雾计算中基于深度学习的DDoS防御机制

沙特国王大学学报一种基于深度学习的雾环境Rojalina Priyadarshini，Rabindra Kumar Barik印度布巴内斯瓦尔KIIT大学阿提奇莱因福奥文章历史记录：收到2018年2019年4月16日修订2019年4月17日接受在线发售2019年保留字：雾计算深度学习DDoS攻击软件定义网络A B S T R A C T雾计算（FC）是一种现代计算范式，它通过在设备边缘执行一些本地数据分析，为最终用户计算提供网络、计算、基础设施和存储支持，从而为云环境提供额外的支持。然而，企业并不相信使用这一点，因为安全和隐私是最开放和具有挑战性的问题。安全需求中的可用性是指在不中断的情况下向不同的应用程序提供随需应变服务。在雾和云计算环境中，拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击往往会破坏云安全。在本文中，我们提出了一种新的基于源的DDoS防御机制，可用于雾环境以及云环境，以减轻DDoS攻击。它利用软件定义网络（SDN）在SDN控制器上部署DDoS防御模块，在网络/传输层检测DDoS攻击的异常行为提出的工作提供了基于深度学习（DL）的检测方法，该方法利用网络流量分析机制过滤并转发合法数据包到服务器，并可以阻止受感染的数据包，以引起进一步的攻击。©2019作者（S）。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍在云计算（CC）中，安全性是一个挑战，并且一直是工业界和学术界的主要关注点。在过去的几年里，许多研究人员都在努力满足CC中不同的安全需求。FC已演变为一种新的计算模式，可用于为云环境提供一些额外支持（Buyya和Dastjerdi，2016），这是由思科（C.G.C. 索引，YYYY）。它的功能与云类似，但不像云那样雾系统可以通过在边缘设备中进行一些本地数据分析来杠杆化，促进联网、计算、基础设施和存储支持作为最终用户计算的骨干（Khan等人，2017年）。FC是向网 络边 缘提 供类 似云 的服 务的 分布 式范 例（ Xiao 和Xiao ，2013;Mahmud等人，2018年）。在FC的安全需求中，可用性是核心需求之一*通讯作者。电子邮件地址：priyadarshini. gmail.com（R. Priyadarshini）。沙特国王大学负责同行审查其旨在向不同的应用程序提供按需服务。DoS和DDoS攻击是可以破坏可用性的攻击类型（Yan等人，2016年）。DoS攻击和DDoS攻击背后的意图是使机器或网络资源对其目标客户端不可用。当这些攻击由多个人或机器人执行时，在攻击由单个人或系统执行的情况下，被称为DDoS和DoS（Silva等人，2013年）的报告。机器人是一个受害者的机器时，计算机被注入通过一些软件作为恶意软件代码。因此，DoS攻击可以被认为是DDoS攻击的一种特殊类型。根据DDoS攻击的来源，可以分为两种类型。这些攻击要么通过TCP、UDP、DNS和DNS数据包发起，通过耗尽目标客户端的网络资源来干扰目标客户端，要么可以发起耗尽服务器资源，在前一种情况下，攻击是网络级洪泛，而在后一种情况下，作为应用程序级DDoS泛洪，通常在HTTP网页（Yi等人，2015年）。SDN是一种新兴技术，其架构是管理网络的一种新颖方式（Sahoo等人，2016年）。SDN架构将控制平面与交换机分离，并在控制器中提供其功能，控制器是可编程的，并用于处理交换机的传入分组。首先在转发表中匹配数据包https://doi.org/10.1016/j.jksuci.2019.04.0101319-1578/©2019作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com826R. Priyadarshini，R.K.Barik/ Journal of King Saud University如果不存在，则将其发送到控制器进行处理。在分布式拒绝服务（DDoS）攻击期间，通过使用来自多个来源的不需要的数据流量来压倒在线服务，从而使在线服务不可用。攻击发生在连接到网络的受损系统的网络层或应用层。作为SDN网络的中心点的控制器极易受到这种网络攻击，并且可能影响整个网络（Shin和Gu，2013）。SDN的一些特征，如流量分析能力、逻辑上拥有集中控制、网络的全局状态视图以及转发规则的动态更新，仍然使其成为在云和雾环境中检测和防御DDoS攻击的合适选择（Kreutz等人，2013年）的报告。SDN控制器必须以集中的方式运行。因此，SDN控制器上有足够的机会进行DDoS攻击，以利用云进行雾。为了设计安全可靠的SDN控制器，可以采用一些方法来防御这些攻击。基于SDN的DDoS防御机制可以根据其部署位置分为三类。这些可以是（1）基于源的机制（2）基于网络的机制和（3）基于目的地的机制（Mirkovic和Reiher，2004）。在本文中，我们试图建立基于源的防御机制来处理DDoS攻击，其中SDN控制器检测异常数据流量，识别恶意数据包并验证入口网络附近的源IP。对本文件的贡献如下：1. 本文提出了一种新的基于源的DDoS防御机制，该机制既可用于雾环境，也可用于云环境，以抵御DDoS攻击。2. 它使用SDN技术，部署DDoS防御模块来防御网络/传输级DDoS攻击。3. 提出的工作提供了一种基于深度学习（DL）的检测方法，该方法成功地检测到DDoS感染的数据包，并可以阻止相同的数据包传播到云。其余的文件安排如下。第2节将介绍迄今为止在这方面所做的工作。第三部分描述了DDoS攻击的系统模型和必要条件。第4节将提出一个模型来设计防御者模块。实验设置见第5节。结果及其分析见第6。第七是对全文的总结，并对今后的工作进行了展望.2. 相关工作为了设计针对DDoS攻击预防和检测的解决方案，使用基于统计和机器学习的方法（He et al.，2017年）。本节讨论了许多值得注意的工作和调查，目的是根据SDN和机器学习解决DDoS攻击问题。使用SDN的DDoS揭示和缓解方案的关键实用程序是在集中式SDN控制器的帮助下实现的利用集中式SDN控制器的行为和能力来设计用于DDoS检测的入侵检测机制。另一方面，用于DDoS攻击的广泛使用的机器学习方法是朴素贝叶斯，K-最近邻，支持向量机（SVM），神经网络，随机森林模型和决策树。Xu et al.（2007）使用隐马尔可夫模型和强化学习将DDoS数据包与正常数据包隔离开来。他们的模型是基于计算传入IP地址序列的概率Berral等人已经使用了中间数据流量，NaiveBayes算法被用于在源、目的地IP地址和来自网络节点的一些其他共享信息的帮助下识别DDoS分组（Berral等人， 2008年）。遗传算法（GA）、SVM由Shon等人使用，其中来自数据流量的特征由GA选择，并且SVM 用作纯分类器来检测DDoS分组（Shon等人， 2005年）。何泽成等利用SVM、Naive Bayes等机器学习算法提出了一个DDoS检测系统。 他们已经采用虚拟机和云服务器的统计特征来阻止包移动到网络之外（He等人，2017年）。神经网络和生物危险理论也可以应用于SDN中以减轻DDoS攻击。在这些情况下，为每个主机计算相关的风险，并将其发送到关注传入数据流的VM如果计算出的流入流量的风险系数超过了一些预定义的评估，那么一些命令和命令将传播到SDN控制器，以提供一些防御机制（ Mihai-Gabriel 和 Victor-Valeriu ， 2014 ） 。 Manikopoulos 和Papavassiliou 使 用 神 经 网 络 与 统 计 方 法 的 组 合 来 防 御 DDoS（ Manikopoulos 和 Papavassiliou ， 2002 ） 。 对 数 据 流 进 行Klomogrov-Smirnov检验以获得相似性度量，然后使用神经网络Seufert和他们的想法是，通过采取系统资源的行为，以及网络特征将是有意义的;因为在攻击时，系统资源不堪重负。Kumar等人使用弹 性 反 向 传 播 算 法 来 构 建 防 御 系 统 （ Kumar 和 Selvakumar ，2011）。这些方法都是利用浅层算法来构建DDoS攻击防御机制。这些浅层算法有其局限性，如（1）需要大量的实验分析来捕捉相关的统计特征，这将提高学习算法的泛化性能（2）模型需要定期训练，以学习传入流量的新特性。Yuan等人（2017）使用了一种基于深度学习的解决方案DeepDefence来识别DDoS数据包。他们测试了几种DL模型来对正常流量和DDoS流量进行分类。 他们在工作中使用了卷积神经网络（CNN）、递归神经网络（RNN）、长短期记忆神经网络（LSTM）和门控递归单元神经网络（GRU），与传统的浅层方法相比，错误率显著降低。 Li等人（2018）还使用DL和SDN来减轻DDoS攻击，并在训练阶段获得了99%的准确率，测试数据的准确率为 98% 。 在这项工 作中， DL 算法 的一种变 体， 即长短期 内存（LSTM），正在被用来设计DDoS缓解解决方案，该解决方案特别在雾和云环境中进行选择LSTM的原因是它适合处理顺序和时间相关的数据。此外，通过引入丢弃概率模型对LSTM模型进行改进它还使用了一个小批量（MB）梯度下降算法，主要用于对抗消失梯度问题。该模型在标准数据集ISCX 2012和一些真实数据上进行了测试为了获得这些数据，在模拟环境中构建了一个测试床，其中DDoS攻击是通过开源工具HPing-3创建的攻击是由一些随机的虚拟机器发起的。对于这些被攻击的数据包，我们的模型发现的共同模式，这有助于他们之间的攻击和正常的数据包分离。此外，我们的模型是通过使用不同的辍学概率，这反过来是能够给一个预测准确率为98.88%的测试数据增强。R. Priyadarshini，R.K.Barik/ Journal of King Saud University827n1/4fgðÞ½]的一种1/2g半]3. 系统模型以多维列表ListL的形式存储，其由下式给出：定义1.网络N/fFNd;Sw;Ln;Rtg，发生DDoS攻击的网络。FNd¼ffnd1;fnd2;. *g是雾环境，f列表Lgd¼fC1个;1个;C1; 2... . ;C S;Pg1由雾节点组成的元素表示在网络N中。SSw1;Sw2;.. . 一组开关，Ln={lnk 1，lnk 2，.. . s}，S和FN之间存在链路集。Rt铺设路径，包括从源雾节点fndsource到fnddest的rotePfndsouce;fnddest>。<定义2.目标雾控制器（TF）：TF nd是SDN控制器已经被部署为集中式控制器的目标节点。在攻击时，控制器定 义 3. 僵 尸 网 络 BtNt¼ fbt1;bt2;... ： ： g 组 僵 尸 通 过 调 用 函 数Attack_TFi;t_attack引起攻击，这意味着bti将受感染的请求分组发送到TFi目标雾控制器。3.1. DDOS攻击在所提出的系统模型中，DDoS攻击有两个必要条件，如下所示：条件1.在Bt和Tf之间必须存在被描绘为Pfnsouce;fndest>的数据路径。<连接路径可以是直接的或间接的。 如果BN和TF i之间存在单个链路（ln），则它是直接的，并且如果它包含多个链路，则它是间接的 。其中，d = 192，表示数据的维数，并且n =数据分组的数目，其中每个分组表示一个实例。所有这些特征都包含文本值、数值和布尔值的混合。布尔值被编码为二进制值。文本值也被编码为16位二进制值。为了将文本值转换为二进制位，使用向量空间模型。将1/2dωn]矩阵切片成特定时隙dt的窗口。每个窗口被标记为0或1。0表示正常窗口，1表示攻击期间捕获的数据包。在LSTM中，有三个门和一个单元状态，称为遗忘门，输入和输出门。这些都是用来摆脱消失的梯度可能遇到的RNN。LSTM的组件由以下等式表示。这里，ft表示遗忘门，it表示输入门。对于每个门，在LSTM中使用不同的权重集，这些权重集由Wf、Wi、Wc和Wo给出的矩阵表示。给定时间细胞状态。使用非线性激活函数sigmoid以产生遗忘、输入和输出门的输出。这是由Eq。(2). it;ft和ot分别是输入门、遗忘门和输出门。用于产生中间状态的非线性函数tanh激活由方程给出。(3).当前状态表示为St，而其先前状态由下式给出：St-1。LSTM的架构如图所示。1 .一、条件2. 为了执行攻击，僵尸网络可能包含一个大型的11-expaXtð2Þ僵尸数量e，g BN bn1;bn2;. . ：：;bnn，其中n>th，（这里th是攻击者数量的阈值，使得FN的资源消耗超过50%）。假设1。从控制器和云服务器转发数据所遵循的传输路径是安全的。假设2。该模型定期训练，新的传入数据流量进入边缘网络，以构建更强大的模型。4. 深度学习模型为了识别DDoS攻击，在这项工作中使用了深度学习的优点。使用长短 期 记 忆 （ LSTM ） 网 络 ， 因 为 它 适 用 于 时 间 相 关 的 序 列 数 据（Hochreiter和Schmidhuber，1997）。它与窗口大小无关，并且保留了前一个数据包对当前数据包的影响的知识。对于特定时间t，捕获连续的网络分组以形成输入窗口。已经从一些历史数据中学习了合法和恶性数据包中表现出的广义模式的预训练模型可以区分良性和恶性传入数据包（Diro和Chilamkurti，2018）。让控制器在t处与开关连接，该实例表示为C1/2i;j]，其中，第i个交换机正在发送第j个分组。每个分组C i;j 是性格-由在分组分析期间捕获的几个特征来表示的分组的长度由矩阵f1;f2;... 所有192个特征被收集并存储为192列的矩阵，每列表示一个特征。因此，通过交换机传输的所有数据包的最终集合是其中，a是常数，称为学习速率参数。fXtXt3ftritrWiSt-1WiXt5otrWoSt-1WoXt6Ct0 1/4tan hWcSt-1WcXt7其中Ct0是中间单元状态。Ct¼itωCt0f1ωCt-18Ht¼OtωtanhCt9所提出的模型的输入是一个多维矩阵。每个细胞中有32个神经元，它们向前连接在建议的模型中，合法和非法机器向云服务器发出准入请求，这些消息通过中间雾设备传播到云雾网络中存在的中间雾设备负责检测非法数据包，并使用适当定义的方案处理它们这会减少不相关的流量，并检查到达云的不需要的流量，从而避免云资源的过度利用。在这项工作中，良性和恶性的数据包都从客户端网站，可能会请求获得访问云服务。但是，在到达云服务之前，整个数据流量必须通过雾层。雾层由多个雾设备和一个雾服务器组成，SDN控制器安装在雾服务器上。SDN控制器作为中央控制器fXt828R. Priyadarshini，R.K.Barik/ Journal of King Saud UniversityFig. 1.长短期记忆神经网络模型的结构。控制器，负责检查来自各个节点的所有传入数据包。在那里，数据流量被过滤，并由雾服务器捕获一些特定的特征，这些特征是识别传入数据包是合法还是恶意的决定性特征。这些攻击是通过各种工具和脚本从不同的源机器生成的。雾服务器使用深度学习算法进行预训练。算法的训练与捕获的传入的数据流量的特性。换句话说，可以说，服务器部署有分类器模型，以表征传入的包是合法的还是恶意的。在收到请求时，数据包通过分类器，以决定请求是否合法。如果发现数据包是合法的，则将其转发到云服务器。如果发现可疑，则将相应分组的IP地址从SDN控制器移动到交换机流表的阻止列表。在交换机级别进行充分的编程，以防止数据包被转发到云服务器。所讨论的方案的详细机制在图2中给出的序列图中给出。 用户系统由多个虚拟机。虚拟机负责在给定的时隙t中传输正常的和感染的分组。中间层是基于软件定义网络（SDN）架构的雾网络。SDN架构具有控制器、开流交换机和主机。SDN控制器的职责是管理整个网络通过维护网络转发表。交换机中存在的流表随着每个进入网络的新条目而更新，并且网络转发表根据每个交换机的流表中发生的状态变化来更新自身。基于一些规则，SDN控制器可以转发分组或丢弃分组。在这项工作中，控制器捕获网络特性，这是第1节中提到的功能。然后，这些特征通过深度学习检测器模块。该模块使用一些历史数据进行预训练，并学习区分DDoS数据包和正常数据包。在接收到新的传入数据流量时，将收集特征，检测器模型将做出决定是否丢弃或转发数据包到云服务器。例如，让我们考虑一个进入网络的数据包.它们可能是正常的或恶性的包。如果数据包进入我们的网络，它的特征将通过HPing-3捕获，并作为测试输入添加到深度防御模型中。然后它可以预测，它是否是一个安全的数据包。如果不是，则将其所有信息发送到SDN控制器。控制器反过来采取一些措施来防止这个数据包进入网络。 其中一个动作可以是在控制器的流表中阻塞IP地址。5. 实验装置通过设置云环境来配置系统模型，其中满足所有必要条件。整个环境由三个层次构成。最顶层由一组用于构建云环境的开源软件组成。“Owncloud” 是一个与“Apache”Web服务器连接 的云存储。要安装'Owncloud'，我们需要PHP，MySQL作为预配置. 云服务器部署在Cent OS 7上。MySQL中使用的数据库MariaDB是MySQL的一个分支，通常被CentOS等Linux发行版使用。雾层由几个虚拟机组成，一个带有Apache服务器的SDN，其中安装了SDN控制器。应用层包括安装在Linux、Windows操作系统上的各种合法虚拟机和攻击者虚拟机，主要利用HPing-3通过随机虚拟机对TCP、UDP和UDP协议进行攻击。Mininet仿真器用于在应用层为多个VM创建拓扑。我们在雾服务器中使用了“FloodLight”控制器作为SDN控制器。它是一个基于Apache许可的Java控制器，用于建立连接链路Ln = ln1，ln2，雾节点Fn和客户端机器。在控制器内部开发并配置了DDoS防御模块。深度学习模型是通过使用在“Tensorflow”背景上运行的开源Python库“Keras”构建的（Priyadarshini等人，2018年）。LSTM被探索了128个隐藏的神经元，R. Priyadarshini，R.K.Barik/ Journal of King Saud University829图二、状态-建议模型的rons，使用的损失函数是该模型使用2个隐藏层，128个隐藏神经元，使用Sigmoid，其中表1建议模型中使用的数据集属性的详细信息。总数第192话不第3类因为输出层使用tanh（）激活函数。由于该模型使用的是Sigmoid激活函数，因此可能会遇到梯度消失问题。为了避免这种情况，在不使用批梯度下降的情况下，使用小批梯度下降（GD）算法。在Mini-batchGD中，在迭代到固定的mini-batch大小后，学习会重新开始一个新的mini-batch，从而减少梯度爆炸的机会在这里，小批量大小是cho-类别字段数4表示所需的位数范畴域数字字段的数量9表示所需的位数数值字段布尔字段数179表示所需的位数布尔字段16无2感测为512次迭代。Python执行环境在Windows-10操作系统上的Anaconda发行版上运行。6. 结果和分析6.1. DDoS防御模型训练为了训练基于深度学习的DDoS防御模块，Hogzilla Dataset在这项工作中用于训练和验证所提出的模型。该数据集正在从CTU-13僵尸网络提取数据（Garcia等人，2014）和ISCX 2012 IDS（Shiravi等人，2012）数据集。在这些数据中，每个流具有192个行为特征。CTU-13僵尸网络数据集包含所有关于被攻击数据包的特征，ISCX 2012 IDS数据集包含关于正常数据包的信息。数据集包含三种类型的领域。它们是数值的、分类的和布尔的。通过使用One-hot编码方案（Cassel和Lima，2006），将数字字段表示为二进制字符串。在该方案中，每个类别属性被转换成等价的16位二进制字符串。表1描述了与此相关的属性细节本节中产生的结果是通过在CTU-13僵尸网络和ISCX 2012 IDS数据集上运行深度学习模型产生的。训练样本和测试样本的比例为90：10。这意味着，整个数据样本的90%用于训练其余10%的数据作为验证数据和测试数据。我们使用了10交叉验证方案来验证输出。在此过程中，总的数据样本被平均分为10个部分，其中9个部分被随机选择作为训练样本，剩下的一个部分将用于测试。该过程重复10次，然后取所有迭代的平均值作为最终结果。并尝试改变模型的参数。该模型尝试了1个隐藏层，2个隐藏层，然后再次通过改变隐藏节点的数量，最初从32个节点到64个节点，然后是128个节点。类似地，退出概率最初被设置为0.1，随后被设置为0.2。丢弃概率用于避免过拟合问题并用于递归神经网络中的快速响应;其中神经网络的可见和隐藏单元连同它们的传入和传出连接被暂时移除（Srivastava例如，2014年）。最初，网络以dropout为0进行训练，然后尝试使用0.1到0.3。但是模型被调整为0.2。从结果中可以看出，2个隐藏层，丢失率为0.2，表现良好。通过改变模型参数和重复实验，对实验结果进行分析，对模型参数进行微调。 图3表示相对于训练和测试实例的准确度百分比。图4只考虑了测试数据，并绘制了LSTM变体的错误率比较图830R. Priyadarshini，R.K.Barik/ Journal of King Saud University图3.第三章。LSTM-2的训练和测试精度比较见图4。 不同LSTM的验证精度。图 5显示了LSTM变体在测试数据上的准确性。可以观察到，LSTM2.2在准确性方面优于其他人。在训练数据样本上的性能几乎图五. 不同LSTM模型的错误率。99.12%，在测试样品上也是有希望的，这是98.88%。6.2. DDoS防御模型测试用两类数据对所建模型进行了检验首先，在Hogzilla数据集上对模型进行测试，其中总数据集的10%被用作测试样本。与此同时，一些真正的DDoS攻击进行，并产生一个测试床使用TCPDump提取网络流量。TCPDump是一个自动化的工具来监视网络统计数据。为了模拟DDoS攻击，正在使用一种名为Hping3的工具DDoS攻击是在Hping3开源工具的帮助下，通过一些随机的虚拟机对TCP，UDP和UDP协议然后，这些被攻击的数据包通过深度学习模型，结果如表2所示，其中性能指标被选择为具有不同数量的隐藏神经元的所有LSTM变体的测试数据的准确率百分比同样，这些LSTM在没有丢失概率和丢失概率为0.1和0.2的情况下进行测试可以观察到，具有3个隐藏层的LSTM模型，由128个输入节点组成，退出率为0.2，表2具有不同参数的模型类型及其性能。Model Type LSTM with no隐藏层1个隐藏层的LSTM（LSTM-1）2个隐藏层的LSTM（LSTM-2）3个隐藏层的LSTM（LSTM-3）激活函数Sigmoid，Tanh Sigmoid，Tanh Sigmoid，Tanh Sigmoid，Tanh验证准确度百分比无隐藏神经元= 3287.6791.3394.6893.67无隐藏神经元= 6487.9696.9895.6797.45无隐藏神经元= 12889.8896.4595.8997.21辍学率= 0.089.8896.4595.8993.29辍学率= 0.190.1391.5797.3996.78辍学率= 0.290.9892.8998.8898.34表3DDoS防御模型与其他现有DL模型的性能比较模型类型训练精度测试精度使用的数据集用于云和雾堆叠自动编码器（Niyaz等人，（2016年）NA95.65捕获的数据没有LSTM（Yuan等人，（2017年）99.0098.00ISCX 2012没有LSTM-2丢弃= 0.299.4898.88ISCX 2012，真实数据是的R. Priyadarshini，R.K.Barik/ Journal of King Saud University831然后是其他人的表演。表3表示DDoS防御模型与过去使用DL和SDN的现有模型的比较。可以发现，LSTM 2.2为测试数据提供了一些有希望的结果。7. 结论在这项工作中，我们设计了一个基于深度学习的模型来保护Fog网络免受DDoS攻击。我们使用SDN技术来控制整个Fog网络。开发了基于开放流的SDN网络，并配备了利用深度学习技术的DDoS防御模块。LSTM模型是在所有其他深度学习变体中选择的。因为，LSTM对于顺序数据工作得很好，并且用于DoS检测的数据包是时间收集的。深度学习模型使用历史数据进行训练，并使用模拟和真实DDoS攻击数据包进行测试。该模型对不同的参数进行了实验，得到了一组性能优化的调谐器。LSTM有3个隐藏层，一个密集层，128个输入节点，所有隐藏层的丢失率为0.2，在提高精度和降低错误率方面给出了良好的性能指标为了设置雾环境，我们使用了一个真正的云设置与一些开源云平台，SDN控制器配置与控制器节点配备了一个DL模型，该模型使用Hogzilla数据集进行训练，并在一些实时DDoS攻击中进行测试为了引起DDoS攻击，使用了一些开源工具。该模型在测试数据集上显示出98.88%的准确率在检测到传入数据分组为可疑恶意分组时，SDN中存在的开放流交换机可以防止分组进一步传播到云服务器。被感染的数据包被拒绝转发到服务器，这可以防止整个雾网络受到DDoS攻击的影响。利益冲突一个也没有。引用Berral，J.L.，Poggi，N.，阿隆索，J.，加瓦尔达河Torres，J.，Parashar，M.，2008.基于机器学习的自适应分布式抗洪泛攻击机制。第一届ACM AISec研讨会论文集。 ACM，pp.43比50Buyya河，Dastjerdi，A.V.，2016年。物联网：原则和范式。爱思唯尔Cassel，M.，Lima，F.，2006.基于sram的fpga单热编码有限状态机seu可靠性评估。在线测试研讨会，2006年。IOLTS 2006年。第12届IEEE国际。^John，p.六、CGC索引，预测和方法，2015-2020白皮书，6月1日检索。Diro，AA Chilamkurti，N.，2018.基于深度学习方法的物联网分布式攻击检测方案。下一代计算机系统82，761-768。加西亚，S.，Grill，M.，Stiborek，J.，Zunino，A.，2014.僵尸网络检测方法的实证比较。Comput.安全45，100-123。他，Z.，张，T.，Lee，R.B.，2017.基于机器学习的云环境下源端ddos攻击检测。CyberSecurity and Cloud Computing （ CSCloud ） ， 2017 IEEE4th InternationalConference on. IEEE，pp. 114- 120Hochreiter，S.，Schmidhuber，J.，1997. 长短时记忆。神经元计算9（8），1735-1780。汗，S.，帕金森，S.，秦，Y.，2017.雾计算安全：当前应用和安全解决方案的回顾。 J.云计算 6（1），19.Kreutz，D.，Ramos，F.，韦里西莫，P.，2013.迈向安全可靠的软件定义网络。第二届ACM SIGCOMM软件定义网络热点专题研讨会论文集。ACM，pp. 55比60库马尔，P.A.R.，Selvakumar，S.，2011.使用神经分类器集成的分布式拒绝服务攻击检测。Comput. Commun. 34（11），1328-1341。Li，C.，吴，Y.，Yuan，X.，太阳，Z.，王伟，Li，X.，贡湖，2018年基于openflow的sdn中基于深度学习的ddos攻击检测与防御。国际通讯系统杂志31，（5）e3497。马哈茂德河，科塔吉里河Buyya河，2018.雾计算：分类，调查和未来的方向。万物互联施普林格，pp. 103- 130Manikopoulos，C.，Papavassiliou，S.，2002.网络入侵与故障检测：统计异常方法。IEEE通信麦格 40（10），76-82。米哈伊-加布里埃尔岛Victor-Valeriu，P.，2014.基于神经网络和危险理论的智能风险评估在软件定义网络中实现分布式拒绝服务弹性。计算智能和信息学（CINTI），2014年IEEE第15届国际研讨会。IEEE，pp. 319- 324Mirkovic，J.，Reiher，P.，2004. ddos攻击分类与防御机制。ACM SIGCOMM COMPUT.Commun. Rev. 34（2），39-53.Niyaz，Q.，孙，W.，Javaid，A.Y.，2016年。基于深度学习的软件定义网络（sdn）中的ddos检测系统，arXiv预印本arXiv：1611.07400。Priyadarshini河，Barik，R.K.，Panigrahi，C.，Dubey，H.，Mishra，B.K.，2018.深度学习工具在医疗保健大数据分析中的有效性调查。Int. J. 网格高性能计算。（ IJGHPC）10（3），1-13.Sahoo，K.S.，Mohanty，S.，Tiwary，M.，Mishra，B.K.，Sahoo，B.，2016年。软件定义网络：未来互联网技术的驱动力。信息通信技术计算进展国际会议论文集&。^Margaret，p. 114号Seufert，S.，O'Brien，D.，2007.机器学习自动防御分布式拒绝服务攻击。来文，2007年。ICC'07. IEEEInternational Conference on. IEEE，pp. 1217-1222。申，S.，Gu，G.，2013年。攻击软件定义网络：第一个可行性研究。 第二届ACMSIGCOMM软件定义网络热点专题研讨会论文集。ACM，pp. 165-166。Shiravi，A.，Shiravi，H.，Tavallaee，M.，Ghorbani，A.A.，2012.发展一个系统的方法来产生入侵检测的基准数据集。Comput. Security 31（3），357-374.Shon，T.，Kim，Y.，李，C.，Moon，J.，2005.基于支持向量机和遗传算法的网络异常检测机器学习框架。2005年信息保障讲习班。05年。第六届IEEE SMC年会论文集。IEEE，pp. 176-183。席尔瓦，S. S.，席尔瓦，R.M.，平托，R.C.，Salles，R.M.，2013年。僵尸网络：调查。Comput. 网络57（2），378Srivastava，N.，Hinton，G.，克里热夫斯基，A.，萨茨克弗岛，巴西-地Salakhutdinov河，2014. Dropout：防止神经网络过拟合的简单方法。 J·马赫。学习. Res. 15（1），1929-1958.肖，Z，肖，Y.，2013年。云计算中的安全和隐私IEEE通信Surveys Tuesday 15（2），843徐，X.，Sun，Y.，黄志，2007.利用隐马尔可夫模型与协同强化学习防御分布式拒绝服务攻击。参加：亚太情报和安全信息学讲习班。施普林格，pp. 196-207.阎青，越-地Yu，F.R.，Gong，Q.，李杰，2016.云计算环境中的软件定义网络（sdn）和分布式拒绝服务（ddos）攻击：调查、一些研究问题和挑战。 IEEE通信 Surveys Tuesday18（1），602-622.Yi，S.，秦，Z.，李，Q.，2015.雾计算的安全和隐私问题：调查。国际无线算法、系统与应 用 会 议 （ International Conference on Wireless Algorithms ， Systems ， andApplications）施普林格，pp. 685- 695Yuan，X.，Li，C.，Li，X.，2017. DeepDefense：通过深度学习识别DDoS攻击。 2017年IEEE智能计算国际会议（SMARTCOMP）IEEE，pp. 1-8号。