[发明专利]一种基于联邦学习的SDN网络异常流量协同检测方法

权利要求书

1.一种基于联邦学习的SDN网络异常流量协同检测方法，其特征在于，包括：

构建基于联邦学习的SDN网络异常流量协同检测系统；

从信息熵的角度分析流量特征变化，进而计算边缘检测节点与中心检测节点的熵差值绝对值序列的相对熵，以确定协同更新中的本地参数权重、全局参数权重；

基于联邦学习的SDN网络异常流量协同检测系统下，进行多检测点的协同训练与检测；

构建基于联邦学习的SDN网络异常流量协同检测系统的具体方法为：

构建包括SDN控制器、若干交换机与终端设备的SDN网络；在SDN控制器或与其直连的流量检测设备上部署中心检测节点，在交换机或与其直连的流量检测设备上部署边缘检测节点；

多台交换机所构成区域中的某一台交换机或与该交换机直接连接的流量检测设备部署边缘检测节点；

将中心检测节点表示为C，则C在联邦学习过程中根据各边缘检测节点上传的模型参数聚合的全局参数表示为g_c；

将边缘检测节点集合表示为D，其数量表示为m，则有D＝{d₁，d₂，...，d_m}，则边缘检测节点d_i(i≤m，i∈N₊)在联邦学习过程中的本地模型参数表示为g_i；

将全局参数g_c与本地参数g_i在参数更新中的权重分别表示为和

中心检测节点C根据式(2)更新边缘检测节点d_i的本地参数g_i，并将更新后的模型参数g′_i下发给对应的边缘检测节点d_i；

S1、中心检测节点C计算边缘检测节点d_i参数更新中的本地参数权重、全局参数权重；

S2、边缘检测节点d_i在本地计算模型参数g_i，并发送给中心检测节点C；

S3、中心检测节点C根据式(1)将收到的参数g_i取平均，得到全局参数g_c；

S4、中心检测节点C根据公式(2)更新d_i的模型参数为g′_i，并将g′_i发送给d_i，d_i据此将之设定为自己的新g_i；

S5、d_i使用更新后的参数g_i更新本地模型；

S6、如果损失函数收敛，或者达到迭代次数上限，停止训练并保存当前检测模型，否则转到S2；

本地参数权重、全局参数权重的具体获取方法如下：

将在第j个单位时间t_j内边缘检测节点d_i的流量总数表示为将流量的源IP地址表示为随机变量X，用x_k表示源IP地址src_k，p(x_k)表示源IP地址src_k在单位时间t_j内的出现概率，则边缘检测节点d_i处的源IP地址信息熵根据式(4)进行计算；

将目的IP地址表示为随机变量Y，用y_k表示目的IP地址dst_k，p(y_k)表示目的IP地址dst_k在单位时间t_j内的出现概率，则边缘检测节点d_i处的目的IP地址信息熵根据式(5)进行计算；

根据式(6)基于边缘检测节点d_i的源IP地址信息熵和目的IP地址信息熵计算d_i的熵差值绝对值

然后，中心检测节点C根据式(7)基于边缘检测节点d_i的熵差值绝对值进行计算在第j个单位时间t_j内的熵均值绝对值

经过T个单位时间，中心检测节点C得到一个包含T个元素的熵均值绝对值序列H_C(abs)，其中，边缘检测节点d_i也得到其熵差值绝对值序列其中，

序列与序列H_C(abs)的相对熵根据式(9)进行计算；

边缘检测节点d_i的本地参数权重与全局参数权重分别据式(10)、式(11)计算；

。