19、软件定义网络中基于高级机器学习/深度学习的入侵检测系统

软件定义网络中基于高级机器学习/深度学习的入侵检测系统

1 混合异常检测方法

在异常检测领域，当前许多单控制平面的DDoS检测方法依赖于机器学习技术，这些技术已被证明是有效的分类器。为了进一步提高异常流量检测的准确性，本文引入了集成学习方法。

1.1 集成学习框架

提出的Entropy - KL - ML框架通过多个基础组件的协作来做出最终决策。在这个框架中，每个特征组通过结合熵和KL散度的结果为分类器创建一个新特征。例如，如果框架的集成学习部分包含SVM分类器，那么分配给 $w_1$、$w_2$、$w_3$、$w_4$ 和 $w_5$ 的值将由SVM分类器确定。

1.2 有效特征

确定最有效的特征分布仍然不明确，但一些推荐的特征显示出了有效性：
- 基于头部的特征 ：如地址、端口和标志。
- 基于流量的特征 ：如特定主机的流量、数据包和字节的百分比。
- 基于行为的特征 ：如特定主机的入/出连接。

考虑数据包和流量的不同特征之间的组合和关系，如数据包类型、源IP、目的IP、(源IP, 源端口)、(源IP, 目的端口)、(目的IP, 源端口)、(目的端口, 源端口) 和 (源端口, L)，可以提供有价值的见解。

2 基于样本的强化学习入侵检测方法

由于未捕获的网络流量可能会丢失有价值的信息，因此确定采样点和采样率至关重要。为了解决这些问题，开发了用于SDN流量监控的Cyber - AnDe框架。

2.1 C