SDN中基于信息熵与DNN的DDoS攻击检测模型

1.模型架构

模型分两步串联对数据进行判断。信息熵初步判断->深度神经网络判断。


模型结构.png

2.信息熵

2.1信息熵计算

为了方便理解信息熵的初步检测过程,假设数据样本只有两类,即:x=\{n;i=1,2\},原文香农公式中\frac{n_i}{S}为第i类样本发生的概率记为p_i。信息熵公式可以展开为:
H(x)=-p_1log_2{p_1}-p_2log_2{p_2}
因为只有两类
p_2=1-p_1且0\leq p_1\leq 1
画出p_1H(x)的关系图为:

样本出现概率与信息熵的关系.png

根据计算的信息熵和给定阈值对数据初步进行异常检测。

2.2原始数据处理

原文对原始连续数据进行离散化处理,将数据划分为单元,每个单元有W个包,W可以反应每次分析的时间段长短,W越大分析的时间越长,反之越小,原文作者根据经验确定W=100。(不太理解每个包长啥样)

2.3确定分析指标

原文给出了两种信息熵的分析指标,但并没有说明两种信息熵之间计算关系,推测有几种可能:
1)每种信息熵单独与阈值比较后,只要有一种超出阈值范围及判定异常。
2)两种信息熵做的加权合并再与阈值比较,判定是否异常。
在实验部分,原文采用了第一种计算关系。

原ip地址信息熵和目标ip地址信息熵.png

通过信息熵对数据进行初步判断(原文通过实验对两种指标分别划分固定阈值)

2.4原文中可能有错误的地方

香农公式.png

文中可能错误的地方
文中说熵值为0时n_1=n_2=\ldots=n_N,但我认为当n_1=n_2=\ldots=n_N时,熵值应该最大。

3.特征提取和DNN检测模型

文中提取了19个特征,经过深度学习神经网络对模型进行训练,并检测。采用的比较常规的深度模型,就不分析了。

4.实验结果分析

原文对不同结构的DNN模型、其他机器学习模型、不同的输入特征和是否增加信息熵初步判定模型做了对比分析实验,并以准确度、消耗时间、占用空间等指标进行分析。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。