本發明公開了一種基于二次特征篩選的拒絕服務攻擊隨機森林檢測方法，包括：實時采集網絡通信中的流量數據，歸一化處理流量數據，得到特征數據集；利用隨機森林特征重要度準則，計算特征數據集的變量重要性評分和累積重要性，完成一次最佳特征的提取；對分類模型進行訓練得到二次最佳特征，二次采用隨機森林特征重要度準則，得出一組新的重要特征并將其定義為分類模型的最終變量；再訓練分類模型得到優化模型集，選出頻率最高的模型組作為網絡流量的分類檢測模型。本發明具有較高的實時性和準確度，可以有效去除異常點的影響，避免局部最優，實現對正常流量以及各種DDoS攻擊流量的精準分類，是一種適用于大數據下的有效的DDoS攻擊檢測技術。

技術領域

本發明涉及監測系統的技術領域，尤其涉及一種基于二次特征篩選的拒絕服務攻擊隨機森林檢測方法。

背景技術

分布式拒絕服務(Distributed?Denial?of?Service,DDoS)攻擊的目的是使得目標網絡或主機無法及時接受并處理外界請求，它通過占用網絡上的流量導致帶寬過載，從而導致網絡或者目標計算機無法提供正常的服務。DDoS攻擊對網絡危害巨大,此類攻擊具有破壞性強、涉及面廣、實施方便、難以追蹤和防范等特點，對網絡安全構成了重大威脅，與其他網絡攻擊不同，DDOS攻擊只需要大量的僵尸和少量的網絡安全知識就可以發起有效的攻擊。

現有的DDoS檢測方式主要分為基于攻擊流和基于正常數據流的檢測，ChenZhaomin等人根據DDoS攻擊產生的高流量來計算正常流量和攻擊流量間的偏差來確定是否受到攻擊，但此方法不能準確區分DDoS攻擊和大流量訪問，且誤報率較高；Kotenko根據DDoS攻擊過程中多對一的攻擊特點，分別采用源IP地址數量、目的端口數量、流密度等三種特征來描述攻擊行為的特性，但其只用了較少的報文信息，即大多只用到了源IP地址和目的端口的信息，且不能確定具體的攻擊類型，從而使得檢測率不高。

針對以上DDoS攻擊檢測方法普遍存在檢測漏報率和誤報率高，準確度低等特點，本發明提出了一種基于二次特征篩選的拒絕服務攻擊隨機森林檢測方法，該檢測方法適用于在高采樣率的情況下，同時可檢測到高、慢速攻擊，是一種有效的檢測方法。

發明內容

本部分的目的在于概述本發明的實施例的一些方面以及簡要介紹一些較佳實施例。在本部分以及本申請的說明書摘要和發明名稱中可能會做些簡化或省略以避免使本部分、說明書摘要和發明名稱的目的模糊，而這種簡化或省略不能用于限制本發明的范圍。

鑒于上述現有存在的問題，提出了本發明。

因此，本發明解決的技術問題是：傳統DDoS攻擊檢測方法普遍存在檢測漏報率和誤報率高，準確度低的問題。

為解決上述技術問題，本發明提供如下技術方案：實時采集網絡通信中的流量數據，歸一化處理所述流量數據，得到特征數據集；利用隨機森林特征重要度準則，計算出所述特征數據集的變量重要性評分和累積重要性，完成一次最佳特征的提取；根據一次提取的最佳特征對分類模型進行訓練得到二次最佳特征，二次采用所述隨機森林特征重要度準則，得出一組新的重要特征并將其定義為分類模型的最終變量；基于所述最終變量訓練所述分類模型得到優化模型集，選出頻率最高的模型組作為網絡流量的分類檢測模型。

作為本發明所述的基于二次特征篩選的拒絕服務攻擊隨機森林檢測方法的一種優選方案，其中：計算所述特征數據集的變量重要性評分和累積重要性過程包括，設有特征X₁，X₂，X₃，…,X_m，計算每個特征X_j的Gini指數評分其中，VIM表示特征重要性評分，GI表示Gini指數，則Gini指數的計算公式為：

其中，K表示有K個類別，p_mk表示節點m中類別k所占的比例，即從節點中任意抽取兩個樣本類別標記不相同的概率；