本發(fā)明公開了一種基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法，包括：根據(jù)數(shù)據(jù)傳輸需求和應用場景需求選擇多個屬性，根據(jù)多個屬性構建已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合和標記數(shù)據(jù)集，標記數(shù)據(jù)集中每個標記包括正常或異常兩個取值；根據(jù)屬性向量數(shù)據(jù)集合和標記數(shù)據(jù)集構建分類回歸決策樹；根據(jù)分類回歸決策樹對新數(shù)據(jù)進行異常行為的檢測。本發(fā)明具有如下優(yōu)點：相對于已有的路由器數(shù)據(jù)平面異常檢測方法，具備檢測誤差小、擴展性強、性能穩(wěn)定等優(yōu)點。

技術領域

本發(fā)明涉及下一代互聯(lián)網安全技術領域，具體涉及一種基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法。

背景技術

下一代互聯(lián)網，無疑要面臨萬物互聯(lián)的挑戰(zhàn)。在物聯(lián)網(IoT)迅速發(fā)展的同時，網絡路由器的數(shù)據(jù)平面行為異常的事件時有發(fā)生，異常行為不僅僅種類繁多，而且不同的物聯(lián)網應用場景可能對異常行為的判定不一致，因此下一代互聯(lián)網在數(shù)據(jù)平面暴露出新的安全問題，亟待解決。而且，即使是已有的傳統(tǒng)網絡，隨著網絡技術的不斷發(fā)展，網絡規(guī)模的不斷擴大、豐富，路由器數(shù)據(jù)平面的異常行為頻繁發(fā)生，帶來的網絡安全問題給廣大用戶和國家?guī)砹司薮蟮陌踩{，也需要一個強有力、穩(wěn)定性高、可擴展的路由器數(shù)據(jù)平面異常行為的檢測方法。

關于路由器數(shù)據(jù)平面的異常行為檢測方法主要是依靠已有的歷史數(shù)據(jù)和人為對數(shù)據(jù)進行標記來識別未知數(shù)據(jù)是否為異常行為，從而達到異常行為的檢測效果。目前已有的路由器數(shù)據(jù)平面異常行為檢測方法難以同時滿足時效性和準確性。隨著機器學習的發(fā)展，分類思想和聚類思想在路由器數(shù)據(jù)平面的異常行為檢測中得到了普遍的應用。相對于分類的思想，采用聚類思想的方法不要求對已有數(shù)據(jù)進行標記，能夠自學習到異常行為的特征，但是此方法運算開銷較大，而且聚類對于異常行為的檢測容易出現(xiàn)誤差，難以保證路由器的安全性。而采用分類的思想，盡管要求帶標記的數(shù)據(jù)，但是可以離線完成標記，不會影響路由器中異常行為的檢測效率，同時計算開銷低，能夠達到理想的時效性要求，而且在路由器的數(shù)據(jù)平面基于分類的異常行為檢測方法的精度普遍優(yōu)于基于聚類的異常行為檢測方法的精度。

發(fā)明內容

本發(fā)明旨在至少解決上述技術問題之一。

為此，本發(fā)明的目的在于提出一種基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法，解決下一代互聯(lián)網由于萬物互聯(lián)所帶來的錯綜復雜的行為種類所導致的異常行為難以準確檢測的問題。

為了實現(xiàn)上述目的，本發(fā)明的實施例公開了一種基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法，包括以下步驟：

根據(jù)本發(fā)明實施例的基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法，包括以下步驟：S1：根據(jù)數(shù)據(jù)傳輸需求和應用場景需求選擇多個屬性，根據(jù)所述多個屬性構建已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合和標記數(shù)據(jù)集，所述標記數(shù)據(jù)集是根據(jù)路由器的歷史運行記錄進行標注的，所述標記數(shù)據(jù)集中每個標記包括正常標記或異常標記；S2：根據(jù)所述屬性向量數(shù)據(jù)集合和標記數(shù)據(jù)集離線構建分類回歸決策樹；S3：根據(jù)所述分類回歸決策樹對新數(shù)據(jù)進行異常行為的檢測。

能夠準確檢測已知的異常行為，而且能夠利用緩存池的思想將介于正常行為與異常行為之外的不確定行為緩存，根據(jù)不同的應用場景需求自定義是否為異常行為，增強了下一代互聯(lián)網的安全性。更重要的是，此技術相對于已有的路由器數(shù)據(jù)平面異常檢測方法，具備檢測誤差小、擴展性強、性能穩(wěn)定等優(yōu)點。

另外，根據(jù)本發(fā)明上述實施例的基于分類回歸決策樹的路由器數(shù)據(jù)平面異常行為檢測方法，還可以具有如下附加的技術特征：

進一步地，所述數(shù)據(jù)傳輸需求包括源地址、目的地址、源端口號、目的端口號和數(shù)據(jù)傳輸類型。

進一步地，所述應用場景需求包括數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)到達和離開時間。