A Machine Learning Based Detection and Mitigation of the DDOS Attack by Using SDN Controller Framew

这里写目录标题

      • 1.引言
      • 2. 文献调查
      • 3. 问题描述
      • 4. 提出的方法
        • a. 数据集的可用性
        • b. 数据集预处理
        • c.特征提取
      • 5. 结果与讨论
        • 5.1 准确率
        • 5.2 精度
        • 5.3 召回率
        • 5.4 F1- score
        • 5.5 计算时间
      • 6 结论

1.引言

最近,SDN 已成为一种新的网络平台,它提供了无与伦比的编程能力,使网络运营商能够动态地定制和控制他们的网络。攻击者旨在通过使用 SDN 控制器来瘫痪逻辑平面,即提供多种优势的网络大脑。然而,控制平面因其特性而成为对对手进行安全攻击的理想目标。最常见的一种mon 威胁是 DDOS 攻击通过向它们发送大量流量来消耗网络容量,从而导致网络拥塞。 SDN 是 SDN 防御和 DDoS 威胁识别和预防的常见研究领域,自从提出 SDN 攻击以来,许多研究人员已经介绍了 SDN 环境中的 DDoS 威胁识别和预防。然而,必须充分保护安全风险。在本文中,我们提出了一种基于离散可扩展内存的支持向量机算法,用于 DDoS 威胁和用于攻击检测的 SDN 缓解架构。通过启动攻击检测过程,可以使用 Spark 标准化技术对输入数据进行预处理,其中替换缺失值并删除不需要的数据。然后使用语义多线性分量分析算法完成特征提取。分类器负责预测目标,为此一种新颖的基于离散可扩展内存的支持向量机 (DSM-SVM) 算法用于提供高精度的攻击预测。其次是攻击检测缓解过程已经完成,这里缓解服务器可以通过智能识别威胁小心地丢弃恶意机器人流量并吸收其余流量。这里建议-gested机制实现攻击流量缓解和良性流量下降。我们有
在 KDD 数据集上评估了整个过程。提出的网络模型经过训练和然后在 SDN 威胁检测和缓解环境中用作评估的一部分过程。整个实验在基于 VMware 的 Ubuntu 虚拟机上运行。威卡将利用我们建议的分类器模型进行训练和评估,而 Mininet 使用RYU 控制器建立 SD 网络。研究结果表明,该机制通过表达 99.7% 的准确度,所呈现的超过了其他检查过的算法
关于 KDD 数据集的训练和测试时间。

2. 文献调查

在sdn的实际实现中,安全性是一个主要问题。近年来,许多研究人员提出了各种各样的预测方案来增强sdn网络的路由保护,本节将对此进行讨论。Alheeti et al.[1]设计了一种拒绝服务(DoS)和车辆自组网(VANETs)黑洞识别和预测方法。Poongodi和Bose[2]提出了一种在manet中检测和防止攻击的方案,该方案依赖于基于真值收敛的Aumann协议定理。它提取节点活动并检测其中的趋势。然后它根据这些信息预测潜在的网络攻击。它使用依赖于Finding Truth Convergence的信任值来识别节点恶意活动[3]的假阳性和假阴性。它建议使用信号强度软件进行识别,而不需要外部设备(如GPS、天线、空气监视器)和中央机构(如可信的第三方或认证机构)。如果发现恶意身份,可能接触数据的移动节点将被隔离和阻塞。他们提出的攻击跟踪器通过评估每个节点的信号强度来检测Sybil攻击和重复的局部攻击。他们还推荐了一种针对整个网络的类似攻击的技术。我们的解决方案通过使用NS-2模拟在本地和国际上进行逻辑测试。结果表明,在ad-hoc无线网络中,通过特定的硬件、常规的图片或昂贵的位置进行识别,可以在不增加额外覆盖层[4]的情况下获得相当高的识别精度。提出了一种识别manet中恶意节点的入侵检测和防御策略。这种基于信任的技术采用一种行为分类来识别基于特定环境的恶意节点,具有阈值和风险因子。信任的总和由直接信任值和间接信任值确定。这两个信任组件被用来衡量一个风险因素。Li和Song[5]提出了一种抗攻击的信任管理方案,用于检测vanet中的恶意节点和评估数据的可信性。该系统利用从不同车辆收集的数据预测数据置信度。信任的两个维度是功能信任和建议信任[6]。本研究的目的是比较和对比不同提出的检测和防止DDoS攻击[7]的工具和策略。通过对一个拒绝服务攻击的描述,说明了黑洞、灰洞序列号和智能黑空攻击[8]之间的主要区别。提出了指数可靠性信誉机制,利用指数可靠性系数区分贪婪节点和路由路由(ExRC)。该技术基于基于矩阵的能量水平来预测一个值,以提高网络的保护和可靠性[9]。考虑使用机器学习算法和使用自然语言处理技术的视觉相似识别来检测这类攻击的网络钓鱼检测设备。实验结果表明,随机森林算法在多播和单播中具有更好的性能,成功率达97.2%。在本工作中,利用传递和消息认证的方法对Sybil攻击进行了检测和防范。“西比尔”攻击是一场巨大的毁谤性攻击,与传感器网络联合起来,许多真实身份和假身份被用来接收非法访问网络系统[11]。提出了利用基于现代深度学习(Modern Deep learning based security mechanism, DLDM)的轻量级do-sensing platform (DsP)安全机制,识别和隔离数据转发过程中的威胁。本文研究了一种新的DoS攻击检测算法,有效地检测了衰竭攻击、汉明攻击、蜂蜜攻击和洪泛攻击.为了适当隔离对手,提高对手对DoS攻击的抵御能力,我们进行了全面的模拟实验[12]。分析了越南某ISP在常规攻击和DDoS攻击时上行流流量的特点。在流量分析的基础上,使用基于sdn的攻击防范体系结构,可以捕获和解释飞行中的入站流量。一个具有多个参数的预防框架被设计用来识别DDoS攻击,使用了硬决策和模糊推理阈值。开发的框架能够减少控制飞机的攻击流量,以确定是否存在攻击[13]。针对现有的基于sdn的解决方案提交一份详尽的DDoS威胁预防和缓解工具调查报告。他们对基于DDoS攻击检测技术的有效解决方案进行了分类和描述。基于我们的研究结果,他们提出了一个新的广泛网络架构,其中包括一个基于SDN基础设施设计的智能城市,以监测和减少DDoS攻击。能够满足特定应用的DDoS威胁防护和缓解标准。本文有一个双重关键贡献。首先,对基于SDN的DDoS攻击的识别和防范进行了详细的考察和讨论。其次,他们推荐并提交了SDN建设性的DDoS防御框架(ProDefense),该框架利用SDN的特点来保证网络的稳定性。我们将说明如何使用该系统来确保智能城镇应用程序的安全。本文还概述了有待研究的问题,潜在的调查过程,以及基于sdn的DDoS[14]识别和预防的指导方针。提出一个安全的架构,定期收集网络的统计数据,从传输组件和实现机器学习算法。他们的框架保证SDN架构更自治和智能的建议方法响应网络变化[15]。为分布式拒绝服务(DDoS)控制器软件定义网络(SDN)控制器提出一种安全方案。首先,您估计每个Taylor系列中要定期发送的新请求的数量,如果预测值超过阈值,请求将被路由到保护门户。我们的算法过滤掉导致熵急剧下降的请求,并将规则提交给安全网关上的控制器。为了让流符合锅中的规则,控制器可以为每个回合提供规则。模拟结果表明,所有的假阳性和假阴性平均值都小于2%[16]。控制器建议合并整个网络。SDN提供网络编程能力,可以动态制定流策略。控制器容易受到DDoS攻击,导致资源被占用,导致控制器提供的资源不可用。DDoS检测涉及到一种自适应的、精确的分类,根据未知的事实做出决策。控制员的攻击很重要,要尽快识别。支持向量机的分类精度高、假值少、质量好是常用的分类器。您将研究SVM分类,并将其与其他DDoS识别分类器进行比较。研究表明,支持向量机的分类精度高于其他[17]分类算法。在使用机器学习对SDN (k-Nearest-neighbour, KNN)和XGBoost)提供商进行的TCP-SYN和ICMP攻击中,提出了一种独特的DDoS攻击检测方法(ISP)。他们使用一个试验台来衡量准确性,并利用所提供的算法在精确和有用的缓解之间取得平衡。结果表明,在严格测试不影响无害流量[18]的情况下,该算法可以有效地将攻击降低98.0%以上。本文引入递归改进的地图和CRESOM-SDNMS,在整个过程中提供更高的识别率,防止云中的DDoS攻击。CRESOM-SDNMS通过改进拓扑守恒和在SOM分类阶段对真实和恶意数据泛滥进行更好的初始化,为矢量量化问题提供了一个主要的解决方案。来自提议的 CRESOM-SDNMS 的模拟测试和结果表明,与 DDoS 基准相比,分类准确度比现有的误报系统高大约 21%,最低率为 19% [19].提出一种使用学习算法和使用无状态和无状态的Open flow工具包功能来识别SDN和数据平面攻击流量的教育识别方法。您的原型解决方案和实验结果表明,我们的系统在相对较低的系统输出[20]的情况下,能够正确检测到低DDoS攻击流量。在SDN环境的私有网络数据集上,使用Ada Boosting作为带决策树桩的差分类器来训练我们的模型。它的模型显示了高达93%的低假阳性检测精度。他们还检查并比较了我们的模型与各种机器学习算法[21]的性能。借助一些计算机训练和函数选择的标准算法,分析SDN异常模型的效率。他们开发了一个入侵检测系统的机器学习机制,并使用函数选择技术来使用NSL-KDD数据收集来训练模型。任何功能选择方法已经实现,以提高分类器的准确性,为数据收集做准备。他们使用了5种滤波方法,包括信息增益、增益比、CFS子集评估器、对称不确定性和卡方[22]。深入研究了欺骗和非欺骗TCP-SYN泛洪攻击对SDN中控制器工具的影响。他们还推荐了一种基于机器学习的入侵检测方法。为了区分流量,使用了来自不同系列的5个单独的分类模型,每个模型都使用不同的性能指标进行分析。使用交叉验证方法对分类模型进行验证。这项工作允许更准确的特征提取和流量分类。实验结果表明,所有考虑的分类模型都能很好地工作。长短期记忆(LSTM)和卷积神经网络(CNN)是本文研究的两种基于深度学习的模型。它展示了他们如何能够,并且确实能够识别和减轻DDoS攻击。本课题主要研究控制器TCP、UDP、ICMP flood攻击。评估模型的准确性、记忆力和真实不良率。他们评估了深度学习模型相对于传统方法的有效性。他们有更多关于确认和减轻威胁所需时间的信息。介绍入侵检测系统(IDS)软件定义网络(SDN),它使用了选择性跟踪、选择性日志和支持向量机(SVM)。我们对整个NSL-KDD数据集的检测率达到95.98%,对所选数据子函数的检测精度达到87.74%。在PACKET In中,异常流量和网络干扰被观察到,然后定期从OpenFlow交换机检索。在PACKET IN期间选择性地记录意外的包/流,允许网络管理员在事件发生的情况下由HTTP web控制台发起IP回溯。这种技术变得越来越重要,因为在攻击中无法达到100%的识别准确性。此外,仅仅为了检测可能导致有效报文被阻塞或丢弃的潜在危险而对流量报文采取纠正措施并不总是正确的。日志记录在控制器上执行,而不是在计划方案内的交换机上执行,这节省了大量的存储空间。此外,通过使用内存布局来实现控件的登录,与普通的基于文件的数据库[25]相比,内存布局将记录能力提高了9.76%。在SDN控制器中提供了一种新的流量跟踪方法,用于检测和抑制DDoS攻击。为了有效地区分恶意数据包和合法数据包,采用基于理论的队列模型测试到达流和使用鲁棒特征和熵的优点是可靠的[26]。概述了现有的SDN避免和DDoS检测技术。根据对 2013 年至 2020 年 5 月撰写的论文的回顾,我们包括原始分类法,包括已建立的 DDoS 识别策略,例如统计、SDN 设计、计算机教育,以及新的分类法技术,例如网络虚拟化 功能、区块链、蜜网、网络和基于DDoS的移动安全策略.DDoS攻击检测协作包括对数据面粒度流的监控算法和对攻击的严格监控算法。提出了一种新的卸载机制保护技术,可以在控制单元和交换机周围自动部署防御,从而使攻击能够快速反应和僵尸网络的准确位置。他们会对真正的SDN网络进行彻底的测试。实验结果证实了您的overwatch框架在实时和低开销接触的有效性,具有良好的检测精度和DDoS攻击响应[28]。为了保护控制器免受DDoS攻击,提出了一种混合学习技术。结果表明,与基本学习模型[29]相比,混合学习系统模型具有更高的准确性、认知度和更低的错误率。提出一种升级的IP过滤系统,用于识别和快速攻击(eHIPF)。最后,将混合机器学习模型和eHIPF方案相结合,开发了一种基于sdn的云DDoS攻击防御系统。测试平台在云上,有一个SDN链。通过实际测试,表明建议的DDoS防护装置优于当前的DDoS攻击分类和检测算法。在不同级别的DDoS上的大量测试表明,所提出的过程是至关重要的,是一个突破性的解决方案,以保护SDN云DDoS攻击[30]。深入了解LTE移动网络的架构、难点和问题,包括SDN和网络虚拟化和虚拟网络服务。通过分析和分类LTE移动网络中大量最近的SDN研究和虚拟化研究,本项目提出了移动网络中通用的SDN和虚拟化架构(命名为SDVMN)。他们还分析了SDN和移动网络[31]的整个虚拟化过程中的协议操作和架构增强。Guest VM和支持SDN的交换机应该在基于SDN控制器和超高速/交换程序的cast拥塞控制帧中提出SDN驱动。他们在更小的测试平台、NS2和更大的环境中,通过实际实施提出的方案[32]来评估性能。提出了一种从深度神经网络(DNN)实时识别SDN攻击的解决方案。在较短的时间和较低的成本下,该系统的检测准确率达到97.59%[33]。提供模块化的可扩展平台,使LR-DDoS攻击能够被识别和减轻在SDN环境。在我们的体系结构中,具有6ml的IDS平台是使用DoS (J48、随机树、REP树、随机森林、多层感知(MLP)和加拿大网络安全向量引擎支持引擎(CIC)研究所)(SVM)进行训练和测量的。评估结果表明,考虑到在确定LR-DoS威胁方面存在的问题,我们的方法获得了95%的识别得分。此外,他们还记得我们使用了一个开放网络操作系统控制器(ONOS),运行在一个Mininet虚拟机上,以尽可能接近真实网络的模拟环境。入侵检测方法通过拓扑搜索的方式减少了以往所有的入侵检测攻击。这表明他们的体系结构对于检测和减轻LRDDoS攻击[34]是有用的。针对DDoS攻击探测工作的深度描述进行学习。客户服务应用程序作为日志数据保存和收集。为了减少分类准备的时间,注册文件使用Bhattacharya距离尺度选择一些关键特征。Taylor- elephant Sheep优化深度证书网络(TEHO-DCN)利用Taylor系列调优[35]实现.它为 sFlow、基于自适应轮询的采样和深度学习模型提供了 Snort 入侵检测系统 (IDS) 的使用,并减少了物联网网络上各种类型的 DDoS 攻击的流行。 SDN 的模块化断开功能使得无需任何第三方专有硬件或程序即可根据要求设置网络设备.首先,采用sFlow和自适应轮询的独立样本,最大限度地减少开销传输和网络干扰。其次,在控制平面上,我们共同致力于提高Snort IDS的堆叠自动编码器(Stacked Auto encoders, SAE)检测精度的深入研究模型。在对收集到的流量流使用效率度量之后,我们还将讨论攻击检测精度和开销资源之间的权衡。以上所有的解决方案都是很有前途的算法或解决方案,但它们不能很容易地实现或集成到其他的功能中。

3. 问题描述

在大多数无线应用中都面临着各种各样的问题,如军事、远程控制、卫星监测、监视监测和卫生保健监测。所有这些应用程序都是在特定环境中远程操作和收集数据的新兴应用程序。DDoS攻击是一种破坏性的行为,它通过淹没Internet流量来阻断目标节点、服务或网络的正常流量,从而压倒目标或附近的网络。DDoS攻击的有效性可以通过使用几个受感染的数据系统作为攻击源来实现。在可操作的机器上,可以使用计算机或其他联网工具,如物联网。许多检测和预防DDOS攻击的机制仍有待提出,但每个机制都有一些缺点。需要有效的方法来解决存在的所有问题。相机、互联设备、自动化建筑、智慧城市、5g互联网、智能手机、数字网络、医疗应用、交互式和虚拟现实生活、自动驾驶汽车等各种新型网络技术的爆炸式增长,将导致巨大的实时信息存储在网络上。据预测,到2020年,互联网世界的网络连接设备将达到501亿。这将对网络安全产生巨大的影响。有可能有人入侵以获取机密数据。近年来,互联网和本地网络的入侵已经变得单调乏味。恶意的源代码,如病毒和蠕虫,有资格被入侵。严重的攻击在组织和体系结构级别都导致了严重的破坏。在SDN网络中,入侵检测系统(IDS)是用来跟踪网络的。并为管理人员和其他人提供警告,以阻止对计算机用户造成破坏性后果。IDS用于对已建立的威胁进行分类,另一种用于检测未知的攻击。该方法不易实现,应对过程进行适当的测试和检查。入侵检测(ID)传统上为网络安全威胁提供了一种不可或缺的解决方案,可以自动检测不同的入侵尝试。在大数据时代,数据分析方法作为入侵检测系统的加固方法已被报道。例如,视觉传感器网络中的交通模式训练已被证明是对抗侵入行为的有效解决方案。大量的数据生成阻碍了网络分析师的性能,以扩大庞大的数据量。因此,创建实时和近乎实时的网络分析性能报告至关重要,而不仅仅是根据现有的每月和每周日志信息。

4. 提出的方法

软件定义网络是一种新的网络模式,它使网络工程师更容易监控流量、诊断问题、集成和修改安全规则。在网络管理的简捷性和先进性以及网络通信的创新中,SDN被认为是最重要的网络设计之一。SDN对数据传输平面的网络功率进行分解。三层SDN架构。应用计划层包括用于各种目的的SDN应用,如网络管理、策略和安全资源。控制层是工作在网络系统(NOS)上的技术上统一的控制结构。控制飞机具有全球网络的视角。最后,根据控制平面中的流量控制规律,在数据平面层中使用传输流传输单元。SDN技术揭示了具有安全性的缺陷和能力,特别是拒绝服务攻击(DoS)。攻击者试图阻止合法用户使用DoS攻击来访问数据或网络资源。最流行的DoS方法是使太多的数据包泛滥,以耗尽流量带宽。更糟糕的是,攻击者可能会控制多台计算机,即所谓的“僵尸”,利用安全漏洞对单个目标发起“分布式拒绝服务”攻击(DDoS)。本文提出了一种新的DDoS攻击检测和防范方法。然而,目前的异常检测技术不能实时或几乎在地面上处理和识别网络威胁,也不能提供足够的性能报告进行安全分析。然而,目前网络中实现的新型攻击类型越来越多,但由于接收分析的数据量大、速度快、种类多、准确性高,现有的检测系统无法识别此类攻击。机器学习技术被用来识别大量的攻击并帮助避免入侵。IDS通常用于获取很少的节点属性并进行测试。实际上,识别威胁并不容易,因此,考虑功能是非常相关的。现有的入侵检测方法在检测过程中有些不太有效,专家可以根据这些方法的属性来选择入侵检测方法。本文提出的方法是通过基于机器学习的攻击预测和缓解方法建立起来的,这有助于实现本节所解释的基于安全的入侵检测。本文方法的流程图如图1所示。

a. 数据集的可用性

KDD CUP是一种入侵检测系统(IDS),是用于测试和测量标准化网络中的入侵者的标准数据集。KDD99数据集中的五个组分别是DoS、U2R、R2L、Probe和normal,该类是多余的,存在差异。DoS攻击包括多个样本,而样本大小、U2R等。任何时候,连接到网络的尝试也可能被视为常规攻击,以及由连接学习(TCP/ IP)、友好特性和流量等功能选择的攻击。KDD CUP基于美国国防高级研究计划局(DARPA)的数据收集,是入侵检测的最大数据库之一。它属于另一个类别,因为它既不是标准数据包,也不是基于流的布局。数据集包含关于TCP连接的主要属性以及高级信息,如失败登录的总数量,但网络中没有识别出IP地址。

b. 数据集预处理

对输入的KDD cup IDS数据集进行预处理,利用该方法的早期阶段spark标准化过程对其进行归一化处理。在预处理数据集的处理过程中,原始数据可以为未来的处理步骤进行标准化,以实现更舒适的设计和更高效的利用。在预处理阶段,对训练数据集和测试数据集进行初始归一化处理。数据标准化是为了辅助火花权重系数的选择方法。对检测率没有操作,而对标准化方案有操作。在数据处理的过程中,往往需要在取平均值之前,按照与概念上的共同比额表不同的平衡方式将测量值标准化。某些类型的标准化需要缩放过程来获得与不同变量相关的值。对于归一化过程,均值SD方程可以写成:
在这里插入图片描述
其中m,n是参数和 σ \sigma σ是标准偏差。之后,错误应该彼此独立,可以表示如下:
在这里插入图片描述
其中g是随机变量,T,O是初始化数据。那么变量的运动需要通过标准差归一化
在这里插入图片描述
其中其中 k 是矩尺度, μ \mu μ 是正态分布:
在这里插入图片描述
其中X是一个随机变量,s是期望值:
在这里插入图片描述
使用火花缩放对变量的分布进行归一化:
在这里插入图片描述
以下等式计算归一化的新归一化值。新值的映射范围是0-1。标准化可以改进训练实例,因为训练中使用的所有数据都具有相似的字段,例如,在0到1之间。因此,实施(7),其中Sstand是标准化结果;S是归一化之前的初始值。在这里,Smax和Smin相应地说明了每个特征的最大值和最小值。
在这里插入图片描述
数据标准化的主要目的是减少甚至禁止重复和不一致的数据。在此预处理阶段,对缺失数据进行归一化处理,并对输入的IDS数据集进行归一化处理。

c.特征提取

语义多线性成分分析(SMCA)方法是一种被广泛应用于特征提取的方法,它可以与多种搜索方法相结合,如最佳适应度搜索、遗传搜索、转发方式选择、后向排除、主成分分析和双向搜索。SMCA 相信每个特征的更好的个体外推能力以及它们之间的冗余度。SMCA是基于传统的滤波方法,即选择启发式度量角色(基于相关的)所述的特征。该函数的预测用于选择子集,子集的特征与类描述得非常清楚,但与其他类不相关。尽管不相关的特征表明对类的参与较少,在位置上应该被忽略,但是由于高度相关,重复的特征被选择作为最小的剩余特征之一。特征识别的基础是它通过各种特征预测样本空间省份中的群体的程度,甚至目前还没有。SMCA度量和排序特征子集,而不是对象属性。它倾向于使用与类相关性最小的最相关属性集。SMCA允许实时提取和收集函数子集。从训练结果,SMCA计算特征类矩阵和特征-特征相关性,然后使用最佳优先方法探索特征子集空间。在给定的数据集中,行表示样本,列表示特征,这些特征是定量的和有偏差的结果。特征提取通过减少属性的集合达到最小化数据集维数的目的,既不影响攻击检测的精度,又减少了发现攻击所需的时间。在该领域有许多可用的属性提取方法。
在这里插入图片描述
其中 V ∈ R S ∗   S 和 U ∈ R M ∗ M \mathrm{V} \in \mathrm{R}^{\mathrm{S} * \mathrm{~S}} 和 \mathrm{U} \in \mathrm{R}^{\mathrm{M}^{*} \mathrm{M}} VRS SURMM Y \mathrm{Y} Y的列与行空间的正交矩阵, 而 Σ \Sigma Σ 具有奇异值 η n \eta_{n} ηn的对角矩阵 , 对 n = 0 , … , N − 1 \mathrm{n}=0, \ldots, \mathrm{N}-1 n=0,,N1 , 非递增 与对角矩阵一起不真诚。 它可以暴露出投影矩阵 C 是从 U 的前 P 列中找到的
A Machine Learning Based Detection and Mitigation of the DDOS Attack by Using SDN Controller Framew_第1张图片
其中 U n 是 Y 的 第 n 个 右 奇 异 向 量 , C n = U n U_n是Y的第n个右奇异向量, C_n = U_n UnYn,Cn=Un

5. 结果与讨论

本文设计了一个能够检测和保护控制器免受DDoS攻击的SDN系统。在这种情况下,为了防止DDoS攻击,开发了包含记录数据的机器学习模型。然后,利用我们的缓解脚本,在我们的SDN网络中使用该预测做出决策。这两个实验都是在Ubuntu虚拟机的VMware配置上进行的。Mininet用于构建RYU控制器SDN网络,Weka用于验证我们的机器学习模型。本工作建立了基于入侵网络和非入侵网络的DDoS攻击检测系统。建立了几种性能指标来预测网络中的入侵。有许多性能指标来评估入侵检测系统——根据入侵方式的性质选择的特征。在这里,研究工作使用True Positive Rate (TPR)和False Positive Rate (FPR)度量性能来估计IDS。现在,为了描述用于评估建议方法的性能指标,可以确定所有选择的性能指标。使用Python模拟执行性能分析。我们使用KDD Cup 99数据集进行了测试,以识别和减轻攻击,以评估所建议策略的可行性和效率。所述系统的仿真参数如表1所示。图2所示为一个输入文件,该文件首先使用一种归一化策略对数据进行预处理,以去除或替换冗余数据。图3显示了标准化的数据。图4是使用语义多线性成分分析技术选择特征的特征选择表示。下面给出的几个性能指标将证明所建议机制的效率。

5.1 准确率

预测精度就是正确预测的数量占总预测数量的百分比:
在这里插入图片描述

5.2 精度

精度是攻击案例的百分比,而入侵被正确预测并且相对于攻击类别的大小预测,通过给定的公式进行评估:
在这里插入图片描述

5.3 召回率

被正确识别的确定攻击的百分比称为召回。
在这里插入图片描述

5.4 F1- score

通过相信精度和召回因素对方法的准确测量称为 F1-Score。
在这里插入图片描述

5.5 计算时间

计算时间即运行时间.这是执行计算开发所需的时间。在这里,计算时间是相对于网络中的总规则应用程序。


表2是对现有方法和拟议方法的比较分析。通过与现有的一些机制[36-38]和[39]进行比较,评估了预测精度(Prediction accuracy)、精度(Precision)、召回率(Recall)、F1-Score和计算时间(computation time)。与现有的其他方法相比,所提出的工作的总体性能得到了改善。

图5显示了本文提出的攻击检测和缓解方法,其最大准确率为99.7%,优于传统方法。

图6显示了与已经使用的系统相比,建议系统的召回率(99.5%)更高。

将新方法得到的精度值与图7所示方法的精度进行对比。图的结果清楚地表明,与现有方法相比,提出的方法具有更高的准确率(99.6%)。

对于解决方案,图8是一个F1排名。结果表明,所提出的方法在F1评分系数上有较高的精确值。

与图9所示的其他现有机制相比,DSMBSVM用于分类和缓和数据的计算时间非常低(2.29 s)。结果表明,与现有技术相比,所提出的技术具有良好的性能。

合法用户在DDoS攻击下请求内容的延迟如图9所示。如果攻击发生在第2秒,用户真正的时延会从5.5 s左右增加到8 s左右。
这是因为网络拥塞不断扩大,导致有效兴趣包的减少。因此,合法用户可能需要不断地重新发送兴趣来接收请求的信息,这意味着请求的项目被延迟。 在建议方法的保护下,从 DDoS 开始大约 5.5 秒后,合法用户的时间限制将迅速减少到他的通常范围。 相比之下,现有的两种方法都需要更多的时间从 DDoS 攻击中恢复,其合法用户延迟也将更大。 从上述结果可以看出,所提出的机制具有更高的识别和缓解 DDoS 攻击的能力.

6 结论

DDoS攻击技术和5G网络上不断增加的物联网设备数量,正日益受到减少DDoS攻击能力的削弱。为了提高DDoS防御系统的有效性,越来越多的研究人员开始使用深度机器学习算法。DDoS攻击的真实数据没有标签,因此我们开发了一个新的系统,采用了一个新的攻击检测和缓解框架,使用离散可伸缩内存的SVM分类器。这项工作的目的是产生一种高精度的攻击检测和一种减少恶意DDOS攻击的方法。与现有的方法不同,该方法使用了各种不同的参数来搜索恶意报文。该方法可以有效地发现在线服务的DDOS攻击,充分提高web服务攻击检测的规律性,并有效地缓解攻击。此外,训练和测试数据集的分割比可以在检测和缓解任务中应用所提出的学习算法中产生精确的结果。通过应用所提出的高效系统,可以提高在线服务的安全性。

你可能感兴趣的:(论文阅读,机器学习,网络,人工智能)