Similar presentations:
SDN_ML_Diploma_Presentation
1.
ТЕМАРазработка системы
обнаружения сетевых атак
в SDN с использованием
методов машинного обучения
OpenFlow · Ryu · Mininet · ML/IDS
Структура диплома, теория, практическая часть, программный
продукт и сценарий защиты — в одной презентации.
Satbayev University · SDN + OpenFlow + ML/IDS
Архитектура
решения
SDN Controller
(Ryu)
Switch 1
Host A
Switch 2
Host B
NORMAL
ATTACK
Централизованное управление + интеллектуальное
обнаружение трафика
Дипломная работа
1
2.
1. Структура дипломаЛогика работы: от теории к модели, затем к программной реализации и защите
01
Введение
02
Глава 1
Теория
03
Глава 2
Практика
04
Глава 3
Программа
Актуальность
Архитектура SDN
Выбор датасета
Структура проекта
Цель и задачи
OpenFlow и
контроллеры
Предобработка
GUI / Streamlit
Объект / предмет
Угрозы
безопасности
ML-алгоритмы
Mininet + Ryu
Методы
исследования
Сравнение IDSподходов
Метрики и
результаты
Сценарий
демонстрации
Satbayev University · SDN + OpenFlow + ML/IDS
Дипломная работа
2
3.
2. Теоретическая часть: SDN иOpenFlow
Ключевая идея SDN — разделение уровня управления и уровня передачи данных
Почему SDN удобен
для защиты
Архитектура SDN
Control
Plane
Контроллер принимает решения и управляет
правилами в сети
OpenFlow: протокол связи controller
switch
Data Plane
Host
↔
Коммутаторы и хосты передают пакеты по
установленным flow-правилам
Switch
Host
1
Централизованное
управление
2
Гибкие правила
3
Видимость трафика
4
Интеграция с ML
одна точка принятия решений
можно быстро обновлять политику
доступа
контроллер видит состояние сети
целиком
решение модели можно сразу
применять к потокам
Control Plane
Satbayev University · SDN + OpenFlow + ML/IDS
Data Plane
OpenFlow
Дипломная работа
3
4.
3. Методы обнаружения атак иДля диплома важно показать,
почему выбран именно ML-подход и в чем его преимущество для
сравнение
подходов
SDN
1
2
Сигнатурный IDS
3
Аномальный IDS
ML / AI-подход
Ищет известные шаблоны
атак
Ищет отклонение от нормы
Учит закономерности по
данным
Высокая точность на
известных кейсах
Может замечать новые
атаки
Лучше масштабируется на
большие логи
Слабо видит новые угрозы
Чаще дает ложные
срабатывания
Требует датасет и настройку
признаков
Подход
Преимущества
Недостатки
Применимость в SDN
Сигнатурный
Точен на известных атаках
Не видит новые шаблоны
Полезен как базовый слой защиты
Аномальный
Ловит отклонения от нормы
Шумит на нестабильном трафике
Подходит для мониторинга поведения
Хорошо работает с большим числом
признаков
Нужны данные и валидация
Наиболее перспективен для
централизованной IDS в SDN
ML/AI
Вывод
Для диплома логично выбрать ML как основной механизм, а сигнатурный и аномальный подходы
использовать как теоретическое сравнение.
Satbayev University · SDN + OpenFlow + ML/IDS
Дипломная работа
4
5.
4. Практическая часть: датасет,предобработка,
эксперимент
Эта логика показывает, как сырые данные превращаются в решение NORMAL / ATTACK
1
2
3
Датасет
Очистка
NSL-KDD или InSDN
удаление шумных и
пустых значений
Преобразова
ние
кодирование и
масштабирование
Выбор датасета
5
Модель
Результат
Random Forest /
XGBoost / custom ML
класс + метрики
качества
Предобработка
Критерий
NSL-KDD
InSDN
Простота запуска
Высокая
Средняя
Реализм SDN
Низкий
Высокий
Да
Да, если есть время
Сильнее для
продвинутой версии
Подходит для старта
Для диплома
4
Удобен как базовый
Satbayev University · SDN + OpenFlow + ML/IDS
удаление пропусков и явных ошибок
кодирование категориальных признаков
нормализация признаков к общему масштабу
разделение на train / test
Дипломная работа
5
6.
5. Собственные объяснимые моделиВместо “черного ящика” можно показать две простые интерпретируемые модели и объяснить их
ML
логику
MODEL A
WeightedPrototypeClassifier
MODEL B
NormalProfileAnomalyDetect
or
Для NORMAL и ATTACK строится “средний прототип”
Модель учится только на нормальном трафике
Для каждого признака считается вес важности
Строит профиль нормы: среднее + разброс
Новый объект сравнивается с обоими прототипами
Для нового объекта считает risk score
Класс выбирается по меньшему взвешенному
расстоянию
Если score выше порога — это аномалия
новы
й
объе
кт
packet_rate
syn_ratio
failed_logins
dst_host_rate
Точка сравнивается с двумя прототипами классов
Порог отделяет норму от аномального
поведения
Satbayev University · SDN + OpenFlow + ML/IDS
Дипломная работа
6
7.
6. Результаты и метрики моделиНиже — пример понятного вывода: цифры, матрица ошибок и интерпретация результата
Сравнение
accuracy
Confusion
matrix
WeightedPrototypeClassifier
WPC
1.0000
NormalProfileAnomalyDetecto
r
Pred N
90
0
True A
0
90
0.9833
Эти значения показывают
качество на тестовой выборке. Их
надо объяснять вместе с confusion
matrix.
Satbayev University · SDN + OpenFlow + ML/IDS
Pred A
True
N
Pred N
NPAD
Важно
Как читать
цифры
Pred A
True
N
87
3
True A
0
90
Accuracy — доля верных ответов
модели
Precision — насколько “атака”
действительно атака
Recall — сколько реальных атак
модель поймала
F1-score — баланс точности и
полноты
Confusion matrix показывает, где
модель ошиблась
Совет для защиты
Говори не только “accuracy
высокая”, а еще “ошибок пропуска
атак мало, это видно по матрице”.
Дипломная работа
7
8.
7. Программный продукт и структурапроекта
Проект лучше показывать как набор модулей: данные, модель, интерфейс и интеграция с SDN
Файловая
структура
1 project/
2 ├── data/
3 │
└── dataset.csv
4 ├── models/
5 │
└── model.pkl
6 ├── src/
7 │
├── preprocess.py
8 │
├── train_model.py
9 │
├── predict.py
10 │
└── custom_models.py
11 ├── app/
12 │
└── gui_app.py
13 ├── sdn/
14 │
└── ryu_controller.py
15 └── main.py
Satbayev University · SDN + OpenFlow + ML/IDS
Логика
модулей
Как выглядит
демонстрация
preprocess.py
готовит
признаки
train_model.p
y
обучает и
сохраняет
predict.py
загружает
модель
gui_app.py
показывает
работу
ryu_controller
.py
реагирует в
SDN
AI Shield Demo
Attack
Train AI
STATUS: ATTACK DETECTED
Network health
интерфейс показывает атаку
после обучения повтор —
блокируется
это удобно для защиты
комиссии
Дипломная работа
8
9.
8. Сценарий демонстрации назащите
Ниже — порядок действий и короткие фразы, которые удобно произносить во время показа
1
1. Запуск
системы
“Сейчас система находится в исходном состоянии и ожидает трафик.”
2
2. Первая
атака
“Так как модель еще не обучена, атака проходит.”
3
3. Обучение
“Система сохраняет характеристики инцидента в модель.”
4
4. Повтор
атаки
“Теперь аналогичная атака распознается и блокируется.”
5
5. Похожая
атака
“Система умеет обобщать и ловить похожее поведение.”
Главная мысль
Показывай не код, а поведение системы: до обучения, после обучения и на
похожем трафике.
Satbayev University · SDN + OpenFlow + ML/IDS
Дипломная работа
9
10.
9. Выводы и что говорить в концеФинальный слайд должен коротко закрывать цель, результат и практическую ценность
Ключевые
выводы
Изучена архитектура SDN и роль протокола OpenFlow
Что можно
улучшить
перейти с учебного датасета на
InSDN
Показано, почему для SDN логично применять ML/IDS
связать модель с реальным CSV и
Ryu
Разработаны две простые объяснимые модели обнаружения
атак
добавить автоматическую
блокировку flow
Подготовлен программный продукт для демонстрации
защиты
сделать web-интерфейс на Streamlit
Получена основа для интеграции с Mininet и контроллером
Ryu
Фраза для
защиты
“Цель работы достигнута: разработан и
продемонстрирован подход к обнаружению сетевых
атак в SDN на основе методов машинного обучения.”
Satbayev University · SDN + OpenFlow + ML/IDS
Практическая
Система может использоваться как
ценность
учебный прототип IDS для
централизованно управляемых
сетей.
Дипломная работа
1
0