基于深度學(xué)習(xí)和三支決策的DDoS攻擊檢測算法

陶應(yīng)亮

摘 要：針對軟件定義網(wǎng)絡(luò)（Software Defined Ntwork，SDN）中的分布式拒絕服務(wù)（Distribute Denial of Service， DDoS）攻擊檢測的方法少、現(xiàn)存方法入侵檢測率低的問題，提出了一種基于深度學(xué)習(xí)和三支決策的入侵檢測算法。首先使用深度信念網(wǎng)絡(luò)對SDN的流表項進行特征提取，然后利用基于三支決策理論的入侵檢測模型進行DDoS攻擊的入侵檢測，對于正域和負域的數(shù)據(jù)直接進行分類，對于邊界域中的數(shù)據(jù)使用K近鄰算法重新進行分類。仿真實驗結(jié)果表明，與其他入侵檢測模型相比，所提算法的入侵檢測效率更高。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò);深度信念網(wǎng)絡(luò);三支決策;DDoS攻擊

中圖分類號：TN915.08 ? ? 文獻標識碼：A

Abstract：Aiming at the problem of few DDoS attack detection methods and low intrusion detection rate of existing methods in software defined network （SDN）， an intrusion detection algorithm based on deep learning and three decision making is proposed.First， use deep belief network to extract features of SDN flow entries， then use three-way decisions intrusion detection model forintrusion detection of DDoS attacks， directly classify data in the positive and negative domains， and the data in the boundary domain is reclassified using the K-nearest neighbor algorithm. Simulation results show that compared with other intrusion detection models， the detection rate of this methodis higher， and the false alarm rate is lower.

Key words：software defined network; deep belief network; three-way decisions; DDoS attack

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）作為新興的網(wǎng)絡(luò)架構(gòu)，解耦了網(wǎng)絡(luò)的控制層與數(shù)據(jù)層，被認為是未來網(wǎng)絡(luò)發(fā)展的方向。但由于其及網(wǎng)絡(luò)架構(gòu)的特殊性，控制器作為網(wǎng)絡(luò)架構(gòu)的核心，容易面臨單點失效的風(fēng)險。分布式拒絕服務(wù)（Distribute Denial of Service， DDoS）攻擊一直以來都是軟件定義網(wǎng)絡(luò)的的主要威脅之一[1]。為防御SDN下的DDoS攻擊，國內(nèi)外許多網(wǎng)絡(luò)安全專家在常規(guī)方法的基礎(chǔ)上，將機器學(xué)習(xí)應(yīng)用于DDoS攻擊的入侵檢測。深度信念網(wǎng)絡(luò)（Deep Belief Network，DBN）作為深度學(xué)習(xí)的一個分支，與傳統(tǒng)的機器學(xué)習(xí)相比，可以學(xué)習(xí)到更加復(fù)雜的表達函數(shù)[2]。但由于SDN環(huán)境下的DDoS攻擊的特征數(shù)量有限，通常會由于特征的不充足和信息的不確定性導(dǎo)致流量分類的錯誤。

因此，為解決軟件定義網(wǎng)絡(luò)中的分類正確率不足、入侵檢測效率低的問題，提出一種在SDN下的基于深度信念網(wǎng)絡(luò)和三支決策的入侵檢測模型。使用在SDN流表項下直接獲取的特征和手動構(gòu)建的特征作為特征集，利用DBN對特征進行提取后，使用三支決策入侵檢測模型進行數(shù)據(jù)分類。入侵檢測模塊將流經(jīng)控制器的流量分為正域（正常流量）、負域（入侵流量）、邊界域（不確定的流量），對于邊界域流量使用KNN算法再次進行分類。

1 研究現(xiàn)狀

隨著網(wǎng)絡(luò)技術(shù)發(fā)展，DDoS攻擊不僅僅對傳統(tǒng)網(wǎng)絡(luò)環(huán)境產(chǎn)生安全威脅，DDoS攻擊者也開始利用新的網(wǎng)絡(luò)架構(gòu)發(fā)起攻擊，SDN中的DDoS攻擊是研究熱點之一[3]。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下DDoS攻擊的主要類型有網(wǎng)絡(luò)層的UDP反射攻擊、傳輸層的SYN Flood攻擊、會話層的SSL連接攻擊、應(yīng)用層的HTTP Flood攻擊等[4]。

目前已有的DDoS攻擊檢測方法按照方法類別可劃分為常規(guī)的檢測方法、基于傳統(tǒng)機器學(xué)習(xí)的檢測方法以及基于深度學(xué)習(xí)的檢測方法。常規(guī)的DDoS攻擊檢測方法已經(jīng)取得了初步的效果，Kalkan[5]提出了SDN下基于統(tǒng)計解決方案的DDoS攻擊檢測方法，Yu[6]提出了基于流量相關(guān)系數(shù)的檢測方法以及Chin[7]提出了SDN下選擇性檢測數(shù)據(jù)包來檢測DDoS泛洪攻擊的方法，在檢測的效果上也取得了一定的效果。

基于傳統(tǒng)的機器學(xué)習(xí)的DDoS攻擊檢測在軟件定義網(wǎng)絡(luò)中有更好的檢測效果。Yuan[8]等人提出了一種基于支持向量機的DDoS攻擊檢測模型，并在KDD99數(shù)據(jù)集上進行驗證。Barki[9]從流量跟蹤的角度討論DDoS攻擊，使用了不同的機器學(xué)習(xí)方法將流量分為正常和異常。機器學(xué)習(xí)在進行入侵檢測時，需要手動構(gòu)建特征進行檢測，如Xiao[10]提出的基于KNN的DDoS攻擊檢測方法，檢測模型輸入的特征均為手動構(gòu)造的特征，影響了檢測的效率，深度學(xué)習(xí)在SDN中的入侵檢測的應(yīng)用可以有效解決該問題。

深度學(xué)習(xí)是機器學(xué)習(xí)領(lǐng)域的一個新的研究方向，旨在學(xué)習(xí)樣本的內(nèi)在規(guī)律和表示層次，解決很多復(fù)雜的模式識別等人工智能的難題[11]。深度學(xué)習(xí)在SDN下的入侵檢測已經(jīng)有了很多的應(yīng)用，Garg[12]提出了一種基于深度學(xué)習(xí)的檢測模型，直接使用流表項的原始字段作為特征進行輸入，利用深度學(xué)習(xí)算法檢測異常流量，在對小流量的數(shù)據(jù)流進行檢測時，正確率和效率上都有了提升。Li[1]提出了一種基于深度學(xué)習(xí)混合模型的DDoS攻擊檢測模型，該方法具有較高的精確度的同時運算速率很高。在實際檢測情況中，因為特征不足或者信息的不充分，會導(dǎo)致部分流量被誤分類。

2 基于深度學(xué)習(xí)和三支決策的入侵檢測算法

2.1 入侵檢測算法結(jié)構(gòu)設(shè)計

所提的基于DBN的三支決策DDoS攻擊檢測模型如圖1所示，主要分為兩個模塊，即特征提取模塊和入侵檢測模塊。首先輸入數(shù)據(jù)，在特征提取模塊，先進行數(shù)據(jù)的預(yù)處理，提取關(guān)鍵的字段和手動構(gòu)建的特征構(gòu)建特征集作為DBN特征提取模型的輸入，提取特征后通過三支決策入侵檢測模型進行數(shù)據(jù)的分類，對于邊界域的數(shù)據(jù)使用KNN分類器重新分類后，輸出分類的結(jié)果。

2.2 入侵檢測算法描述

2.2.1算法流程

入侵檢測算法流程圖如圖2所示，分為輸入數(shù)據(jù)、特征提取、數(shù)據(jù)分類、邊界域處理、輸出結(jié)果五個階段。采集網(wǎng)絡(luò)中的真實流量作為輸入的數(shù)據(jù)，對訓(xùn)練集預(yù)處理后進行輸入，使用深度信念網(wǎng)絡(luò)特征提取模型進行特征提取，隨后將特征放到入侵檢測模塊。將測試集輸入到三支決策入侵檢測模型。根據(jù)設(shè)定的閾值判斷數(shù)據(jù)是否為邊界域，若不屬于，則根據(jù)閾值直接進行分類輸出，分為正常數(shù)據(jù)和入侵數(shù)據(jù)。若屬于將邊界域的數(shù)據(jù)放入KNN分類器重新進行二分類，最后輸出入侵檢測分類的結(jié)果。

2.2.2 DBN特征提取模型

根據(jù)OpenFlow協(xié)議，每條流表的信息都由多個流表項組成，而每個流表項都由多個字段組成。在實驗的DBN模型里，直接提取16維字段作為特征輸入，此外手動構(gòu)建了2個特征[13]以區(qū)別于SDN下的常規(guī)特征，共同構(gòu)成的DBN模型輸入的18維度特征。

手動構(gòu)造的2個特征如下：

1）平均數(shù)據(jù)分組數(shù)：

packets_ave=packetsduration（1）

其中packets是分組的包數(shù);duration是持續(xù)時間。

2）平均數(shù)據(jù)分組位數(shù)：

bytes_ave=bytesduration（2）

其中bytes是流表中數(shù)據(jù)包字節(jié)數(shù)。

算法1：DBN模型特征提取算法

算法1是使用DBN進行特征提取，具體步驟如下：

3 實驗結(jié)果分析

3.1 實驗數(shù)據(jù)

基于OpenFlow協(xié)議，SDN環(huán)境下有其特定的攻擊方式，常規(guī)的DDoS數(shù)據(jù)集中有一些SDN下不存在的攻擊類型，所以實驗的數(shù)據(jù)集是采集到的SDN網(wǎng)絡(luò)中的真實流量。正常流量由非攻擊主機進行正常的網(wǎng)絡(luò)訪問而得到，經(jīng)過統(tǒng)計大概有60%的TCP流量，20%的UDP流量，10%的ICMP流量和10%的其他流量。異常流量使用Hping-3工具產(chǎn)生，對應(yīng)發(fā)起交換機流表攻擊和控制域帶寬攻擊兩種攻擊，交換機收集流表數(shù)據(jù)。本次實驗共采集10萬條數(shù)據(jù)流量，正常流量和DDoS攻擊流量的比例為6：4。其中將65000條數(shù)據(jù)作為訓(xùn)練集，35000條數(shù)據(jù)作為測試集。正常流量和入侵流量的數(shù)量分布如表2所示：

3.2 評估標準和模型參數(shù)設(shè)定

實驗選用準確率ACC（Accuracy）、檢出率DR （Detection Rate）、誤報率FPR（False Positive Rate）、以及精確率PR（Precision Rate）作為評測入侵檢測系統(tǒng)性能的主要指標。

為了獲得三支決策的劃分依據(jù)，需要獲取三支決策劃分的閾值。根據(jù)上文所提到的三支決策的代價函數(shù)，設(shè)置損失函數(shù)。如表3所示。并根據(jù)公式獲取閾值α以及β。

3.3 實驗結(jié)果分析

入侵檢測效果對比：SDN下的DDoS攻擊模型主要使用傳統(tǒng)機器學(xué)習(xí)如支持向量機（SVM）[15]、K近鄰算法（KNN）[10]、隨機森林（RF）[16]和基于信息熵的DNN模型[13]。使用數(shù)據(jù)集分別在SVM模型、KNN模型、簡單的DNN模型和RF模型進行對比，通過ACC、DR、FPR、PR等評估指標對檢測效果進行對比，對比結(jié)果如表4和圖3所示。

由表4和圖3可知，在使用DBN提取特征的基礎(chǔ)上使用三支決策進行入侵檢測后在準確率、檢出率和精確率上均有明顯的提升。誤報率變化如圖4所示，在數(shù)據(jù)量較少時，由于模型不穩(wěn)定，誤報率有所上升，隨著數(shù)據(jù)量增多，模型性能趨于穩(wěn)定，誤報率逐漸下降。實驗后期，由于邊緣化樣本增加，誤報率稍微升高，最后趨于平均水準。

將不同的算法進行ROC曲線對比，如圖5所示，以誤報率為橫坐標，檢測率為縱坐標，可以看出DBN-TWD入侵檢測模型的ROC曲線面積比其他算法的面積大，說明所提算法的性能更優(yōu)，可以更好的進行入侵檢測。

通過以上實驗可以得知，所提的基于DBN和三支決策DDoS攻擊檢測模型對SDN下的DDoS攻擊具有很高的正確率和檢出率，在OpenFlow中字段的特征維數(shù)較低情況下使用在SDN流表項下直接獲取的特征和手動構(gòu)建的特征進行特征的重構(gòu)后，檢測效率有更大的提升，為SDN下的網(wǎng)絡(luò)安全提供了更有效的保障。

4 結(jié) 論

針對SDN下的網(wǎng)絡(luò)攻擊，提出了基于深度學(xué)習(xí)和三支決策的入侵檢測算法。該算法首先使用從OpenFlow流表中直接提取的特征字段和手動構(gòu)造的特征構(gòu)成流表特征集，使用DBN進行特征的提取后，利用三支決策檢測模型進行流量的入侵檢測，從而實現(xiàn)SDN下的DDoS攻擊檢測。經(jīng)過仿真實驗驗證，所提實驗?zāi)Ｐ驮谡_率、檢出率和準確率上都有提升，并在誤報率上有所降低，提高了檢測的效率。以后的工作的重點是將三支決策算法應(yīng)用于其他深度學(xué)習(xí)的模型中，同時選取不同的分類器，以便于提升權(quán)值，改進實驗的速度，提高入侵檢測的效率。并設(shè)計防御方案進一步提高SDN下的網(wǎng)絡(luò)安全。

參考文獻

[1]LI Chuan-huang， WU Yan， YUAN Xiao-yong， et al. Detection and defense of DDoS attack-based on deep learning in OpenFlow-based SDN[J]. International Journal ofCommunication Systems， 2018， 31（5）：e3497.1-e3497.15.

[2]KAYNAR O， YUKSEK A G， GORMEZ Y， et al. Intrusion detection with autoencoder based deep learning machine[C]//Signal Processing & Communications Applications Conference. IEEE， 2017.

[3]DAO N N， PARK J， PARK M， et al. A feasible method to combat against DDoS attack in SDN network[C]// International Conference on Information Networking. IEEE，2015.

[4]YAN Qiao， HUANG Wen-yao， LUO Xu-peng， et al. A multi-level DDoS mitigation framework for the industrial Internet of Things[J]. IEEE Communications Magazine， 2018， 56（2）：30-36.

[5]KALKAN K， ALTAY L， GUR G， et al. JESS： Joint entropy based DDoS defense scheme in SDN[J]. IEEE Journal on Selected Areas in Communications， 2018：1-1.

[6]NO G， RA I. An efficient and reliable DDoS attack detection using a fast entropy computation method[C]// International Conference on Communications & Information Technologies. IEEE Press， 2009.

[7]CHIN T， MOUNTRIDOU X， LI X， et al. Selective packet inspection to detect DoS flooding using software defined networking （SDN）[C]// 2015 IEEE 35th International Conference on DistributedComputing Systems Workshops （ICDCSW）. IEEE，2015.

[8]YUAN Jing-bo， LI Hai-xiao， DING Shun-li， et al. Intrusion detection model based on improved support vector machine[C]// Third International Symposium on Intelligent Information Technology &Security Informatics. IEEE， 2010.

[9]BARKI L， SHIDLING A， METI N， et al. Detection of distributed denial of service attacks in software defined networks[C]// 2016 International Conference on Advances in Computing， Communicationsand Informatics （ICACCI）. IEEE， 2016.

[10]肖甫，馬俊青，黃洵松，等.SDN環(huán)境下基于KNN的DDoS攻擊檢測方法[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2015，35（1）：84-88.

[11]DOULAMIS N， DOULAMIS A. Semi-supervised deep learning for object tracking and classification[C]// IEEE International Conference on Image Processing. IEEE， 2015.

[12]GARY S， KAUR K， KUMAR N， et al. Hybrid deep-learning-based anomaly detection scheme for suspicious flow detection in SDN： a social multimedia perspective[J]. IEEE Transactions on Multimedia， 2019， 21（3）：566-578.

[13]張龍，王勁松.SDN中基于信息熵與DNN的DDoS攻擊檢測模型[J].計算機研究與發(fā)展，2019，56（05）：909-918.

[14]鞠恒榮，李華雄，周獻中，等.基于Local約簡的序貫三支分類器[J].計算機科學(xué)，2017，44（09）：34-39+57.

[15]LI Dong， YU Chang， ZHOU Qi-zhao， et al. Using SVM to detect DDoS attack in SDN network[J]. Iop Conference， 2018， 466.

[16]李兆斌，韓禹，魏占禎，等.SDN中基于機器學(xué)習(xí)的網(wǎng)絡(luò)流量分類方法研究[J].計算機應(yīng)用與軟件，2019，36（5）：75-79，164.