基于SDN的智能入侵檢測系統模型與算法①

馬 琳 張莎莎 宋姝雨 王 磊*

(*空軍杭州特勤療養中心信息科 杭州 310012)(**浙江大學信息與電子工程學院 杭州 310027)(***國家廣播電視總局廣播電視科學研究院 北京 100866)

0 引 言

入侵檢測常用的檢測方法有異常檢測和誤用檢測[1]。對于異常檢測，其假設入侵行為與正常行為明顯不同。典型的異常檢測方法包括專家系統、統計分析和定量分析。而誤用檢測假設所有入侵都可以表示為模式或特征，系統基于這些模式或特征來檢測入侵行為[2]。異常檢測的優勢在于對新型攻擊敏感，但誤報率較高。誤用檢測的優勢在于其對已知攻擊具有優越性能，但很難檢測到未知的攻擊。如何提高入侵檢測系統的檢測準確率、降低誤報率和漏報率一直是研究的重點和熱點。

軟件定義網絡(software defined networking，SDN)作為一種新型網絡架構，其控制面與轉發面分離、控制器北向接口開放、可實現集中控制等特性為網絡技術創新提供了良好的平臺。SDN控制器具有全局網絡的信息，可以根據需要監控網絡中任意位置的流量，這為集中進行入侵流監測提供了便利。在SDN控制器中，可以非常方便地集成各種先進的人工智能算法[3-5]，突破了傳統特征匹配等方法的局限性，能夠顯著提升入侵檢測的性能。

本文設計了一種基于SDN的智能入侵檢測系統模型，使用改進的隨機森林算法進行智能流分類，以獲得更高的檢測率和更低的檢測代價。本文使用KDD CUP99數據集作為訓練集和測試集，對改進算法進行了性能仿真和對比分析。……