[发明专利]一种防御工业网络系统分布式拒绝服务攻击的方法

说明书

本发明一种防御工业网络系统分布式拒绝服务攻击的方法，属于网络安全防御技术领域。本方法融合了深度学习和软件定义网络技术来构建防DDoS攻击的工业网络。深度学习技术进行攻击检测具有灵活准确的特点，SDN实现了工业网络的整体网络管理和流量控制。本发明基于AC‑GAN构建了一种深度学习分类算法，生成器可以为特定的标签生成数据，判别器通过重建标签信息来提高生成数据的质量。所述方法通过生成对抗性攻击样本提高模型的灵敏度，提高了在软件定义工业网络中检测对抗性DDoS攻击的准确率。本方法通过SDIN控制器提取和监控实时流量信息，当检测到攻击流量时，系统会自动触发攻击缓解功能，添加防火墙规则并下发丢弃的流表项策略，从而及时缓解DDoS攻击。

技术领域

本发明涉及一种基于深度学习和软件定义网络来防御工业网络系统中的分布式拒绝服务(Distributed Denial of Service，DDoS)攻击的方法，属于网络安全防御技术领域。

背景技术

随着智能制造技术的不断发展，个性化定制和网络化协作等新的制造模式得到了广泛发展。这些新的制造模式需要制造机器和工业信息系统之间通过网络频繁进行数据交换，并根据订单、业务和环境的变化进行动态调整。

然而，现有的工业网络架构不能满足上述制造模式的需求。例如，有许多工业网络协议，形成了一个复杂的工业异构网络，这严重影响了底层设备和上层应用系统之间的互连。此外，工厂内的分层信息技术网络和操作技术网络阻碍了工业网络和智能制造的发展。因此，迫切需要建立一个高效、灵活的工业网络。

软件定义网络(Software Defined Network，SDN)，通过分离数据平面和控制平面来提高网络的可控性。SDN不需要引入新的链路层协议就可以与现有的工业通信协议兼容，并根据各种服务质量需求灵活地修改和重构网络。实现软件定义的工业网络(SoftwareDefined Industrial Network，SDIN)可以极大地简化大范围异构网络中的通信协议，网络状态管理和流量控制可以通过部署一个集中式控制中心来实现。拥有对整个网络的全局视图，为SDIN提供了多种潜在的系统优化潜力。例如，SDN可以促进电力通信网络中复杂网络状态的全局管理，从而满足智能电网的要求。

尽管SDIN优势显著，但在工业网络环境中仍然存在一些威胁。其中，分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是SDIN面临的关键威胁之一。

在传统网络中，DDoS攻击通常借助协议/系统漏洞进行大规模流量攻击。由于SDIN系统的中心化架构的特殊性，还面临其他DDoS攻击方式。首先，攻击者可以利用SDN应用层下的可编程接口。第二，中心化的SDN控制器是一个常见的攻击目标，容易造成单点故障。最后，由于物联网设备的防御能力有限，随着SDIN中大量物联网设备的部署，DDoS威胁进一步扩大。因此，SDIN系统迫切需要一种有效的针对DDoS攻击的防御方法。

目前，有很多关于DDoS攻击检测的方法，包括基于阈值的、基于信息熵的以及基于人工智能(Artificial Intelligence，AI)的检测机制。其中，AI方法中的深度学习算法可以在没有任何先验专业知识的情况下提供更好的攻击检测准确性。然而，深度学习模型在检测对抗性DDoS攻击时往往变得敏感。对抗性攻击通常是指攻击者故意向输入样本添加某种难以察觉的干扰，导致预测模型误判的情况。

辅助分类生成对抗网络(Auxiliary Classifier Generative AdversarialNetworks，AC-GAN)，是在传统生成对抗网络(Generative Adversarial Networks，GAN)中添加了辅助分类的标签信息，使生成器可以为特定的标签生成数据，且模型允许判别器重建标签信息来提高生成数据的质量。

利用不同条件下的人工智能辅助的SDN，可以在企业网络、校园网络等多种情况下进行网络管理、决策、攻击检测及缓解。因此，人工智能和SDN的结合在工业网络增强方面，具有相当大的应用潜力。

发明内容