[发明专利]一种基于二次特征筛选的拒绝服务攻击随机森林检测方法

说明书

本发明公开了一种基于二次特征筛选的拒绝服务攻击随机森林检测方法，包括：实时采集网络通信中的流量数据，归一化处理流量数据，得到特征数据集；利用随机森林特征重要度准则，计算特征数据集的变量重要性评分和累积重要性，完成一次最佳特征的提取；对分类模型进行训练得到二次最佳特征，二次采用随机森林特征重要度准则，得出一组新的重要特征并将其定义为分类模型的最终变量；再训练分类模型得到优化模型集，选出频率最高的模型组作为网络流量的分类检测模型。本发明具有较高的实时性和准确度，可以有效去除异常点的影响，避免局部最优，实现对正常流量以及各种DDoS攻击流量的精准分类，是一种适用于大数据下的有效的DDoS攻击检测技术。

技术领域

本发明涉及监测系统的技术领域，尤其涉及一种基于二次特征筛选的拒绝服务攻击随机森林检测方法。

背景技术

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的目的是使得目标网络或主机无法及时接受并处理外界请求，它通过占用网络上的流量导致带宽过载，从而导致网络或者目标计算机无法提供正常的服务。DDoS攻击对网络危害巨大,此类攻击具有破坏性强、涉及面广、实施方便、难以追踪和防范等特点，对网络安全构成了重大威胁，与其他网络攻击不同，DDOS攻击只需要大量的僵尸和少量的网络安全知识就可以发起有效的攻击。

现有的DDoS检测方式主要分为基于攻击流和基于正常数据流的检测，ChenZhaomin等人根据DDoS攻击产生的高流量来计算正常流量和攻击流量间的偏差来确定是否受到攻击，但此方法不能准确区分DDoS攻击和大流量访问，且误报率较高；Kotenko根据DDoS攻击过程中多对一的攻击特点，分别采用源IP地址数量、目的端口数量、流密度等三种特征来描述攻击行为的特性，但其只用了较少的报文信息，即大多只用到了源IP地址和目的端口的信息，且不能确定具体的攻击类型，从而使得检测率不高。

针对以上DDoS攻击检测方法普遍存在检测漏报率和误报率高，准确度低等特点，本发明提出了一种基于二次特征筛选的拒绝服务攻击随机森林检测方法，该检测方法适用于在高采样率的情况下，同时可检测到高、慢速攻击，是一种有效的检测方法。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，本发明解决的技术问题是：传统DDoS攻击检测方法普遍存在检测漏报率和误报率高，准确度低的问题。

为解决上述技术问题，本发明提供如下技术方案：实时采集网络通信中的流量数据，归一化处理所述流量数据，得到特征数据集；利用随机森林特征重要度准则，计算出所述特征数据集的变量重要性评分和累积重要性，完成一次最佳特征的提取；根据一次提取的最佳特征对分类模型进行训练得到二次最佳特征，二次采用所述随机森林特征重要度准则，得出一组新的重要特征并将其定义为分类模型的最终变量；基于所述最终变量训练所述分类模型得到优化模型集，选出频率最高的模型组作为网络流量的分类检测模型。

作为本发明所述的基于二次特征筛选的拒绝服务攻击随机森林检测方法的一种优选方案，其中：计算所述特征数据集的变量重要性评分和累积重要性过程包括，设有特征X₁，X₂，X₃，…,X_m，计算每个特征X_j的Gini指数评分其中，VIM表示特征重要性评分，GI表示Gini指数，则Gini指数的计算公式为：

其中，K表示有K个类别，p_mk表示节点m中类别k所占的比例，即从节点中任意抽取两个样本类别标记不相同的概率；