[发明专利]一种基于联邦学习的SDN网络异常流量协同检测方法

说明书

本发明涉及一种基于联邦学习的SDN网络异常流量协同检测方法，属于网络安全技术领域。该方法首选构建基于联邦学习的SDN网络异常流量协同检测系统；然后，从信息熵的角度分析流量特征变化，进而计算边缘检测节点与中心检测节点的熵差值绝对值序列的相对熵，以确定协同更新中的本地参数权重、全局参数权重；最后，基于联邦学习的SDN网络异常流量协同检测系统下，进行多检测点的协同训练与检测。本发明能提高SDN网络异常流量检测模型对异常流量的识别准确率，易于推广应用。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于联邦学习的SDN网络异常流量协同检测方法。

背景技术

软件定义网络(Software Defined Network，SDN)技术在互联网、物联网、5G/6G等网络中正获得越来越广泛的研究和应用，这也吸引了日益增多的安全攻击风险。网络攻击酝酿与发生时常常表现为流量异常，因此，检测网络流量的异常变化，分析并发现潜在的网络攻击，是增强网络安全的重要手段。

异常流量检测与识别算法通常可以分为两类：传统的非机器学习算法和当前广泛研究的基于机器学习的算法。当前常见的非机器学习算法有基于参数统计的识别算法、基于标签统计的识别算法和基于流量信息熵特征的识别算法等，这类算法虽然具有较低的算法复杂度，但是算法中预设的阈值对算法的识别效果有着决定性的影响，故这类算法可识别的异常流量种类较少。此外，阈值的设定往往与应用环境密切相关，当应用环境变化时，由于不具备学习性，据该类算法训练得到的模型性能也将受到影响。从而，利用机器学习提升异常流量检测的效率与准确性，是异常流量检测领域的重要方法与发展趋势，诸如朴素贝叶斯算法、SVM、随机森林算法、循环神经网络(Recurrent Neural Network,RNN)、长短期记忆(Long short-term memory,LSTM)等机器学习算法，都被广泛研究应用于异常流量检测。但是，目前基于机器学习的异常流量检测算法，还存在如下问题：

(1)当前针对异常流量通常有基于单设备与基于多设备两种检测方式，单设备、集中式机器学习通常受到训练样本不足的问题；基于多设备的方式中，多个设备间通常缺少协作，或者只进行有限的协作，每个设备还是相对独立的实施检测工作。单设备、集中式的机器学习架构对模型训练节点的计算和存储能力有着较高的要求，如果在网络中只部署一个检测模型，该模型可利用的训练数据往往是有限的，这种有限性将使模型的检测效果受到影响。鉴于异常流量在局部视角与全局视图上所表现出的数据特征是有差异的，如果在网络中部署多个独立训练的检测模型，由于模型在独立训练时无法综合各个局部视角下的数据特征，模型性能仍然受到训练数据有限性的影响，这种方式只是徒增了资源开销，并没有解决训练数据有限性的问题。

(2)当前有些研究中也引入分布式思路，将诸如联邦学习等分布式学习机制应用于异常流量检测，以解决机器学习中数据不足、设备异构等问题。但是，传统的联邦学习目标是利用多方资源来共同训练一个唯一的全局模型，然后将所得到的模型参数与各检测节点共享。在联邦平均算法中，各边缘检测节点在训练时不使用利用本地数据训练得到的模型参数，只使用由中心服务器聚合得到的全局参数，最终训练得到的模型性能与在集中式架构下训练的模型性能相当，但是，在最后得到的全局模型中并没有考虑到应用该模型的不同边缘检测节点的环境差异，如果模型的普适性较强，那么其针对某些应用环境的针对性将可能降低，如果模型的对某些应用环境的针对性较强，那么该模型在其他应用环境下的检测准确率将可能降低。因此如何克服现有技术的不足是目前网络安全技术领域亟需解决的问题。

发明内容

本发明的目的是为了解决现有技术的不足，针对广泛应用的软件定义网络(Software Defined Network,SDN)中，如何检测网络流量中存在的异常、分析并发现潜在网络攻击的问题，结合SDN网络的网络拓扑与流量特征，提供一种基于联邦学习的SDN网络异常流量协同检测方法。本发明将检测节点分为中心检测节点与边缘检测节点两种类型，根据边缘检测节点与中心检测节点之间的流量变化关联性制定模型参数的更新策略，并基于该策略在联邦学习架构下实现异常流量检测模型的协同训练，提升检测模型对异常流量的识别准确率。