[发明专利]一种基于极限学习机的僵尸网络识别方法

说明书

本发明涉及一种基于极限学习机的僵尸网络识别方法，首先，采集得到各种特征的僵尸网络数据集；采用K折交叉验证方法，将僵尸网络特征数据集划分为训练数据集和验证数据集；接着，将训练数据集和验证数据集输入极限学习机分类器进行训练，得到初始僵尸网络检测模型；然后，将测试数据集输入到僵尸网络模型中，并根据混淆矩阵对测试结果进行统计并计算得到四个指标；步骤S5：若四个指标的平均结果偏低，则对僵尸网络检测模型进行参数调整优化；最后，将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集，并将数据集输入到僵尸网络检测模型中，判定该网络流量中是否包含僵尸网络。本发明可大大提高僵尸网络的检测效率。

技术领域

本发明涉及信息安全和僵尸网络检测技术领域，特别是一种基于极限学习机的僵尸网络识别方法。

背景技术

僵尸网络的检测方法主要分为两大类：传统入侵检测系统检测和深度学习模型检测。传统入侵检测系统检测僵尸网络的技术主要包括误用检测和异常检测。其中，误用检测基于通信特征码，使用事先配置的特征匹配规则对网络流量进行筛选。误用检测技术虽然对已知的僵尸网络的准确率较高，但是对加密流量的识别能力较弱，而且无法检测未知攻击。异常检测假设僵尸网络中命令与控制服务器与僵尸主机之间的通信模式与正常用户之间的通信模式有显著差异，因此可通过流量分析来对僵尸网络产生的异常流量进行检测，典型的异常特征包括高网络时延、非常规端口流量等。

近年来，一些研究学者将CNN，LSTM,SVM等方法应用到僵尸网络的检测方法中，并取得了相对不错的检测结果。神经网络和深度学习的发展给僵尸网络的检测提供了新的手段，但也带来了新的问题。无论是CNN还是LSTM方法来检测僵尸网络时，都需要将网络流量转化为模型需要的数据格式。例如，通过CNN建立模型检测僵尸网络，需要将获取的网络流量转化并保存为图片，然后再输入到模型进行训练，这会带来两个弊端。首先，我们需要消耗一定的系统资源来处理并保存这些图片；其次，在训练模型时，又需要将图片转化为张量，这无疑增量了时间和空间的开销。随着5G网络和物联网的发展，越来越多的物联网设备也将接入到互联网中，但物联网设备的处理器很多时候并不能满足当前深度学习模型的运算需求。因此，需要使用高效的机器学习方法建立僵尸网络检测模型来应对当前阶段物联网设备运算能力不足的缺点。由此可见，机器学习方法在僵尸网络检测的应用中还存在一定的提升空间。为了适应现阶段物联网环境下，物联网设备运算能力不足的缺点，本发明提出了一种基于极限学习机的模型用来对僵尸网络进行有效的检测。

发明内容

有鉴于此，本发明的目的是提供一种基于极限学习机的僵尸网络识别方法，针对现有深度学习模型检测僵尸网络需要消耗大量运算资源，训练时间长，需要强大的运算平台作为训练基础的问题，本发明利用极限学习机算法建立僵尸网络检测模型，仅需要少量的运算资源，少量的运算时间就能达到现有的基于深度学习的僵尸网络检测模型的识别准确率。

本发明采用以下方案实现：一种基于极限学习机的僵尸网络识别方法，包括以下步骤：

步骤S1：依据不同僵尸网络的特征，对网络流量数据进行解析，提取网络流量数据，采集得到包含僵尸网络特征的僵尸网络数据集；

步骤S2：采用K折交叉验证方法，将僵尸网络特征数据集划分为训练数据集和验证数据集；

步骤S3：将训练数据集和验证数据集输入极限学习机分类器进行训练，得到初始僵尸网络检测模型；

步骤S4：将获取的K组测试数据集输入到训练好的僵尸网络模型中，用以测试模型的拟合能力和泛化能力，并根据混淆矩阵对测试结果进行统计，根据混淆矩阵的检测结果计算得到K组测试数据集的召回率（Recall，R）、精确率（Precision，P）、准确率即Accuracy=和F值即F-measure指标；