[发明专利]一种基于对抗式决策树集成的拒绝服务攻击检测方法

说明书

本发明提供了一种基于对抗式决策树集成的拒绝服务攻击检测方法，包括下列步骤：1）对已经发生攻击后的网络流量特征所构成的数据集进行特征选取；2）使用决策树集成方法训练数据集中的数据；3）建立对抗式入侵检测模型，计算攻击方与检测方的成本与收益，通过博弈得到攻防平衡时攻击方的最优特征调整量与检测方的最优特征权重。该方法的优点是，入侵检测系统可以在攻击者调整攻击策略时调整自身检测策略，避免因攻击者刻意躲避检测调整攻击策略而造成检测失败。

技术领域

本发明涉及一种基于决策树集成的入侵检测方法，尤其是涉及一种适用于考虑攻击者智力因素时的基于对抗式决策树集成的拒绝服务攻击检测方法。

背景技术

入侵检测技术通过分析攻击发生后的网络流量特征来定位攻击，是解决拒绝服务问题的一个有效途径。入侵检测系统所采用的技术主要分为异常检测和特征检测两类，其中，异常检测是假设入侵者的活动有异于正常主体的活动，即主体的活动状况违反正常规律时认为该活动是入侵行为；特征检测时假设入侵者的活动符合一定的模型，当主体的活动符合这些模式时认为该活动是入侵行为。

目前，入侵检测技术往往是基于机器学习的方法，通过有监督的学习大量攻击样本来提取敏感的网络流量特征用于检测，但这种方法并未考虑攻击者的智力因素，一旦用于鉴别攻击的流量特征被知悉，攻击者将通过调整攻击策略来躲避检测。

因此，针对攻击者可能会针对性调整攻击策略的情况，开发一种基于对抗式决策树集成的拒绝服务攻击检测方法。

发明内容

本发明的目的是为了克服上述现有技术存在的缺陷而提供一种适用于考虑攻击者智力因素时的基于对抗式决策树集成的拒绝服务攻击检测方法。

本发明的目的可以通过以下技术方案来实现：

一种基于对抗式决策树集成的拒绝服务攻击检测方法，包括如下步骤：

1)对已经发生攻击后的网络流量特征所构成的数据集进行特征选取；

2)使用决策树集成方法训练数据集中的数据；

3)建立对抗式入侵检测模型，计算攻击方与检测方的成本与收益，通过博弈得到攻防平衡时攻击方的最优特征调整量与检测方的最优特征权重。

所述步骤1)中的特征选取包括下列步骤：

步骤1.1，将由大量攻击样本构成的数据集随机划分为训练集和测试集，并根据特征的数量m将划分好的训练集和测试集分别复制m组为后续步骤使用；

步骤1.2、将步骤1.1中的m组数据集每组删除1个特征，即第i组数据集删除第i个特征，得到m组不同的数据集；

步骤1.3、分别使用每组训练集来训练决策树分类器得到m个分类器，并在每组对应的测试集上测试，选择分类准确性作为分类器的性能指标对每个分类器的分类效果进行评估，其中分类准确性为分类正确的样本数/总样本数；

步骤1.4、分析m个分类器的性能指标，删除某个特征后对分类性能影响较大的特征为重要的特征，选取n个分类性能指标较差的n个分类器所训练的数据集对应删除的特征。

所述步骤2)中的训练数据集包括下列步骤：

步骤2.1、根据特征选取得到的n个网络流量特征，删除原数据集中没有选中的其它网络流量特征，所述网络流量是指单位时间内通过网络设备或传输介质的信息量；

步骤2.2、删除数据集中正常网络流量样本与拒绝服务攻击网络流量样本之外的所有样本；

步骤2.3、修改数据集的标签，将拒绝服务攻击网络流量的数据标签修改为“1”，将正常网络流量的数据标签修改为“0”；