[发明专利]基于联合特征选择的网络流量异常检测方法

说明书

本发明公开了一种基于联合特征选择的网络流量异常检测方法，主要解决现有网络流量异常检测方法检测准确率低及性能较差的问题，其方案包括：采集网络流量数据，进行数据预处理；对预处理后的网络流量数据进行特征选择，得到相关性最大和互信息最大的特征序列集合；对两个特征序列集合进行特征集成，得到特征筛选集合；利用特征筛选集合对网络流量数据进行特征筛选，并生成训练样本集和测试样本集；构建随机森林分类模型，并对其进行训练；将测试样本集输入到训练好的随机森林分类模型中，得到检测结果。本发明由于综合考虑了属性特征和类别特征的相关性和互信息，提高了检测准确率和性能，可用于故障检测、恶意软件检测、数据外泄及恶意挖矿。

技术领域

本发明属于网络安全技术领域，更进一步涉及一种网络流量异常检测方法，可用于故障检测、恶意软件检测、数据外泄及恶意挖矿。

背景技术

随着互联网技术的快速发展和网络规模的不断扩大，各种新技术蓬勃爆发，互联网已经成为人类生活中不可缺少的一部分，人们利用互联网进行社交、购物、工作等。但是同时，人们在享受互联网便利的过程中，不可避免地遭受网络异常的危害。目前普遍存在的多种网络异常，网络扫描，DDoS攻击，网络蠕虫病毒等，都可以通过网络流量的异常表现出来，网络流量异常能较全面地反映网络的实时状况。目前，网络流量异常检测已经作为一种有效的网络安全防护手段。但是，随着网络流量数据量的增加，主流的异常检测模型的识别效率越来越低，因为这些流量数据不仅规模庞大，而且有较高的维度，流量数据中存在着大量的噪声信息和冗余信息，这些信息极大降低了异常检测的效果。对网络流量进行有效的特征选择可以有效解决这一问题，良好的特征选择算法可以高效地剔除流量数据中的噪声特征和冗余特征，提升异常检测的效率和性能。因此，选择有效且高效的特征选择算法对异常流量检测是非常重要的。

华北电力大学和国家电网公司在专利申请号202011313089.9，申请公开号CN112511519 A的专利申请文献中提出“一种基于特征选择算法的网络入侵检测方法”。该方法的实施步骤是：第一步，从物联网设备中获得网络流量数据；第二步，使用QBSO-FS算法，对获得的网络流量数据在多种机器学习模型上的分类效果进行优化，获得优化子集；第三步，使用优化子集，利用决策策略，联合决策出新的特征子集；第四步，使用新的特征子集在复杂机器学习模型上进行分类训练，得出检测结果。该方法由于特征选择算法单一，不能剔除噪声或冗余的特征，导致检测模型的性能不佳。

中国科学院深圳先进技术研究院在专利申请号201911268314.9，申请公开号CN111064721 A的专利文献中提出“网络流量异常检测模型的训练方法及检测方法”。该方法的实施步骤是：第一步，根据训练样本确定隐藏层的层数和每层隐藏层中的神经元个数；第二步，根据所述隐藏层的层数和每层隐藏层中的神经元个数构建初始的特征提取网络；第三步，利用训练样本对所述的特征提取网络进行训练，得到训练完成的特征提取网络；第四步，去除所述训练完成的特征提取网络中的分类层，得到优化的特征提取网络；第五步，利用优化的特征提取网络提取训练样本的高级抽象特征数据，训练分类网络，完成网络流量检测模型的训练。由于网络流量数据具有较高的维度，该方法采用固定阈值的方法提取特征，导致原始流量数据的部分重要特征丢失，不能快速有效地进行网络流量检测，降低了检测模型的准确率和性能。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种基于联合特征选择的网络流量异常检测方法，以更加准确地选择网络流量的不同特征，提高网络异常流量检测准确率和性能。

为实现上述目的，本发明基于联合特征选择的网络流量异常检测方法，其特征在于，包括如下：

A)采集网络流量数据，进行数据预处理：

A1)从互联网网站上采集流量数据，提取能够反映流量特性的基本流量数据，包括数值型特征数据和字符型特征数据；

A2)对提取到的基本流量数据进行特征数据类型转换，并对转换后的数据进行标准化处理，得到预处理后的网络流量数据；