亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于聯(lián)邦學(xué)習(xí)的SDN 異常流量協(xié)同檢測技術(shù)

        2023-03-16 10:21:10陳何雄羅宇薇韋云凱杭菲璐何映軍
        計算機工程 2023年3期
        關(guān)鍵詞:檢測模型

        陳何雄,羅宇薇,韋云凱,郭 威,杭菲璐,何映軍,楊 寧

        (1.云南電網(wǎng)有限責(zé)任公司 信息中心,昆明 650011;2.電子科技大學(xué) 長三角研究院(衢州),浙江 衢州 324000;3.電子科技大學(xué) 信息與通信工程學(xué)院,成都 611731)

        0 概述

        軟件定義網(wǎng)絡(luò)(Software-Defined Network,SDN)通過采取數(shù)控平面分離、控制邏輯集中等方式提高了網(wǎng)絡(luò)可編程性和靈活性,并簡化了網(wǎng)絡(luò)配置過程,有利于實現(xiàn)網(wǎng)絡(luò)性能拓展,保障網(wǎng)絡(luò)高效運行[1],被廣泛應(yīng)用于云數(shù)據(jù)中心、政企網(wǎng)絡(luò)等場景[2]。但與此同時,SDN 也面臨了分布式拒絕服務(wù)(Distributed Defend of Services,DDoS)[3]、拓?fù)渲卸?、端口掃描等網(wǎng)絡(luò)攻擊,考慮到攻擊發(fā)生時常常伴有流量異?,F(xiàn)象,因此實施異常流量檢測以提升網(wǎng)絡(luò)對攻擊的識別能力是加強網(wǎng)絡(luò)安全的重要手段。

        異常流量檢測與識別算法大致可分為基于規(guī)則和基于機器學(xué)習(xí)[4-5]兩類檢測算法?;谝?guī)則的檢測算法一般會通過分析與流量特征相關(guān)的統(tǒng)計數(shù)據(jù)、參數(shù)信息等來鑒別異常流量。文獻(xiàn)[6]提出一種應(yīng)用于SDN 網(wǎng)絡(luò)的基于參數(shù)統(tǒng)計的識別算法,由控制器負(fù)責(zé)對流量數(shù)據(jù)包大小、持續(xù)時間等信息量進(jìn)行統(tǒng)計,以此作為異常流量的判斷依據(jù)。文獻(xiàn)[7]提出一種基于目的IP 地址熵變化的檢測算法來檢測SDN 網(wǎng)絡(luò)中的DDoS 攻擊,根據(jù)網(wǎng)絡(luò)流量調(diào)整熵閾值,以此判斷是否受到攻擊。這類基于規(guī)則的檢測算法通常針對某一類特征明顯的攻擊行為,可識別的異常類型較少,且識別效果主要取決于與異常類型緊密聯(lián)系的閾值設(shè)定,不具備學(xué)習(xí)性,不利于推廣和拓展。支持向量機[8-9](Support Vector Machine,SVM)、K 最鄰近(K-Nearest Neighbor,KNN)規(guī)則分類[10]、K 均值聚類[11]等基于機器學(xué)習(xí)的檢測算法得到了更廣泛的研究與應(yīng)用[8],但這些算法雖然能夠檢測出流量異常,卻忽略了異常行為之間可能存在的關(guān)聯(lián)度,難以檢測與時間相關(guān)的多步攻擊行為[12]。文獻(xiàn)[13]提出一種基于卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)和長短期記憶(Long Short-Term Memory,LSTM)網(wǎng)絡(luò)的異常流量檢測方法,通過提取流量數(shù)據(jù)的時空特征來提高異常流量檢測性能。

        然而,由于流量的動態(tài)變化,網(wǎng)絡(luò)規(guī)模、終端設(shè)備等因素都會引起流量的特征差異[14],因此異常流量檢測效果還與檢測范圍等因素密切相關(guān)。對于規(guī)模較大的網(wǎng)絡(luò),如果只在SDN 控制器處部署檢測節(jié)點,會導(dǎo)致覆蓋檢測范圍不足,難以有效防御網(wǎng)絡(luò)攻擊。而在部署多個檢測節(jié)點的情況下,在檢測模型訓(xùn)練時,節(jié)點可能面臨訓(xùn)練數(shù)據(jù)缺乏、協(xié)同性較差的問題。文獻(xiàn)[15]提出將聯(lián)邦學(xué)習(xí)架構(gòu)與機器學(xué)習(xí)算法相結(jié)合,以解決訓(xùn)練數(shù)據(jù)缺乏的問題,并提升了檢測準(zhǔn)確率。但是,在傳統(tǒng)聯(lián)邦學(xué)習(xí)中,由于參數(shù)更新時直接使用全局參數(shù)進(jìn)行訓(xùn)練,最終得到的是全局唯一的模型,并未考慮檢測模型的應(yīng)用環(huán)境和數(shù)據(jù)差異,因此模型性能很難在不同應(yīng)用環(huán)境下得到充分發(fā)揮。

        為解決以上問題,本文提出基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測技術(shù)。結(jié)合SDN 網(wǎng)絡(luò)拓?fù)渑c流量特征,構(gòu)建基于聯(lián)邦學(xué)習(xí)的協(xié)同檢測架構(gòu),以克服單個檢測設(shè)備可能面臨的訓(xùn)練數(shù)據(jù)缺乏問題,增強檢測設(shè)備的協(xié)同能力。依據(jù)各檢測節(jié)點流量特征及其變化關(guān)聯(lián)關(guān)系,設(shè)計協(xié)同訓(xùn)練中的參數(shù)聚合權(quán)重優(yōu)化算法,利用全局參數(shù)和各檢測節(jié)點的本地參數(shù)進(jìn)行模型訓(xùn)練,實現(xiàn)差異環(huán)境中檢測模型的整體優(yōu)化。

        1 相關(guān)知識

        考慮到網(wǎng)絡(luò)異常流量檢測的場景特點,本文從信息熵與相對熵的角度分析流量特征及其變化,并基于聯(lián)邦學(xué)習(xí)技術(shù)提出異常流量協(xié)同檢測架構(gòu)。

        1.1 聯(lián)邦學(xué)習(xí)

        聯(lián)邦學(xué)習(xí)的本質(zhì)是一種分布式機器學(xué)習(xí)技術(shù),以解決機器學(xué)習(xí)在發(fā)展過程中所面臨的數(shù)據(jù)安全與數(shù)據(jù)孤島問題。在聯(lián)邦學(xué)習(xí)中,各訓(xùn)練節(jié)點在參數(shù)聚合節(jié)點的協(xié)調(diào)下共同訓(xùn)練模型[16],實現(xiàn)了在不交換原始數(shù)據(jù)的情況下更新客戶端應(yīng)用。

        聯(lián)邦學(xué)習(xí)技術(shù)作為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點,受到了研究人員的廣泛關(guān)注[17]。由于應(yīng)用場景不同,訓(xùn)練節(jié)點的數(shù)據(jù)集特點不同,依據(jù)數(shù)據(jù)集的特點,聯(lián)邦學(xué)習(xí)可分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)和聯(lián)邦遷移學(xué)習(xí)[18]3 種類型。橫向聯(lián)邦學(xué)習(xí)的本質(zhì)是樣本的聯(lián)合,在訓(xùn)練完成后進(jìn)行獨立預(yù)測,適用于各訓(xùn)練節(jié)點的數(shù)據(jù)集樣本對象重疊少、特征信息重疊多的場景。縱向聯(lián)邦學(xué)習(xí)的本質(zhì)是將多方對相同樣本目標(biāo)的不同特征描述進(jìn)行訓(xùn)練提?。?9],在訓(xùn)練結(jié)束后需要多方協(xié)同完成預(yù)測,適用于各訓(xùn)練節(jié)點的數(shù)據(jù)集樣本對象重疊多、特征信息重疊少的場景,例如不同行業(yè)的企業(yè)間合作建立模型。在聯(lián)邦遷移學(xué)習(xí)中,可以在目標(biāo)任務(wù)訓(xùn)練數(shù)據(jù)較少的情況下,將前一個任務(wù)的知識轉(zhuǎn)移到目標(biāo)任務(wù)上[20],常用于解決當(dāng)各訓(xùn)練節(jié)點的樣本對象和特征信息重疊都較少時標(biāo)簽樣本和數(shù)據(jù)缺乏的問題。在SDN 網(wǎng)絡(luò)異常流量檢測的場景中,網(wǎng)絡(luò)流量的特征信息大抵相同,但不同位置的檢測節(jié)點能用于訓(xùn)練的流量樣本大多不同,這與橫向聯(lián)邦學(xué)習(xí)的應(yīng)用場景特點相符。

        1.2 信息熵與相對熵

        網(wǎng)絡(luò)流量數(shù)據(jù)由離散的信息源組成,熵可以度量系統(tǒng)參數(shù)分布的變化情況,描述流量在某些維度上的分布狀況,信息熵、相對熵等[21]常用于分析流量變化。將流量特征屬性看作隨機變量,通過計算各特征屬性的信息熵,可以有效反映當(dāng)前網(wǎng)絡(luò)流量的特征屬性變化和分布情況。流量特征的信息熵[22]可據(jù)式(1)進(jìn)行計算:

        相對熵可以度量兩個隨機序列之間的距離,從統(tǒng)計學(xué)角度上來看,它是指兩個隨機序列的相似程度[23]。令兩個 隨機序列為P和Q,有P={pv|v=1,2,…,V},Q={qv|v=1,2,…,V},其相對熵D(P||Q)可以據(jù)式(2)進(jìn)行計算:

        當(dāng)P=Q時,D(P||Q)=0,即當(dāng)兩個序列完全相同時,它們的相對熵值為0。D(P||Q)的值越小,表示序列P和Q越相似,反之則相差較大。

        考慮到信息熵常用于提取流量數(shù)據(jù)特征[24],本文通過計算各檢測節(jié)點的流量熵形成特征序列,再由參數(shù)聚合節(jié)點計算特征序列的相對熵,以衡量檢測節(jié)點的變化關(guān)聯(lián)性,作為參數(shù)權(quán)重優(yōu)化的依據(jù)。

        2 基本思路與整體框架

        為解決SDN 網(wǎng)絡(luò)中流量檢測節(jié)點間協(xié)同不足、異常流量動態(tài)變化適應(yīng)能力差等問題,本文結(jié)合SDN 的拓?fù)涮攸c與流量特征,應(yīng)用聯(lián)邦學(xué)習(xí)技術(shù)增強檢測節(jié)點間的協(xié)同能力,建立基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu),并提出參數(shù)聚合權(quán)重優(yōu)化算法,整體優(yōu)化檢測模型,提升網(wǎng)絡(luò)對異常流量的識別能力。

        在當(dāng)前面向SDN 的智能檢測模式中,各檢測節(jié)點往往基于本節(jié)點所屬區(qū)域進(jìn)行檢測模型的訓(xùn)練與實施。這種方式導(dǎo)致了檢測節(jié)點的檢測類型局限性與對流量變化適應(yīng)能力差等問題。考慮到網(wǎng)絡(luò)攻擊可能發(fā)生在網(wǎng)絡(luò)的任意區(qū)域,攻擊目標(biāo)也可能是全局網(wǎng)絡(luò)的任意區(qū)域,本文提出基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu),從而提高檢測節(jié)點對多區(qū)域攻擊和動態(tài)攻擊的適應(yīng)能力。如圖1 所示,在所提協(xié)同架構(gòu)中,檢測節(jié)點分布于SDN 各區(qū)域網(wǎng)絡(luò),這些檢測節(jié)點使用聯(lián)邦學(xué)習(xí)方式聚合所訓(xùn)練的模型,并由此優(yōu)化各檢測節(jié)點自身的檢測模型。結(jié)合SDN網(wǎng)絡(luò)的特征,聯(lián)邦學(xué)習(xí)中的參數(shù)聚合節(jié)點可以部署在SDN 控制器或者是與SDN 控制器高速連接的服務(wù)設(shè)備上。在聯(lián)邦學(xué)習(xí)時,各檢測節(jié)點首先利用本地數(shù)據(jù)進(jìn)行檢測模型訓(xùn)練,上傳模型參數(shù)至參數(shù)聚合節(jié)點處匯總,然后由參數(shù)聚合節(jié)點依據(jù)參數(shù)聚合權(quán)重更新各檢測節(jié)點的模型參數(shù),以供各檢測節(jié)點進(jìn)行下一輪訓(xùn)練。在實際檢測中,分布在網(wǎng)絡(luò)不同位置的檢測節(jié)點實施多點檢測。需要注意的是,檢測節(jié)點的部署應(yīng)以網(wǎng)絡(luò)規(guī)模與結(jié)構(gòu)特點為導(dǎo)向,可結(jié)合實際需求參考現(xiàn)有部署方案確定。檢測節(jié)點通常連接在某個網(wǎng)絡(luò)交換設(shè)備上,由該交換設(shè)備將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到檢測節(jié)點??紤]到檢測需求,檢測節(jié)點一般不會部署在網(wǎng)絡(luò)的邊緣區(qū)域,而是連接到容量較大的核心交換設(shè)備上。因此,這種流量轉(zhuǎn)發(fā)方式局限于檢測節(jié)點與核心交換設(shè)備之間的高速鏈路,不會對該鏈路帶來較大的通信負(fù)擔(dān),更不會影響該鏈路以外網(wǎng)絡(luò)業(yè)務(wù)的正常運行。

        圖1 基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu)Fig.1 Architecture of collaborative anomaly traffic detection based on federated learning

        因此,本文所提的基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測技術(shù)的核心在于基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同流程,以及在該流程下的參數(shù)聚合權(quán)重優(yōu)化算法。

        在基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同流程中,參數(shù)聚合節(jié)點協(xié)同分布在網(wǎng)絡(luò)不同區(qū)域,檢測節(jié)點在聯(lián)邦學(xué)習(xí)架構(gòu)下訓(xùn)練異常流量檢測模型。檢測節(jié)點先利用本地流量數(shù)據(jù)進(jìn)行模型訓(xùn)練得到本地參數(shù),再根據(jù)參數(shù)聚合節(jié)點所更新的模型參數(shù)在協(xié)同架構(gòu)下訓(xùn)練模型;參數(shù)聚合節(jié)點先根據(jù)各檢測節(jié)點的本地參數(shù)計算全局參數(shù),再依據(jù)參數(shù)聚合權(quán)重優(yōu)化算法確定各檢測節(jié)點在參數(shù)聚合中的本地參數(shù)權(quán)重和全局參數(shù)權(quán)重,并基于此權(quán)重更新各檢測節(jié)點用于下一輪訓(xùn)練的模型參數(shù)。通過參數(shù)聚合節(jié)點對各檢測節(jié)點的協(xié)同,間接利用全局?jǐn)?shù)據(jù)特征以改善數(shù)據(jù)不足的問題;通過加權(quán)方式更新檢測節(jié)點的模型參數(shù),避免直接利用全局參數(shù)導(dǎo)致本地數(shù)據(jù)特征被覆蓋。

        為在利用全局?jǐn)?shù)據(jù)特征和保留本地數(shù)據(jù)特征之間尋求權(quán)衡,基于上述協(xié)同流程提出參數(shù)聚合權(quán)重優(yōu)化算法。該算法包含特征提取和關(guān)聯(lián)度與權(quán)重計算兩個階段。在特征提取階段,檢測節(jié)點通過處理其所處區(qū)域的流量數(shù)據(jù)提取特征序列,先根據(jù)檢測需求等實際因素選取流量特征,再計算檢測節(jié)點的流量特征熵,形成流量特征序列來反映檢測節(jié)點的流量變化情況。在關(guān)聯(lián)度與權(quán)重計算階段:首先,參數(shù)聚合節(jié)點基于各檢測節(jié)點的特征序列,計算近似反映全局流量變化的特征序列;然后,依據(jù)檢測節(jié)點特征序列與參數(shù)聚合節(jié)點特征序列的相對熵,量化檢測節(jié)點的流量變化關(guān)聯(lián)度;最后,基于此關(guān)聯(lián)度確定各檢測節(jié)點相應(yīng)參數(shù)聚合時的本地參數(shù)權(quán)重和全局參數(shù)權(quán)重。通過對檢測節(jié)點本地參數(shù)和全局參數(shù)的加權(quán)聚合,提升模型的檢測準(zhǔn)確率和對差異環(huán)境的適應(yīng)性。

        3 基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測

        本節(jié)將對基于聯(lián)邦學(xué)習(xí)的SDN 網(wǎng)絡(luò)異常流量協(xié)同檢測架構(gòu)中的多檢測節(jié)點協(xié)同訓(xùn)練流程,以及訓(xùn)練過程中的參數(shù)聚合權(quán)重優(yōu)化算法進(jìn)行具體介紹與說明。

        3.1 多檢測節(jié)點協(xié)同機制

        將參數(shù)聚合節(jié)點表示為C,則C在聯(lián)邦學(xué)習(xí)中計算的全局參數(shù)為gC;將檢測節(jié)點集合表示為D,其數(shù)量表示為m,則有D={d1,d2,…,dm},檢測節(jié)點dj(j≤m,j∈N+)在聯(lián)邦學(xué)習(xí)中所訓(xùn)練模型的本地參數(shù)為gj;將全局參數(shù)gC與本地參數(shù)gj在參數(shù)更新時的權(quán)重分別表示為。在多檢測節(jié)點協(xié)同過程中,檢測節(jié)點dj在參數(shù)聚合節(jié)點C的組織下協(xié)同訓(xùn)練檢測模型?;趨f(xié)同檢測架構(gòu)的多檢測節(jié)點協(xié)同訓(xùn)練流程如圖2 所示。

        圖2 多檢測節(jié)點協(xié)同訓(xùn)練流程Fig.2 Procedure of multiple detection nodes collaborative training

        首先,參數(shù)聚合節(jié)點C基于流量變化關(guān)聯(lián)度求出各檢測節(jié)點在參數(shù)更新中的全局參數(shù)權(quán)重與本地參數(shù)權(quán)重wdj。

        然后,在檢測節(jié)點dj使用本地數(shù)據(jù)訓(xùn)練得到本地參數(shù)gj后,將gj上傳給參數(shù)聚合節(jié)點C,參數(shù)聚合節(jié)點C據(jù)式(3)計算全局參數(shù)gC:

        最后,參數(shù)聚合節(jié)點C據(jù)式(4)計算檢測節(jié)點dj用于下一輪訓(xùn)練的參數(shù),并將g'j發(fā)給檢測節(jié)點dj,dj使用更新后的參數(shù)更新本地模型。

        重復(fù)上述步驟,直到損失函數(shù)收斂,或者達(dá)到迭代次數(shù)上限,就停止訓(xùn)練并保存當(dāng)前檢測模型,具體步驟如算法1 所示。

        算法1多檢測節(jié)點協(xié)同訓(xùn)練算法

        利用聯(lián)邦學(xué)習(xí)架構(gòu)實現(xiàn)多檢測節(jié)點檢測模型的協(xié)同訓(xùn)練與更新,通過加權(quán)方式結(jié)合本地參數(shù)和全局參數(shù)實現(xiàn)模型優(yōu)化。對于聯(lián)邦學(xué)習(xí)面臨的通信成本問題,通常可從減少通信輪次和降低通信數(shù)據(jù)量兩方面進(jìn)行考慮[25],例如應(yīng)用AdaGrad[26]等算法加速模型收斂,減少通信輪次,或應(yīng)用PowerSGD[27]等算法壓縮所需傳輸?shù)哪P停档屯ㄐ艛?shù)據(jù)量??紤]到由檢測節(jié)點流量采集、檢測節(jié)點與服務(wù)器間參數(shù)交換帶來的兩種流量在網(wǎng)絡(luò)交換設(shè)備與檢測節(jié)點間的鏈路上是疊加的,因此對通信需求進(jìn)行分析。以神經(jīng)網(wǎng)絡(luò)為例,模型參數(shù)數(shù)量的量級約為107[28],若每個參數(shù)占8 個字節(jié),則所需傳輸?shù)脑紨?shù)據(jù)量約在百兆字節(jié),而通過量化壓縮等算法可以將該數(shù)據(jù)量降低兩個數(shù)量級[29],則所需傳輸數(shù)據(jù)量可降至兆字節(jié)??紤]到檢測節(jié)點與交換設(shè)備之間的高速鏈路帶寬一般在百兆至千兆,因此由流量采集和參數(shù)交換所引入的通信需求仍在鏈路的承受范圍內(nèi)。

        3.2 參數(shù)聚合權(quán)重優(yōu)化算法

        為尋求全局參數(shù)和本地參數(shù)的權(quán)衡,關(guān)聯(lián)各檢測節(jié)點數(shù)據(jù)特征變化與其模型訓(xùn)練優(yōu)化,在基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同機制下提出參數(shù)聚合權(quán)重優(yōu)化算法。

        如圖3 所示,參數(shù)聚合權(quán)重優(yōu)化算法分為特征提取和關(guān)聯(lián)度與權(quán)重計算兩個階段。在特征提取階段,各檢測節(jié)點通過計算流量數(shù)據(jù)的信息熵形成特征序列。在關(guān)聯(lián)度與權(quán)重計算階段,由參數(shù)聚合節(jié)點基于特征序列計算相對熵得到各檢測節(jié)點對應(yīng)的參數(shù)權(quán)重。

        圖3 基于關(guān)聯(lián)度的參數(shù)權(quán)重計算示意圖Fig.3 Schematic diagram of parameter weight calculation based on correlation

        3.2.1 特征提取

        數(shù)據(jù)包的源、目的特征的統(tǒng)計特點在一定程度上反映了網(wǎng)絡(luò)流量的狀態(tài)變化,本文選擇計算T個單位時間ti(i≤T,i∈N+)內(nèi)流量特征的信息熵變化來分析檢測節(jié)點的流量變化情況。本文以源IP 地址與目的IP 地址為例進(jìn)行分析,在實際應(yīng)用時,可據(jù)具體需求選取流量特征,T和ti的取值應(yīng)當(dāng)依據(jù)實際網(wǎng)絡(luò)情況確定。參數(shù)聚合節(jié)點綜合各檢測節(jié)點的信息熵變化來近似得出整體網(wǎng)絡(luò)的流量變化情況。將在第i個單位時間ti內(nèi)檢測節(jié)點dj的流量總數(shù)表示為,其源IP 地址有種,其目的IP 地址有種,將流量的源IP 地址表示為隨機變量X,用xk(k∈N+)表示某一源IP 地址的出現(xiàn)次數(shù),則檢測節(jié)點dj處的源IP 地址信息熵可據(jù)式(5)進(jìn)行計算:

        3.2.2 關(guān)聯(lián)度與權(quán)重計算

        D(Hdj||HC)的值越小,說明序列Hdj與HC差異越小,反之說明序列Hdj與HC差異越大,當(dāng)且僅當(dāng)序列Hdj、HC完全相同,即Hdj=HC時,有D(Hdj||HC)=0。

        的值越大,表明在協(xié)同更新中,全局參數(shù)在檢測節(jié)點dj的參數(shù)更新時所占比例越大,反之,本地參數(shù)在檢測節(jié)點dj的參數(shù)更新時所占比例越大。

        參數(shù)聚合權(quán)重優(yōu)化算法的具體步驟如算法2所示。

        算法2參數(shù)聚合權(quán)重優(yōu)化算法

        由于信息熵計算是基于本地數(shù)據(jù)進(jìn)行的,因此信息熵的計算過程不會引入額外通信開銷。同時,在一次模型訓(xùn)練中,與信息熵相關(guān)的數(shù)據(jù)傳輸為一次性事件,不需要周期性上傳。具體而言,在檢測節(jié)點將基于信息熵計算得到的特征序列上傳到聚合節(jié)點的過程中,需要傳輸?shù)臄?shù)據(jù)量受檢測節(jié)點數(shù)、序列長度與特征值存儲大小所影響。若訓(xùn)練節(jié)點數(shù)量級為103,序列長度量級為103,單個特征值存儲占8個字節(jié),則所需傳輸數(shù)據(jù)量大約在幾兆到幾十兆字節(jié)??紤]到SDN 網(wǎng)絡(luò)的信道速率通常在百兆至千兆字節(jié),信息熵的計算與傳輸引入的通信負(fù)載影響可以忽略不計。

        4 仿真與結(jié)果分析

        基于Pycharm 平臺與PyTorch 軟件框架進(jìn)行仿真,通過對數(shù)據(jù)量、包含攻擊類型等因素進(jìn)行考慮,選擇UNSW-NB15 數(shù)據(jù)集[30]。通過刪除可以清楚反映異常情況的特征和臟數(shù)據(jù)等方式對原始數(shù)據(jù)集進(jìn)行預(yù)處理,選取與30 個網(wǎng)絡(luò)IP 關(guān)聯(lián)的83 545 條流量數(shù)據(jù),再采用k-折交叉驗證法以4∶1 的比例將數(shù)據(jù)集轉(zhuǎn)化為訓(xùn)練集和測試集。仿真設(shè)置3 個檢測節(jié)點負(fù)責(zé)網(wǎng)絡(luò)不同區(qū)域的檢測,由參數(shù)聚合節(jié)點協(xié)同各檢測節(jié)點分別訓(xùn)練各自的GRU 模型作為檢測模型,使用Adam 優(yōu)化器,將交叉熵作為損失函數(shù),每批次數(shù)據(jù)量為64,訓(xùn)練輪次為3 輪,初始學(xué)習(xí)率為1×10-4,分別采用本地獨立訓(xùn)練、傳統(tǒng)聯(lián)邦學(xué)習(xí)和本文所提參數(shù)聚合權(quán)重優(yōu)化算法訓(xùn)練模型,并對所得模型進(jìn)行分析對比。

        為全面驗證本文所提算法的異常流量檢測結(jié)果,仿真中使用分類任務(wù)常用的準(zhǔn)確率(A)、分類器精度得分(F1)和曲線下面積(Area Under Curve,AUC)3 個度量指標(biāo)[13],其中,準(zhǔn)確率能直觀表現(xiàn)模型識別結(jié)果,分類器精度得分是精確率與召回率的調(diào)和均值,能同時體現(xiàn)模型精確率與召回率的情況,AUC 值為ROC(Receiver Operating Characteristic)曲線下的面積,能直觀反映分類器的性能。A和F1 值計算公式如式(12)和式(13)所示:

        其中:TTP表示歸類正確的目標(biāo)樣本數(shù);TTN表示歸類正確的其他樣本數(shù);FFP表示識別錯誤的目標(biāo)樣本數(shù);FFN表示被遺漏識別的目標(biāo)樣本數(shù)。

        在上述設(shè)置下,在本地獨立訓(xùn)練、傳統(tǒng)聯(lián)邦學(xué)習(xí)和本文所提算法的訓(xùn)練模式下檢測節(jié)點1、節(jié)點2、節(jié)點3所得模型的準(zhǔn)確率和ROC 曲線,如圖4~圖6 所示。訓(xùn)練過程的準(zhǔn)確率比較如圖4(a)、圖5(a)、圖6(a)所示,從訓(xùn)練輪次和收斂情況來看,本文所提算法并未影響模型訓(xùn)練的收斂,收斂后的準(zhǔn)確率能達(dá)到90%以上。模型的ROC 曲線如圖4(b)、圖5(b)、圖6(b)所示,綜合來看,本文所提算法的性能較好,其中性能提升最明顯的是節(jié)點1,其AUC值能提高到0.834 8,而本地獨立訓(xùn)練和傳統(tǒng)聯(lián)邦學(xué)習(xí)下的AUC 值僅為0.501 6 和0.641 5。

        圖4 不同訓(xùn)練模式下節(jié)點1 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.4 Accuracy and ROC results of the model obtained from node 1 under different training modes

        圖5 不同訓(xùn)練模式下節(jié)點2 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.5 Accuracy and ROC results of the model obtained from node 2 under different training modes

        圖6 不同訓(xùn)練模式下節(jié)點3 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.6 Accuracy and ROC results of the model obtained from node 3 under different training modes

        不同訓(xùn)練模式下各檢測節(jié)點的模型準(zhǔn)確率、F1值、AUC 值分別如表1~表3 所示。不同訓(xùn)練模式下的度量指標(biāo)均值如圖7 所示。由表1~表3 和圖7 可以看出:在本地獨立訓(xùn)練時,不同檢測節(jié)點的模型性能優(yōu)劣不均,例如節(jié)點1,雖然其準(zhǔn)確率較高,但是F1 值極低,ROC 曲線和AUC 值的表現(xiàn)也不好;在傳統(tǒng)聯(lián)邦學(xué)習(xí)模式下,各檢測節(jié)點的模型性能均有所提高,但較為平均,雖然有效改善了獨立訓(xùn)練時的較差模型性能,但對較好模型的性能有較大損害。

        圖7 不同訓(xùn)練模式下的度量指標(biāo)均值Fig.7 Mean value of measurement indexes under different training modes

        表1 不同訓(xùn)練模式下的模型準(zhǔn)確率Table 1 Accuracy of the model under different training modes

        表2 不同訓(xùn)練模式下的模型F1 值Table 2 F1 value of the model under different training modes

        表3 不同訓(xùn)練模式下的模型AUC 值Table 3 AUC value of the model under different training modes

        總體而言,傳統(tǒng)聯(lián)邦學(xué)習(xí)模式較本地獨立訓(xùn)練并沒有使各檢測模型的識別性能得到整體的優(yōu)化和提升,而本文所提算法在準(zhǔn)確率、F1 值和AUC 值的均值上均有所提升,提升情況如表4 所示。由表4 可以看出,相比于本地獨立訓(xùn)練和傳統(tǒng)聯(lián)邦學(xué)習(xí),本文所提算法的模型準(zhǔn)確率分別提升了31.69% 和7.92%,F(xiàn)1 值分別提升了94.04%和37.97%,AUC 值分別提升了31.99%和23.10%。綜上,本文所提算法有效地提高了檢測模型的識別準(zhǔn)確率,實現(xiàn)了不同節(jié)點檢測模型的整體優(yōu)化。

        表4 本文所提算法度量指標(biāo)均值的提升情況Table 4 Improvement of mean value of measurement indexes for the proposed algorithm %

        5 結(jié)束語

        針對SDN 網(wǎng)絡(luò)的異常流量檢測問題,本文構(gòu)建基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu),并設(shè)計多檢測節(jié)點協(xié)同機制和參數(shù)聚合權(quán)重優(yōu)化算法,以克服單個檢測設(shè)備可能面臨的訓(xùn)練數(shù)據(jù)缺乏問題,同時增強多個檢測設(shè)備間的協(xié)同能力,提高檢測模型的準(zhǔn)確率與適應(yīng)性。仿真結(jié)果表明,參數(shù)聚合權(quán)重優(yōu)化算法相比于本地獨立訓(xùn)練和聯(lián)邦學(xué)習(xí)算法能更有效地提升檢測模型的識別準(zhǔn)確率。后續(xù)將基于聯(lián)邦學(xué)習(xí)算法進(jìn)行網(wǎng)絡(luò)流量異常檢測與隱私安全保護(hù),同時將本文異常流量協(xié)同檢測技術(shù)應(yīng)用于分布式網(wǎng)絡(luò),擴展其適用范圍。

        猜你喜歡
        檢測模型
        一半模型
        “不等式”檢測題
        “一元一次不等式”檢測題
        “一元一次不等式組”檢測題
        “幾何圖形”檢測題
        “角”檢測題
        重要模型『一線三等角』
        重尾非線性自回歸模型自加權(quán)M-估計的漸近分布
        3D打印中的模型分割與打包
        小波變換在PCB缺陷檢測中的應(yīng)用
        日本精品中文字幕人妻| 亚洲成a人片在线| 久久久99精品视频| 亚洲hd高清在线一区二区| 中文字幕亚洲无线码在线一区| 日本成本人三级在线观看| 老熟妇Av| 亚洲综合伊人久久综合| 美女国产毛片a区内射| 公粗挺进了我的密道在线播放贝壳| 亚洲色成人WWW永久在线观看| 亚洲av午夜福利一区二区国产| 草草影院发布页| 内射囯产旡码丰满少妇| 激情人妻在线视频| 日韩精品极品免费在线视频| 精品国产品香蕉在线| 不卡高清av手机在线观看| 白丝美女被狂躁免费视频网站| 精品国产日韩亚洲一区在线| 日本天堂免费观看| 成人免费视频在线观看| 人人妻人人澡av| 校园春色日韩高清一区二区| 丰满多毛的大隂户毛茸茸| 一区二区国产在线观看| 精品在线视频免费在线观看视频| 级毛片内射视频| 亚洲视频一区| 国产亚洲成年网址在线观看| 日韩av一区二区不卡| 熟女精品视频一区二区三区| 国产美女一级做a爱视频| 亚洲精品一区二区三区四区| 国产综合精品一区二区三区 | 小雪好紧好滑好湿好爽视频| 7777精品伊人久久久大香线蕉| 国产成人精品男人的天堂网站| 精品国产黄一区二区三区| 久久精品国产久精国产| 国产精品视频一区日韩丝袜|