本發(fā)明涉及一種基于隨機森林的入侵檢測分類方法及裝置。使用網絡入侵檢測數據集進行網絡流量的攻擊識別，選取的特征屬性有TCP連接的基本特征、TCP連接的內容特征、基于時間的網絡流量統計特征和基于主機的網絡流量統計特征，并將入侵檢測數據集分為70％的訓練集和30％測試集，然后對非數值型特征進行數值轉換，對于沒有關聯的特征分類數值進行one?hot編碼，將這四類特征作為隨機森林入侵檢測模型的輸入，通過訓練集構建隨機森林分類器模型，調整基評估其數量以得到最佳的分類器模型，后用測試集對該模型進行評估，實現對入侵檢測的精確分類。實驗表明，本方法準確率可達99.91％，該模型具有非常好的入侵檢測分類效果。

技術領域

本發(fā)明涉及網絡安全技術領域，具體涉及一種基于隨機森林的入侵檢測分類方法及裝置。

背景技術

隨著互聯網的快速發(fā)展，新的網絡技術數見不鮮，網絡入侵卻不斷帶來網絡安全問題，面對如此復雜網絡環(huán)境下的攻擊，我們如何及時發(fā)現黑客的攻擊行為，盡可能抵御、減少網絡上的惡意攻擊、維護網絡安全，這使網絡流量的監(jiān)控和入侵檢測變得越發(fā)重要。

入侵檢測技術可通過識別網絡流量數據中的攻擊來保障網絡空間的安全。主機型和網絡型的入侵檢測系統一般比較常見，以日志為數據源的主機型入侵檢測系統，能很好的識別分析、緊密關注特殊主機事件以及成本低廉，可以檢測到攻擊但不快捷；而網絡型入侵檢測系統一般是通過捕獲網絡流量的數據包作為數據源，將系統放置在網關或者防火墻之后，對所有的數據包起到監(jiān)視的作用。

近年來，機器學習的分類、聚類、降維、回歸的方法被廣泛用于入侵檢測研究，如何建立正確的入侵檢測模型成為研究熱點之一。網絡流量分類存在準確率低的問題，因此，本發(fā)明提出基于隨機森林的入侵檢測分類方法及裝置。

發(fā)明內容

本發(fā)明的目的是：為了解決上述問題，本發(fā)明提出一種基于隨機森林的入侵檢測分類方法及裝置。該方法基于并行式集成學習的隨機森林模型，利用樣本的隨機選擇和特征的隨機選擇，解決了傳統機器學習算法容易過擬合的問題，而且，隨機森林中的決策樹數量多，不但可以解決單個決策樹泛化能力弱的問題，對數量大維度高的數據也能進行較好的分類，提高入侵檢測的準確性。

為了解決上述問題，本發(fā)明所采用的技術方案是：

一種基于隨機森林的入侵檢測分類方法，其特征在于，包括如下步驟：

選取入侵檢測數據集的特征屬性：對NSL-KDD網絡入侵檢測數據集進行分析，選取與入侵檢測有密切關系的四類特征屬性作為輸入，包括：TCP連接的基本特征、TCP連接的內容特征、基于時間的網絡流量統計特征和基于主機的網絡流量統計特征；

劃分訓練集和測試集：導入NSL-KDD網絡入侵檢測數據集的數據，并將其隨機劃分為70％的訓練集和30％的測試集；

數值轉換：對訓練集和測試集的數據進行數值轉換處理，將分類標簽轉換成分類數值，將文字型特征也轉換為數值類型；

one-hot編碼：對沒有關聯的特征分類數值進行one-hot編碼，將字符型特征轉換為啞變量覆蓋原來的數值；

建立隨機森林分類器模型：選取訓練集的數據作為輸入導入隨機森林算法中，通過訓練集建立隨機森林分類器模型，實現對入侵檢測分類；

調整基評估器數量：比較不同的基評估器數量對精確度的影響，選擇分類結果最好的一個作為最終的分類器；

完善隨機森林分類器模型：通過測試集對隨機森林分類器模型進行評估，從而完善隨機森林分類器模型，實現對入侵檢測數據精確分類。

進一步的，選取入侵檢測數據集的特征屬性，包括：基于隨機森林分類算法，選取入侵檢測數據集中與入侵檢測緊密相關的四類特征屬性共41個特征屬性建立入侵檢測分類模型，表1至表4是屬性說明：

表1 TCP連接的基本特征