陳何雄，羅宇薇，韋云凱，郭 威，杭菲璐，何映軍，楊 寧

（1.云南電網(wǎng)有限責(zé)任公司 信息中心，昆明 650011；2.電子科技大學(xué) 長三角研究院（衢州），浙江 衢州 324000；3.電子科技大學(xué) 信息與通信工程學(xué)院，成都 611731）

0 概述

軟件定義網(wǎng)絡(luò)（Software-Defined Network，SDN）通過采取數(shù)控平面分離、控制邏輯集中等方式提高了網(wǎng)絡(luò)可編程性和靈活性，并簡化了網(wǎng)絡(luò)配置過程，有利于實現(xiàn)網(wǎng)絡(luò)性能拓展，保障網(wǎng)絡(luò)高效運行［1］，被廣泛應(yīng)用于云數(shù)據(jù)中心、政企網(wǎng)絡(luò)等場景［2］。但與此同時，SDN 也面臨了分布式拒絕服務(wù)（Distributed Defend of Services，DDoS）［3］、拓?fù)渲卸?、端口掃描等網(wǎng)絡(luò)攻擊，考慮到攻擊發(fā)生時常常伴有流量異?，F(xiàn)象，因此實施異常流量檢測以提升網(wǎng)絡(luò)對攻擊的識別能力是加強網(wǎng)絡(luò)安全的重要手段。

異常流量檢測與識別算法大致可分為基于規(guī)則和基于機器學(xué)習(xí)［4-5］兩類檢測算法?；谝?guī)則的檢測算法一般會通過分析與流量特征相關(guān)的統(tǒng)計數(shù)據(jù)、參數(shù)信息等來鑒別異常流量。文獻(xiàn)［6］提出一種應(yīng)用于SDN 網(wǎng)絡(luò)的基于參數(shù)統(tǒng)計的識別算法，由控制器負(fù)責(zé)對流量數(shù)據(jù)包大小、持續(xù)時間等信息量進(jìn)行統(tǒng)計，以此作為異常流量的判斷依據(jù)。文獻(xiàn)［7］提出一種基于目的IP 地址熵變化的檢測算法來檢測SDN 網(wǎng)絡(luò)中的DDoS 攻擊，根據(jù)網(wǎng)絡(luò)流量調(diào)整熵閾值，以此判斷是否受到攻擊。這類基于規(guī)則的檢測算法通常針對某一類特征明顯的攻擊行為，可識別的異常類型較少，且識別效果主要取決于與異常類型緊密聯(lián)系的閾值設(shè)定，不具備學(xué)習(xí)性，不利于推廣和拓展。支持向量機［8-9］（Support Vector Machine，SVM）、K 最鄰近（K-Nearest Neighbor，KNN）規(guī)則分類［10］、K 均值聚類［11］等基于機器學(xué)習(xí)的檢測算法得到了更廣泛的研究與應(yīng)用［8］，但這些算法雖然能夠檢測出流量異常，卻忽略了異常行為之間可能存在的關(guān)聯(lián)度，難以檢測與時間相關(guān)的多步攻擊行為［12］。文獻(xiàn)［13］提出一種基于卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）和長短期記憶（Long Short-Term Memory，LSTM）網(wǎng)絡(luò)的異常流量檢測方法，通過提取流量數(shù)據(jù)的時空特征來提高異常流量檢測性能。

然而，由于流量的動態(tài)變化，網(wǎng)絡(luò)規(guī)模、終端設(shè)備等因素都會引起流量的特征差異［14］，因此異常流量檢測效果還與檢測范圍等因素密切相關(guān)。對于規(guī)模較大的網(wǎng)絡(luò)，如果只在SDN 控制器處部署檢測節(jié)點，會導(dǎo)致覆蓋檢測范圍不足，難以有效防御網(wǎng)絡(luò)攻擊。而在部署多個檢測節(jié)點的情況下，在檢測模型訓(xùn)練時，節(jié)點可能面臨訓(xùn)練數(shù)據(jù)缺乏、協(xié)同性較差的問題。文獻(xiàn)［15］提出將聯(lián)邦學(xué)習(xí)架構(gòu)與機器學(xué)習(xí)算法相結(jié)合，以解決訓(xùn)練數(shù)據(jù)缺乏的問題，并提升了檢測準(zhǔn)確率。但是，在傳統(tǒng)聯(lián)邦學(xué)習(xí)中，由于參數(shù)更新時直接使用全局參數(shù)進(jìn)行訓(xùn)練，最終得到的是全局唯一的模型，并未考慮檢測模型的應(yīng)用環(huán)境和數(shù)據(jù)差異，因此模型性能很難在不同應(yīng)用環(huán)境下得到充分發(fā)揮。

為解決以上問題，本文提出基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測技術(shù)。結(jié)合SDN 網(wǎng)絡(luò)拓?fù)渑c流量特征，構(gòu)建基于聯(lián)邦學(xué)習(xí)的協(xié)同檢測架構(gòu)，以克服單個檢測設(shè)備可能面臨的訓(xùn)練數(shù)據(jù)缺乏問題，增強檢測設(shè)備的協(xié)同能力。依據(jù)各檢測節(jié)點流量特征及其變化關(guān)聯(lián)關(guān)系，設(shè)計協(xié)同訓(xùn)練中的參數(shù)聚合權(quán)重優(yōu)化算法，利用全局參數(shù)和各檢測節(jié)點的本地參數(shù)進(jìn)行模型訓(xùn)練，實現(xiàn)差異環(huán)境中檢測模型的整體優(yōu)化。

1 相關(guān)知識

考慮到網(wǎng)絡(luò)異常流量檢測的場景特點，本文從信息熵與相對熵的角度分析流量特征及其變化，并基于聯(lián)邦學(xué)習(xí)技術(shù)提出異常流量協(xié)同檢測架構(gòu)。

1.1 聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)的本質(zhì)是一種分布式機器學(xué)習(xí)技術(shù)，以解決機器學(xué)習(xí)在發(fā)展過程中所面臨的數(shù)據(jù)安全與數(shù)據(jù)孤島問題。在聯(lián)邦學(xué)習(xí)中，各訓(xùn)練節(jié)點在參數(shù)聚合節(jié)點的協(xié)調(diào)下共同訓(xùn)練模型［16］，實現(xiàn)了在不交換原始數(shù)據(jù)的情況下更新客戶端應(yīng)用。

聯(lián)邦學(xué)習(xí)技術(shù)作為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點，受到了研究人員的廣泛關(guān)注［17］。由于應(yīng)用場景不同，訓(xùn)練節(jié)點的數(shù)據(jù)集特點不同，依據(jù)數(shù)據(jù)集的特點，聯(lián)邦學(xué)習(xí)可分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)和聯(lián)邦遷移學(xué)習(xí)［18］3 種類型。橫向聯(lián)邦學(xué)習(xí)的本質(zhì)是樣本的聯(lián)合，在訓(xùn)練完成后進(jìn)行獨立預(yù)測，適用于各訓(xùn)練節(jié)點的數(shù)據(jù)集樣本對象重疊少、特征信息重疊多的場景。縱向聯(lián)邦學(xué)習(xí)的本質(zhì)是將多方對相同樣本目標(biāo)的不同特征描述進(jìn)行訓(xùn)練提?。?9］，在訓(xùn)練結(jié)束后需要多方協(xié)同完成預(yù)測，適用于各訓(xùn)練節(jié)點的數(shù)據(jù)集樣本對象重疊多、特征信息重疊少的場景，例如不同行業(yè)的企業(yè)間合作建立模型。在聯(lián)邦遷移學(xué)習(xí)中，可以在目標(biāo)任務(wù)訓(xùn)練數(shù)據(jù)較少的情況下，將前一個任務(wù)的知識轉(zhuǎn)移到目標(biāo)任務(wù)上［20］，常用于解決當(dāng)各訓(xùn)練節(jié)點的樣本對象和特征信息重疊都較少時標(biāo)簽樣本和數(shù)據(jù)缺乏的問題。在SDN 網(wǎng)絡(luò)異常流量檢測的場景中，網(wǎng)絡(luò)流量的特征信息大抵相同，但不同位置的檢測節(jié)點能用于訓(xùn)練的流量樣本大多不同，這與橫向聯(lián)邦學(xué)習(xí)的應(yīng)用場景特點相符。

1.2 信息熵與相對熵

網(wǎng)絡(luò)流量數(shù)據(jù)由離散的信息源組成，熵可以度量系統(tǒng)參數(shù)分布的變化情況，描述流量在某些維度上的分布狀況，信息熵、相對熵等［21］常用于分析流量變化。將流量特征屬性看作隨機變量，通過計算各特征屬性的信息熵，可以有效反映當(dāng)前網(wǎng)絡(luò)流量的特征屬性變化和分布情況。流量特征的信息熵［22］可據(jù)式（1）進(jìn)行計算：

相對熵可以度量兩個隨機序列之間的距離，從統(tǒng)計學(xué)角度上來看，它是指兩個隨機序列的相似程度［23］。令兩個 隨機序列為P和Q，有P={pv|v=1，2，…，V}，Q={qv|v=1，2，…，V}，其相對熵D(P||Q)可以據(jù)式（2）進(jìn)行計算：

當(dāng)P=Q時，D(P||Q)=0，即當(dāng)兩個序列完全相同時，它們的相對熵值為0。D(P||Q)的值越小，表示序列P和Q越相似，反之則相差較大。

考慮到信息熵常用于提取流量數(shù)據(jù)特征［24］，本文通過計算各檢測節(jié)點的流量熵形成特征序列，再由參數(shù)聚合節(jié)點計算特征序列的相對熵，以衡量檢測節(jié)點的變化關(guān)聯(lián)性，作為參數(shù)權(quán)重優(yōu)化的依據(jù)。

2 基本思路與整體框架

為解決SDN 網(wǎng)絡(luò)中流量檢測節(jié)點間協(xié)同不足、異常流量動態(tài)變化適應(yīng)能力差等問題，本文結(jié)合SDN 的拓?fù)涮攸c與流量特征，應(yīng)用聯(lián)邦學(xué)習(xí)技術(shù)增強檢測節(jié)點間的協(xié)同能力，建立基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu)，并提出參數(shù)聚合權(quán)重優(yōu)化算法，整體優(yōu)化檢測模型，提升網(wǎng)絡(luò)對異常流量的識別能力。

在當(dāng)前面向SDN 的智能檢測模式中，各檢測節(jié)點往往基于本節(jié)點所屬區(qū)域進(jìn)行檢測模型的訓(xùn)練與實施。這種方式導(dǎo)致了檢測節(jié)點的檢測類型局限性與對流量變化適應(yīng)能力差等問題。考慮到網(wǎng)絡(luò)攻擊可能發(fā)生在網(wǎng)絡(luò)的任意區(qū)域，攻擊目標(biāo)也可能是全局網(wǎng)絡(luò)的任意區(qū)域，本文提出基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu)，從而提高檢測節(jié)點對多區(qū)域攻擊和動態(tài)攻擊的適應(yīng)能力。如圖1 所示，在所提協(xié)同架構(gòu)中，檢測節(jié)點分布于SDN 各區(qū)域網(wǎng)絡(luò)，這些檢測節(jié)點使用聯(lián)邦學(xué)習(xí)方式聚合所訓(xùn)練的模型，并由此優(yōu)化各檢測節(jié)點自身的檢測模型。結(jié)合SDN網(wǎng)絡(luò)的特征，聯(lián)邦學(xué)習(xí)中的參數(shù)聚合節(jié)點可以部署在SDN 控制器或者是與SDN 控制器高速連接的服務(wù)設(shè)備上。在聯(lián)邦學(xué)習(xí)時，各檢測節(jié)點首先利用本地數(shù)據(jù)進(jìn)行檢測模型訓(xùn)練，上傳模型參數(shù)至參數(shù)聚合節(jié)點處匯總，然后由參數(shù)聚合節(jié)點依據(jù)參數(shù)聚合權(quán)重更新各檢測節(jié)點的模型參數(shù)，以供各檢測節(jié)點進(jìn)行下一輪訓(xùn)練。在實際檢測中，分布在網(wǎng)絡(luò)不同位置的檢測節(jié)點實施多點檢測。需要注意的是，檢測節(jié)點的部署應(yīng)以網(wǎng)絡(luò)規(guī)模與結(jié)構(gòu)特點為導(dǎo)向，可結(jié)合實際需求參考現(xiàn)有部署方案確定。檢測節(jié)點通常連接在某個網(wǎng)絡(luò)交換設(shè)備上，由該交換設(shè)備將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到檢測節(jié)點?？紤]到檢測需求，檢測節(jié)點一般不會部署在網(wǎng)絡(luò)的邊緣區(qū)域，而是連接到容量較大的核心交換設(shè)備上。因此，這種流量轉(zhuǎn)發(fā)方式局限于檢測節(jié)點與核心交換設(shè)備之間的高速鏈路，不會對該鏈路帶來較大的通信負(fù)擔(dān)，更不會影響該鏈路以外網(wǎng)絡(luò)業(yè)務(wù)的正常運行。

圖1 基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu)Fig.1 Architecture of collaborative anomaly traffic detection based on federated learning

因此，本文所提的基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測技術(shù)的核心在于基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同流程，以及在該流程下的參數(shù)聚合權(quán)重優(yōu)化算法。

在基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同流程中，參數(shù)聚合節(jié)點協(xié)同分布在網(wǎng)絡(luò)不同區(qū)域，檢測節(jié)點在聯(lián)邦學(xué)習(xí)架構(gòu)下訓(xùn)練異常流量檢測模型。檢測節(jié)點先利用本地流量數(shù)據(jù)進(jìn)行模型訓(xùn)練得到本地參數(shù)，再根據(jù)參數(shù)聚合節(jié)點所更新的模型參數(shù)在協(xié)同架構(gòu)下訓(xùn)練模型；參數(shù)聚合節(jié)點先根據(jù)各檢測節(jié)點的本地參數(shù)計算全局參數(shù)，再依據(jù)參數(shù)聚合權(quán)重優(yōu)化算法確定各檢測節(jié)點在參數(shù)聚合中的本地參數(shù)權(quán)重和全局參數(shù)權(quán)重，并基于此權(quán)重更新各檢測節(jié)點用于下一輪訓(xùn)練的模型參數(shù)。通過參數(shù)聚合節(jié)點對各檢測節(jié)點的協(xié)同，間接利用全局?jǐn)?shù)據(jù)特征以改善數(shù)據(jù)不足的問題；通過加權(quán)方式更新檢測節(jié)點的模型參數(shù)，避免直接利用全局參數(shù)導(dǎo)致本地數(shù)據(jù)特征被覆蓋。

為在利用全局?jǐn)?shù)據(jù)特征和保留本地數(shù)據(jù)特征之間尋求權(quán)衡，基于上述協(xié)同流程提出參數(shù)聚合權(quán)重優(yōu)化算法。該算法包含特征提取和關(guān)聯(lián)度與權(quán)重計算兩個階段。在特征提取階段，檢測節(jié)點通過處理其所處區(qū)域的流量數(shù)據(jù)提取特征序列，先根據(jù)檢測需求等實際因素選取流量特征，再計算檢測節(jié)點的流量特征熵，形成流量特征序列來反映檢測節(jié)點的流量變化情況。在關(guān)聯(lián)度與權(quán)重計算階段：首先，參數(shù)聚合節(jié)點基于各檢測節(jié)點的特征序列，計算近似反映全局流量變化的特征序列；然后，依據(jù)檢測節(jié)點特征序列與參數(shù)聚合節(jié)點特征序列的相對熵，量化檢測節(jié)點的流量變化關(guān)聯(lián)度；最后，基于此關(guān)聯(lián)度確定各檢測節(jié)點相應(yīng)參數(shù)聚合時的本地參數(shù)權(quán)重和全局參數(shù)權(quán)重。通過對檢測節(jié)點本地參數(shù)和全局參數(shù)的加權(quán)聚合，提升模型的檢測準(zhǔn)確率和對差異環(huán)境的適應(yīng)性。

3 基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測

本節(jié)將對基于聯(lián)邦學(xué)習(xí)的SDN 網(wǎng)絡(luò)異常流量協(xié)同檢測架構(gòu)中的多檢測節(jié)點協(xié)同訓(xùn)練流程，以及訓(xùn)練過程中的參數(shù)聚合權(quán)重優(yōu)化算法進(jìn)行具體介紹與說明。

3.1 多檢測節(jié)點協(xié)同機制

將參數(shù)聚合節(jié)點表示為C，則C在聯(lián)邦學(xué)習(xí)中計算的全局參數(shù)為gC；將檢測節(jié)點集合表示為D，其數(shù)量表示為m，則有D={d1，d2，…，dm}，檢測節(jié)點dj(j≤m，j∈N+)在聯(lián)邦學(xué)習(xí)中所訓(xùn)練模型的本地參數(shù)為gj；將全局參數(shù)gC與本地參數(shù)gj在參數(shù)更新時的權(quán)重分別表示為。在多檢測節(jié)點協(xié)同過程中，檢測節(jié)點dj在參數(shù)聚合節(jié)點C的組織下協(xié)同訓(xùn)練檢測模型?；趨f(xié)同檢測架構(gòu)的多檢測節(jié)點協(xié)同訓(xùn)練流程如圖2 所示。

圖2 多檢測節(jié)點協(xié)同訓(xùn)練流程Fig.2 Procedure of multiple detection nodes collaborative training

首先，參數(shù)聚合節(jié)點C基于流量變化關(guān)聯(lián)度求出各檢測節(jié)點在參數(shù)更新中的全局參數(shù)權(quán)重與本地參數(shù)權(quán)重wdj。

然后，在檢測節(jié)點dj使用本地數(shù)據(jù)訓(xùn)練得到本地參數(shù)gj后，將gj上傳給參數(shù)聚合節(jié)點C，參數(shù)聚合節(jié)點C據(jù)式（3）計算全局參數(shù)gC：

最后，參數(shù)聚合節(jié)點C據(jù)式（4）計算檢測節(jié)點dj用于下一輪訓(xùn)練的參數(shù)，并將g'j發(fā)給檢測節(jié)點dj，dj使用更新后的參數(shù)更新本地模型。

重復(fù)上述步驟，直到損失函數(shù)收斂，或者達(dá)到迭代次數(shù)上限，就停止訓(xùn)練并保存當(dāng)前檢測模型，具體步驟如算法1 所示。

算法1多檢測節(jié)點協(xié)同訓(xùn)練算法

利用聯(lián)邦學(xué)習(xí)架構(gòu)實現(xiàn)多檢測節(jié)點檢測模型的協(xié)同訓(xùn)練與更新，通過加權(quán)方式結(jié)合本地參數(shù)和全局參數(shù)實現(xiàn)模型優(yōu)化。對于聯(lián)邦學(xué)習(xí)面臨的通信成本問題，通常可從減少通信輪次和降低通信數(shù)據(jù)量兩方面進(jìn)行考慮［25］，例如應(yīng)用AdaGrad［26］等算法加速模型收斂，減少通信輪次，或應(yīng)用PowerSGD［27］等算法壓縮所需傳輸?shù)哪Ｐ停档屯ㄐ艛?shù)據(jù)量?？紤]到由檢測節(jié)點流量采集、檢測節(jié)點與服務(wù)器間參數(shù)交換帶來的兩種流量在網(wǎng)絡(luò)交換設(shè)備與檢測節(jié)點間的鏈路上是疊加的，因此對通信需求進(jìn)行分析。以神經(jīng)網(wǎng)絡(luò)為例，模型參數(shù)數(shù)量的量級約為107［28］，若每個參數(shù)占8 個字節(jié)，則所需傳輸?shù)脑紨?shù)據(jù)量約在百兆字節(jié)，而通過量化壓縮等算法可以將該數(shù)據(jù)量降低兩個數(shù)量級［29］，則所需傳輸數(shù)據(jù)量可降至兆字節(jié)?？紤]到檢測節(jié)點與交換設(shè)備之間的高速鏈路帶寬一般在百兆至千兆，因此由流量采集和參數(shù)交換所引入的通信需求仍在鏈路的承受范圍內(nèi)。

3.2 參數(shù)聚合權(quán)重優(yōu)化算法

為尋求全局參數(shù)和本地參數(shù)的權(quán)衡，關(guān)聯(lián)各檢測節(jié)點數(shù)據(jù)特征變化與其模型訓(xùn)練優(yōu)化，在基于聯(lián)邦學(xué)習(xí)的多檢測節(jié)點協(xié)同機制下提出參數(shù)聚合權(quán)重優(yōu)化算法。

如圖3 所示，參數(shù)聚合權(quán)重優(yōu)化算法分為特征提取和關(guān)聯(lián)度與權(quán)重計算兩個階段。在特征提取階段，各檢測節(jié)點通過計算流量數(shù)據(jù)的信息熵形成特征序列。在關(guān)聯(lián)度與權(quán)重計算階段，由參數(shù)聚合節(jié)點基于特征序列計算相對熵得到各檢測節(jié)點對應(yīng)的參數(shù)權(quán)重。

圖3 基于關(guān)聯(lián)度的參數(shù)權(quán)重計算示意圖Fig.3 Schematic diagram of parameter weight calculation based on correlation

3.2.1 特征提取

數(shù)據(jù)包的源、目的特征的統(tǒng)計特點在一定程度上反映了網(wǎng)絡(luò)流量的狀態(tài)變化，本文選擇計算T個單位時間ti(i≤T，i∈N+)內(nèi)流量特征的信息熵變化來分析檢測節(jié)點的流量變化情況。本文以源IP 地址與目的IP 地址為例進(jìn)行分析，在實際應(yīng)用時，可據(jù)具體需求選取流量特征，T和ti的取值應(yīng)當(dāng)依據(jù)實際網(wǎng)絡(luò)情況確定。參數(shù)聚合節(jié)點綜合各檢測節(jié)點的信息熵變化來近似得出整體網(wǎng)絡(luò)的流量變化情況。將在第i個單位時間ti內(nèi)檢測節(jié)點dj的流量總數(shù)表示為，其源IP 地址有種，其目的IP 地址有種，將流量的源IP 地址表示為隨機變量X，用xk(k∈N+)表示某一源IP 地址的出現(xiàn)次數(shù)，則檢測節(jié)點dj處的源IP 地址信息熵可據(jù)式（5）進(jìn)行計算：

3.2.2 關(guān)聯(lián)度與權(quán)重計算

D(Hdj||HC)的值越小，說明序列Hdj與HC差異越小，反之說明序列Hdj與HC差異越大，當(dāng)且僅當(dāng)序列Hdj、HC完全相同，即Hdj=HC時，有D(Hdj||HC)=0。

的值越大，表明在協(xié)同更新中，全局參數(shù)在檢測節(jié)點dj的參數(shù)更新時所占比例越大，反之，本地參數(shù)在檢測節(jié)點dj的參數(shù)更新時所占比例越大。

參數(shù)聚合權(quán)重優(yōu)化算法的具體步驟如算法2所示。

算法2參數(shù)聚合權(quán)重優(yōu)化算法

由于信息熵計算是基于本地數(shù)據(jù)進(jìn)行的，因此信息熵的計算過程不會引入額外通信開銷。同時，在一次模型訓(xùn)練中，與信息熵相關(guān)的數(shù)據(jù)傳輸為一次性事件，不需要周期性上傳。具體而言，在檢測節(jié)點將基于信息熵計算得到的特征序列上傳到聚合節(jié)點的過程中，需要傳輸?shù)臄?shù)據(jù)量受檢測節(jié)點數(shù)、序列長度與特征值存儲大小所影響。若訓(xùn)練節(jié)點數(shù)量級為103，序列長度量級為103，單個特征值存儲占8個字節(jié)，則所需傳輸數(shù)據(jù)量大約在幾兆到幾十兆字節(jié)?？紤]到SDN 網(wǎng)絡(luò)的信道速率通常在百兆至千兆字節(jié)，信息熵的計算與傳輸引入的通信負(fù)載影響可以忽略不計。

4 仿真與結(jié)果分析

基于Pycharm 平臺與PyTorch 軟件框架進(jìn)行仿真，通過對數(shù)據(jù)量、包含攻擊類型等因素進(jìn)行考慮，選擇UNSW-NB15 數(shù)據(jù)集［30］。通過刪除可以清楚反映異常情況的特征和臟數(shù)據(jù)等方式對原始數(shù)據(jù)集進(jìn)行預(yù)處理，選取與30 個網(wǎng)絡(luò)IP 關(guān)聯(lián)的83 545 條流量數(shù)據(jù)，再采用k-折交叉驗證法以4∶1 的比例將數(shù)據(jù)集轉(zhuǎn)化為訓(xùn)練集和測試集。仿真設(shè)置3 個檢測節(jié)點負(fù)責(zé)網(wǎng)絡(luò)不同區(qū)域的檢測，由參數(shù)聚合節(jié)點協(xié)同各檢測節(jié)點分別訓(xùn)練各自的GRU 模型作為檢測模型，使用Adam 優(yōu)化器，將交叉熵作為損失函數(shù)，每批次數(shù)據(jù)量為64，訓(xùn)練輪次為3 輪，初始學(xué)習(xí)率為1×10-4，分別采用本地獨立訓(xùn)練、傳統(tǒng)聯(lián)邦學(xué)習(xí)和本文所提參數(shù)聚合權(quán)重優(yōu)化算法訓(xùn)練模型，并對所得模型進(jìn)行分析對比。

為全面驗證本文所提算法的異常流量檢測結(jié)果，仿真中使用分類任務(wù)常用的準(zhǔn)確率（A）、分類器精度得分（F1）和曲線下面積（Area Under Curve，AUC）3 個度量指標(biāo)［13］，其中，準(zhǔn)確率能直觀表現(xiàn)模型識別結(jié)果，分類器精度得分是精確率與召回率的調(diào)和均值，能同時體現(xiàn)模型精確率與召回率的情況，AUC 值為ROC（Receiver Operating Characteristic）曲線下的面積，能直觀反映分類器的性能。A和F1 值計算公式如式（12）和式（13）所示：

其中：TTP表示歸類正確的目標(biāo)樣本數(shù)；TTN表示歸類正確的其他樣本數(shù)；FFP表示識別錯誤的目標(biāo)樣本數(shù)；FFN表示被遺漏識別的目標(biāo)樣本數(shù)。

在上述設(shè)置下，在本地獨立訓(xùn)練、傳統(tǒng)聯(lián)邦學(xué)習(xí)和本文所提算法的訓(xùn)練模式下檢測節(jié)點1、節(jié)點2、節(jié)點3所得模型的準(zhǔn)確率和ROC 曲線，如圖4～圖6 所示。訓(xùn)練過程的準(zhǔn)確率比較如圖4（a）、圖5（a）、圖6（a）所示，從訓(xùn)練輪次和收斂情況來看，本文所提算法并未影響模型訓(xùn)練的收斂，收斂后的準(zhǔn)確率能達(dá)到90%以上。模型的ROC 曲線如圖4（b）、圖5（b）、圖6（b）所示，綜合來看，本文所提算法的性能較好，其中性能提升最明顯的是節(jié)點1，其AUC值能提高到0.834 8，而本地獨立訓(xùn)練和傳統(tǒng)聯(lián)邦學(xué)習(xí)下的AUC 值僅為0.501 6 和0.641 5。

圖4 不同訓(xùn)練模式下節(jié)點1 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.4 Accuracy and ROC results of the model obtained from node 1 under different training modes

圖5 不同訓(xùn)練模式下節(jié)點2 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.5 Accuracy and ROC results of the model obtained from node 2 under different training modes

圖6 不同訓(xùn)練模式下節(jié)點3 所得模型的準(zhǔn)確率與ROC 結(jié)果Fig.6 Accuracy and ROC results of the model obtained from node 3 under different training modes

不同訓(xùn)練模式下各檢測節(jié)點的模型準(zhǔn)確率、F1值、AUC 值分別如表1～表3 所示。不同訓(xùn)練模式下的度量指標(biāo)均值如圖7 所示。由表1～表3 和圖7 可以看出：在本地獨立訓(xùn)練時，不同檢測節(jié)點的模型性能優(yōu)劣不均，例如節(jié)點1，雖然其準(zhǔn)確率較高，但是F1 值極低，ROC 曲線和AUC 值的表現(xiàn)也不好；在傳統(tǒng)聯(lián)邦學(xué)習(xí)模式下，各檢測節(jié)點的模型性能均有所提高，但較為平均，雖然有效改善了獨立訓(xùn)練時的較差模型性能，但對較好模型的性能有較大損害。

圖7 不同訓(xùn)練模式下的度量指標(biāo)均值Fig.7 Mean value of measurement indexes under different training modes

表1 不同訓(xùn)練模式下的模型準(zhǔn)確率Table 1 Accuracy of the model under different training modes

表2 不同訓(xùn)練模式下的模型F1 值Table 2 F1 value of the model under different training modes

表3 不同訓(xùn)練模式下的模型AUC 值Table 3 AUC value of the model under different training modes

總體而言，傳統(tǒng)聯(lián)邦學(xué)習(xí)模式較本地獨立訓(xùn)練并沒有使各檢測模型的識別性能得到整體的優(yōu)化和提升，而本文所提算法在準(zhǔn)確率、F1 值和AUC 值的均值上均有所提升，提升情況如表4 所示。由表4 可以看出，相比于本地獨立訓(xùn)練和傳統(tǒng)聯(lián)邦學(xué)習(xí)，本文所提算法的模型準(zhǔn)確率分別提升了31.69% 和7.92%，F(xiàn)1 值分別提升了94.04%和37.97%，AUC 值分別提升了31.99%和23.10%。綜上，本文所提算法有效地提高了檢測模型的識別準(zhǔn)確率，實現(xiàn)了不同節(jié)點檢測模型的整體優(yōu)化。

表4 本文所提算法度量指標(biāo)均值的提升情況Table 4 Improvement of mean value of measurement indexes for the proposed algorithm %

5 結(jié)束語

針對SDN 網(wǎng)絡(luò)的異常流量檢測問題，本文構(gòu)建基于聯(lián)邦學(xué)習(xí)的異常流量協(xié)同檢測架構(gòu)，并設(shè)計多檢測節(jié)點協(xié)同機制和參數(shù)聚合權(quán)重優(yōu)化算法，以克服單個檢測設(shè)備可能面臨的訓(xùn)練數(shù)據(jù)缺乏問題，同時增強多個檢測設(shè)備間的協(xié)同能力，提高檢測模型的準(zhǔn)確率與適應(yīng)性。仿真結(jié)果表明，參數(shù)聚合權(quán)重優(yōu)化算法相比于本地獨立訓(xùn)練和聯(lián)邦學(xué)習(xí)算法能更有效地提升檢測模型的識別準(zhǔn)確率。后續(xù)將基于聯(lián)邦學(xué)習(xí)算法進(jìn)行網(wǎng)絡(luò)流量異常檢測與隱私安全保護(hù)，同時將本文異常流量協(xié)同檢測技術(shù)應(yīng)用于分布式網(wǎng)絡(luò)，擴展其適用范圍。