基于決策樹的SDN網絡入侵分類檢測模型

李道全，楊乾乾，魯曉夫

(青島理工大學 信息與控制工程學院，山東 青島 266520)

0 引 言

入侵檢測系統(tǒng)(intrusion detection system，IDS)是一種針對網絡可能出現的各種類型的攻擊進行不斷監(jiān)控，盡最大可能發(fā)現各種網絡攻擊類型，并制定安全策略以確保網絡系統(tǒng)資源的機密性與可靠性的安全機制。入侵檢測系統(tǒng)不同于傳統(tǒng)的防火墻，它是一種旁路監(jiān)控技術，不需要流量經過鏈路，也不需要跨接在其它的鏈路上，就可以很好對網絡攻擊進行檢測。目前，對網絡攻擊檢測的研究主要集中在利用特定的安全機制作為進入網絡的切入點。

軟件定義網絡(software defined networking，SDN)[1]與傳統(tǒng)網絡不同，它將網絡的控制平面與數據平面進行分離，并實現可編程化的集中控制，成為目前比較流行的網絡架構。軟件定義網絡將緊緊耦合在一起的傳統(tǒng)網絡設備架構拆分成應用平面、數據平面、控制平面3個分離的架構，通過一個集中的控制器對網絡中的各種資源合理分配利用。近年來，研究人員將SDN作為一種集中控制網絡的技術來解決一些潛在的安全問題，包括分布式拒絕服務(distributed denial of service，DDoS)的攻擊檢測[2,3]、蠕蟲傳播[4]和僵尸網絡保護[5]。在實際應用中，防御者通過分析源與目的主機之間的網絡流，根據不同的攻擊模式對網絡攻擊的類型進行分類，制定安全高效的防止入侵的策略。

在本文中，我們提出了一種基于決策樹的SDN網絡入侵分類檢測模型。使軟件定義網絡能夠更好檢測和防御各種攻擊，從而使網絡更加穩(wěn)定。

1 相關研究

在SDN環(huán)境中，通常對數據包的標頭及其內容進行徹底檢查來防止攻擊，若發(fā)現網絡異常，可以快速做出反應，還有通過熵值來判斷是否遭受攻擊。與這些方法相比，基于機器學習的檢測方法檢測成功率相對較高，錯誤分辨率相對更低，因此被廣泛應用在攻擊檢測方面，選擇一個好的機器學習的算法可以進一步提高檢測效率。例如，文獻[6]的作者就針對異常流量的分類與檢測提出了新方法。該方法采用支持向量機(SVM)多分類器，首先利用信息熵理論分析網絡屬性，再使用改進的SVM多分類器將異常流量剝離。實驗結果也驗證了此方案的優(yōu)越性。文獻[7]中的作者則提出了基于卷積神經網絡(CNN)的攻擊檢測模型,該模型把SDN特有的攻擊樣本形成流表數據集，可以同時檢測SDN特有攻擊及傳統(tǒng)網絡攻擊。實驗結果表明，所提出的入侵檢測模型能有效地防御網絡攻擊，并且提出的概率加強學習的方法達到了99.34%的準確率。馬琳等[8]提出了一種基于SDN的網絡入侵檢測模型，并針對需要分類的入侵流具有多特征、數據不平衡等特點，提出了一種改進的隨機森林算法，使用KDD CUP99數據集進行性能仿真和對比分析，結果顯示改進的隨機森林算法在檢測精度、代價等指標上都明顯得到了提升。Santos da Silva A等[9]結合了信息理論計算流表熵的偏差以及一系列機器學習算法來對異常流量進行分類，提出了重量級算法與輕量級算法相互結合的一個異常數據檢測的框架，通過一定的方式處理每個采集到的流量的輪廓。文獻[10]提出了一種基于C4.5決策樹的DDoS攻擊檢測方法，其中網絡屬性作為數據集進行了預處理，并通過實驗將所提方法與其它機器學習檢測算法進行比較。實驗結果表明，該方法有更高的檢測成功率，且檢測時間相對也比較少。文獻[11]則在入侵檢測系統(tǒng)中引入了云模型，將原本連續(xù)的數據集離散化，再在決策樹算法中引入遺傳算法，以達到更好的檢測性能。王挺等[12]提出了一種用于T/R元器件SRU級故障診斷的多級SVM算法，文章從理論層面對接收通道進行分析，在此基礎上建立故障數據庫，利用數據庫中的數據對多類SVM進行訓練和預測，獲得了90%以上的準確率。可以看出，決策樹算法用于多類學習的效果較好，且相關文獻相對較少。因此，利用決策樹算法進行多類學習具有廣闊的研究前景。

2 SDN網絡入侵分類檢測模型

本文采用了一個SDN網絡入侵分類檢測模型[13]，通過北向接口與控制器進行通信，以進行異常攻擊的檢測。該框架主要可以分為基礎設施層、控制層和應用分類層，在應用層主要包括各種服務和應用，如入侵檢測系統(tǒng)。控制器是整個控制層中最重要的部分，SDN為控制平面和數據平面提供可以編程開放的互連接口，對底層設備進行集中控制，并通過北向接口與應用程序層進行通信。數據平面主包括路由器、交換機等網絡傳輸設備，它們根據控制器發(fā)布的指導命令和流表信息完成下一步動作(丟棄或轉發(fā))，并且通過南向接口向控制器發(fā)送網絡拓撲信息。具體如圖1所示。

圖1 SDN網絡入侵檢測模型

在基礎設施層，OpenFlow交換機中包含多個流表，它通過OpenFlow協議與控制器進行通信。而控制器通過OpenFlow協議可靠地與交換機等轉發(fā)設備進行通信,實現交換機等轉發(fā)單元流表的更新與刪除。其中，每個OpenFlow交換機都由一個流表和一個組表，或多個流表和一個組表組成，OpenFlow交換機將數據包與一個或者多個用戶自定義的流表內容進行匹配。一個流表中含有一組流條目，報文根據流表項的匹配優(yōu)先級進行匹配。首先從Table0開始匹配，然后接著匹配管道的其它流表。數據包將首先從表0開始，并根據優(yōu)先級檢查那些條目，最高優(yōu)先級將首先匹配(例如200，然后100，然后1)。如果流需要繼續(xù)到另一個表，根據goto指令，把數據包轉到goto指令指定的表中，如果我們轉到的表中有與之匹配的流條目，那么就執(zhí)行與這個流條目內容相關的命令。如果沒有發(fā)現與之相匹配的流條目，那么就要觀察Table-miss流條目的配置，Table-miss流條目是表中的最后一個條目，優(yōu)先級為0，并且匹配任何內容。計數器主要用于與流條目匹配的數據包的計數，并以此指示接收到匹配數據后下一步要做什么。另外，控制器也可以通過下發(fā)報文來阻止入侵行為，并且對采集到的數據進行分析，從而要求交換機周期性的上報流量信息。在應用層，網絡管理員通過在入侵檢測框架中設置相關的參數或者部署相關分類檢測算法，自動的對網絡入侵類型進行分類和相關處理。同時，管理員會及時響應網絡的變化，并及時處理各種網絡攻擊以及對攻擊類型的錯誤判別。在分類層有3個主要模塊，分別是定期對處理后的流量數據進行統(tǒng)計的模塊，對流表中重要的特征進行提取的模塊，以及部署機器學習算法進行分類檢測的模塊。進行流量統(tǒng)計的模塊定期通過北向接口與控制器進行通信來獲取流量數據，對獲取的數據進行處理之后，將處理后的數據發(fā)送到用于提取特征的模塊，該模塊會提取這些數據中一些重要的數字特征，并根據設置的方法獲取參數。這些參數最后被發(fā)送到分類檢測模塊。分類檢測模塊部署機器學習等異常檢測方法，包括KNN、決策樹和樸素貝葉斯等機器學習算法。這個模塊主要根據用戶選擇的機器學習算法獲取對數據集進行分類的分類規(guī)則，并準備進行下一次數據分類。

3 基于決策樹的SDN網絡入侵分類檢測算法

決策樹是一種二叉樹。它通過使用自頂向下的遞歸方法從根節(jié)點開始劃分，通過比較樣本的屬性，選擇一個最優(yōu)的屬性值作為根節(jié)點，然后依次來確定內部節(jié)點的分支，以新節(jié)點為根重復上述操作，直到不再進行屬性劃分。決策樹只遵循一條規(guī)則，換句話說，決策樹屬于單個輸出。也就是說，從根節(jié)點開始，只能到達一個葉節(jié)點。因此，決策樹可以用于數據分類和預測。

3.1 數據集優(yōu)化

本文將KDD CUP99數據集[14]用作網絡入侵攻擊檢測的數據集。作為應用最為廣泛的異常檢測方法評價數據集，整個KDD CUP99數據集分為有標記訓練數據和沒有標記測試數據，由大約490萬個單個連接向量組成。數據集中的每個向量都含有38個數值特征和3個非數值特征。KDD CUP99數據集大致可分為4種異常類型，即：DOS、R2L、U2R和PROBE。與文獻[14]相似，本文使用KDD CUP99中的kddcup.data_10_percent_corrected訓練數據集。數據集結構見表1。

由于3個非數值特征的存在，在進行聚類測試時，需要將非數值特征需要轉化為數值特征。轉化過程參考文獻[14]。其次，當不同的特征放在一起時，由于特征本身的表達，絕對值的小數據會被大數據“吃掉”。在這種情況下，此時我們需要做的是對提取的特征向量進行歸一化處理，進行處理后，將每個值都歸一化到[0,1]范圍內，以保證每個特征都被分類器同等對待。

歸一化之后的數據集仍然有很多特征屬性，這些特征屬性對實驗結果的影響很小，并且在大數據集上進行復雜

表1 kddcup.data_10_percent_corrected數據集

的分析需要很長的時間，嚴重影響實驗的執(zhí)行效率。因此，這里采用主成分分析(PCA)來優(yōu)化數據集，使用數據降維可生成較小的新數據集，但其數據的完整性不會改變。處理后的數據，分析和挖掘效率都將大大提高。具體的處理如下，首先計算數據集的協方差、特征值和特征向量。對特征值從大到小的順序進行調整，把前n個特征向量進行存儲，最后使用這n個向量構建新的空間。這里特征向量的個數就是數據集的維數。數據集降維后，不僅減少了數據集自身的冗余，降低了無效、錯誤的數據對實驗的影響，提高了實驗的準確性，又大幅提高了實驗的運行速度，且降低了存儲數據的成本[15]，進一步優(yōu)化了實驗效率。

3.2 確定分類順序

決策樹是一種二叉樹結構。上層節(jié)點離根節(jié)點越近，分類性能越好，整個樹的分類精度越高，因此，在分類預測的過程中，最好盡量減少上層節(jié)點的分類誤差。在本文的分類檢測模型中，對于訓練集中分類精度最好的放在離根節(jié)點近的位置，先分離出來。然后選擇一個分類性能次優(yōu)的分離，以此類推，直到所有的類別都分離出來，保證可能出現的分類錯誤離根節(jié)點盡可能遠，從而保證了決策樹對網絡入侵分類的性能。此次使用的網絡入侵數據集分為5類，1類為正常(NORMAL)，4類為異常(PROBE,DOS,U2R,R2L)。

本文選擇使用類間距離來確定各種類型的分類順序。類間距離是指不同類之間的距離，包括最遠、最近、中心和重心等4種距離。由于本文使用了大量數據集，因此本文選擇通過計算每個類別的中心距離，可以輕松地將每個類別分開。通過計算類中心所有數據點的平均值來獲得類中心。其中，每個類別的類別中心定義如下：假設一個類別中有N(N=1,2,3，…，n) 個樣本，每個樣本具有i(i=1,2,3…，n) 特征，xi代表樣本特征中的第i個樣本，樣本中第i個特征的平均值樣本Axi為

(1)

其中，xij表示第j個樣本中第i個特征的值，根據式(1)，計算出該類中每個特征的所有樣本的平均值，則該類的類中心樣本為： (Ax1，Ax2，Ax3，…，Axn)。

確定類中心之后，計算類之間的類間距離。在本文中，訓練集分為兩個類別：一個類別和其它類別。也就是說，以上5個類別分為NORMAL和 {PROBE，DOS，U2R，R2L}， PROBE和 {NORMAL，DOS，U2R，R2L}， DOS和 {NORMAL，PROBE，U2R，R2L}， U2R和 {NORMAL，PROBE，DOS，R2L}， R2L和 {NORMAL，PROBE，DOS，U2R} 這5個類別，然后分別計算NORMAL，PROBE，DOS，U2R，R2L與其它類別之間的類中心距離Di(i=NORMAL，PROBE，DOS，U2R，R2L)， 在本文中選擇歐氏距離計算各類別之間的類間中心距離。歐氏距離可以計算多維空間兩點之間的實際距離，同時，也可以計算在二維以及三維空間兩點之間的實際距離，在數學中，歐幾里得空間中兩點之間的歐幾里得距離是兩點之間的線段長度。可以使用勾股定理從這些點的笛卡爾坐標中計算出來，因此有時稱為勾股距離。n維空間中的歐氏距離公式為

(2)

本文使用式(2)計算5個類別與其它類別之間的距離DNORMAL、DPROBE、DDOS、DU2R和DR2L。 當Di較大時，類別的分離效果更好，應該考慮優(yōu)先分離。

3.3 基于決策樹的SDN網絡入侵分類檢測算法

本文使用基于類間距離的決策樹SDN入侵檢測算法來解決網絡入侵的多分類問題。基于決策樹的SDN網絡入侵分類檢測的算法流程如圖2所示，具體步驟如下。

步驟1 對原始KDD 99數據集進行數據處理，把數據集中的5種數據類型用數字替換，即將NORMAL，PROBE，DOS，U2R，R2L用數字1、2、3、4和5替代，并且把數字化的數據進行歸一化處理，使其每個值都在[0,1]之間。最后，為了方便提取數據的主要特征，使用主成分分析(PCA)，計算原數據特征值以及特征向量，通過將特征值從大到小排序，保留前6個特征向量，即對數據執(zhí)行數據降維操作。

步驟2 將一個類型的樣例用作正例，將所有其它類型的樣例用作反例，即分為NORMAL和 {PROBE，DOS，U2R，R2L}， PROBE和 {NORMAL，DOS，U2R，R2L}， DOS和 {NORMAL，PROBE，U2R，R2L}， U2R和 {NORMAL，PROBE，DOS，R2L}， R2L和 {NORMAL，PROBE，DOS，U2R} 這5個類別，來訓練這5個分類器，一共拆分成5個二分類任務。

步驟3 計算各類樣本數據的類間距離。比較類間距離，按從大到小的降序(S1，S2，S3，S4，S5)對其進行排序，并且將它們分離。然后創(chuàng)建一個根節(jié)點，確定第一優(yōu)先級分離類別C1，將訓練集結果分為屬于該類別(C1)和不屬于該類別(非C1)的兩個類別。

步驟4 設置Gini系數閾值，在步驟3的基礎上根據以下順序建立一個CART決策樹：①對于目前節(jié)點的樣本數據集M，在樣本的數量小于臨界值或者沒有特征的情況下，目前這個節(jié)點不執(zhí)行遞歸操作，而是返回到決策子樹。②計算樣本數據集M的Gini系數。比較Gini系數與臨界值，若結果顯示計算出的Gini系數小于臨界值，仍然不執(zhí)行遞歸操作，返回到決策子樹。③接著計算各個特征對應的特征值對于數據集M的Gini系數。④在計算出來的各個特征對應的特征值對于數據集M的Gini系數中，選擇最優(yōu)的特征以及相應的最優(yōu)的特征值，將樣本數據集劃分成M1和M2兩部分，讓M1為當前節(jié)點的左節(jié)點，M2為當前節(jié)點的右節(jié)點。⑤然后在依次形成的左右節(jié)點上遞歸調用步驟①～步驟④，形成CART決策樹。

步驟5 訓練完成后，輸出預測結果作為C1類樣本，刪除C1樣本訓練集；根據第二優(yōu)先級分離類別C2將剩余的訓練數據集分為兩個類別，分別屬于該類別(C2)和不屬于該類別(非C2)，并繼續(xù)構建用于訓練劃分的決策樹。

步驟6 重復步驟3和步驟4的訓練和刪除操作，直到Ci(i=1,2,3,4,5) 中只有一個類別，輸出兩個最終分類預測結果。

4 結果分析

本節(jié)在SDN環(huán)境下，對數據集494 021條連接記錄(樣本)進行預處理后，進行主成分分析(PCA)特征降維操作。考慮到要對數據集信息量盡可能保留，我們將原始的41維數據降為6維數據。首先計算NORMAL、PROBE、DOS、U2R、R2L和其它5個類別之間的距離，并確定每個類別的分離順序，然后使用文本提出的基于決策樹的SDN網絡入侵分類檢測算法，并與傳統(tǒng)的迭代決策樹方法比較分類檢測的準確性。通過比較兩種算法的檢測精度，驗證該算法在SDN網絡入侵檢測中的優(yōu)越性。下面從分離順序和檢測性能兩方面來分析。

4.1 類分離序列分析

對預處理后的494 021個樣本按照提出的方法計算類間距離。具體計算結果見表2。

表2 各類之間的距離

考慮類間距離的內容，結合表2中的數據可以看出，NORMAL的類間距離為1.5663，明顯大于其它類。因此，NORMAL類的分離性最好，應優(yōu)先分離類，并將其放在離根節(jié)點最近的位置。在余下的4個類別中，DOS類與其它3類的類間距離最小，說明DOS類的分離性最差。如果把它安排在離根節(jié)點近的節(jié)點上，會產生更多的分類錯誤并導致多分類決策樹的準確率下降，對整個分類過程的影響最大，應該最后時分離。其它3種類別的類間距離幾乎相同，都在1.25～1.27之間。因此，構建的決策樹優(yōu)先級分離序列為：NORMAL，PROBE，U2R，R2L，DOS，如圖3所示。

圖3 分離序列結構

NORMAL類別被放置離根節(jié)點最近的位置上用于分離，R2L和DOS類別被放置在末尾用于分離。這樣構造的決策樹的分離順序可以確保在整個分類過程中，錯誤類別越多，離根節(jié)點越遠，從而將對整體分類性能的影響降到最低，進一步保證多類決策樹分類的性能。

4.2 多類決策樹檢測性能分析

為了進一步比較決策樹的分類檢測性能，同樣采用KDD CUP99數據集，本文選取分離順序的逆序 (DOS,R2L,U2R,PORBE,NORMAL) 和傳統(tǒng)的迭代決策樹方法(即不采用類間距離來分離樣本)進行了6次實驗，我們取數據集和測試集分別為100 000和45 000，具體的實驗結果見表3。

表3 檢測精度比較

這3種方法都取相同的訓練數據和測試數據，分別為100 000的訓練樣本和45 000的測試樣本。由表3可以看出，與傳統(tǒng)的決策樹迭代方法相比，本文方法的平均檢測錯誤數目明顯減少。此外，與本文方法的對照組(逆序)相比，檢測的平均數目也有所減少，平均減少8個檢測誤差。如果將其擴展到數百萬甚至數千萬的現代網絡數據中，該方法具有更好的檢測性能。

下面我們從檢測成功率、誤報率、測試集測試時間3個方面具體分析3種方法的性能。觀察它們隨著訓練樣本數量的增加，檢測率、誤報率、測試時間這3個方面具體的變化。

圖4給出了在同樣的實驗環(huán)境下，本文方法、逆序方法和傳統(tǒng)決策樹迭代方法的分類結果隨著實驗數據的不斷增加的變化趨勢。本文方法、逆序方法以及傳統(tǒng)迭代方法隨著樣本數量的不斷增多，它們的性能都有顯著的提升，并且本文方法的檢測成功率一直優(yōu)于對照組。即使在樣本數較少的情況下，本文提出的基于類間間距分離的方法也能使檢測成功率維持在較高水平。并且隨著樣本數量的增加，3種算法的性能逐漸趨于一致。由此我們可得出，基于決策樹的SDN入侵檢測算法建模更加適合網絡入侵的檢測。

圖4 檢測成功率比較

圖5顯示了這3種方法的誤報率變化。在相同的SDN環(huán)境下，本文方法、逆序方法和傳統(tǒng)迭代方法的誤報率都在隨著樣本數量的增加而增加。本文方法與兩個對照方法的誤報率比較接近，大都處于較低的水平。總體來看，隨著樣本數量的增加，基于決策樹的入侵檢測算法的誤報率一直處于最低的水平。

圖5 誤報率比較

圖6顯示了這3種方法的測試集檢測時間變化的曲線。在相同的SDN環(huán)境下，本文方法、逆序方法和傳統(tǒng)迭代決策樹方法隨著樣本數量的增加測試集的測試時間都有不同程度的增加。此外，兩組對照方法的曲線斜率明顯高于本文方法，在樣本數量較多時，對照組方法的檢測時間也上升的更快。也就是說，本文提出的方法不是很復雜，一般而言，基于決策樹的SDN入侵檢測算法的時間較少，檢測性能較好。在后續(xù)研究中，可通過優(yōu)化決策樹的剪枝算法來簡化模型，并減少時間開銷。

圖6 測試時間比較

5 結束語

本文介紹了根據類間距離確定分離順序的網絡入侵檢測模型。此模型利用歐式距離計算每個類別和其它類的類中心距離，并構建決策樹。類間距離越大，離根節(jié)點越近，則應該優(yōu)先被分離。實驗結果表明，利用本文提出的決策樹分類檢測模型，決策樹可以擴展到多類預測，并具有較好的預測性能。同時，決策樹算法對新鮮樣本的適應能力較弱，即泛化能力較弱，容易發(fā)生過擬合現象。一般情況下，可以通過修剪來簡化模型，或者以最少的節(jié)點數設置樣本數，來限制決策樹的深度。在后續(xù)工作中，我們將從多維度提高決策樹多類檢測算法的性能入手，提高算法的穩(wěn)定性和運行效率。