1、第 39 卷 第 2 期 福 建 电 脑 Vol.39 No.2 2023 年 2 月 Journal of Fujian Computer Feb.2023 本文得到2019年福建省教育厅青年基金项目(No.JAT191098)资助。张晓惠(通信作者),女,1984年生,主要研究领域为人工智能、网络安全。E-mail:。SDN 网络流量的异常检测算法分析 张晓惠 (福州职业技术学院信息工程系 福州 350108)摘 要 软件定义网络及软件定义网络架构突破了传统网络管理难度高的局面,可以对网络展开灵活化的管理,但网络攻击和非法访问行为时常发生。本文以软件定义网络流量异常为前提,优化数据中心网络
2、流量传输流程。首先使用模糊 C 均值聚类算法提取数据流量有效特征,对数据进行降维;然后分别从子空间、阈值检测两部分入手进行异常流量检测;最终实现对网络数据包的过滤处理,强调算法应用的可靠性和检测效率。采用上述算法完成软件定义网络流量的表示优化,将流量数据输入异常检测模块内进行预测,可知本文构建的检测系统流程和算法可以很好地对软件定义网络中攻击进行有效检测。实验结果表明,系统检测流程和算法可以很好地对软件定义网络中的攻击进行有效检测,正确分类情况下的正常流量占比达到90%以上。关键词 软件定义网络;网络流量;异常检测;阈值检测;检测算法 中图法分类号 TP309 DOI:10.16707/ki.
3、fjpc.2023.02.006 Analysis of Anomaly Detection Algorithm for SDN Network Traffic ZHANG Xiaohui(Department of Information Engineering,Fuzhou Polytechnic,Fuzhou,China,350108)Abstract The software defined network and SDN architecture break through the traditional network management difficult situation,
4、the network can be flexible management,but network attacks and illegal access often occur.On the premise of abnormal SDN network traffic,optimize the network traffic transmission process of the data center.First,use fuzzy c-means algorithm to extract the effective features of data traffic and reduce
5、 the dimensions of data;Secondly,the anomaly traffic detection is carried out from the two parts of subspace and threshold detection respectively;Finally,the filtering of network packets is realized,and the reliability of the algorithm is emphasized.The above algorithm is used to optimize the expres
6、sion of SDN traffic,and the traffic data is input into the anomaly detection module for prediction.It can be seen that the detection system flow and algorithm constructed in this paper can effectively detect attacks in the SDN network.The experimental results show that the system detection flow and
7、algorithm can effectively detect attacks in SDN network,normal traffic accounts for more than 90%under correct classification.Keywords SDN Architecture;Network Traffic;Anomaly Detection;Threshold Detection;Detection Algorithm 1 引言 在信息化时代背景下,大数据与云计算技术的发展,对如何在大规模网络流量中实现数据安全高效传输提出了更明确的要求。传统网络架构采用分布式控制方
8、式,但过多的分布式控制会给网络管理带来不便。如今,数据类型多样化、来源复杂化以及传输突发性等特征日益明显。企业通常以互联网为通信渠道与运营平台。随着数据异常流量下的系统问题增加,网络攻击和非法访问行为时常发生,最终导致网络通信发生故障,给企业带来不便。本28 张晓惠:SDN 网络流量的异常检测算法分析 第 2 期 文采用软件定义网络(Software Defined Network,SDN)架构方式,针对网络恶意攻击导致的异常情况进行研究,通过网络流量异常检测把握网络攻击命脉,从而维护网络安全。2 SDN 架构分析 2.1 SDN 组成结构 首先,数据平面包含主机、路由器以及交换机等设备。这些
9、设备会按照控制平面提供的流表策略,结合实际情况对接收到的数据执行准发策略。其次,控制平面是连接另外两层结构的核心,具有桥梁的作用。最后,应用平面主要由多个 SDN 应用构成,通过北向接口和控制平面实现通信,对网络信息展开抽象化处理,使 SDN 应用能够有效地控制网络行为,完成网络虚拟化与故障诊断等工作。目前 SDN 的主要应用包含 SDN 虚拟化、网络负载均衡以及混合网络等1。2.2 SDN 安全 网络信息安全的最大威胁来源于网络攻击。加深对攻击行为的了解,有利于加强对信息的保护。SDN 架构常存在安全问题。图 1 为 SDN 架构中的网络攻击方向。图 1 SDN 网络攻击方向 实际上,SDN
10、 安全问题和 SDN 的集中式管理存在一定的联系,黑客会在 SDN 网络内提前布置好傀儡主机,以此展开相应的攻击行为。此外,黑客会截获数据包,再对其中的流量内容进行修改,如修改网络层数据包报头生存时间,或修改目的地址。流量被转发到这个地址后,最终达到了中间人攻击的目的2。2.3 数据中心网络架构 SDN 技术作为一种可编程的网络结构,主要包含“集中式控制”和“分布式转发”两个平面。SDN 技术能够对数据平面做出集中调控,同时提供任意形式的编程接口,为网络编程提供灵活化技术支持。SDN 可以提供网络各层所需的功能,以此为基础建立新功能,再将网络作为抽象服务来管理。软件定义网络结构大致包含四个组成
11、部分,如图 2 所示。其中,应用层需要由至少两个 SDN 应用构成,经过北向接口与控制设备完成 SDN 应用的交换。这一期间会在编程方法的应用下将网络行为上传。SDN 应用含有多个接口驱动,可对自身功能展开抽象与封装操作。控制平面负责向应用层提出邀请,转换为 SDN 数据内核模块后与应用层构建网络抽象模型。数据平面包含至少两个网元。网元由 SDN 数据内核模块集合组成,可转发数据或处理数据,但没有调控能力。图 2 软件定义网络架构 3 网络异常检测技术 近年来,专家、学者致力于异常检测算法的研究及其在特定行业领域的应用。网络异常检测方法可以获取流量数据,再依靠人工智能或数据挖掘等技术进行流量分
12、析,找出与常规形态产生偏离的网络流量,依靠异常检测模型进行特征数据的训练,随后根据已经获得的知识完成测试3。无论是网络流量数据的维数提高,还是数据量增加,都会影响异常检测模型的使用。因此在保持异常检测稳定的同时,也要利用特征选择算法来选择适宜的特征子集,从而提高检测效率,优化检测性能。特征选择有很多经典的算法,如主成分分析(Principal Component Analysis,PCA)算法可以用来提取 n 个特征分量,以方差最大特征为第一主成分,再计算剩余特征和第一主成分正交,来判断该情况是否可以满足“具有最大方差”的条件4。再如基于相关性的特征选择方法,凭借特征相关性在特征集合中选出 n
13、 个和标签有着相关性的特征5。2023 年 福 建 电 脑 29 4 异常检测算法研究 4.1 网络流量传输流程 为有效检测数据中心内的网络异常流量情况,可在 SDN 技术应用下,以 SDN 技术中心网络作为大致框架,将对应的节点设置为基站。通过 Chunk读取得到 Slice 数据,对流量特征进行分析,完成数据的接收和发送。数据传输作为三维持续的多输入与输出系统,一般会采取时间与频率结合的形式创建数据流量传输模型,具体的表达公式如下:x(t)=Rean(t)ej2fcn(t)sl(t n(t)eej2fct (1)式(1)中,an指的是第 n 条数据传输通道内,数据流量特征的主频特点;n指的
14、是第 n 条数据传输时的延迟时间;fc指的是数据传输通道频率;sl指的是单分量传输数据的情况。由公式(1)可知,数据中心流量传输时间的响应脉冲情况如下:c(,t)=an(t)ej2fcn(t)(t n(t)n (2)假设P是数据中心内网络数据输送节点的途径数量,则通道数据传输的函数表达式为:h(t)=aip(t i)c(,t)pi=1 (3)式(3)中,ai和i分别指网络流量传输损失和延迟时间。此时流量输送的函数流程大致如下:y(t)=x(t t0)Wy(t,)=Wx(t t0,)y(t)=x(t)ej20t Wy(t,)=Wx(t,0)(4)根据流量特征情况与分布空间,对流量传输流程进行重建
15、,具体表达如下:y(t)=kx(kt)h(t),k0 Wy(t,)=Wx(kt,k)x (5)公式(5)中,k 指采样频率,v 是网络带宽,Wx指时间窗口函数,y(t)是网络流量时间序列,Wy(t,)指频域。整个过程就是网络流量的输送过程。这为接下来流量特征的提取与异常检测奠定了数据基础6-7。4.2 数据流量特征提取 以计算的准确率为前提条件,尽可能减少样本种类数据测试集合的数量,同时缩短数据特征的提取时间,采用模糊C均值聚类算法来提取流量特征。经过流量向量的量化分析,从中得到聚类中心。假设p是聚类中心内t的期望支持度,t为数据码元素。如果 p 大于设定阈值,可认定当前检测部分的属性要素属于
16、频繁项目。以约束性条件为前提,所有流量的分类属性要素应满足相应条件,如下所示:pt(D)(6)对聚类结果采取自适应调节措施,利用四元组方式进行流量特征的表示,具体为:FFP(Xij,Pij,(pkl(D),pkf(D),(Tkl,,Tkj)。Xij指网络数据流量在Tkl时间点到达窗口的第 j 次第 i 个数据要素;Pij指送出训练的最佳概率数值;pkf(D),(Tkl,,Tkj)指流量低维数的特征集合。采用分类全局搜索的办法进行流量规划分析,获得第 i 个节点内 t 元组在模糊聚类中 j 次的概率值。具体计算公式如下2:Pi,jt=Pi1,j1t+Pi1,jt(1 Pi),i=tPi1,jt,i t (7)式(7)中,Pi指第 i 流量关联规则的分布要素在识别区域内部分的概率数值;Pi1,jt指 i 个数据节点内 t 元组在模糊聚类中 j 次的概率值。对获得的样本进行抽样训练分析,使用神经网络算法参照波束形成的方式提取特征,最终得到的流量高维数谱特征量,表达形式如下:rdi(k+1)=minrs,max0,rdi(k)+(ni|Ni(k)|)(8)是流量高维数的谱特征量,提取高低维数流
