365.10K

amir_e_sdn_ml_presentation_with_demos_fixed

1.

SDN желілерінде шабуылдарды анықтау
және қорғау жүйесін әзірлеу
OpenFlow протоколы және Machine Learning әдістері негізінде
Орындаған: Амир Е.
Мамандық: Ақпараттық қауіпсіздік
Формат: дипломдық жұмыс презентациясы
Демо
+
презентация
Алматы, 2026
Satbayev University
Негізгі идея: controller деңгейінде traffic белгілерін талдап, қауіпті flow табылған кезде OpenFlow rule
арқылы жылдам response беру.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML

2.

Өзектілік, мақсат және міндеттер
1 Өзектілік
SDN архитектурасы control
plane және data plane
деңгейлерін бөледі. Бұл
басқаруды жеңілдетеді, бірақ
controller нүктесін аса маңызды
security target етеді.
Желіде DDoS, Port Scan, Brute
Force сияқты шабуылдар real-time
режимде тез көрінуі керек.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
2 Мақсат
OpenFlow және Machine
Learning негізінде желілік
шабуылдарды real-time
режимде анықтап, қорғау
реакциясын іске қосатын жүйе
ұсыну.
Міндеттер
• SDN және OpenFlow логикасын
талдау
• dataset, preprocessing және
model таңдау
• program demo және қорғау
сценарийін құрастыру
3 Практикалық нәтиже
• SDN үшін түсінікті
архитектуралық схема
• ML pipeline және explainable
custom модельдер
• Қорғауда көрсетуге болатын
demo бағдарламалар

3.

S DN арх итект урасы
Логикасы: application layer талап береді, controller шешім қабылдайды, ал switch тек forwarding орындайды.
Application layer
(Network Apps , P olicy, Monitoring)
Control layer
S DN Controller
(R yu / ONOS / OpenDaylight)
Controller
ф ункциял ары
• routing және policy басқару
• switch-терден Packet-In алу
• қажет болғанда F low-Mod rule жіберу
• security decision-ді орталықтан
орындау
Data plane
Open vS witch / phys ical s witch
s1
Амир Е . • Ақпараттық қауіпсіздік • S DN + ML
s2
s3

4.

OpenFlow және Machine Learning байланысы
OpenFlow controller мен switch арасындағы әрекетті стандарттайды; ал ML трафиктің қауіптілігін бағалайды.
1
2
3
4
5
Packet-In
Feature
extraction
ML inference
Controller
decision
Flow-Mod
жаңа немесе күмәнді
flow
rate, bytes, flags, ratio
NORMAL / ATTACK
allow / drop / limit
жаңа rule push
feedback loop: attack анықталса, controller жаңа rule жібереді; кейін ұқсас traffic тезірек block немесе limit
жасалады.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML

5.

Қауіптер және IDS тәсілдерін салыстыру
SDN ортада тек классикалық network attack қана емес, controller деңгейіндегі қауіп те маңызды.
DDoS
Port Scan
көп Packet-In арқылы
controller-ді overload ету
Brute Force
қызметтер мен ашық
порттарды іздеу
auth нүктелеріне
қайталанатын сұраныс
IDS тәсілдерін
салыстыру
Тәсіл
Артықшылық
Шектеу
SDN үшін
Сигнатуралық
белгілі шабуылға дәл
жаңа threat көрмейді
орташа
Аномалиялық
жаңа deviation табады
false positive болуы мүмкін
жақсы
ML
күрделі pattern таниды
dataset пен tuning керек
өте жоғары
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
Controller abuse
орталық басқару нүктесіне
тікелей қауіп

6.

Датасет және data preprocessing
Практикалық бөлім үшін InSDN логикасы алынды, ал explainable demo бөлігі оқу мақсатына арналған жеңіл деректермен көрсетіледі.
InSDN dataset туралы
• SDN ортасында жиналған traffic жазбалары
• кластар: NORMAL, DDoS, PortScan, BruteForce,
Bot, WebAttack
• feature саны көп, сондықтан preprocessing
міндетті
Кластар үлесі (демо)
NORMAL
40%
DDoS
18%
PortScan
14%
BruteForce
12%
Bot/Web
16%
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
Feature мысалдары және
preprocessing
packet rate
byte ratio
SYN ratio
flow duration
failed logins
dst port entropy
missing value және артық бағандарды тазалау
categorical feature болса encoding қолдану
scale / normalize жасау
train-test split арқылы әділ бағалау

7.

Модельдер: базалық және explainable тәсілдер
Жобада бір production-friendly модель және екі түсіндіруге ыңғайлы custom алгоритм қолданылды.
Random Forest
Негізгі baseline модель
ensemble of trees
табуляциялық data-ға тұрақты
feature importance береді
WeightedPrototypeClassifier
NormalProfileAnomalyDetector
Авторлық explainable model
кластардың protototype ортасын
құрады
feature weight арқылы distance
есептейді
NORMAL profile жасайды
ауытқуды risk score арқылы
бағалайды
threshold асса ATTACK деп
белгілейді
Негізгі ой: Random Forest — baseline, ал custom модельдер — қорғауда түсіндіріп көрсетуге ыңғайлы explainable
бөлік.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML

8.

Эксперимент және жүйенің жұмыс істеу схемасы
Толық тізбек offline training және online detection бөліктерінен тұрады.
Demo стенд
Traffic
capture
Preprocessi
ng
Model
inference
Decision
OpenFlow
action
flow stats
scaling +
features
RF / custom
NORMAL or
ATTACK
allow / drop
• Mininet — виртуалды SDN топология
• Ryu controller — rule management
• GUI demo — шабуылды қолмен
көрсету
• Console demo — ML логикасын
түсіндіру
Offline
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
Online
Defense demo

9.

Нәтижелер және бағалау
Төмендегі мәндер демонстрациялық эксперимент логикасын сипаттайды: модель шабуылды ұстап, false alarm санын азайтуы керек.
Accuracy
Precision
Recall
F1-score
0.983
0.978
0.989
0.983
Confusion matrix
идеясы
Түсіндірме
real NORMAL / predicted NORMAL
дұрыс қалыпты traffic
real NORMAL / predicted ATTACK
false positive
real ATTACK / predicted NORMAL
өткізіп алған шабуыл
real ATTACK / predicted ATTACK
дұрыс анықталған
шабуыл
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
• жоғары recall — шабуылды көбірек ұстайды
• precision маңызды, себебі артық alarm көп болмауы
керек
• custom demo-да да метрикадан бөлек explanation
беріледі

10.

Программалық өнім және модульдер
Жүйе модульдік түрде ұйымдастырылды: training бөлігі, detection бөлігі және demo интерфейсі бөлек.
Жоба
құрылымы
project/
data/
dataset.csv
models/
model.pkl
src/
preprocess.py
train_model.py
predict.py
custom_models.py
demo/
main.py
custom_ml_demo_explainable_commented.p
y
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
Модульдер
рөлі
• preprocess.py — feature дайындау және scale
• train_model.py — оқыту және model сақтау
• predict.py — inference бөлігі
• main.py — GUI арқылы attack сценарийін көрсету
• custom_ml_demo_explainable_commented.py — ML логикасын
консольде ашып көрсету
Ескерту
Қорғауда кодты толық оқып бермеймін, тек әр файл не
істейтінін және демонстрациядағы рөлін айтамын.

11.

Демонстрациялық бағдарламалар
Қорғауда мен екі бағдарламаны қысқа көрсетемін: біреуі интерфейс, екіншісі ML логикасын түсіндіру үшін.
custom_ml_demo_explainable_
commented.py
main.py
GUI demo — AI Shield Demo
• Tkinter интерфейсі бар
• DDoS / Port Scan / Brute Force шабуылын қолмен іске
қосады
• бірінші шабуыл өтеді, кейін AI similarity бойынша block
жасайды
Неге керек?
Жүйенің practical behavior-ын тез
көрсету үшін.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
Console demo —
explainable ML
• dataset, feature және mini-графиктерді көрсетеді
• WeightedPrototypeClassifier және
NormalProfileAnomalyDetector бар
• метрикамен бірге explanation шығарады
Неге керек?
ML қалай жұмыс істейтінін жай тілмен
ашып беру үшін.

12.

GUI demo: main.py
Қысқа әңгіме: бұл файл жүйенің сыртқы behavior-ын көрсетуге арналған.
Слайдта айтылатын
қысқа әңгіме
AI SHIELD DEMO
Желі күйі
Internet → AI Shield
→ LAN
Қолмен шабуыл
симуляторы
DDoS / Port Scan / Brute
Force
Қорғаныс қорытындысы
Бірінші unknown attack өтеді → оқыту → қайта
шабуыл block
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
• Бұл программа Tkinter арқылы жасалған GUI
demo.
• SimpleAISentinel жадында бұрынғы шабуыл
векторларын сақтайды.
• Егер similarity threshold-тен жоғары болса,
шабуыл block болады.
• Сондықтан қорғауда мен "алдымен өтеді,
кейін үйреніп тоқтатады" деген сценарийді
көрсетемін.
Не көрсету керек?
бастапқы NORMAL күй
бір шабуылды жіберу
AI-ды оқыту
ұқсас шабуылды block ету

13.

Console demo:
custom_ml_demo_explainable_commented.py
Қысқа әңгіме: бұл файл ML-дің ішкі логикасын түсіндіруге арналған.
Слайдта айтылатын
қысқа әңгіме
1. ОТКУДА БЕРУТСЯ ДАННЫЕ
Это учебный синтетический датасет
Всего записей: 600 | NORMAL: 300 | ATTACK: 300
Признаки:
- packet_rate
- byte_rate
- syn_ratio
- failed_logins
- dst_port_entropy
- flow_duration
...
МОДЕЛЬ: WeightedPrototypeClassifier
Accuracy: 1.0000
МОДЕЛЬ: NormalProfileAnomalyDetector
Accuracy: 0.9833
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
• Бұл программа деректердің қайдан шыққанын
және feature мағынасын көрсетеді.
• WeightedPrototypeClassifier кластар ортасына
қашықтықпен жұмыс істейді.
• NormalProfileAnomalyDetector тек NORMAL
profile құрып, deviation табады.
• Яғни мұнда мен жай ғана accuracy емес,
decision explanation да көрсетемін.
Не көрсету керек?
алғашқы dataset preview
feature mean және mini-график
accuracy / confusion matrix
бір-екі нақты prediction explanation

14.

Демонстрация сценарийі
Қорғау кезінде түсінікті болуы үшін demo қысқа және ретімен көрсетіледі.
1
2
3
4
Слайдтар 1–10
main.py ашу
console demo ашу
Қорытындыға
оралу
Тақырып, архитектура,
dataset, модельдер
бірінші шабуыл → оқыту
→ block
feature, график, метрика,
explanation
нәтиже және practical value
Маңыздысы: demo-ны ұзаққа созбаймын — презентациядан тек керек жерінде файлды ашып, 30–60 секундтық
түсіндірме беремін.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML

15.

Қорытынды
Жұмыстың негізгі
нәтижелері
• SDN және OpenFlow негізінде қорғаныс architecture-сы ұсынылды.
• dataset, preprocessing және ML pipeline логикасы көрсетілді.
• Random Forest baseline және екі explainable custom model аталып өтті.
• main.py GUI demo және console ML demo қорғауда көрсетуге дайын.
• Практикалық құндылық: threat-ті тез байқап, controller арқылы response
логикасын іске қосу.
Рахмет!
Сұрақтарыңыз
болса, жауап
беруге
дайынмын.
Амир Е.
Амир Е. • Ақпараттық қауіпсіздік • SDN + ML
English     Русский Правила