正在大幅增長(zhǎng)，一個(gè)主要原因就是僵尸網(wǎng)絡(luò)的出現(xiàn)和發(fā)展。這些僵尸網(wǎng)絡(luò)是由惡意軟件或機(jī)器組成的攻擊網(wǎng)絡(luò)，攻擊者利用惡意流量不斷地攻擊受害者的服務(wù)器，使服務(wù)器不能為用戶提供正常的服務(wù)，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

到目前為止，國(guó)內(nèi)外針對(duì)DDoS攻擊安全防御問(wèn)題的主要解決方法是實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)控，當(dāng)DDoS攻擊發(fā)生時(shí)，啟動(dòng)攻擊流量清洗設(shè)備屏蔽DDoS攻擊源，從而避免網(wǎng)絡(luò)遭受DDoS攻擊的侵害，達(dá)到安全防御的目的[11]。這個(gè)過(guò)程主要包括以下幾點(diǎn)：在交換機(jī)、路由器等網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中進(jìn)行源IP地址的合法性確認(rèn)，建立黑/白名單；基于統(tǒng)計(jì)學(xué)方法，根據(jù)網(wǎng)絡(luò)流密度變化情況，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控；在路由轉(zhuǎn)發(fā)設(shè)備中，建立源地址和轉(zhuǎn)發(fā)設(shè)備對(duì)應(yīng)的入端口的映射表，通過(guò)對(duì)比數(shù)據(jù)流源IP地址與相應(yīng)入端口地址，確定當(dāng)前網(wǎng)絡(luò)是否有DDoS攻擊行為，然后對(duì)DDoS攻擊流量進(jìn)行清洗。

Mousavi等[12]提出了一種在SDN控制器中通過(guò)計(jì)算熵值來(lái)檢測(cè)DDoS攻擊的入侵檢測(cè)系統(tǒng)。該入侵檢測(cè)系統(tǒng)的檢測(cè)精度取決于熵的閾值，然而閾值的選擇是通過(guò)調(diào)整參數(shù)大小的實(shí)驗(yàn)得到的，該方法具有一定的不可靠性。

Wang等[13]提出了一種SDN中基于熵的DDoS攻擊檢測(cè)系統(tǒng)，通過(guò)處理交換機(jī)中流表的統(tǒng)計(jì)信息，達(dá)到檢測(cè)系統(tǒng)中防止DDoS攻擊的目的。雖然該方法減少了控制器在收集流表統(tǒng)計(jì)信息時(shí)的開(kāi)銷，但該方法試圖在交換機(jī)等設(shè)備中增強(qiáng)智能控制功能，與SDN轉(zhuǎn)發(fā)和控制分離的核心思想矛盾。

Jadidi等[14]提出了一種基于流的異常檢測(cè)系統(tǒng)，主要采用基于多層感知器和重力的搜索算法。該系統(tǒng)可以很好地區(qū)分正常類型的數(shù)據(jù)流和單一攻擊類型的數(shù)據(jù)流，但其對(duì)組合攻擊類型的數(shù)據(jù)流區(qū)分度較差。

Winter等[15]提出了一種基于支持向量機(jī)（SVM, support vector mechine）算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該方法具有較低的誤報(bào)率。然而該系統(tǒng)在訓(xùn)練模型時(shí)只采用了攻擊類型的數(shù)據(jù)訓(xùn)練模型，沒(méi)有涵蓋正常網(wǎng)絡(luò)流量數(shù)據(jù)集，存在一定的片面性。

Trung等[16]結(jié)合硬檢測(cè)閾值和模糊推理系統(tǒng)（FIS），根據(jù)正常和攻擊狀態(tài)下的實(shí)際流量特征來(lái)檢測(cè)DDoS攻擊，但他們只考慮了分布時(shí)間、每個(gè)流的數(shù)據(jù)分組數(shù)量及分配到服務(wù)器的流量等幾個(gè)特征，特征信息量不足。

此外，本文作者[17-18]曾將深度學(xué)習(xí)與DDoS檢測(cè)相結(jié)合，使用深度學(xué)習(xí)方法直接對(duì)通過(guò)的流量本身進(jìn)行檢測(cè)，具有較高的精確度。由于該方法未對(duì)流量的統(tǒng)計(jì)特征進(jìn)行檢測(cè)，與輕量級(jí)的統(tǒng)計(jì)特征檢測(cè)不同，它不能直接部署在SDN控制器中。

綜上所述，現(xiàn)有的DDoS攻擊檢測(cè)方法較多，但它們?nèi)源嬖谥鴻z測(cè)時(shí)延長(zhǎng)、檢測(cè)精度低、誤報(bào)率較高、對(duì)新型DDoS攻擊檢測(cè)能力較弱等諸多問(wèn)題。本文針對(duì)上述問(wèn)題，并結(jié)合深度學(xué)習(xí)，提出了一種基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測(cè)方法——DCNN-DSAE。與傳統(tǒng)檢測(cè)方法相比，該方法檢測(cè)精度更高、誤報(bào)率更低，且可以直接部署于SDN控制器中，具有很好的實(shí)用性。

3 特征提取及構(gòu)建

在傳統(tǒng)的機(jī)器學(xué)習(xí)分類方法中，輸入特征是手動(dòng)設(shè)計(jì)的，輸入特征的好壞對(duì)模型的檢測(cè)精度影響較大，好的特征的提取需要經(jīng)過(guò)繁雜的運(yùn)算和經(jīng)驗(yàn)判決。而在深度學(xué)習(xí)中，模型可以自動(dòng)地逐層提取多個(gè)不同層次的特征，并且將這些特征在不同層面組合起來(lái)產(chǎn)生輸出。

由于深度學(xué)習(xí)模型可以自動(dòng)地提取特征，因此直接提取交換機(jī)中流表的部分特征字段，作為模型第一層輸入特征的一部分。自動(dòng)獲取的流表特征向量如表1所示。

表1 自動(dòng)獲取的流表特征向量

同時(shí)，為了提高模型檢測(cè)精度、確保結(jié)果的可靠性，手動(dòng)構(gòu)建了最可能區(qū)分流類型的部分流表特征向量，并將其作為模型輸入特征數(shù)據(jù)集的另一部分。表2是更詳細(xì)的手動(dòng)構(gòu)建的流表特征向量。

表2 手動(dòng)構(gòu)建的流表特征向量

1) 單流增長(zhǎng)速率（growth rate of single flow）

DDoS攻擊發(fā)生時(shí)，流表中單流和對(duì)流的增長(zhǎng)速率常常成為檢測(cè)攻擊的重要特征。給定任意流A和流B，當(dāng)滿足流A的源地址等于流B的目的地址、流A的目的地址等于流B的源地址、流A和流B具有相同的通信協(xié)議這3個(gè)條件時(shí)，流A和流B構(gòu)成對(duì)流。

DDoS常以IP欺騙的方式發(fā)起攻擊，該特征增加了單流進(jìn)入網(wǎng)絡(luò)的數(shù)量，因?yàn)樗鼈兪褂眉買P地址發(fā)送數(shù)據(jù)分組，如式(1)所示。

其中，flow_nums表示在時(shí)間周期內(nèi)采集的流表數(shù)量，表示采集周期，表示每個(gè)周期內(nèi)采集到的流表中單流的數(shù)量。

2) 不同端口增長(zhǎng)速率（growth rate of different port）

類似地，與DDoS攻擊產(chǎn)生的IP欺騙相同，攻擊者也可通過(guò)隨機(jī)生成端口進(jìn)行端口掃描攻擊，如式(2)所示。

其中，表示每個(gè)周期內(nèi)采集到的流表中不同端口號(hào)的流表數(shù)量。

3) 流表平均數(shù)據(jù)分組量（average packets per flow）

DDoS攻擊通過(guò)源IP欺騙，產(chǎn)生大量的、偽裝不同IP的數(shù)據(jù)分組，且不同IP對(duì)應(yīng)的數(shù)據(jù)分組數(shù)量較小。這種攻擊方式使溯源任務(wù)非常困難，但是這也成為了區(qū)分正常分組和攻擊分組的重要特征，因?yàn)檎７纸M中同一個(gè)IP對(duì)應(yīng)的數(shù)據(jù)分組數(shù)量較大。鑒于這種特性，把流表平均數(shù)據(jù)分組量作為手動(dòng)構(gòu)建流表特征向量的重要特征之一，如式(3)所示。

其中，flow_nums表示采集的所有流表中第種流表的數(shù)量，pcount表示每條流表中的數(shù)據(jù)分組數(shù)量。

4) 流表平均比特?cái)?shù)（average bytes per flow）

與定義流表平均數(shù)據(jù)分組量相似，DDoS攻擊的另一個(gè)特點(diǎn)是不同IP對(duì)應(yīng)的數(shù)據(jù)分組的比特?cái)?shù)較小。例如，在TCP泛洪攻擊中，攻擊者會(huì)發(fā)送大量的120 B的數(shù)據(jù)分組攻擊受害者，這種特征也為DDoS攻擊檢測(cè)提供了依據(jù)，如式(4)所示。

其中，bcount表示每條流表中的數(shù)據(jù)分組比特大小。

5) 流量平均持續(xù)時(shí)間（average durations per flow）

DDoS泛洪攻擊發(fā)生時(shí)，不同IP對(duì)應(yīng)的持續(xù)時(shí)間較短，如式(5)所示。

其中，durations表示每條流表的持續(xù)時(shí)間。

綜上所述，將部分流表統(tǒng)計(jì)信息直接作為深度學(xué)習(xí)的部分輸入特征{}，{}包含表1中的全部特征向量，同時(shí)依據(jù)流表統(tǒng)計(jì)信息手動(dòng)構(gòu)建部分輸入特征{}，{}包含表2中的特征向量。將直接獲取的輸入特征{}和手動(dòng)構(gòu)建的輸入特征{}進(jìn)行合并及維度重構(gòu)，構(gòu)成新的深度學(xué)習(xí)輸入特征{，}。

4 基于深度學(xué)習(xí)混合模型的DDoS檢測(cè)

4.1 攻擊檢測(cè)及防御總體架構(gòu)

DDoS攻擊深度學(xué)習(xí)混合分類檢測(cè)及防御總體架構(gòu)如圖1所示。本文提出的DCNN-DSAE混合模型通過(guò)分析流表特征來(lái)進(jìn)行正確的分類。其中，DCNN-DSAE混合模型的第一級(jí)采用DCNN模型，第二級(jí)采用DSAE模型。在檢測(cè)過(guò)程中，DCNN模型的輸出端將流表特征分為攻擊和正常2種類型。對(duì)于攻擊類型，系統(tǒng)直接采用異常清洗的操作進(jìn)行處理；而對(duì)于判斷為正常類型的流表特征，由于模型判斷可能會(huì)存在誤差，為了確保系統(tǒng)的安全性，將這些判斷為正常類型的流表特征再轉(zhuǎn)送到DSAE模型中進(jìn)行進(jìn)一步檢測(cè)，最后，使用softmax分類器將其分類為正常類型或攻擊類型。在模型的總輸出端，當(dāng)檢測(cè)到異常時(shí)，控制器可通過(guò)OpenFlow協(xié)議修改流表等操作來(lái)有效緩解網(wǎng)絡(luò)異常，并將新的安全策略下發(fā)到OpenFlow交換機(jī)中。

圖1 DDoS攻擊深度學(xué)習(xí)混合分類檢測(cè)及防御總體架構(gòu)

實(shí)際情況下，DCNN模型在梯度下降計(jì)算時(shí)，可能會(huì)進(jìn)入局部最優(yōu)，或無(wú)限逼近全局最優(yōu)，在模型的輸出端不可能完全區(qū)分正?；駾DoS攻擊類型的流表特征，這意味著在DCNN模型的輸出端，輸出的正常類型的流表特征向量中可能會(huì)存在DDoS攻擊類型的流表特征向量，即DCNN模型可能存在誤判現(xiàn)象。

第一級(jí)DCNN模型采用監(jiān)督學(xué)習(xí)方式。在訓(xùn)練DCNN模型的過(guò)程中，采用的數(shù)據(jù)集包括正常流量和DDoS攻擊流量下的流表特征。正常流量下的流表特征標(biāo)簽為0，DDoS攻擊流量下的流表特征標(biāo)簽為1，模型的訓(xùn)練在有標(biāo)簽的監(jiān)督下完成。第二級(jí)DSAE模型采用非監(jiān)督的學(xué)習(xí)方式。在訓(xùn)練過(guò)程中，也采用和DCNN模型相同的數(shù)據(jù)集進(jìn)行訓(xùn)練，但與之不同的是，DSAE模型的訓(xùn)練不需要預(yù)先知道數(shù)據(jù)所對(duì)應(yīng)的標(biāo)簽，在非監(jiān)督的條件下完成流表特征的分類任務(wù)。相比于監(jiān)督學(xué)習(xí)，非監(jiān)督學(xué)習(xí)完全依賴于數(shù)據(jù)本身的特征，可以學(xué)習(xí)到更加抽象的特征。

DCNN-DSAE混合模型汲取了DCNN和DSAE算法的優(yōu)點(diǎn)，與傳統(tǒng)的只采用卷積神經(jīng)網(wǎng)絡(luò)（CNN, convolutional neural network）[19]、自編碼網(wǎng)絡(luò)、自組織映射、支持向量機(jī)等異常檢測(cè)方法相比，不僅可以提高分類檢測(cè)的精度，還可以縮短分類檢測(cè)的處理時(shí)間，從而有效地緩解了SDN中的DDoS攻擊效應(yīng)，避免資源耗盡。DCNN-DSAE模型部署于SDN控制器中，采用流表特征作為模型的輸入，輸出為流表特征所對(duì)應(yīng)的分類結(jié)果。

圖2 DCNN模型結(jié)構(gòu)

4.2 DCNN模型

卷積神經(jīng)網(wǎng)絡(luò)是一種前饋人工神經(jīng)網(wǎng)絡(luò)，通常由一個(gè)或多個(gè)卷積層組成，然后由標(biāo)準(zhǔn)的多層神經(jīng)網(wǎng)絡(luò)中的一個(gè)或多個(gè)全連接層連接組成。CNN的架構(gòu)旨在利用輸入數(shù)據(jù)的二維結(jié)構(gòu)，這是通過(guò)本地連接和綁定權(quán)重實(shí)現(xiàn)的，然后通過(guò)池化，維持特征的平移、旋轉(zhuǎn)、尺度的不變性。與具有相同層數(shù)的標(biāo)準(zhǔn)前饋神經(jīng)網(wǎng)絡(luò)相比，本文提出的DCNN模型具有更少的神經(jīng)元和參數(shù)，更容易訓(xùn)練且檢測(cè)精度更高。為了解決DCNN訓(xùn)練時(shí)間長(zhǎng)的問(wèn)題，本文的DCNN模型在訓(xùn)練過(guò)程中采用GPU加速和2D卷積高度優(yōu)化，這樣使模型的功能變得更加強(qiáng)大，能提取更高層次的流表特征，同時(shí)減少訓(xùn)練的時(shí)間，不會(huì)產(chǎn)生嚴(yán)重的過(guò)擬合問(wèn)題。

通過(guò)實(shí)驗(yàn)對(duì)比，建立的DCNN網(wǎng)絡(luò)模型如圖2所示，其包含3個(gè)卷積層、2個(gè)最大池化層以及2個(gè)全連接層。

輸入的流表特征向量經(jīng)第一層卷積層以提取更加抽象的高維度特征，然后對(duì)這些特征進(jìn)行批標(biāo)準(zhǔn)化（batch normalization）處理，讓模型學(xué)習(xí)到數(shù)據(jù)的分布特征；再經(jīng)過(guò)第二層最大池化層后，保持那些批標(biāo)準(zhǔn)化處理后的抽象高維特征的平移、旋轉(zhuǎn)、尺度不變性，同時(shí)又能夠減少模型的參數(shù)和計(jì)算量，防止出現(xiàn)過(guò)擬合現(xiàn)象，提高模型泛化能力；經(jīng)過(guò)第三層卷積層，并將第三層卷積層抽象后的特征進(jìn)行批標(biāo)準(zhǔn)化處理；再經(jīng)過(guò)第四層最大池化層、第五層卷積層后，得到可準(zhǔn)確表示流表特征的更高維度的特征向量；最后將這些高維特征向量輸入全連接層，在輸出端通過(guò)softmax分類器進(jìn)行分類。

為防止模型訓(xùn)練時(shí)收斂速度較慢、出現(xiàn)梯度爆炸等現(xiàn)象，本文采用批標(biāo)準(zhǔn)化提升模型的容納能力。如式(6)所示，每次按小批量訓(xùn)練模型，對(duì)每一批的數(shù)據(jù)做規(guī)范化處理，使輸出的結(jié)果均值為0、方差為1。

其中，為常量，、為可學(xué)習(xí)的參數(shù)。

為進(jìn)一步加快模型的訓(xùn)練速度，本文采用非飽和非線性激活函數(shù)修正線性單元ReLU（式(8)）和Softplus（式(9)）以代替?zhèn)鹘y(tǒng)的飽和非線性激活函數(shù)Tanh和Sigmoid。

在當(dāng)前模型深度和神經(jīng)元個(gè)數(shù)及輸入為大批量流量特征下，使用傳統(tǒng)的飽和非線性激活函數(shù)會(huì)出現(xiàn)過(guò)擬合現(xiàn)象，在DCNN模型中進(jìn)行梯度下降訓(xùn)練實(shí)驗(yàn)時(shí)，采用ReLU或Softplus這些非飽和非線性激活函數(shù)比采用Sigmoid或Tanh這些飽和非線性激活函數(shù)快好幾倍。

為進(jìn)一步克服模型的過(guò)擬合問(wèn)題及提高模型的訓(xùn)練速度，本文使用了“dropout”[20]技術(shù)，即在神經(jīng)網(wǎng)絡(luò)傳遞過(guò)程中，將概率為0.5的隱藏神經(jīng)元的輸出設(shè)置為0，因?yàn)檫@些神經(jīng)元對(duì)前進(jìn)傳遞沒(méi)有貢獻(xiàn)，所以將其丟棄，不再參與反向傳播。因此，每次在批量數(shù)據(jù)送入模型訓(xùn)練時(shí)，神經(jīng)網(wǎng)絡(luò)都會(huì)隨機(jī)地丟棄一定數(shù)量的神經(jīng)元，使神經(jīng)網(wǎng)絡(luò)模型變得稀疏，且結(jié)構(gòu)不同，但模型中所有這些體系結(jié)構(gòu)共享權(quán)重。這種技術(shù)降低了模型對(duì)特定神經(jīng)元結(jié)構(gòu)的依賴性，因此，它迫使模型學(xué)習(xí)更多輸入數(shù)據(jù)本身的特性。

4.3 DSAE模型

自編碼（AE, autoencoder）是一種前饋神經(jīng)網(wǎng)絡(luò)，它具有一個(gè)或多個(gè)隱藏層。當(dāng)模型具有一個(gè)隱藏層時(shí)，隱藏層是輸入特征向量的抽象表示，相當(dāng)于主成分分析；當(dāng)模型具有多個(gè)隱藏層時(shí)，在前向傳遞訓(xùn)練過(guò)程中，每2層之間通過(guò)受限玻爾茲曼機(jī)進(jìn)行預(yù)訓(xùn)練，正向訓(xùn)練完成后，再通過(guò)誤差反向傳遞調(diào)整權(quán)重和偏置，最小化輸入和輸出之間的差異。圖3為自編碼模型結(jié)構(gòu)。

圖3 自編碼模型結(jié)構(gòu)

其中，1為連接輸入層和隱藏層之間的權(quán)重，為輸入的第個(gè)流表特征向量，1為隱藏層神經(jīng)元的偏置。

編碼完成后，基于隱藏層的輸出結(jié)果，輸出層根據(jù)式(11)進(jìn)行解碼重建，產(chǎn)生具有與輸入層神經(jīng)元相同尺寸的輸出。

其中，為激活函數(shù)，2為連接隱藏層和輸出層之間的權(quán)重，為通過(guò)隱藏層編碼壓縮后的流表特征向量，2為輸出層神經(jīng)元的偏置。

最后通過(guò)最小化損失函數(shù)（式(12)）達(dá)到訓(xùn)練自編碼模型的目的。

其中，為流表特征向量的個(gè)數(shù)，為輸入的流表特征向量，為經(jīng)過(guò)自編碼模型后輸出的流表特征向量。

自編碼模型的輸入層和隱藏層神經(jīng)元采用線性激活函數(shù)線性輸出，輸出層神經(jīng)元采用Sigmoid函數(shù)（式(13)）非線性輸出。

實(shí)驗(yàn)發(fā)現(xiàn)，當(dāng)輸出層神經(jīng)元使用Sigmoid激活函數(shù)時(shí)，在檢測(cè)精度上比使用ReLU或Softplus等激活函數(shù)效果更好，Sigmoid函數(shù)在線性瓶頸問(wèn)題上解決得更好，所得到的模型更易訓(xùn)練，模型對(duì)參數(shù)的變化也更具頑健性。

本文在構(gòu)建模型時(shí)為了達(dá)到降維和提取抽象特征的目的，使用基于AE的DSAE模型。DSAE模型通過(guò)逐層疊加自編碼模型的輸入層和隱藏層而構(gòu)建，其中每個(gè)自編碼模型采用一個(gè)隱藏層。DSAE模型結(jié)構(gòu)如圖4所示。流表特征向量經(jīng)過(guò)第一個(gè)自編碼模型的學(xué)習(xí)后，在其隱藏層中得到壓縮后的抽象化特征，將第一個(gè)自編碼模型的隱藏層作為第二個(gè)自編碼模型的輸入層；經(jīng)過(guò)第二個(gè)自編碼模型的學(xué)習(xí)后，在其隱藏層中得到進(jìn)一步壓縮后的更加抽象化的特征，再將第二個(gè)自編碼模型的隱藏層作為第三個(gè)自編碼模型的輸入層；依次疊加，最后通過(guò)softmax分類器將流表特征向量分為正常類型或DDoS攻擊類型。

圖4 DSAE模型結(jié)構(gòu)

5 實(shí)驗(yàn)與結(jié)果分析

5.1 實(shí)驗(yàn)環(huán)境及評(píng)估指標(biāo)

本文實(shí)驗(yàn)基于Tensorflow框架構(gòu)建深度學(xué)習(xí)混合模型，硬件環(huán)境為NVIDIA Tesla M40類型的GPU服務(wù)器，軟件環(huán)境為Ubuntu16.04操作系統(tǒng)。

實(shí)驗(yàn)前收集流表特征數(shù)據(jù)集，分別在正常流和DDoS攻擊流下收集到自動(dòng)獲取和手動(dòng)構(gòu)建的流表特征，數(shù)據(jù)集如表3所示。流表特征數(shù)據(jù)集的總數(shù)為15萬(wàn)條，其中，訓(xùn)練集為9萬(wàn)條，測(cè)試集為6萬(wàn)條。

表3 流表特征數(shù)據(jù)集

實(shí)驗(yàn)通過(guò)準(zhǔn)確度（accuracy）、精確度（precision）、召回率（recall）、F1分?jǐn)?shù)（F1score）和混淆矩陣（confusion matrix）5個(gè)評(píng)估指標(biāo)來(lái)評(píng)估模型的檢測(cè)性能。其中，TP（true positive）是實(shí)際類型為DDoS攻擊的樣本中被分類模型判斷正確的樣本數(shù)；TN（true negative）是實(shí)際類型為正常的樣本中被分類模型判斷正確的樣本數(shù)；FN（false negative）是實(shí)際類型為DDoS攻擊的樣本被分類模型誤判為正常類型的樣本數(shù)；FP（false positive）是實(shí)際類型為正常的樣本中被分類模型誤判為DDoS攻擊類型的樣本數(shù)。

準(zhǔn)確度（）表示模型判斷正確的數(shù)據(jù)分組的數(shù)量占數(shù)據(jù)分組總數(shù)量的百分比，即

精確度（）表示模型判斷為攻擊類型的數(shù)據(jù)分組中，真正為攻擊分組的數(shù)量所占的百分比，即

召回率（）表示模型判斷為攻擊類型的數(shù)據(jù)分組占所有攻擊類型數(shù)據(jù)分組數(shù)量的百分比，即

F1分?jǐn)?shù)（1）表示精確度和召回率的調(diào)和平均值，能夠更準(zhǔn)確地評(píng)估模型性能。

混淆矩陣（confusion matrix）主要用于模型分類的結(jié)果和數(shù)據(jù)與實(shí)際標(biāo)簽相匹配的程度。

5.2 DCNN模型實(shí)驗(yàn)結(jié)果分析

在建立DCNN模型時(shí)，采用不同深度的卷積層都會(huì)對(duì)模型的檢測(cè)精度產(chǎn)生較大影響，而且小批量訓(xùn)練的模型表現(xiàn)較好，模型訓(xùn)練時(shí)采用的batch_size大小默認(rèn)為50。實(shí)驗(yàn)過(guò)程中建立了4種不同深度的DCNN模型。4種模型結(jié)構(gòu)如表4所示。其中，C3P2F2表示模型包含3個(gè)卷積層、2個(gè)最大池化層和2個(gè)全連接層，1表示模型存在該結(jié)構(gòu)，0表示模型不存在該結(jié)構(gòu)。

本文對(duì)構(gòu)建的表4中的DCNN模型進(jìn)行實(shí)驗(yàn)，并通過(guò)定義的準(zhǔn)確度、精確度、召回率、F1分?jǐn)?shù)評(píng)估指標(biāo)評(píng)估模型的性能。4種不同深度的DCNN模型評(píng)估指標(biāo)如表5所示。

采用3層卷積層的神經(jīng)網(wǎng)絡(luò)模型（C3P2F2、C3P3F2）效果明顯優(yōu)于采用2層卷積層的神經(jīng)網(wǎng)絡(luò)模型（C2P2F2、C2P2F4）。其中，C3P2F2模型在精確度、召回率和F1分?jǐn)?shù)上的指標(biāo)均高于C3P3F2模型，但在準(zhǔn)確度上略低于C3P3F3模型。

為比較C3P2F2模型和C3P3F2模型的檢測(cè)效果，通過(guò)混淆矩陣分析4種模型。4種DCNN模型的混淆矩陣如圖5所示。采用2層卷積層的神經(jīng)網(wǎng)絡(luò)的模型在判斷正常分組和攻擊分組的能力上均弱于采用3層卷積層的神經(jīng)網(wǎng)絡(luò)的模型。同時(shí)C3P2F2模型判斷攻擊分組的能力（0.98）強(qiáng)于C3P3F2模型（0.96）?？紤]到DDoS攻擊可能會(huì)危害到整個(gè)系統(tǒng)的安全性，采用的檢測(cè)模型必須要對(duì)攻擊有很強(qiáng)的敏感性，綜合考慮，DCNN模型采用C3P2F2模型最佳。

表4 4種不同深度的DCNN模型的模型結(jié)構(gòu)

表5 4種不同深度的DCNN模型的評(píng)估指標(biāo)

圖5 4種DCNN模型的混淆矩陣

綜上所述，C3P2F2模型層數(shù)較深、神經(jīng)元個(gè)數(shù)較多、訓(xùn)練模型采用的流表特征數(shù)據(jù)集較大，這些會(huì)導(dǎo)致模型在訓(xùn)練時(shí)收斂速度較慢。為加快訓(xùn)練的速度、提高模型的精度，對(duì)比進(jìn)行批標(biāo)準(zhǔn)化處理和未標(biāo)準(zhǔn)化處理時(shí)模型的表現(xiàn)。實(shí)驗(yàn)結(jié)果如圖6所示。

圖6 是否采用批標(biāo)準(zhǔn)化處理對(duì)模型準(zhǔn)確度的影響

由圖6可知，模型中加入批標(biāo)準(zhǔn)化處理后，加快了模型的訓(xùn)練速度，在訓(xùn)練到180輪時(shí)，準(zhǔn)確度就已經(jīng)達(dá)到0.8，而沒(méi)有進(jìn)行規(guī)范化處理的模型，在600輪的訓(xùn)練后準(zhǔn)確度才達(dá)到0.8，并且加入批標(biāo)準(zhǔn)化后模型的精度表現(xiàn)更好。

同時(shí)，本文采用非飽和非線性激活函數(shù)修正線性單元ReLU和Softplus代替?zhèn)鹘y(tǒng)的飽和非線性激活函數(shù)Tanh和Sigmoid。2種激活函數(shù)的檢測(cè)精度對(duì)比情況如圖7所示。DCNN模型在采用飽和非線性激活函數(shù)進(jìn)行訓(xùn)練時(shí)，出現(xiàn)了較大的振蕩，且檢測(cè)精度低于采用非飽和非線性激活函數(shù)的訓(xùn)練結(jié)果。實(shí)驗(yàn)結(jié)果表明，DCNN模型采用非飽和非線性激活函數(shù)對(duì)提高模型的檢測(cè)精度更有效。采用ReLU等非飽和非線性激活函數(shù)，DCNN模型的檢測(cè)精度可以達(dá)到0.98；而采用Sigmoid等飽和非線性函數(shù)，DCNN模型出現(xiàn)了梯度消失的現(xiàn)象，甚至不能學(xué)習(xí)到有效的特征。

圖7 2種激活函數(shù)的準(zhǔn)確度對(duì)比情況

為克服訓(xùn)練過(guò)程中出現(xiàn)的過(guò)擬合問(wèn)題，同時(shí)加快模型的訓(xùn)練速度，本文采取“dropout”技術(shù)有效地避免了模型訓(xùn)練過(guò)程中的過(guò)擬合問(wèn)題[21]，實(shí)驗(yàn)結(jié)果如圖8所示。模型在進(jìn)行1 200輪訓(xùn)練的過(guò)程中，采用“dropout”訓(xùn)練時(shí)，梯度沒(méi)有出現(xiàn)消失，誤差一直在下降；而沒(méi)有采用“dropout”時(shí)，模型的訓(xùn)練在進(jìn)行到600輪時(shí)，就已出現(xiàn)梯度消失的現(xiàn)象，訓(xùn)練和測(cè)試結(jié)果如圖9所示。采用“dropout”技術(shù)的模型在訓(xùn)練集合測(cè)試集上表現(xiàn)較好。

圖8 “dropout”技術(shù)對(duì)模型的影響對(duì)比

圖9 采用“dropout”的模型在訓(xùn)練集和測(cè)試集上的表現(xiàn)

綜合所有結(jié)果可知，DCNN模型采用C3P2F2模型為最佳，且模型中添加批標(biāo)準(zhǔn)化處理，激活函數(shù)采用非飽和非線性激活函數(shù)ReLU和Softplus，在全連接層添加“dropout”防止過(guò)擬合。

實(shí)驗(yàn)將C3P2F2模型與傳統(tǒng)機(jī)器學(xué)習(xí)方法中的SVM和深度學(xué)習(xí)方法中的深度神經(jīng)網(wǎng)絡(luò)（DNN, deep neural network）進(jìn)行對(duì)比，并使用相同的數(shù)據(jù)集。3種方法的精確度對(duì)比結(jié)果如圖10所示。從圖10可以看出，3種模型在進(jìn)行到1 200輪訓(xùn)練時(shí)都趨于收斂，且采用C3P2F2模型的檢測(cè)精度明顯高于SVM和DNN的方法。

圖10 采用不同機(jī)器學(xué)習(xí)方法的檢測(cè)精度對(duì)比

5.3 DSAE模型實(shí)驗(yàn)結(jié)果分析

在構(gòu)建DSAE模型時(shí)，采用自編碼模型的個(gè)數(shù)會(huì)對(duì)模型的檢測(cè)精度產(chǎn)生較大影響，實(shí)驗(yàn)過(guò)程中建立了3種不同深度的DSAE模型進(jìn)行對(duì)比，為使模型表現(xiàn)得較好，采用小批量的訓(xùn)練方法，batch_size大小默認(rèn)為50。具體所設(shè)計(jì)的3種不同深度的DSAE模型如表6所示。

SAE4模型表示模型包含4個(gè)自編碼模型，每個(gè)自編碼模型都默認(rèn)包含一個(gè)輸入層、一個(gè)隱藏層和一個(gè)輸出層。例如，在第一個(gè)自編碼（128-64）中，128表示輸入、輸出神經(jīng)元個(gè)數(shù)為128個(gè)，隱藏層神經(jīng)元為64個(gè)。表6中1表示模型存在該結(jié)構(gòu)，0表示模型不存在該結(jié)構(gòu)。

表6 3種不同深度的DSAE模型的模型結(jié)構(gòu)

表7為3種不同深度的DSAE模型評(píng)估指標(biāo)。實(shí)驗(yàn)結(jié)果表明，采用4層自編碼的SAE4模型在準(zhǔn)確度、精確度、召回率和F1分?jǐn)?shù)上的指標(biāo)均高于其他模型。

表7 3種不同深度的DSAE模型的評(píng)估指標(biāo)

使用相同的數(shù)據(jù)集對(duì)DCNN的C3P2F2模型及DSAE的SAE4模型的實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比。2種模型的對(duì)比結(jié)果如圖11所示。從圖11可以看出，總體而言，C3P2F2模型的綜合評(píng)估指標(biāo)略高于SAE4模型，這也是本文采用C3P2F2模型作為混合模型第一級(jí)的主要原因之一。

圖12為2種模型的混淆矩陣對(duì)比。從實(shí)驗(yàn)數(shù)據(jù)可以看出，SAE4模型判斷攻擊流的能力（0.985）強(qiáng)于C3P2F2模型（0.980）。考慮到第二級(jí)模型的主要功能是解決由于DCNN模型可能進(jìn)入局部最優(yōu)而導(dǎo)致的誤判現(xiàn)象，區(qū)分被DCNN模型誤判為正常流的攻擊流，所采用的檢測(cè)模型必須具備對(duì)攻擊有很強(qiáng)的敏感性，綜合考慮，第二級(jí)模型采用SAE4模型。

圖11 C3P2F2模型和SAE4模型表現(xiàn)對(duì)比

圖12 C3P2F2模型和SAE4模型的混淆矩陣對(duì)比

5.4 DCNN-DSAE模型總精度分析

將本文構(gòu)建的DCNN-DSAE混合模型和傳統(tǒng)的機(jī)器學(xué)習(xí)方法中的SVM及DNN進(jìn)行對(duì)比分析，均使用相同的流表特征數(shù)據(jù)集作為模型的輸入。實(shí)驗(yàn)檢測(cè)結(jié)果如表8所示。

表8 不同機(jī)器學(xué)習(xí)方法與DCNN-DSAE模型的評(píng)估指標(biāo)

從表8可以看出，DCNN-DSAE模型在準(zhǔn)確度、精確度、召回率和F1分?jǐn)?shù)上的指標(biāo)均高于SVM和DNN模型，且DCNN-DSAE模型的準(zhǔn)確度最高能達(dá)到98.53%，高于只采用單級(jí)模型C3P2F2（97.73%）和SAE4（97.44%）的檢測(cè)結(jié)果。從實(shí)驗(yàn)結(jié)果還可以看出，DCNN-DSAE混合模型更優(yōu)于傳統(tǒng)的機(jī)器學(xué)習(xí)方法及單個(gè)DCNN或DSAE方法。

此外，輸入的流表特征數(shù)量也是衡量DDoS攻擊檢測(cè)方法效果的重要參數(shù)，本文分別用5、10、15、21、26、30個(gè)流表特征對(duì)DCNN-DSAE模型進(jìn)行測(cè)試。檢測(cè)結(jié)果如表9所示。

表9 不同輸入特征數(shù)量下DCNN-DSAE模型的評(píng)估指標(biāo)

從表9可以看出，輸入的流表特征數(shù)量對(duì)模型的檢測(cè)結(jié)果存在重要的影響。當(dāng)僅采用5個(gè)手動(dòng)構(gòu)建的流表特征（即流表特征數(shù)量為5）作為DCNN-DSAE模型的輸入特征時(shí)，DCNN-DSAE模型的準(zhǔn)確度只達(dá)到88.33%；當(dāng)同時(shí)采用21個(gè)自動(dòng)獲取的流表特征（即流表特征數(shù)量為21）作為DCNN-DSAE模型的輸入特征時(shí)，DCNN-DSAE模型的準(zhǔn)確度只達(dá)到92.47%；當(dāng)同時(shí)采用自動(dòng)獲取的流表特征和手動(dòng)構(gòu)建的流表特征作為DCNN-DSAE模型的輸入特征時(shí)，DCNN-DSAE模型的準(zhǔn)確度得到有效提高；當(dāng)采用21個(gè)自動(dòng)獲取的流表特征和5個(gè)手動(dòng)構(gòu)建的流表特征（即流表特征數(shù)量為26）作為DCNN-DSAE模型的輸入特征時(shí)，模型在準(zhǔn)確度、精確度、召回率和F1分?jǐn)?shù)上的指標(biāo)達(dá)到最高。

6 結(jié)束語(yǔ)

本文提出了一種基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測(cè)方法——DCNN-DSAE，并重點(diǎn)分析了混合模型中DCNN模型和DSAE模型的構(gòu)建過(guò)程和方法。通過(guò)實(shí)驗(yàn)，使用含攻擊流和正常流的數(shù)據(jù)集進(jìn)行模型測(cè)試，精確度可達(dá)到98.53%，驗(yàn)證了此深度學(xué)習(xí)混合模型在實(shí)時(shí)網(wǎng)絡(luò)環(huán)境中對(duì)DDoS攻擊檢測(cè)和防御的有效性。與傳統(tǒng)的機(jī)器學(xué)習(xí)中的SVM方法和DNN方法相比，深度學(xué)習(xí)混合模型的方法檢測(cè)精度更高、誤報(bào)率更低，彌補(bǔ)了現(xiàn)有DDoS攻擊檢測(cè)方法的不足。由于該方法的檢測(cè)輸入特征為SDN交換機(jī)中的流表特征和自我構(gòu)建的流表特征，屬于輕量級(jí)的檢測(cè)方法，可以直接部署于SDN控制器中。

[1] YAN Q, YU F R, GONG Q, et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: a survey, some research issues, and challenges[J]. IEEE Communications Surveys & Tutorials, 2016, 18(1): 602-622.

[2] RADWARE. 2017-2018 global application & network security report[R]. 2018.

[3] AKAMAI. [State of the Internet]/security Q4 2017 executive summary[R]. 2017.

[4] VOELLMY A, WANG J. Scalable software defined network controllers[J]. ACM SIGCOMM Computer Communication Review, 2012, 42(4): 289-290.

[5] PENG T, LECKIE C, RAMAMOHANARAO K. Survey of network-based defense mechanisms countering the DoS and DDoS problems[J]. ACM Computing Surveys, 2007, 39(1):3.

[6] MIRKOVIC J, MARTIN J, REIHER P. A taxonomy of DDoS attacks and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2001, 34(2): 39-53.

[7] LI D, LI J, HUANG J, et al. Recent advances in deep learning for speech research at Microsoft[C]//2013 IEEE International Conference on Acoustics, Speech and Signal Processing. 2013: 8604-8608.

[8] YU K. Large-scale deep learning at Baidu[C]//22nd ACM international conference on Information & Knowledge Management. 2013: 2211-2212.

[9] 楊余旺, 楊靜宇, 孫亞民. 分布式拒絕服務(wù)攻擊的實(shí)現(xiàn)機(jī)理及其防御研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2004, 25(5): 657-660.

YANG Y W, YANG J Y, SUN Y M. Defense study and implementation mechanism of distributed denial of service attack[J]. Computer Engineering and Design, 2004, 25(5): 657-660.

[10] 孟江濤, 馮登國(guó), 薛銳, 等. 分布式拒絕服務(wù)攻擊的原理與防范[J]. 中國(guó)科學(xué)院大學(xué)學(xué)報(bào), 2004, 21(1): 90-94.

MENG J T, FENG D G, XUE R, et al. Distributed denial of service attacks: principle and defense[J]. Journal of the Graduate School of the Chinese Academy of Sciences, 2004, 21(1): 90-94.

[11] GIL T M, POLETTO M. MULTOPS: a data-structure for bandwidth attack detection[C]//10th Usenix Security Symposium. 2001: 23-38.

[12] MOUSAVI S M, ST-HILAIRE M. Early detection of DDoS attacks against SDN controllers[C]//2015 International Conference on Computing, Networking and Communications (ICNC). 2015: 77-81.

[13] WANG R, JIA Z, JU L. An entropy-based distributed DDoS detection mechanism in software-defined networking[C]//2015 IEEE Trustcom/BigDataSE/ISPA. 2015: 310-317.

[14] JADIDI Z, MUTHUKKUMARASAMY V, SITHIRASENAN E, et al. Flow-based anomaly detection using neural network optimized with GSA algorithm[C]//2013 IEEE 33rd International Conference on Distributed Computing Systems Workshops. 2013: 76-81.

[15] WINTER P, HERMANN E, ZEILINGER M. Inductive intrusion detection in flow-based network data using one-class support vector machines[C]//2011 4th IFIP International Conference on New Technologies, Mobility and Security. 2011: 1-5.

[16] TRUNG P V, HUONG T T, DANG V T, et al. A multi-criteria-based DDoS-attack prevention solution using software defined networking[C]//2015 International Conference on Advanced Technologies for Communications (ATC). 2015: 308-313.

[17] YUAN X Y, LI C H, LI X. DeepDefense: identifying DDoS attack via deep learning[C]//2017 IEEE International Conference on Smart Computing (SMARTCOMP). 2017: 1-8.

[18] 李傳煌, 孫正君, 袁小雍, 等. 基于深度學(xué)習(xí)的實(shí)時(shí)DDoS攻擊檢測(cè)[J]. 電信科學(xué), 2017, 33(7): 53-65.

LI C H, SUN Z J, YUAN X Y, et al. Real-time DDoS attack detection based on deep learning[J]. Telecommunications Science, 2017, 33(7): 53-65.

[19] LIU C, SUN W, CHAO W. Convolution neural network for relation extraction[C]//International Conference on Advanced Data Mining and Applications (ADMA 2013). 2013: 231-242.

[20] HINTON G E, SRIVASTAVA N, KRIZHEVSKY A, et al. Improving neural networks by preventing co-adaptation of feature detectors[J]. Computer Science, 2012, 3(4): 212-223.

[21] SRIVASTAVA N, HINTON G, KRIZHEVSKY A, et al. Dropout: a simple way to prevent neural networks from overfitting[J]. Journal of Machine Learning Research, 2014, 15(1): 1929-1958.

DDoS attack detection and defense based on hybrid deep learning model in SDN

LI Chuanhuang, WU Yan, QIAN Zhengzhe, SUN Zhengjun, WANG Weiming

School of Information and Electronic Engineering, Zhejiang Gongshang University, Hangzhou 310018, China

Software defined network (SDN) is a new kind of network technology, and the security problems are the hot topics in SDN field, such as SDN control channel security, forged service deployment and external distributed denial of service (DDoS) attacks. Aiming at DDoS attack problem of security in SDN, a DDoS attack detection method called DCNN-DSAE based on deep learning hybrid model in SDN was proposed. In this method, when a deep learning model was constructed, the input feature included 21 different types of fields extracted from the data plane and 5 extra self-designed features of distinguishing flow types. The experimental results show that the method has high accuracy, it’s better than the traditional support vector machine (SVM) and deep neural network (DNN) and other machine learning methods. At the same time, the proposed method can also shorten the processing time of classification detection. The detection model is deployed in SDN controller, and the new security policy is sent to the OpenFlow switch to achieve the defense against specific DDoS attack.

distributed denial of service, software defined network, attack detection, deep learning

TP393

A

10.11959/j.issn.1000?436x.2018128

2018?02?28；

2018?05?16

國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2017YFB0803202）；浙江省自然科學(xué)基金資助項(xiàng)目（No.LY18F010006）；浙江省新型網(wǎng)絡(luò)標(biāo)準(zhǔn)與應(yīng)用技術(shù)重點(diǎn)實(shí)驗(yàn)室基金資助項(xiàng)目（No.2013E10012）；浙江省重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2017C03058）

The National Key Research and Development Program of China (No.2017YFB0803202), The Natural Science Foundation of Zhejiang Province (No.LY18F010006), The Key Laboratory of New Network Standards and Technologies of Zhejiang Province (No.2013E10012), The National Key Research and Development Program of Zhejiang Province (No.2017C03058)

李傳煌（1980?），男，江西九江人，博士，浙江工商大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)、深度學(xué)習(xí)、開(kāi)放可編程網(wǎng)絡(luò)、系統(tǒng)性能預(yù)測(cè)和分析模型。

吳艷（1995?），女，安徽宣城人，浙江工商大學(xué)碩士生，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)、深度學(xué)習(xí)。

錢正哲（1994?），男，浙江杭州人，浙江工商大學(xué)碩士生，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)、深度學(xué)習(xí)。

孫正君（1993?），男，安徽滁州人，浙江工商大學(xué)碩士生，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)、深度學(xué)習(xí)。

王偉明（1964?），男，浙江遂昌人，博士，浙江工商大學(xué)教授、碩士生導(dǎo)師，主要研究方向?yàn)樾乱淮W(wǎng)絡(luò)架構(gòu)、開(kāi)放可編程網(wǎng)絡(luò)。