1.一种基于SDN网络的恶意代码检测方法,提出基于OpenFlow的流量特征选取方法,采用多种特征选取方法对不同的流量特性进行排序,找出能反映恶意代码的关键特征子集,实现数据降维;针对不同种类的恶意代码,采用不同的分类算法和特征子集进行匹配分析,找出不同种类的恶意代码检测分析的匹配特征子集和分类方法;在此基础上实现SDN网络流量重定向模型和移动网络演化分析,其特征是:(1)提出一种基于OpenFlow的流量特征选取的安全数据降维方法,选取OpenFlow流表的包头域所定义的流量特征,进行细粒度的数据分析,将高维特征数据降维,得到各类恶意代码的最优低维度特征子集;
(2)根据降维后的关键特征子集,分析比较不同分类方法与特征子集对不同类恶意代码的分类性能,得到某类恶意代码的最佳特征子集及分类算法;
(3)分析不同的网络模型中,感染恶意代码的节点迁移率对其在源子网和目标子网的感染情况和爆发时间的影响,提出一种恶意代码在SDN移动网络中的传播模型,通过理论分析和数值模拟,找出恶意代码从源子网传播到目标子网的传播特性与子网间节点的迁移率的关系,分析恶意代码在社团子网间扩散和传播的迁移阈值qc。
2.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,基于OpenFlow的流量特征选取的安全数据降维方法,SDN网络是基于流表的,流表就可以作为数据包的匹配规则,SDN流表的结构包含三个部分:包头匹配域、计数器和动作,随着流表设计对各种协议的支持,匹配更加细粒度化,其具有的特征值也在增加, OpenFlow流表的特征选择是SDN网络中安全数据预处理的有效方法,通过降低流量特征的维度,可以减小安全关联分析的复杂度,关注特征选择方法在SDN的交换机流表数据中的应用,分别采用Fisher、ReliefF、mRMR、InfoGain、CFS、LVF 特征选择方法对OpenFlow流表的流量特征进行排序,并根据不同的特征选择算法进行综合分析,选择有效的流量特征数据来进行下一步模型的建立。
3.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,不同类恶意代码的最优特征子集及最优分类算法选择,不同的网络异常场景在流量特性上表现不同,而不同的数据挖掘算法对于流量特性的匹配程度也不一样,研究SDN环境下不同的特征选择方法与数据挖掘算法的结合处理,分析不同的特征选择后对算法运行时间及不同的特征选取方法与分类算法性能的匹配程度,分析得出对于SDN 流量的异常流量分析在不同的场景下应采用哪些关键特征以判别流量异常,将 Fisher、ReliefF以及 InfoGain算法得到的前
8-12维特征序列分别与 DT、SVM 和KNN分类方法结合,计算其分类结果的准确率,找出不同种类的恶意代码检测分析的匹配特征值和分类方法。
4.根据权利要求1所述的基于SDN网络的恶意代码检测方法,其特征是,恶意代码在SDN移动环境下的传播特性分析,建立SDN环境下的网络模型;将网络子网作为社团考虑,子网内部为静态社团,而子网之间为动态社团,通过分析不同的网络模型中,社团间的节点迁移率对恶意代码在源子网和目标子网的感染情况和爆发时间的影响,发现移动环境下恶意代码的传播对网络演化的影响。