李道全，楊乾乾，魯曉夫

(青島理工大學(xué) 信息與控制工程學(xué)院，山東 青島 266520)

0 引 言

入侵檢測系統(tǒng)(intrusion detection system，IDS)是一種針對網(wǎng)絡(luò)可能出現(xiàn)的各種類型的攻擊進(jìn)行不斷監(jiān)控，盡最大可能發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊類型，并制定安全策略以確保網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性與可靠性的安全機(jī)制。入侵檢測系統(tǒng)不同于傳統(tǒng)的防火墻，它是一種旁路監(jiān)控技術(shù)，不需要流量經(jīng)過鏈路，也不需要跨接在其它的鏈路上，就可以很好對網(wǎng)絡(luò)攻擊進(jìn)行檢測。目前，對網(wǎng)絡(luò)攻擊檢測的研究主要集中在利用特定的安全機(jī)制作為進(jìn)入網(wǎng)絡(luò)的切入點(diǎn)。

軟件定義網(wǎng)絡(luò)(software defined networking，SDN)[1]與傳統(tǒng)網(wǎng)絡(luò)不同，它將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)平面進(jìn)行分離，并實(shí)現(xiàn)可編程化的集中控制，成為目前比較流行的網(wǎng)絡(luò)架構(gòu)。軟件定義網(wǎng)絡(luò)將緊緊耦合在一起的傳統(tǒng)網(wǎng)絡(luò)設(shè)備架構(gòu)拆分成應(yīng)用平面、數(shù)據(jù)平面、控制平面3個(gè)分離的架構(gòu)，通過一個(gè)集中的控制器對網(wǎng)絡(luò)中的各種資源合理分配利用。近年來，研究人員將SDN作為一種集中控制網(wǎng)絡(luò)的技術(shù)來解決一些潛在的安全問題，包括分布式拒絕服務(wù)(distributed denial of service，DDoS)的攻擊檢測[2,3]、蠕蟲傳播[4]和僵尸網(wǎng)絡(luò)保護(hù)[5]。在實(shí)際應(yīng)用中，防御者通過分析源與目的主機(jī)之間的網(wǎng)絡(luò)流，根據(jù)不同的攻擊模式對網(wǎng)絡(luò)攻擊的類型進(jìn)行分類，制定安全高效的防止入侵的策略。

在本文中，我們提出了一種基于決策樹的SDN網(wǎng)絡(luò)入侵分類檢測模型。使軟件定義網(wǎng)絡(luò)能夠更好檢測和防御各種攻擊，從而使網(wǎng)絡(luò)更加穩(wěn)定。

1 相關(guān)研究

在SDN環(huán)境中，通常對數(shù)據(jù)包的標(biāo)頭及其內(nèi)容進(jìn)行徹底檢查來防止攻擊，若發(fā)現(xiàn)網(wǎng)絡(luò)異常，可以快速做出反應(yīng)，還有通過熵值來判斷是否遭受攻擊。與這些方法相比，基于機(jī)器學(xué)習(xí)的檢測方法檢測成功率相對較高，錯(cuò)誤分辨率相對更低，因此被廣泛應(yīng)用在攻擊檢測方面，選擇一個(gè)好的機(jī)器學(xué)習(xí)的算法可以進(jìn)一步提高檢測效率。例如，文獻(xiàn)[6]的作者就針對異常流量的分類與檢測提出了新方法。該方法采用支持向量機(jī)(SVM)多分類器，首先利用信息熵理論分析網(wǎng)絡(luò)屬性，再使用改進(jìn)的SVM多分類器將異常流量剝離。實(shí)驗(yàn)結(jié)果也驗(yàn)證了此方案的優(yōu)越性。文獻(xiàn)[7]中的作者則提出了基于卷積神經(jīng)網(wǎng)絡(luò)(CNN)的攻擊檢測模型,該模型把SDN特有的攻擊樣本形成流表數(shù)據(jù)集，可以同時(shí)檢測SDN特有攻擊及傳統(tǒng)網(wǎng)絡(luò)攻擊。實(shí)驗(yàn)結(jié)果表明，所提出的入侵檢測模型能有效地防御網(wǎng)絡(luò)攻擊，并且提出的概率加強(qiáng)學(xué)習(xí)的方法達(dá)到了99.34%的準(zhǔn)確率。馬琳等[8]提出了一種基于SDN的網(wǎng)絡(luò)入侵檢測模型，并針對需要分類的入侵流具有多特征、數(shù)據(jù)不平衡等特點(diǎn)，提出了一種改進(jìn)的隨機(jī)森林算法，使用KDD CUP99數(shù)據(jù)集進(jìn)行性能仿真和對比分析，結(jié)果顯示改進(jìn)的隨機(jī)森林算法在檢測精度、代價(jià)等指標(biāo)上都明顯得到了提升。Santos da Silva A等[9]結(jié)合了信息理論計(jì)算流表熵的偏差以及一系列機(jī)器學(xué)習(xí)算法來對異常流量進(jìn)行分類，提出了重量級(jí)算法與輕量級(jí)算法相互結(jié)合的一個(gè)異常數(shù)據(jù)檢測的框架，通過一定的方式處理每個(gè)采集到的流量的輪廓。文獻(xiàn)[10]提出了一種基于C4.5決策樹的DDoS攻擊檢測方法，其中網(wǎng)絡(luò)屬性作為數(shù)據(jù)集進(jìn)行了預(yù)處理，并通過實(shí)驗(yàn)將所提方法與其它機(jī)器學(xué)習(xí)檢測算法進(jìn)行比較。實(shí)驗(yàn)結(jié)果表明，該方法有更高的檢測成功率，且檢測時(shí)間相對也比較少。文獻(xiàn)[11]則在入侵檢測系統(tǒng)中引入了云模型，將原本連續(xù)的數(shù)據(jù)集離散化，再在決策樹算法中引入遺傳算法，以達(dá)到更好的檢測性能。王挺等[12]提出了一種用于T/R元器件SRU級(jí)故障診斷的多級(jí)SVM算法，文章從理論層面對接收通道進(jìn)行分析，在此基礎(chǔ)上建立故障數(shù)據(jù)庫，利用數(shù)據(jù)庫中的數(shù)據(jù)對多類SVM進(jìn)行訓(xùn)練和預(yù)測，獲得了90%以上的準(zhǔn)確率。可以看出，決策樹算法用于多類學(xué)習(xí)的效果較好，且相關(guān)文獻(xiàn)相對較少。因此，利用決策樹算法進(jìn)行多類學(xué)習(xí)具有廣闊的研究前景。

2 SDN網(wǎng)絡(luò)入侵分類檢測模型

本文采用了一個(gè)SDN網(wǎng)絡(luò)入侵分類檢測模型[13]，通過北向接口與控制器進(jìn)行通信，以進(jìn)行異常攻擊的檢測。該框架主要可以分為基礎(chǔ)設(shè)施層、控制層和應(yīng)用分類層，在應(yīng)用層主要包括各種服務(wù)和應(yīng)用，如入侵檢測系統(tǒng)?？刂破魇钦麄€(gè)控制層中最重要的部分，SDN為控制平面和數(shù)據(jù)平面提供可以編程開放的互連接口，對底層設(shè)備進(jìn)行集中控制，并通過北向接口與應(yīng)用程序?qū)舆M(jìn)行通信。數(shù)據(jù)平面主包括路由器、交換機(jī)等網(wǎng)絡(luò)傳輸設(shè)備，它們根據(jù)控制器發(fā)布的指導(dǎo)命令和流表信息完成下一步動(dòng)作(丟棄或轉(zhuǎn)發(fā))，并且通過南向接口向控制器發(fā)送網(wǎng)絡(luò)拓?fù)湫畔?。具體如圖1所示。

圖1 SDN網(wǎng)絡(luò)入侵檢測模型

在基礎(chǔ)設(shè)施層，OpenFlow交換機(jī)中包含多個(gè)流表，它通過OpenFlow協(xié)議與控制器進(jìn)行通信。而控制器通過OpenFlow協(xié)議可靠地與交換機(jī)等轉(zhuǎn)發(fā)設(shè)備進(jìn)行通信,實(shí)現(xiàn)交換機(jī)等轉(zhuǎn)發(fā)單元流表的更新與刪除。其中，每個(gè)OpenFlow交換機(jī)都由一個(gè)流表和一個(gè)組表，或多個(gè)流表和一個(gè)組表組成，OpenFlow交換機(jī)將數(shù)據(jù)包與一個(gè)或者多個(gè)用戶自定義的流表內(nèi)容進(jìn)行匹配。一個(gè)流表中含有一組流條目，報(bào)文根據(jù)流表項(xiàng)的匹配優(yōu)先級(jí)進(jìn)行匹配。首先從Table0開始匹配，然后接著匹配管道的其它流表。數(shù)據(jù)包將首先從表0開始，并根據(jù)優(yōu)先級(jí)檢查那些條目，最高優(yōu)先級(jí)將首先匹配(例如200，然后100，然后1)。如果流需要繼續(xù)到另一個(gè)表，根據(jù)goto指令，把數(shù)據(jù)包轉(zhuǎn)到goto指令指定的表中，如果我們轉(zhuǎn)到的表中有與之匹配的流條目，那么就執(zhí)行與這個(gè)流條目內(nèi)容相關(guān)的命令。如果沒有發(fā)現(xiàn)與之相匹配的流條目，那么就要觀察Table-miss流條目的配置，Table-miss流條目是表中的最后一個(gè)條目，優(yōu)先級(jí)為0，并且匹配任何內(nèi)容。計(jì)數(shù)器主要用于與流條目匹配的數(shù)據(jù)包的計(jì)數(shù)，并以此指示接收到匹配數(shù)據(jù)后下一步要做什么。另外，控制器也可以通過下發(fā)報(bào)文來阻止入侵行為，并且對采集到的數(shù)據(jù)進(jìn)行分析，從而要求交換機(jī)周期性的上報(bào)流量信息。在應(yīng)用層，網(wǎng)絡(luò)管理員通過在入侵檢測框架中設(shè)置相關(guān)的參數(shù)或者部署相關(guān)分類檢測算法，自動(dòng)的對網(wǎng)絡(luò)入侵類型進(jìn)行分類和相關(guān)處理。同時(shí)，管理員會(huì)及時(shí)響應(yīng)網(wǎng)絡(luò)的變化，并及時(shí)處理各種網(wǎng)絡(luò)攻擊以及對攻擊類型的錯(cuò)誤判別。在分類層有3個(gè)主要模塊，分別是定期對處理后的流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)的模塊，對流表中重要的特征進(jìn)行提取的模塊，以及部署機(jī)器學(xué)習(xí)算法進(jìn)行分類檢測的模塊。進(jìn)行流量統(tǒng)計(jì)的模塊定期通過北向接口與控制器進(jìn)行通信來獲取流量數(shù)據(jù)，對獲取的數(shù)據(jù)進(jìn)行處理之后，將處理后的數(shù)據(jù)發(fā)送到用于提取特征的模塊，該模塊會(huì)提取這些數(shù)據(jù)中一些重要的數(shù)字特征，并根據(jù)設(shè)置的方法獲取參數(shù)。這些參數(shù)最后被發(fā)送到分類檢測模塊。分類檢測模塊部署機(jī)器學(xué)習(xí)等異常檢測方法，包括KNN、決策樹和樸素貝葉斯等機(jī)器學(xué)習(xí)算法。這個(gè)模塊主要根據(jù)用戶選擇的機(jī)器學(xué)習(xí)算法獲取對數(shù)據(jù)集進(jìn)行分類的分類規(guī)則，并準(zhǔn)備進(jìn)行下一次數(shù)據(jù)分類。

3 基于決策樹的SDN網(wǎng)絡(luò)入侵分類檢測算法

決策樹是一種二叉樹。它通過使用自頂向下的遞歸方法從根節(jié)點(diǎn)開始劃分，通過比較樣本的屬性，選擇一個(gè)最優(yōu)的屬性值作為根節(jié)點(diǎn)，然后依次來確定內(nèi)部節(jié)點(diǎn)的分支，以新節(jié)點(diǎn)為根重復(fù)上述操作，直到不再進(jìn)行屬性劃分。決策樹只遵循一條規(guī)則，換句話說，決策樹屬于單個(gè)輸出。也就是說，從根節(jié)點(diǎn)開始，只能到達(dá)一個(gè)葉節(jié)點(diǎn)。因此，決策樹可以用于數(shù)據(jù)分類和預(yù)測。

3.1 數(shù)據(jù)集優(yōu)化

本文將KDD CUP99數(shù)據(jù)集[14]用作網(wǎng)絡(luò)入侵攻擊檢測的數(shù)據(jù)集。作為應(yīng)用最為廣泛的異常檢測方法評(píng)價(jià)數(shù)據(jù)集，整個(gè)KDD CUP99數(shù)據(jù)集分為有標(biāo)記訓(xùn)練數(shù)據(jù)和沒有標(biāo)記測試數(shù)據(jù)，由大約490萬個(gè)單個(gè)連接向量組成。數(shù)據(jù)集中的每個(gè)向量都含有38個(gè)數(shù)值特征和3個(gè)非數(shù)值特征。KDD CUP99數(shù)據(jù)集大致可分為4種異常類型，即：DOS、R2L、U2R和PROBE。與文獻(xiàn)[14]相似，本文使用KDD CUP99中的kddcup.data_10_percent_corrected訓(xùn)練數(shù)據(jù)集。數(shù)據(jù)集結(jié)構(gòu)見表1。

由于3個(gè)非數(shù)值特征的存在，在進(jìn)行聚類測試時(shí)，需要將非數(shù)值特征需要轉(zhuǎn)化為數(shù)值特征。轉(zhuǎn)化過程參考文獻(xiàn)[14]。其次，當(dāng)不同的特征放在一起時(shí)，由于特征本身的表達(dá)，絕對值的小數(shù)據(jù)會(huì)被大數(shù)據(jù)“吃掉”。在這種情況下，此時(shí)我們需要做的是對提取的特征向量進(jìn)行歸一化處理，進(jìn)行處理后，將每個(gè)值都?xì)w一化到[0,1]范圍內(nèi)，以保證每個(gè)特征都被分類器同等對待。

歸一化之后的數(shù)據(jù)集仍然有很多特征屬性，這些特征屬性對實(shí)驗(yàn)結(jié)果的影響很小，并且在大數(shù)據(jù)集上進(jìn)行復(fù)雜

表1 kddcup.data_10_percent_corrected數(shù)據(jù)集

的分析需要很長的時(shí)間，嚴(yán)重影響實(shí)驗(yàn)的執(zhí)行效率。因此，這里采用主成分分析(PCA)來優(yōu)化數(shù)據(jù)集，使用數(shù)據(jù)降維可生成較小的新數(shù)據(jù)集，但其數(shù)據(jù)的完整性不會(huì)改變。處理后的數(shù)據(jù)，分析和挖掘效率都將大大提高。具體的處理如下，首先計(jì)算數(shù)據(jù)集的協(xié)方差、特征值和特征向量。對特征值從大到小的順序進(jìn)行調(diào)整，把前n個(gè)特征向量進(jìn)行存儲(chǔ)，最后使用這n個(gè)向量構(gòu)建新的空間。這里特征向量的個(gè)數(shù)就是數(shù)據(jù)集的維數(shù)。數(shù)據(jù)集降維后，不僅減少了數(shù)據(jù)集自身的冗余，降低了無效、錯(cuò)誤的數(shù)據(jù)對實(shí)驗(yàn)的影響，提高了實(shí)驗(yàn)的準(zhǔn)確性，又大幅提高了實(shí)驗(yàn)的運(yùn)行速度，且降低了存儲(chǔ)數(shù)據(jù)的成本[15]，進(jìn)一步優(yōu)化了實(shí)驗(yàn)效率。

3.2 確定分類順序

決策樹是一種二叉樹結(jié)構(gòu)。上層節(jié)點(diǎn)離根節(jié)點(diǎn)越近，分類性能越好，整個(gè)樹的分類精度越高，因此，在分類預(yù)測的過程中，最好盡量減少上層節(jié)點(diǎn)的分類誤差。在本文的分類檢測模型中，對于訓(xùn)練集中分類精度最好的放在離根節(jié)點(diǎn)近的位置，先分離出來。然后選擇一個(gè)分類性能次優(yōu)的分離，以此類推，直到所有的類別都分離出來，保證可能出現(xiàn)的分類錯(cuò)誤離根節(jié)點(diǎn)盡可能遠(yuǎn)，從而保證了決策樹對網(wǎng)絡(luò)入侵分類的性能。此次使用的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集分為5類，1類為正常(NORMAL)，4類為異常(PROBE,DOS,U2R,R2L)。

本文選擇使用類間距離來確定各種類型的分類順序。類間距離是指不同類之間的距離，包括最遠(yuǎn)、最近、中心和重心等4種距離。由于本文使用了大量數(shù)據(jù)集，因此本文選擇通過計(jì)算每個(gè)類別的中心距離，可以輕松地將每個(gè)類別分開。通過計(jì)算類中心所有數(shù)據(jù)點(diǎn)的平均值來獲得類中心。其中，每個(gè)類別的類別中心定義如下：假設(shè)一個(gè)類別中有N(N=1,2,3，…，n) 個(gè)樣本，每個(gè)樣本具有i(i=1,2,3…，n) 特征，xi代表樣本特征中的第i個(gè)樣本，樣本中第i個(gè)特征的平均值樣本Axi為

(1)

其中，xij表示第j個(gè)樣本中第i個(gè)特征的值，根據(jù)式(1)，計(jì)算出該類中每個(gè)特征的所有樣本的平均值，則該類的類中心樣本為： (Ax1，Ax2，Ax3，…，Axn)。

確定類中心之后，計(jì)算類之間的類間距離。在本文中，訓(xùn)練集分為兩個(gè)類別：一個(gè)類別和其它類別。也就是說，以上5個(gè)類別分為NORMAL和 {PROBE，DOS，U2R，R2L}， PROBE和 {NORMAL，DOS，U2R，R2L}， DOS和 {NORMAL，PROBE，U2R，R2L}， U2R和 {NORMAL，PROBE，DOS，R2L}， R2L和 {NORMAL，PROBE，DOS，U2R} 這5個(gè)類別，然后分別計(jì)算NORMAL，PROBE，DOS，U2R，R2L與其它類別之間的類中心距離Di(i=NORMAL，PROBE，DOS，U2R，R2L)， 在本文中選擇歐氏距離計(jì)算各類別之間的類間中心距離。歐氏距離可以計(jì)算多維空間兩點(diǎn)之間的實(shí)際距離，同時(shí)，也可以計(jì)算在二維以及三維空間兩點(diǎn)之間的實(shí)際距離，在數(shù)學(xué)中，歐幾里得空間中兩點(diǎn)之間的歐幾里得距離是兩點(diǎn)之間的線段長度?？梢允褂霉垂啥ɡ韽倪@些點(diǎn)的笛卡爾坐標(biāo)中計(jì)算出來，因此有時(shí)稱為勾股距離。n維空間中的歐氏距離公式為

(2)

本文使用式(2)計(jì)算5個(gè)類別與其它類別之間的距離DNORMAL、DPROBE、DDOS、DU2R和DR2L。 當(dāng)Di較大時(shí)，類別的分離效果更好，應(yīng)該考慮優(yōu)先分離。

3.3 基于決策樹的SDN網(wǎng)絡(luò)入侵分類檢測算法

本文使用基于類間距離的決策樹SDN入侵檢測算法來解決網(wǎng)絡(luò)入侵的多分類問題。基于決策樹的SDN網(wǎng)絡(luò)入侵分類檢測的算法流程如圖2所示，具體步驟如下。

步驟1 對原始KDD 99數(shù)據(jù)集進(jìn)行數(shù)據(jù)處理，把數(shù)據(jù)集中的5種數(shù)據(jù)類型用數(shù)字替換，即將NORMAL，PROBE，DOS，U2R，R2L用數(shù)字1、2、3、4和5替代，并且把數(shù)字化的數(shù)據(jù)進(jìn)行歸一化處理，使其每個(gè)值都在[0,1]之間。最后，為了方便提取數(shù)據(jù)的主要特征，使用主成分分析(PCA)，計(jì)算原數(shù)據(jù)特征值以及特征向量，通過將特征值從大到小排序，保留前6個(gè)特征向量，即對數(shù)據(jù)執(zhí)行數(shù)據(jù)降維操作。

步驟2 將一個(gè)類型的樣例用作正例，將所有其它類型的樣例用作反例，即分為NORMAL和 {PROBE，DOS，U2R，R2L}， PROBE和 {NORMAL，DOS，U2R，R2L}， DOS和 {NORMAL，PROBE，U2R，R2L}， U2R和 {NORMAL，PROBE，DOS，R2L}， R2L和 {NORMAL，PROBE，DOS，U2R} 這5個(gè)類別，來訓(xùn)練這5個(gè)分類器，一共拆分成5個(gè)二分類任務(wù)。

步驟3 計(jì)算各類樣本數(shù)據(jù)的類間距離。比較類間距離，按從大到小的降序(S1，S2，S3，S4，S5)對其進(jìn)行排序，并且將它們分離。然后創(chuàng)建一個(gè)根節(jié)點(diǎn)，確定第一優(yōu)先級(jí)分離類別C1，將訓(xùn)練集結(jié)果分為屬于該類別(C1)和不屬于該類別(非C1)的兩個(gè)類別。

步驟4 設(shè)置Gini系數(shù)閾值，在步驟3的基礎(chǔ)上根據(jù)以下順序建立一個(gè)CART決策樹：①對于目前節(jié)點(diǎn)的樣本數(shù)據(jù)集M，在樣本的數(shù)量小于臨界值或者沒有特征的情況下，目前這個(gè)節(jié)點(diǎn)不執(zhí)行遞歸操作，而是返回到?jīng)Q策子樹。②計(jì)算樣本數(shù)據(jù)集M的Gini系數(shù)。比較Gini系數(shù)與臨界值，若結(jié)果顯示計(jì)算出的Gini系數(shù)小于臨界值，仍然不執(zhí)行遞歸操作，返回到?jīng)Q策子樹。③接著計(jì)算各個(gè)特征對應(yīng)的特征值對于數(shù)據(jù)集M的Gini系數(shù)。④在計(jì)算出來的各個(gè)特征對應(yīng)的特征值對于數(shù)據(jù)集M的Gini系數(shù)中，選擇最優(yōu)的特征以及相應(yīng)的最優(yōu)的特征值，將樣本數(shù)據(jù)集劃分成M1和M2兩部分，讓M1為當(dāng)前節(jié)點(diǎn)的左節(jié)點(diǎn)，M2為當(dāng)前節(jié)點(diǎn)的右節(jié)點(diǎn)。⑤然后在依次形成的左右節(jié)點(diǎn)上遞歸調(diào)用步驟①～步驟④，形成CART決策樹。

步驟5 訓(xùn)練完成后，輸出預(yù)測結(jié)果作為C1類樣本，刪除C1樣本訓(xùn)練集；根據(jù)第二優(yōu)先級(jí)分離類別C2將剩余的訓(xùn)練數(shù)據(jù)集分為兩個(gè)類別，分別屬于該類別(C2)和不屬于該類別(非C2)，并繼續(xù)構(gòu)建用于訓(xùn)練劃分的決策樹。

步驟6 重復(fù)步驟3和步驟4的訓(xùn)練和刪除操作，直到Ci(i=1,2,3,4,5) 中只有一個(gè)類別，輸出兩個(gè)最終分類預(yù)測結(jié)果。

4 結(jié)果分析

本節(jié)在SDN環(huán)境下，對數(shù)據(jù)集494 021條連接記錄(樣本)進(jìn)行預(yù)處理后，進(jìn)行主成分分析(PCA)特征降維操作。考慮到要對數(shù)據(jù)集信息量盡可能保留，我們將原始的41維數(shù)據(jù)降為6維數(shù)據(jù)。首先計(jì)算NORMAL、PROBE、DOS、U2R、R2L和其它5個(gè)類別之間的距離，并確定每個(gè)類別的分離順序，然后使用文本提出的基于決策樹的SDN網(wǎng)絡(luò)入侵分類檢測算法，并與傳統(tǒng)的迭代決策樹方法比較分類檢測的準(zhǔn)確性。通過比較兩種算法的檢測精度，驗(yàn)證該算法在SDN網(wǎng)絡(luò)入侵檢測中的優(yōu)越性。下面從分離順序和檢測性能兩方面來分析。

4.1 類分離序列分析

對預(yù)處理后的494 021個(gè)樣本按照提出的方法計(jì)算類間距離。具體計(jì)算結(jié)果見表2。

表2 各類之間的距離

考慮類間距離的內(nèi)容，結(jié)合表2中的數(shù)據(jù)可以看出，NORMAL的類間距離為1.5663，明顯大于其它類。因此，NORMAL類的分離性最好，應(yīng)優(yōu)先分離類，并將其放在離根節(jié)點(diǎn)最近的位置。在余下的4個(gè)類別中，DOS類與其它3類的類間距離最小，說明DOS類的分離性最差。如果把它安排在離根節(jié)點(diǎn)近的節(jié)點(diǎn)上，會(huì)產(chǎn)生更多的分類錯(cuò)誤并導(dǎo)致多分類決策樹的準(zhǔn)確率下降，對整個(gè)分類過程的影響最大，應(yīng)該最后時(shí)分離。其它3種類別的類間距離幾乎相同，都在1.25～1.27之間。因此，構(gòu)建的決策樹優(yōu)先級(jí)分離序列為：NORMAL，PROBE，U2R，R2L，DOS，如圖3所示。

圖3 分離序列結(jié)構(gòu)

NORMAL類別被放置離根節(jié)點(diǎn)最近的位置上用于分離，R2L和DOS類別被放置在末尾用于分離。這樣構(gòu)造的決策樹的分離順序可以確保在整個(gè)分類過程中，錯(cuò)誤類別越多，離根節(jié)點(diǎn)越遠(yuǎn)，從而將對整體分類性能的影響降到最低，進(jìn)一步保證多類決策樹分類的性能。

4.2 多類決策樹檢測性能分析

為了進(jìn)一步比較決策樹的分類檢測性能，同樣采用KDD CUP99數(shù)據(jù)集，本文選取分離順序的逆序 (DOS,R2L,U2R,PORBE,NORMAL) 和傳統(tǒng)的迭代決策樹方法(即不采用類間距離來分離樣本)進(jìn)行了6次實(shí)驗(yàn)，我們?nèi)?shù)據(jù)集和測試集分別為100 000和45 000，具體的實(shí)驗(yàn)結(jié)果見表3。

表3 檢測精度比較

這3種方法都取相同的訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)，分別為100 000的訓(xùn)練樣本和45 000的測試樣本。由表3可以看出，與傳統(tǒng)的決策樹迭代方法相比，本文方法的平均檢測錯(cuò)誤數(shù)目明顯減少。此外，與本文方法的對照組(逆序)相比，檢測的平均數(shù)目也有所減少，平均減少8個(gè)檢測誤差。如果將其擴(kuò)展到數(shù)百萬甚至數(shù)千萬的現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)中，該方法具有更好的檢測性能。

下面我們從檢測成功率、誤報(bào)率、測試集測試時(shí)間3個(gè)方面具體分析3種方法的性能。觀察它們隨著訓(xùn)練樣本數(shù)量的增加，檢測率、誤報(bào)率、測試時(shí)間這3個(gè)方面具體的變化。

圖4給出了在同樣的實(shí)驗(yàn)環(huán)境下，本文方法、逆序方法和傳統(tǒng)決策樹迭代方法的分類結(jié)果隨著實(shí)驗(yàn)數(shù)據(jù)的不斷增加的變化趨勢。本文方法、逆序方法以及傳統(tǒng)迭代方法隨著樣本數(shù)量的不斷增多，它們的性能都有顯著的提升，并且本文方法的檢測成功率一直優(yōu)于對照組。即使在樣本數(shù)較少的情況下，本文提出的基于類間間距分離的方法也能使檢測成功率維持在較高水平。并且隨著樣本數(shù)量的增加，3種算法的性能逐漸趨于一致。由此我們可得出，基于決策樹的SDN入侵檢測算法建模更加適合網(wǎng)絡(luò)入侵的檢測。

圖4 檢測成功率比較

圖5顯示了這3種方法的誤報(bào)率變化。在相同的SDN環(huán)境下，本文方法、逆序方法和傳統(tǒng)迭代方法的誤報(bào)率都在隨著樣本數(shù)量的增加而增加。本文方法與兩個(gè)對照方法的誤報(bào)率比較接近，大都處于較低的水平?？傮w來看，隨著樣本數(shù)量的增加，基于決策樹的入侵檢測算法的誤報(bào)率一直處于最低的水平。

圖5 誤報(bào)率比較

圖6顯示了這3種方法的測試集檢測時(shí)間變化的曲線。在相同的SDN環(huán)境下，本文方法、逆序方法和傳統(tǒng)迭代決策樹方法隨著樣本數(shù)量的增加測試集的測試時(shí)間都有不同程度的增加。此外，兩組對照方法的曲線斜率明顯高于本文方法，在樣本數(shù)量較多時(shí)，對照組方法的檢測時(shí)間也上升的更快。也就是說，本文提出的方法不是很復(fù)雜，一般而言，基于決策樹的SDN入侵檢測算法的時(shí)間較少，檢測性能較好。在后續(xù)研究中，可通過優(yōu)化決策樹的剪枝算法來簡化模型，并減少時(shí)間開銷。

圖6 測試時(shí)間比較

5 結(jié)束語

本文介紹了根據(jù)類間距離確定分離順序的網(wǎng)絡(luò)入侵檢測模型。此模型利用歐式距離計(jì)算每個(gè)類別和其它類的類中心距離，并構(gòu)建決策樹。類間距離越大，離根節(jié)點(diǎn)越近，則應(yīng)該優(yōu)先被分離。實(shí)驗(yàn)結(jié)果表明，利用本文提出的決策樹分類檢測模型，決策樹可以擴(kuò)展到多類預(yù)測，并具有較好的預(yù)測性能。同時(shí)，決策樹算法對新鮮樣本的適應(yīng)能力較弱，即泛化能力較弱，容易發(fā)生過擬合現(xiàn)象。一般情況下，可以通過修剪來簡化模型，或者以最少的節(jié)點(diǎn)數(shù)設(shè)置樣本數(shù)，來限制決策樹的深度。在后續(xù)工作中，我們將從多維度提高決策樹多類檢測算法的性能入手，提高算法的穩(wěn)定性和運(yùn)行效率。