论文题目：SDN中基于KNN的异常流量检测技术研究（学术论文）

1 算法

原有：基于K近邻算法的异常流量检测技术
改进：

1. 基于DPTCM-KNN的异常流量检测算法，第一独立度概念，以奇异度和独立度共同作为标准，计算双概率p值判断流量的异常状态，降低检测过程中的误报率
2. 为了提高效率选择一种优化的特征选择算法FACO，设计特征选择适应度函数

2 异常流量监测架构

算法：

1. DPTCM-KNN检测算法
2. FACO特征选择算法

环境：

1. Mininet网络仿真环境
2. Ryu控制器

3 异常流量检测技术

网络流量划分

1. 正常流量
2. 异常流量

异常流量监测技术包括五个方面：

1. 网络流量数据采集
2. 特征提取
3. 行为建模
4. 异常分类检测
5. 结果呈现与反馈

异常流量监测技术原理：

1. 基于统计的异常流量检测方法：将过去与现在流量做建模，计算出阈值，超出这个阈值则说明是异常流量
   缺点是：阈值如果不准确，系统风险较大
2. 基于数据挖掘的异常流量监测方法：通过特征筛选来挖掘，特征选择通过蚁群优化算法选择相关性高的特征

目前异常流量监测的主流技术有三类：
4. 基于分类的异常流量检测方法
5. 基于聚类的异常流量检测方法
6. 基于特征选择的异常流量检测方法

4 仿真环境下的系统架构图

4.1 架构设计

控制器分为两个模块

1. 流量采集模块
   功能流程：
   1、定时向交换机发送ofp_flow_stats_request报文请求，获取交换机的流表信息，同时将这些信息提交给特征提取模块
   2、特征提取模块提取出流量的特征信息，形成流特征向量，发送给异常检测机制
   3、异常检测机制完成流特征向量的预处理和异常检测工作，再通过安全通道将异常检测结果反馈给中央控制器，控制器修改交换机的转发规则，实现对网络的管控

2. 特征提取模块
   1、特征提取
   2、特征选择
   3、特征降维

4.2 异常处理流程