引言

伴随互联网用户规模的持续扩张及配套技术的迭代升级，网络数据传输量呈现出指数级上涨态势，传统网络架构在带宽承载能力、动态适配性以及防护可靠性层面逐步显现出多项限制，难以适配新兴业态与应用的服务诉求。在此背景下，软件定义网络（Software Defined Network，SDN）作为新型架构方案被提出。不过，SDN在实现网络灵活调度与高效管控的同时，也带来了前所未有的安全风险。SDN架构下的控制平面核心负责整网资源的统筹调配与运行决策，若其被攻击者成功渗透，不仅会干扰整个网络的平稳运转，还有可能被非法操纵，沦为攻击体系中的“单点失效节点”。在各类潜在攻击中，分布式拒绝服务（Distributed Denial-of-Service, DDoS）攻击是危害最为突出的类型之一，这类攻击具备传播速度快、攻击形式多元、来源分布零散的特性，给网络流量的态势感知、异常识别与防护处置制造了极高的难度。当前全球数字化转型的速度不断加快，DDoS攻击的覆盖范围、技术复杂度以及渗透成功率均出现了明显提升。基于此，如何实现对DDoS攻击的精准识别、快速发现与及时处置，已经成为SDN安全研究领域急需攻克的关键议题之一。

1相关研究

分布式拒绝服务网络攻击的检测手段主要涵盖统计学方法、机器学习算法、深度学习模型等类别。

统计学领域可对网络流量开展动态监测，同时量化流量序列存在的随机波动特征，依托过往时段的流量数据完成后续流向预判，进而精准识别出与常规运行模式存在偏差的分布式拒绝服务攻击。Davy借助源IP地址对应的香农熵参数，对软件定义网络场景下的DDoS攻击进行排查，当攻击行为触发时，网络中会涌现大量携带各异源IP的数据包，此时源IP维度的香农熵数值会出现明显跃升，将实测值与预设阈值比对即可判定攻击是否发生，但该方案的整体检测准确度有待提升。Zahra在信息熵检测框架中引入动态阈值机制以优化识别精度，该方案会在每个固定时间窗口内采集熵值参数，依据熵值与当前阈值的匹配关系，将样本划分为正常状态集与攻击状态集，再结合两类集合的均值、标准差参数完成阈值的动态迭代。Ujjan提出基于广义熵的DDoS攻击检测思路，该方法融合了香农熵与Renyi熵的特性，先通过Snort入侵检测工具完成流量特征的萃取，再计算对应特征的广义熵（Generalized Entropy，GE）与广义信息距离（Generalized information Distance，GID），采用高阶运算得到的广义熵参数可放大熵值的波动幅度，对网络流量的异动感知更为敏锐，而广义信息距离参数可用于削减流量特征间的冗余度，该方案可借助适配的流量特征，灵敏捕捉网络运行过程中的流量偏移，进而完成攻击检测。这类方法运算复杂度较低，执行效率较高，适用于初步的、大颗粒度的流量异常排查环节，但阈值的设置高度依赖领域专家的实践经验，难以实现自适应调整；对低速率、多类型混合的攻击识别度不足；检测覆盖的维度较为单一，面对经过精心构造的攻击行为易出现漏判问题。

机器学习依托海量样本与先验经验实现算法逻辑与模型参数的迭代优化，通过对历史流量数据集的训练构建机器学习驱动的流量分类工具，以此完成异常流量的精准识别。Zhao从DDoS攻击流量维度筛选出11组特征向量用于单类SVM模型的训练，同时引入自适应遗传算法对SVM的核心参数做寻优处理，有效提升了异常检测的精度表现。Dong提出了改进型KNN算法，在软件定义网络（SDN）的应用场景下重点选取四类流量特征：单流数据包总量、流生存时长、单流总字节数与流传输速率，上述特征在多类型DDoS攻击的识别过程中具备核心支撑作用，结合这类特征与其余辅助特征，采用KNN模型实现流量类别划分，取得了优异的检测效果。和传统纯统计类方法相比，该方案的检测准确率有明显提升，可对更复杂的非线性决策边界完成拟合，但也存在三点局限：模型效果高度依赖特征工程的构建质量，要求研究者具备充足的相关领域知识储备；模型性能对超参数设置较为敏感，参数调试过程繁琐耗时；针对高维度、具有时序特性的流量数据，其特征提取效能与潜在模式识别能力存在明显短板

深度学习模型可自主从原始数据或经过初步处理的信息中挖掘高维度特征表示。CNN的应用：文献将流量数据视作图像类或序列类对象，借助CNN提取其空间层面的局部特征。举例而言，把特定时间范围内的流量统计矩阵作为输入项，CNN能够挖掘不同特征维度间的关联规律。RNN/LSTM的应用：网络流量从本质上属于时序数据范畴。LSTM及其衍生模型凭借优异的时序信息建模能力，常被用来捕捉流量数据内的长距离依赖关系，识别攻击流量的持续特征与行为规律。这类方法支持端到端学习流程，无需开展繁杂的特征工程工作；具备突出的表征学习性能，针对未知新型攻击与复杂入侵场景的泛化表现更优，但也存在模型结构复杂度偏高、训练与推理阶段消耗的计算资源较多的局限，且模型的实际性能会受到数据质量与样本规模的明显影响。

针对流量规模庞大、类型繁杂的分布式拒绝服务攻击，亟需探索一种在检测精准度、误报概率及漏报概率三项性能维度上表现优异的网络攻击识别方案。

DDOS攻击下SND网络性能分析

软件定义网络（SDN）的核心理念是把网络的控制层面与数据转发层面相互解耦。SDN具备的开放式应用程序接口可以支持第三方程序同网络设备实现信息交互，有效提升了网络的可拓展性与适配性。该技术采用数据层、控制层、应用层的三层体系架构，同时明确了南向接口与北向接口两类核心交互接口。

在软件定义网络（SDN）的体系结构下，部署于不同地域的僵尸节点受控于已被攻陷的主控主机，借助OpenFlow等南向接口协议的设计缺陷，迫使接入层交换机不间断地向控制器上报Packet-In请求。这类规模庞大的南向协议报文会快速挤占控制信道带宽，同时耗尽控制器的中央处理器与内存资源。由于控制器无法及时响应合法交换机提交的流规则下发、网络拓扑更新等调度需求，全网范围内新流的建立过程会出现显著延迟，大量数据包被直接丢弃或暂存于交换机缓冲区。该类攻击最终集中作用于南向接口层面，导致数据无法完整、准时地传输至控制器，进而降低控制器向交换机下发配置指令的效率，整个网络的服务质量出现下降，严重时会完全陷入瘫痪状态，如图1所示。

当分布式拒绝服务攻击发生时，软件定义网络的整体运行状态会出现明显且多变的波动，核心瓶颈效应主要体现在三个维度：第一，采用集中部署模式的控制平面在海量洪泛攻击流量的冲击下很容易陷入单点失效困境，造成控制器响应耗时大幅上升甚至完全失去工作能力，进而摧毁整个网络的全局调度与协同运行能力；第二，南向通信链路（例如OpenFlow传输通道）由于需要持续上传海量异常流表申请会很快出现带宽资源被占满的情况，引发核心控制指令的传输卡顿甚至丢失；更深层次的问题在于，底层交换设备的流表存储资源受攻击流条目数量爆发式增长的影响，会在短时间内被消耗殆尽并引发流表项过期失效或高频更新的问题，直接拉低数据平面的报文转发速率与准确性。这些彼此存在关联的故障表现共同放大了软件定义网络架构面对安全风险时的薄弱属性，凸显出其扩展能力与抗毁性正面临极为严峻的考验。

在上述研究成果的基础上，本研究构建了融合广义熵与优化后卷积神经网络—双向长短期记忆网络的分布式拒绝服务攻击检测方案，以此完成网络信息深层特征的充分挖掘，改善分布式拒绝服务攻击检测的准确率、误报率及漏报率等核心指标表现。

基于广义熵和改进CNN-BiLSTM的DDOS攻击检测方法

3.1 检测流程

第一环节为熵值判定阶段，首先从交换机转发的数据流内采集IP地址，统计对应目的IP的熵值参数，再将计算得到的熵值与预设阈值开展对比，最终把所有数据流量划分为正常、异常两类；针对被识别为异常的数据流，将转入异常判别环节，由控制器先定位触发异常告警的交换机并采集其流表数据，从中提取8项流量特征完成图像格式转换，随后输入融合空间变换器网络（STN）的卷积神经网络与双向长短期记忆网络的组合检测模型（CNN-BILSTM），判断是否存在DDoS攻击行为，最后加入注意力机制（SA）模块，改善通道特征权重均匀分配的缺陷，以此提升模型的准确率、精确率与召回率，整体检测流程如图2所示。

3.2 熵值检测模块

网络流量数据集由海量离散信息采集端共同构成，信息熵可衡量整体信源的不确定程度，具体表现为熵值越低，对应网络流量的随机特性越弱，熵值越高则对应流量的随机特性越强。在常规运行的网络环境中，流量的随机程度通常处于较高水平，但若出现分布式拒绝服务攻击时，大量受攻击者操控的受控节点会向同一目标主机发送海量访问数据，导致目标主机无法为其余合法用户提供正常服务，此时网络系统原有的随机特性会被破坏。和常规流量相比，DDoS攻击流量的目标IP对应熵值明显更低，故而可通过监测信息熵的动态变化来判定是否出现DDoS攻击行为。

当参数α的取值无限趋近于1时，广义熵的计算结果与香农熵完全等价。若α取值大于1，通过广义熵公式推导得到的正常业务流量和恶意攻击流量的熵值差距会更为显著。该特性有助于选取更合理的判定阈值，提升系统对异常行为的识别精度，因此熵值计算模块选取广义熵作为核心计算方法。其中阈值σ₁与σ₂将依据单个采样周期内广义熵计算结果Hₐ(X)的极值进行设定：采样周期内的最大熵值设为阈值σ₁，最小熵值则设为阈值σ₂。

算法1基于广义熵的检测方案：

步骤1：控制器提取当前采样窗口内数据包报头目的IP地址；

步骤2：依照公式(1)求取当前采样区间内数据包目标IP的广义熵数值Ha(X)

步骤3：将步骤2计算的广义熵值Ha(X)与阈值σ₁、σ₂进行比较(σ₁>σ₂)，若大于σ₁则输出为正常流量，小于σ₂则输出为DDoS攻击流量，介于σ₁～σ₂之间则输出为异常流量。

3.3 异常检测模块

依托前文所述信息论相关度量方法开展流量检测时，存在检测维度较为单一的缺陷。针对这一问题，可引入卷积神经网络架构，对熵值检测模块判定的疑似异常流量开展二次校验，熵值检测模块输出的可疑流量将作为后续异常校验模块的输入数据，此时控制器会先向交换机下发流表规则，再启动异常校验流程。该模块首先对熵值检测模块输出的可疑流量完成特征提取操作。在课题组前期研究成果中，通过与常规6元特征集合进行对比验证可知，包含数据流平均包量等8项流量属性的8元特征集合，在检测召回率、整体准确率两方面的表现均优于传统6元特征集合，且误报率显著低于后者。因此研究选取8元特征集合对应的数据集作为CNN-BILSTM网络的8路输入，对卷积神经网络与双向长短期记忆网络组成的混合模型开展训练，模型训练完成后将由输出端给出是否存在DDoS攻击的判定结果。8元特征集合对应的符号定义详见表1。

符号	定义
APF	数据流的平均包数
ABF	数据流的平均字节数
PCF	对流百分比
RFE	数据流表项增速
RFM	数据流表匹配率
ESA	源IP地址的熵
EDA	目的IP地址的熵
EPT	协议的熵

3.3.1 CNN网络

卷积神经网络（convolutional neural networks，CNN）是具备深度架构与卷积运算的前馈型人工神经网络，为现阶段深度学习领域的主流技术框架，其核心属性是可在模型训练阶段自动捕捉隐含的低维特征表征。该网络的基础组成模块包含输入层（Input）、卷积层（Conv）、池化层（Pool）、全连接层（Fully Connected Layer）以及Softmax层。常规场景下，一套完备的CNN架构会堆叠多组卷积与池化单元，具体的网络构成可参考图3。在CNN的整体架构中，卷积层的运行机制是借助卷积核与输入特征完成卷积运算，以此实现对输入信息的深层特征挖掘。池化层一般衔接在卷积层的输出端，核心作用是对卷积输出的特征矩阵实现维度压缩。卷积层与池化层通过多层依次堆叠的方式，共同组成深度特征提取网络。全连接层则会先对经过卷积、池化处理得到的特征执行展平处理，再将转换后的数据传递至Softmax层，最终完成分类或回归任务的输出。

3.3.2 BiLSTM网络

长短时记忆网络（long short-term memory，LSTM）属于优化后的循环神经网络变体，可有效处理循环神经网络在模型迭代训练阶段出现的梯度爆炸与梯度消失两类问题。常规LSTM架构仅包含前向传播通路，无法兼顾时序数据的前后上下文关联逻辑。双向长短时记忆网络（BiLSTM）则对传统LSTM的结构进行了拓展，依托正向时间序列与反向位置序列同时完成前向、反向两次传播计算，进一步提升特征抽取的整体效果。BiLSTM的具体网络架构可参见图4。

3.3.3 STN-CNN-BiLSTM网络模型及网络结构

该研究设计了名为Spatial Transformer Networks的网络架构，缩写为STN，其中嵌入了具备可学习属性的采样组件Spatial Transformer，一般译名为空间变换器，该空间变换器的训练过程无需引入额外的人工标注标签，能够在网络前向传播阶段对特征图（feature map）执行各类空间变换运算。该模块具备可微特性，可满足反向传播的计算要求，能够直接嵌入现有各类卷积神经网络架构内，赋予特征图自适应空间调整的能力，即实现了感受野的动态适配，强化关键特征区域的表征显著性，以此提高模型针对攻击流量畸变场景的泛化鲁棒性。在此基础上，依托卷积神经网络自动挖掘流量数据内部的深层局部空间特征与短时序关联关系。之后，引入双向长短时记忆网络捕捉流量序列前后向的长时时间上下文关联，以此实现对复杂攻击序列模式的高效识别。最终，将完成多维度融合的特征输入全连接层完成分类判定。

在CNN-BiLSTM网络模型架构内，依托CNN模块完成数据局部平行特征的提取，可更充分地捕捉维度完整的局部信息。针对属性特征点易受相邻序列特征干扰的问题，引入由2组细胞拓扑单元组成的记忆模块（合计4个结构块），搭建BiLSTM网络实现长距离依赖特征的有效提取，最终经Soft-max分类器输出该网络的DDoS攻击检测结果，可有效规避检测过程中易出现的过拟合缺陷，提升模型的泛化性能，在增强检测准确率的同时，减少检测过程的误报与漏报情况，CNN-BiLSTM网络模型攻击检测流程如图5所示。

STN架构在CNN网络模型中如图6所示。

1. U∈RH×W×C U∈RH×W×C为输入featuremap；
2. 其中V∈ℝ^{H'×W'×C'}对应网络输出的特征图；
3. θ=floc(U) 是一个回归子网络；
4. T_θ代表由参数θ作为变换矩阵定义的一类空间映射，可涵盖二维仿射变换（2D affine transformation）、平面投影变换（plane projective transformation）以及薄板样条变换（thin plate spline）三种常见类型；
5. G_i=(x_{ti},y_{ti})代表V中的像素点 G={G_i} 是V中像素点的整体。

3.3.4 SE-CNN网络模型及网络结构

对于以卷积神经网络（CNN）为基础搭建的攻击检测模型而言，卷积计算的核心特性是优先聚焦局部区域的特征抽取过程，这一特性会直接限制模型的感受野范围，使得模型很难高效捕获整体层面的上下文关联信息。与此同时，不同特征通道所承载的信息在语义层面存在明显的重要性差异，但在常规CNN架构下，所有通道开展特征融合操作时普遍被赋予相同权重，并未考量不同通道对最终检测任务贡献程度的区别。这类“同权重融合”的运行机制极易引发核心通道的特征被削弱，而次要通道的特征反而被过多留存的问题，最终引发关键判别性信息的流失，降低模型在攻击检测场景下的分类精确程度。

针对前述存在的问题，相关学者提出了“挤压—激励”（Squeeze-and-Excitation, SE）模块。相关模块结构可参考图7，完成设计后将其集成至卷积神经网络的整体架构当中。挤压与激励模块依托压缩、激发两项核心运算，完成对不同通道特征的自适应权重分配。具体来说，压缩环节中，该模块借助全局平均池化操作，对单通道内所有空间维度的特征信息进行聚合，生成对应的全局表征向量，以此得到通道层面的全局特征表达。激发环节内，模块通过由全连接层与ReLU、Sigmoid等激活函数组成的轻量化神经网络，完成各通道权重参数的自主学习。所得权重将被用于重新调整各通道的特征输出值，令网络可强化对核心通道的信息捕获，同时弱化对当前任务作用有限的通道特征影响。

将SE模块嵌入卷积神经网络的各卷积层后端，可让模型在维持原有局部特征提取性能的前提下，主动构建不同特征通道之间的关联关系，完成对各特征通道的动态自适应调整，具体实现流程可参见图8。该注意力机制可有效削弱不同通道特征贡献程度不均所引发的核心信息丢失问题，令模型更倾向于关注和入侵行为相关的高区分度特征。

4 测试模块

4.1 实验环境

本次模拟实验的运行环境搭载Windows11操作系统，硬件层面配置64位英特尔酷睿i7-8700中央处理器与16GB运行内存。算法开发选取Python3.7作为编程工具，配套使用TensorFlow2.1.0与Keras2.3.1两个深度学习框架，在此基础上完成双检测模型的性能验证工作。

4.2 实验数据

本次实验所用数据集涵盖13万条源自CICDDoS2019的DDoS攻击样本。CICDDoS2019数据集由加拿大网络安全研究所构建，其设立初衷是打造一套覆盖维度全面的数据集，为DDoS攻击检测算法的效果评估与性能测试提供支撑。该数据集收录了当前最新的各类DDoS攻击类别，同时包含常规网络流量数据，可高度还原真实场景下的网络运行环境。

4.3评价指标

本研究选取检测效率相关指标作为DDoS攻击检测方案的评判依据。针对检测输出结果，采用准确率、精确率、召回率与F1值四类指标开展综合性分析。上述指标全部由混淆矩阵运算得到，对应的混淆矩阵具体可见表2。

	攻击（预测）	正常（预测）
攻击（真实）	真阳性TP	假阴性FN
正常（真实）	假阳性FP	真阴性TN

F1分数（F1Score）：这一指标同时纳入精确率与召回率两类评价维度作为计算依据，是二者经调和运算得到的平均值，主要作用是衡量模型的综合表现水平，该数值越趋近于1，代表精确率和召回率的匹配度越高，对应模型的整体效果越佳。计算公式如下：

4.4 实验仿真

依托优化后的CNN-BiLSTM网络架构构建的攻击数据生成模型，选取真实采集的数据集完成训练过程，数据集涵盖分布式拒绝服务攻击样本与正常网络流量样本两类。整体数据集中七成被划入训练集，余下部分归入测试集。判别器与生成器都选择全连接网络作为基础结构，DDoS攻击检测模型则将生成的对抗样本和真实攻击样本混合后开展训练，同时对比了模型在采取优化策略前后的检测精度差异。

4.5 消融实验

本次研究选取CNN-BILSTM与本文所提出的两类改进模型共三种方案，分别开展四组对照实验。实验结果整理为表3与图8，通过统计不同方案对应的准确率、精确率、召回率及F1值四项指标，完成不同方法间的横向效能比对。表3呈现了各模型的运行性能数据，其中第四轮迭代过程中准确率达到峰值，最高为99.20%。

参考中间部分的表格数据可知，第四轮迭代所得的结果在全部迭代过程中表现最优，这一轮迭代的准确率、精确率、召回率与F1数值依次为99.20%、95.90%、93.62%和93.41。

于各自侧重的偏移率维度实现最优表现，验证了该模型在多类评价指标与多维度偏移调控层面均拥有出色的整体表现与鲁棒性。

模型	准确率（%）	精确率（%）	召回率（%）	F1值（%）
CNN-BILSTM	97.76	91.58	89.31	89.44
广义熵+CNN-BILSTM	98.50	93.20	91.80	92.00
广义熵+CNN-BILSTM+STN	99.00	94.50	93.50	94.00
广义熵+CNN-BILSTM+STN+SE	99.20	95.90	93.62	93.41

图9呈现了四组不同模型的实际运行性能结果。从该表数据可以看出，第四轮迭代实验的各项评价指标均达到最优水平，仅准确率一项就比基础模型高出8个百分点左右，这一结果充分验证了本次研究提出的组合策略具备突出的综合性能优势。本项研究试图验证，将广义熵、空间变换网络、 squeeze-and-excitation模块融合的混合算法，其实际应用效果要优于仅结合卷积神经网络与双向长短期记忆网络的两类技术方案

4.6 模型对比

针对占比30%的剩余测试集开展验证可知，若同时融合STN与SE模块，网络在遭受DDOS攻击场景下的分类准确率，相较于传统检测模型有更优表现，相关结果可参见图10。

5结论

在当前软件定义网络(SDN)安全态势日趋严峻的背景下，本文提出了一种融合广义熵与优化CNN-BILSTM的DDoS攻击检测方案。第一步借助广义熵数值判定，将网络数据流划分为正常、异常、攻击三类；之后控制器定位到触发异常告警的交换机，采集对应流表数据并提取其中8项流量特征，将其作为优化后CNN-BILSTM模型的输入参数。该模型在池化层引入STN与SE模块，强化了核心特征区域的可辨识度，有效提升了DDoS攻击检测的准确率。实验结果表明，该方法在准确率、精确率与召回率等核心评估指标上均实现了明显提升。

参考文献：

1. [1] Cakmakcl S, Kemmerich T, Ahmed T, et al. Online DDos attack detection using Mahalanobis distance and Kernel-based learning algorithm[J]. Journal of network and computer applications,2020,168:102756.
2. [2] Roska T, Chua L O. The CNN universal machine: an analogic array computer[J]. IEEE transactions on circuits and systems II: Analog and digital signal processing,1993,40(03):163-173.
3. [3] Zhang Y, Liu Y, Guo X, et al. A BiLSTM⁃based DDoS attack detection method for edge computing [J]. Energies,2022,15(21):7882.
4. [4] Alshingiti Z, Alaqel R Al-Muhtadi J, et al. A deep learning-based phishing detection system using CNN, LSTM, and LSTM-CNN[J]. Electronics,2023,12(01):232-245.
5. [5] Pan S Y, Liao Q, Liang Y T. Multivariable sales pre‐diction for filling stations via GA improved BiLSTM[J]. Petroleum science,2022,19(05):2483-2496.
6. [6] Kamaldeep, Malik M, Dutta M. Feature engineering and machine learning framework for DDoS attack detection in the standardized Internet of Things [J]. IEEE Internet of Things journal,2023,10(10):8658⁃8669.
7. [7] De Assis M V O, Carvalho L F, Rodrigues J J P C, et al. Near real⁃time security system applied to SDN environ⁃ments in IoT networks using convolutional neural network[J]. Computers & electrical engineering,2020,86:106738.
8. [8] Zhu Y, Chen Y, Li J, et al. The DDoS attack detection for information systems of high-penetration renewable energy grids based on TCN-BiLSTM[J]. Journal of physics: Conference series,2025,3022(01):012006-012006.
9. [9] 杨飞, 周晗,由志远, 等. LSTM-GAN时空特征融合的DDoS攻击早期预测方法[J]. 邮电设计技术,2025(09):14-19.
10. [10] 贾俊, 王云花. 基于LSTM算法的无线传感网络DDoS攻击抑制方法[J].传感技术学报,2025,38(09):1668-1674.
11. [11] 马立鑫. 基于深度学习的DDoS攻击检测技术研究[D]. 北华航天工业学院,2025.
12. [12] 崔枭飞, 石悦, 杨刚. 基于SDN架构的DDoS异常攻击检测技术分析[J]. 数字通信世界,2025(06):74-76.
13. [13] 安朝阳. 深度学习在DDoS攻击检测中的研究与应用[D]. 西安石油大学,2025.
14. [14] 郑泽霖. 基于集成学习的区块链DDoS攻击检测方法[D]. 天津理工大学,2025.
15. [15] 张思缘, 刘建华,朱子豪, 等. 基于LSTM-SVM的SDN环境DDoS攻击检测[J]. 网络安全技术与应用,2025(03):39-44.
16. [16] 钟宜宏. 基于卷积神经网络的DDoS攻击检测方法研究[J]. 网络安全和信息化,2025(02):52-54.
17. [17] 尹龙润, 张智斌. 基于随机森林与Bi-LSTM的5G网络切片攻击检测模型[J]. 陕西理工大学学报(自然科学版),2024,40(06):46-55.
18. [18] 杨国庆, 李欣雨, 张金莎, 等. SDN下基于CNN-LGBM的DDoS攻击检测研究[J].电脑与电信,2024(12):53-57.
19. [19] 刘振鹏, 贺玉鹏, 王文胜, 等. SDN环境下的DDoS攻击检测方案[J]. 武汉大学学报(理学版),2019,65(02):178-184.