[发明专利]一种基于极限学习机的僵尸网络识别方法

权利要求书

1.一种基于极限学习机的僵尸网络识别方法，其特征在于：包括以下步骤：

步骤S1：依据不同僵尸网络的特征，对网络流量数据进行解析，提取网络流量数据，采集得到包含僵尸网络特征的僵尸网络数据集；

步骤S2：采用K折交叉验证方法，将僵尸网络特征数据集划分为训练数据集和验证数据集；

所述的将僵尸网络特征数据集划分为训练数据集和验证数据集的具体内容是，将不同网络流量提取出的僵尸网络特征数据集分别记作botnet(1),botnet(2),…,botnet(i),...botnet(k),对数据集进行k种组合分组，并进行k次实验；其中，第i次分组的情况是将botnet(i)作为验证数据集，其余的k-1个特征数据集组合为训练数据集；

步骤S3：将训练数据集和验证数据集输入极限学习机分类器进行训练，得到初始僵尸网络检测模型；

步骤S4：将获取的K组测试数据集即botnet(1),botnet(2),…,botnet(i),...botnet(k)输入到训练好的僵尸网络模型中，用以测试模型的拟合能力和泛化能力，并根据混淆矩阵对测试结果进行统计，根据混淆矩阵的检测结果计算得到K组测试数据集的召回率(Recall，R)、精确率(Precision，P)、准确率即Accuracy和F值即F-measure指标；

步骤S5：判断步骤S4中计算得到的K组测试数据集的(Recall，R)、(Precision，P)、Accuracy和F-measure是否符合要求；若不符合要求即若步骤S4中计算得到的K组测试数据集的(Recall，R)、(Precision，P)、Accuracy和F-measure的平均结果均低于预设值，则调整僵尸网络检测模型隐含层神经元个数，所述调整神经元个数的范围为100—200，重新执行步骤S3至步骤S4训练僵尸网络模型，直到平均结果不低于预设值为止；其中，所述预设值为80％；若符合要求则得到步骤S4中测试完拟合能力和泛化能力后的模型，并继续执行步骤S6；

步骤S6：将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集，并将数据集输入到步骤S5得到的僵尸网络检测模型中，若僵尸网络模型输出为1，则判定该网络流量中是包含僵尸网络，若僵尸网络模型输出为0，则判定该网络流量中不包含僵尸网络。

2.根据权利要求1所述的一种基于极限学习机的僵尸网络识别方法，其特征在于：步骤S1所述对网络流量数据进行解析，提取网络流量数据的具体内容为：提取得到的网络流量是以pcap文件方式存储；一条网络流前面的数据主要包括连接信息和少部分的内容交换；在处理每条网络流量时，截取其前256字节的数据，对于不足256字节的网络流量，则在其末尾补充0x00；然后把每字节数据转换为十进制数得到该条网络流量的特征和其对应的标签一起存入.csv文件，该文件共有257列数据，前256列表示一条网络流量的256个特征值，第257列为类别标签，正常网络流量的标签为0，僵尸网络流量的标签为1。

3.根据权利要求1所述的一种基于极限学习机的僵尸网络识别方法，其特征在于：步骤S4中所述计算Recall(R)、Precision(P)、Accuracy和F-measure指标的具体计算公式如下：

Precision(P)＝TP/(TP+FP)

Recall(R)＝TP/(TP+FN)

Accuracy＝(TP+TN)/(TP+FN+FP+TN)

F-measure＝2P*R/(P+R)

其中，TP表示的是僵尸网络被正确检测为僵尸网络的个数；FP表示正常网络被错误检测为僵尸网络的个数；FN表示僵尸网络被错误检测为正常网络的个数；TN表示正常网络被正常识别为正常网络的个数；计算F-measure公式中的P表示精确率(Precision，P)，R表示召回率(Recall，R)。