CN108632269B

CN108632269B - 基于c4.5决策树算法的分布式拒绝服务攻击检测方法

Info

Publication number: CN108632269B
Application number: CN201810412986.1A
Authority: CN
Inventors: 刘俊杰; 王珺; 王梦林
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2018-05-02
Filing date: 2018-05-02
Publication date: 2020-06-02
Anticipated expiration: 2038-05-02
Also published as: CN108632269A

Abstract

本发明公开了一种软件定义网络环境下基于C4.5决策树算法的分布式拒绝服务攻击检测方法，包括步骤：通过OpenFlow协议收集由OpenFlow交换机返回的流表信息；提取所述流表信息中与DDoS攻击相关的字段信息并转化成可分析网络流量分布变化的参数作为属性，形成一个决策树的训练集；使用C4.5决策树算法对流量进行分类，并根据训练集数据分类别计算类别信息熵；依次计算属性的条件熵、信息的增益、属性的信息熵以及属性的信息增益率；选择信息增益率最大的属性当做决策树的根节点，然后在剩余属性中选取信息增益率最大的属性作为分叉节点，并重复上述步骤至形成决策树；使用最终形成的决策树对新的网络流量进行分类操作，检测是否存在DDoS攻击；本发明可更准确检测到DDoS攻击。

Description

基于C4.5决策树算法的分布式拒绝服务攻击检测方法

技术领域

本发明涉及计算机通信技术领域，是一种软件定义环境下的拒绝服务攻击检测方法，尤其涉及一种基于C4.5决策树算法的分布式拒绝服务攻击检测方法。

背景技术

目前，连接到互联网的网络设备数量正在加速增长，不仅是移动设备的激增，新兴技术的发展也使得网络设备的数量迅速增长。相应地，网络规模的不断扩大将导致更为复杂的网络，带来更多的挑战。但现有的网络技术与设施并不能实现这样越来越复杂的***。为了设计能满足这些快速发展需求的未来网络，已经提出了许多方法，软件定义网络就是其中比较重要的一个解决方案。

软件定义网络突出的特点是网络设备中数据平面和控制平面的解耦。在传统网络中，路由器通过路由算法决定数据包转发的位置。在软件定义网络中，决策和转发功能是分开的，决策过程由控制器提供，而数据转发交由交换机处理。简化网络设备和集中管理是软件定义网络最实用的特性。尽管软件定义网络在很多方面都有优势，但仍有许多挑战需要我们关注。在软件定义网络的安全方面的研究还很有限，它的漏洞源于它的两个特性：通过软件控制网络以及控制器中网络智能的集中化。这些功能会导致一些信任问题和单点管理的失效。对于信任问题，应用授权及认证机制可以解决，而通过损害控制器的可用性会造成单点管理失效，分布式拒绝服务攻击正是此类问题的最常见方式之一。拒绝服务攻击其实就是拒绝将***资源用于合法用户并降低***可用性。基本机制就是向目标发送大量多余的网络流量，使其无法响应真正的服务请求。如果攻击者使用多个源，则称为分布式拒绝服务攻击，这比拒绝服务更麻烦。软件定义网络架构在面对分布式拒绝服务攻击的一个缺点就是交换机过于被动，它们将所有带有未知流量的数据包发往控制器，由于控制器的中央管理特性，如果控制器因攻击流量而饱和，分布式拒绝服务攻击将造成灾难性后果。

现在已经存在一些检测软件定义网络环境下的分布式拒绝服务攻击的方法，比如说通过处理数据包的信息，基于熵值的计算判断是否遭受攻击。还有通过对数据包流量的不断监控，找到潜在的受害者和攻击者；这些方法的检测成功率偏低而且误报警的频率比较高。

发明内容

本发明的主要目的在于解决现有技术中存在的缺点和不足，提供一种基于C4.5决策树算法的分布式拒绝服务攻击检测方法，通过此方法可获得更高的检测成功率和更低的误报警率，具体技术方案如下：

一种基于C4.5决策树算法的分布式拒绝服务攻击检测方法，是软件定义网络环境下对分布式拒绝服务攻击的一种检测方法，所述方法包括以下步骤：

S1：通过OpenFlow协议收集由OpenFlow交换机返回的流表信息；

S2：提取所述流表信息中与DDoS攻击相关的字段信息并转化成可分析网络流量分布变化的参数作为属性，形成一个决策树的训练集；

S3：使用C4.5决策树算法对网络流量进行分类，并根据训练集数据分类别计算类别信息熵；

S4：依次计算属性的条件熵、信息的增益、属性的信息熵以及属性的信息增益率；

S5：选择信息增益率最大的属性当做决策树的根节点，然后在剩余属性中选取信息增益率最大的属性作为分叉节点，并重复步骤S3和S4形成决策树；

S6：使用步骤S5中形成的决策树对新的网络流量进行分类操作，检测是否存在DDoS攻击。

本发明的进一步改进在于，所述属性包括流包数均值ANPPF、对流比PCF、端口增速PGS和源IP增速SGS，所述属性的条件熵用于表示各种类别在某种属性的条件下出现的不确定之和，通过式

计算，其中Ax代表了每一个属性，按属性将训练集划分为D1,D2,…,Dn的n个子集，n是属性Ax下的不同情况数目，|Di|为样本总数|D|下每一种情况的样本数，Info(Di)是每个子集的信息熵。

本发明的进一步改进在于，所述流包数均值ANPPF用于判断是否存在不合法IP攻击；所述对流比PCF可以用来表示在攻击期受害者回复的数据包无法达到僵尸网络时的交互状态；所述端口增速PGS和源IP增速SGS在网络收到攻击期间会发生明显变化，可用于判断是否存在不合法攻击。

本发明的进一步改进在于，所述网络流量包括正常流量和攻击流量，且两者的所述类别信息熵通过式

计算得到。

本发明的进一步改进在于，所述属性的信息熵用于表示所述属性是否存在***的情况，通过式

计算得到；所述信息的增益通过式Gain(A_x)＝Info(D)-Info(A_x)计算得到；所述信息增益率是对原来单纯使用信息增益的一种补充，通过式IGR(A_x)＝Gain(A_x)/H(A_x)计算得到。

本发明的基于C4.5决策树算法的分布式拒绝服务攻击检测方法，首先通过OpenFlow协议得到OpenFlow交换机返回的流表信息，随后提取流表信息中的与DDoS攻击相关的并将其转化成可分析网络流量分布变化的参数作为属性，使得属性形成决策树的训练集；然后基于C4.5决策树算法分类网络流量的类别，并分别计算网络流量的类别信息熵、属性的条件熵、流表信息的增益、属性的信息上和信息增益率从而得到决策树，最后通过决策树来对新的数据集进行分类，达到检测是否存在DDoS攻击；与现有技术相比，本发明可更准确地检测到网络中是否存在DDoS攻击，并且检测的准确率更精准。

附图说明

图1为本发明所述攻击检测方法的流程框图；

图2为本发明软件定义网络的框架示意图；

图3为通过本发明所述攻击检测方法的流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，附图中给出了本发明的较佳实施例。本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例，相反地，提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参阅图1，在本发明实施例中，提供了一种基于C4.5决策树算法的分布式拒绝服务攻击检测方法，是软件定义网络环境下对分布式拒绝服务攻击的一种检测方法；参阅图2，所述软件定义网络环境包括网络应用、软件定义网络控制器和数据平面，网络应用通过软件定义网络控制其与数据平面进行数据交互，软件定义网络控制器与网络应用和数据平面之间分别通过特定的接口连接，此外，在数据平面内包括若干节点设备；参阅图3，所述方法首先对收集的流表进行流量统计，根据流表统计提取相应的特征，根据特征得到检测的依据，然后基于检测的依据来对后续新的流量进行新的分类，并得到最后的分类结果；具体的，方法的具体描述如下：

S1：通过OpenFlow协议收集由OpenFlow交换机返回的流表信息；

在本发明中，通过OpenFlow协议，由软件定义网络控制器定期地向所有软件定义网络交换机发送流表获取报文来获得OpenFlow交换机返回的流表信息，具体的，设置时间间隔为5秒，与控制器设置的近期未命中流删除时间保持一致，这样可以更加全面、完整地收集流表信息。

一般为了形成决策树，首先需要形成一个训练集，在本发明中，通过OpenFlow协议收集得到OpenFlow交换机返回的流表信息后，本发明会提取流表信息中与DDoS攻击相关的字段信息，并且将字段信息转化成可用于分析网络流量分布情况的参数作为属性形成相关训练集；具体的，属性包括流包数均值ANNPF，对流比PCF，端口增速PGS和源IP增速SGS；其中，流包数均值

式中PacketsNumi是一定时间间隔内第i条流中数据包的数目，FlowNum是这个时间间隔内流的总数目；对流比PCF＝2×Pair/FlowNum，式中Pair是交互流的对数，端口增速PGS＝PortsNum/interval，式中PortsNum是一定时间间隔内不同端口的数量，interval为时间间隔；源IP增速SGS＝sIPNum/interval，式中sIPNum指源IP地址的数目，经计算得到各属性相对应的值大小，从而形成决策树的训练集；假设训练集为D，则可以根据训练集D来构建相对应的决策树；具体可参阅步骤S3后续操作。

在本发明实施例中，使用流包数均值是因为攻击者通常通过连续随机地生成不合法IP来进行攻击，所以流的生成速度会显著提高，并且每条流的数据包数量减少；使用对流比是因为攻击期间受害者回复的数据包无法到达僵尸网络，所以用对流比来表现这种交互状态；使用端口增速与源IP增速是因为攻击期间它们会发生明显的变化；即通过各中属性构成的训练集形成的决策树可通过叠加各种不同的判断依据来判断网络流量中是否存在DDoS攻击的存在。

S3：使用C4.5决策树算法对网络流量进行分类，并根据训练集数据分类别计算类别信息熵；以及S4：依次计算属性的条件熵、信息的增益、属性的信息熵以及属性的信息增益率；

在本发明中，为了得到决策树，需要找出决策树的根节点和分叉节点，具体通过如下方式得到：

首先，通过C4.5决策树算法将网络流量分类，实施例中，可分为正常流量和攻击流量两类，然后根据训练集数据D计算各流量类别的信息熵，具体通过式

计算得到；公式中|Ci|是正常或攻击流量的样本数，|C|是总的样本数；然后根据属性取值下的类别分别来计算四个属性的条件熵，具体通过式

计算得到；式中Ax代表了每一个属性，按属性将训练集划分为D1，D2，…，Dn的n个子集，n是属性Ax下的不同情况数目，比如说可以根据属性值的大小分为高、中和低三中，|Di|为样本总数|D|下每一种情况的样本数，Info(Di)是每个子集的信息熵；条件熵可用于表示各种类别在某种属性的条件下出现的不确定之和；而信息的增益则通过式Gain(A_x)＝Info(D)-Info(A_x)计算得到；每个属性的信息熵通过式

计算得到，每个属性的信息熵上可作为***信息度量，可用来考虑某种属性进行***式分支的数量信息和尺寸信息，这样更加有利于DDoS攻击判断精准性的提升；而各个属性的信息增益率通过公式IGR(A_x)＝Gain(A_x)/H(A_x)计算得到，是对原来单纯使用信息增益的一种补充；综上可知，通过结合计算网络流量类别的信息熵、各属性的条件熵、流表信息的增益、每个属性的信息熵以及各属性的流表信息增益率，可以很好表述网络流量中的特征，从而实现对网络流量中是否存在DDoS攻击进行判断和预测。

在本发明中，将步骤S3和S4中计算得到的最大信息增益率的属性当作决策树的根节点，将剩余属性中信息增益率最大的属性作为分叉节点，并且多次重复步骤S3和S4，找出信息增益率大小在第一位和第二位的属性分别作为决策树的根节点和分叉节点，最终形成决策树。

实施例中，在决策树形成后，则可以使用决策树对网络流量进行分类操作，从而实现对DDoS攻击的检测，实现对网络流量中DDoS攻击检测的精确检测，并在检测到后及时采取相应的应对措施，保护网络的安全运行。

以上仅为本发明的较佳实施例，但并不限制本发明的专利范围，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本发明专利保护范围之内。

Claims

1.基于C4.5决策树算法的分布式拒绝服务攻击检测方法，是软件定义网络环境下对分布式拒绝服务攻击的一种检测方法，其特征在于，所述方法包括以下步骤：

S1：通过OpenFlow协议收集由OpenFlow交换机返回的流表信息；

S6：使用步骤S5中形成的决策树对新的网络流量进行分类操作，检测是否存在DDoS攻击；

所述属性包括流包数均值ANPPF、对流比PCF、端口增速PGS和源IP增速SGS，所述属性的条件熵用于表示各种类别在某种属性的条件下出现的不确定之和，通过式

计算，其中Ax代表了每一个属性，按属性将训练集划分为D1,D2,…,Dn的n个子集，n是属性Ax下的不同情况数目，|Di|为样本总数|D|下每一种情况的样本数，Info(Di)是每个子集的信息熵；

所述流包数均值ANPPF用于判断是否存在不合法IP攻击；所述对流比PCF可以用来表示在攻击期受害者回复的数据包无法达到僵尸网络时的交互状态；所述端口增速PGS和源IP增速SGS在网络收到攻击期间会发生明显变化，可用于判断是否存在不合法攻击；

所述网络流量包括正常流量和攻击流量，且两者的所述类别信息熵通过式

计算得到，其中，公式中|Ci|是正常或攻击流量的样本数，|C|是总的样本数；

所述属性的信息熵用于表示所述属性是否存在***的情况，通过式