SDN中基于條件熵和決策樹的DDoS攻擊檢測方法

摘要：軟件定義網絡（software defined network，SDN）作為一種新型網絡架構，其轉控分離及集中控制的架構思想為網絡帶來了顯著的靈活性，同時為感知全局網絡狀態提供了便利。分布式拒絕服務攻擊（distributed denial of service，DDoS）是一種典型的網絡攻擊方式。針對SDN網絡中進行DDoS攻擊檢測的問題，提出了一種基于條件熵和決策樹的DDoS攻擊檢測方法，利用條件熵判斷當前網絡狀態，通過分析SDN中DDoS攻擊特點，提取用于流量檢測的6項重要特征，使用C4.5決策樹算法進行網絡流量分類，實現對SDN中的DDoS攻擊的檢測。實驗表明，相比于其它研究方法，文中提出的方法不僅具有較高檢測精確率和召回率，而且明顯縮短了檢測時間。

關鍵詞：軟件定義網絡；分布式拒絕服務攻擊；條件熵；C4.5決策樹

中圖分類號：TP393 """""""""文獻標志碼：A """""文章編號：1000-582X（2023）07-001-08

A DDoS attack detection method based on conditional entropy and decision tree in SDN

FU You，"ZOU Dongsheng

（College of Computer Science， Chongqing University， Chongqing 400044， P. R. China）

Abstract："Software defined network （SDN）， as a novel network architecture， introduces significant flexibility through the ideas including separation between forwarding and controlling and centralized control. It also facilitates the global awareness of the network status. Distributed denial of service （DDoS） is a typical attack method. This paper focuses on the problem DDoS attack detection in SDN and proposes a DDoS attack detection method based on conditional entropy and decision tree. The proposed method used conditional entropy to evaluate the current network status. It analyzed the characteristics of DDoS attacks in SDN and extracted six key features for traffic detection. The C4.5 decision tree algorithm was utilized to classify network traffic and achieved DDoS attack detection in SDN. Experimental results show that the method presented in this paper exhibits superior detection precision and recall to other research methods. Additionally， it can significantly reduce the detection time.

Keywords："software defined network; distributed denial of service; conditional entropy; C4.5 decision tree

SDN^[1]作為一種新型網絡架構，利用轉發與控制分離以及集中控制的思想有效解決了傳統網絡架構下系統封閉、配置繁瑣、演化拓展困難等問題。SDN控制器一般通過OpenFlow協議^[2]下發流量轉發規則至交換機，可獲取交換機流表信息，因此，SDN控制器可感知全局網絡狀態，判斷SDN網絡中發生DDoS攻擊的可能性。DDoS^[3]是當前互聯網面臨的主要安全威脅之一，也是SDN中典型的安全問題。DDoS攻擊消耗大量被攻擊服務器、數據鏈路或網絡設備等資源，使其無法提供正常網絡服務。SDN網絡中面臨的DDoS攻擊除傳統攻擊方式外，還存在針對SDN架構特定的DDoS攻擊方式，包括數據層DDoS攻擊^[4]和控制層DDoS攻擊^[5?6]。

目前，SDN網絡中DDoS攻擊檢測主要基于統計分析和機器學習方法。統計分析方法中信息熵、信息距離及相關系數等概念用于計算流量序列的隨機性及序列之間的相關程度，配合閾值分析檢測當前網絡流量。Tao等^[7]提出基于香農熵和Sibson距離^[8]的兩步式DDoS檢測方法，該方法能夠有效檢測和區分DDoS攻擊和閃擁事件。Bhatia等^[9]提出一套基于廣義熵和廣義信息距離的信息熵（φ-熵）和信息散度（φ-距離）。在此基礎上，Behal等^[10]提出運用φ-熵和φ-距離檢測DDoS攻擊和閃擁事件，該方法具有更優的數據敏感性和算法收斂速度。在基于統計分析的檢測方法中，通過分析流量的統計信息并結合閾值判斷DDoS攻擊行為。研究表明，該類方法通常具有較低的檢測時間，但難以保證檢測準確率。

機器學習方法對數據具有更強的表征能力，通過機器學習算法構建流量分類或聚類模型實現DDoS攻擊檢測。Santos等^[11]詳細討論了在SDN網絡中各類機器學習算法的DDoS檢測能力。Braga等^[12]利用SDN控制器集中管控的特點，提出基于六項特征的自組織神經網絡（self-organizing maps ， SOM）算法，但由于SOM網絡神經元的排列方式較為固定，對檢測實時性造成了影響。Yang等^[13]提出利用支持向量機（support vector machine ， SVM）對網絡流量進行分類，并通過設定的八項特征進行DDoS攻擊檢測。實驗表明，該檢測方法具有較高準確率，由于SVM中復雜矩陣運算，同樣帶來較高的時間開銷。Liu等^[14]提出基于熵和BP神經網絡的DDoS檢測方法，通過邊緣交換機上的熵值檢測算法進行預檢測，控制器提取六項特征作為神經網絡的輸入，利用粒子群算法優化BP神經網絡的參數，最后進行DDoS攻擊檢測。在基于機器學習的檢測方法中，通過分析DDoS攻擊特點，提取相應流量特征并結合機器學習算法進行DDoS檢測。在流量特征合適的情況下，該類方法能夠保證較高的檢測準確率，但復雜的算法也帶來較高的時間開銷。文中提出一種SDN網絡中基于條件熵和決策樹的DDoS檢測方法。利用條件熵分析判斷當前網絡狀態，提取DDoS攻擊特征，使用決策樹分類模型實現DDoS攻擊檢測。

1 背景介紹

1.1 條件熵

（2）

條件熵表示在已知隨機變量下，另一隨機變量的不確定性。當DDoS攻擊發生時，攻擊流量中源IP地址和目的IP地址會存在明顯多對一的映射關系，源IP地址關于目的IP地址的條件熵會發生明顯變化。因此，條件熵變化可用于分析發生DDoS攻擊的可能性。

1.2 C4.5決策樹

C4.5是機器學習和數據挖掘中經典的分類算法。對于給定數據集，C4.5學習過程即是通過信息增益率構建決策樹的過程。信息增益率表示為

（3）

C4.5作為簡單輕量的機器學習分類算法，能夠生成易于解釋的分類規則并且保證較高的分類準確率。利用C4.5構建用于流量檢測的決策樹分類模型，決策樹葉子節點即為相應的流量類別，實現了在SDN網絡中DDoS流量檢測。

2 基于條件熵和決策樹的檢測方法

針對SDN網絡中DDoS攻擊檢測，筆者提出基于條件熵和決策樹的DDoS檢測方法，主要包括3部分：

1）網絡監控：控制器通過收集和分析Packet-in報文，監控當前網絡狀態，判斷數據平面中發生DDoS攻擊的可能性；

2）特征計算：通過分析SDN網絡中DDoS流量及正常流量典型特點，提取用于機器學習算法的6項重要特征；

3）流量檢測：利用C4.5流量分類模型，實現DDoS攻擊流量檢測。

2.1 網絡監控

DDoS攻擊通常會偽造網絡數據包，導致控制器會在短時間內接收大量Packet-in報文。并且DDoS攻擊具有分布式的特點，當攻擊行為發生時，針對被攻擊目標源IP地址的條件熵值會顯著增加。因此，Packet-in報文速率及條件熵均可作為DDoS攻擊檢測的依據。

式中：為報文速率閾值；為條件熵閾值。

上述2項指標的有效性以及閾值的確定方法，將在后續實驗部分詳細討論。

2.2 特征計算

上述階段結束后，控制器通過發送Flow-status-request消息至可能遭受攻擊的交換機，收集交換機內流表項信息。結論不能作為判斷DDoS攻擊發生的準確依據，需要利用機器學習方法進一步鑒別區分DDoS攻擊流量。雖然，DDoS攻擊者可能采用多種攻擊手段發起不同類型的網絡攻擊，但攻擊流量依然存在相似的特征。在文獻[12，14]討論的攻擊流量特征的基礎上，針對SDN網絡架構特點，提出如下6項重要特征。

1） 流平均包數（average packets per flow，APF）：與正常流量不同的是，典型的DDoS攻擊往往采用短流攻擊方式，導致APF明顯下降。文中計算APF的方式為：根據目的IP進行流表項聚合，再計算流包數的中位數作為特征值APF。APF定義為

2） 流平均字節數（average bytes per flow，ABF）：攻擊者通常為提高DDoS攻擊效率選擇較小字節數的數據包。選擇流字節數的中位數作為特征值ABF，ABF定義為

3） 流平均持續時間（average duration of per flow，ADF）：攻擊者隨機生成DDoS攻擊數據包，大多數流表項規則生成后將被閑置，從而觸發流表項硬超時規則。而正常的流表項一般持續時間會更長。ADF定義為

4） 流表項增長速率（rate of flow entries，RFE）：當DDoS攻擊發生時，大量訪問數據包發送至目標主機，導致網絡中交換機的流請求顯著增加，流表項增長率明顯高于正常網絡訪問。RFE定義為

5） 對流比例"（percentage of pair flow，PPF）：由于DDoS攻擊具有偽造源地址的特點，當攻擊發生時，網絡中單向流量數量會顯著增加，導致對稱流量比例明顯下降。PPF定義為

（11）

（12）

式中：為源IP地址；為超參數。

2.3 流量檢測

特征計算階段提取了用于區分DDoS流量及正常流量的6項重要特征。考慮到DDoS檢測對于實時性的要求，文中選擇輕量級的C4.5決策樹算法。在C4.5進行流量檢測之前，需要收集訓練樣本進行決策樹的迭代訓練，用于構建流量分類模型，最終檢測算法的輸出對應DDoS攻擊流量或正常流量。

3 實驗結果與數據分析

3.1 實驗環境

在Ubuntu環境下使用Mininet進行SDN網絡仿真，SDN控制器及交換機分別選擇Ryu控制器及OpenVSwitch交換機。實驗網絡拓撲如圖1所示。其中，S3交換機所連接主機Attacker1至Attacker5模擬發送DDoS攻擊流量，攻擊目標為位于S1交換機的主機H1和位于S2交換機的主機H6。

3.2 實驗數據集

通過TFN2K工具生成DDoS攻擊流量，DDoS攻擊類型包括TCP_SYN Flood、UDP Flood和ICMP Flood。利用林肯實驗室提供的真實入侵檢測數據集LLS_DDOS_2.0.2中合法流量作為實驗正常流量，正常流量中包含85%的TCP流量，10%的UDP流量，5%的ICMP流量^[15]。實驗的訓練階段使用10 000條流量樣本確定實驗閾值并構建用于流量分類的C4.5模型，測試階段使用3 000條樣本進行實驗方法評估。

3.3 實驗結果分析

3.3.1 閾值選擇

實驗中，Packet-in報文采樣周期為5 s，在20～35 s期間發起DDoS攻擊，Packet-in報文速率及條件熵變化情況如圖2～圖3所示。

圖2和圖3分別表示Packet-in報文速率及條件熵值隨時間的變化曲線。可以看到，在20～35 s這段時間中，由于發生DDoS攻擊，導致Packet-in報文速率及條件熵值顯著上升，DDoS的強度越大，所達到的峰值越大。

當DDoS攻擊行為發生時，Packet-in報文速率及條件熵相比于正常網絡訪問時已具有顯著的差異性。閾值選擇如表1和表2所示，正常網絡流量中Packet-in報文速率最大值為70 flows/s，條件熵為1.51。為降低誤判率，筆者選擇75 flows/s作為Packet-in報文速率閾值及1.6作為條件熵閾值。

3.3.2 性能比較

為驗證基于C4.5檢測方法的有效性，使用相同實驗數據集，在3種不同攻擊強度的流量環境中分別與文獻[14]中基于PSO-BP的檢測方法、文獻[12]中基于SOM的檢測方法以及文獻[16]中基于GHSOM的檢測方法進行對比。評價指標包括：精確率（precision）、召回率（recall） 和檢測時間（time）。其中，Precision、Recall指標定義為

， （13）

， （14）

式中：表示攻擊數據包中被正確預測的數據包數量；表示正常數據包中被錯誤預測的數據包數量；表示攻擊數據包中被錯誤預測的數據包數量。精確率和召回率是二分類模型中重要的評價指標，相比于準確率，精確率和召回率更有效地應用于樣本不平衡的分類場景。

圖4表示在相同場景下，隨著攻擊強度提高，4種檢測方法Precision的比較結果。整體來看，4種檢測方法精確率差異較小，隨著攻擊強度提高，對精確率都存在一定的影響。攻擊強度R=0.2時，基于C4.5檢測方法的精確率為0.985，略低于基于PSO-BP、SOM及GHSOM的檢測方法。但當攻擊強度提高至0.6時，檢測方法精確率為0.974，與基于GHSOM的檢測方法相等，高于另外2種檢測方法。

實驗結果中Recall對比結果如圖5所示，4種檢測方法召回率都隨著攻擊強度提高小幅度下降，但基于C4.5檢測方法召回率始終高于另外3種檢測方法。在3種不同攻擊強度的實驗環境下，文中檢測方法召回率均值為0.913，基于PSO-BP、SOM及GHSOM的檢測方法召回率均值分別為0.908、0.903及0.909。

表3表示4種檢測方法的檢測時間對比結果。文中檢測方法具有明顯優勢，在3種不同攻擊強度的實驗環境下，檢測時間均值為6.83 s，而基于PSO-BP、SOM及GHSOM檢測方法的檢測時間均值分別為14.7 s、11.22 s及13.18 s。這是由于C4.5決策樹模型在構建時僅使用概率分布信息，相比于另外的3種檢測方法，計算復雜度較低。

4 結束語

傳統的基于統計和機器學習方法在解決SDN網絡中DDoS檢測時存在精確率低、檢測時間長等缺陷，文中提出基于條件熵和決策樹的檢測方法，在利用條件熵進行預檢測的基礎上，通過分析SDN網絡中流量特征并構建決策樹分類模型實現DDoS攻擊檢測。為驗證方法有效性，通過仿真實驗，在真實數據集下，對比了基于PSO-BP的檢測方法、基于SOM的檢測方法及基于GHSOM的檢測方法，結果表明，文中檢測方法具有較高精確率和召回率，明顯縮短了檢測時間。

在后續工作中，將嘗試把檢測方法運用在真實復雜的SDN網絡環境中，繼續優化檢測方法的復雜度，進一步降低控制器負載。

參考文獻

［1］""Sezer S， Scott-Hayward S， Chouhan P K， et al. Are we ready for SDN？ Implementation challenges for software-defined networks[J]. IEEE Communications Magazine， 2013， 51（7）： 36-43.

［2］""McKeown N， Anderson T， Balakrishnan H， et al. OpenFlow[J]. ACM SIGCOMM Computer Communication Review， 2008， 38（2）： 69-74.

［3］""Yan Q， Yu F R， Gong Q X， et al. Software-defined networking （SDN） and distributed denial of service （DDoS） attacks in cloud computing environments： a survey， some research issues， and challenges[J]. IEEE Communications Surveys amp; Tutorials， 2016， 18（1）： 602-622.

［4］""Dhawan M， Poddar R， Mahajan K， et al. SPHINX： detecting security attacks in software-defined networks[C]//Proceedings 2015 Network and Distributed System Security Symposium. San Diego， CA. Reston， VA： Internet Society， 2015.

［5］""Noh J， Lee S， Park J， et al. Vulnerabilities of network OS and mitigation with state-based permission system[J]. Security and Communication Networks， 2016， 9（13）： 1971-1982.

［6］""Yan Q， Yu F R. Distributed denial of service attacks in software-defined networking with cloud computing[J]. IEEE Communications Magazine， 2015， 53（4）： 52-59.

［7］""Tao Y， Yu S. DDoS attack detection at local area networks using information theoretical metrics[C]//2013 12th IEEE International Conference on Trust， Security and Privacy in Computing and Communications. July 16-18， 2013， Melbourne， VIC， Australia. IEEE， 2013： 233-240.

［8］""Yu S， Thapngam T， Liu J W， et al. Discriminating DDoS flows from flash crowds using information distance[C]//2009 Third International Conference on Network and System Security. October 19-21， 2009， Gold Coast， QLD， Australia. IEEE， 2009： 351-356.

［9］""Bhatia P K， Singh S. On a new csiszar’s f-divergence measure[J]. Cybernetics and Information Technologies， 2013， 13（2）： 43-57.

［10］""Behal S， Kumar K. Detection of DDoS attacks and flash events using novel information theory metrics[J]. Computer Networks， 2017， 116： 96-110.

［11］""Santos R， Souza D， Santo W， et al. Machine learning algorithms to detect DDoS attacks in SDN[J]. Concurrency and Computation： Practice and Experience， 2020， 32（16）： e5402.

［12］""Braga R， Mota E， Passito A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]//IEEE Local Computer Network Conference. October 10-14， 2010， Denver， CO， USA. IEEE， 2011： 408-415.

［13］""Yang L F， Zhao H. DDoS attack identification and defense using SDN based on machine learning method[C]//2018 15th International Symposium on Pervasive Systems， Algorithms and Networks （I-SPAN）. October 16-18， 2018， Yichang， China. IEEE， 2019： 174-178.

［14］""Liu Z P， He Y P， Wang W S， et al. DDoS attack detection scheme based on entropy and PSO-BP neural network in SDN[J]. China Communications， 2019， 16（7）： 144-155.

［15］""Borgnat P， Dewaele G， Fukuda K， et al. Seven years and one day： sketching the evolution of Internet traffic[C]//IEEE INFOCOM. April 19-25， 2009， Rio de Janeiro， Brazil. IEEE， 2009： 711-719.

［16］""田俊峰， 齊鎏嶺. SDN中基于條件熵和GHSOM的DDoS攻擊檢測方法[J]. 通信學報， 2018， 39（8）： 140-149.

Tian J F， Qi L L. DDoS attack detection method based on conditional entropy and GHSOM in SDN[J]. Journal on Communications， 2018， 39（8）： 140-149.（in Chinese）

（編輯""陳移峰）