[發明專利]一種基于XGBoost的端口掃描惡意流量的檢測方法在審
| 申請號: | 202110956812.3 | 申請日: | 2021-08-19 |
| 公開(公告)號: | CN113676475A | 公開(公告)日: | 2021-11-19 |
| 發明(設計)人: | 黃園園;蘇俊;方順健;彭宣正 | 申請(專利權)人: | 中電積至(海南)信息技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06N20/20 |
| 代理公司: | 北京高文律師事務所 11359 | 代理人: | 徐江華 |
| 地址: | 571924 海南省海口市澄邁縣老城*** | 國省代碼: | 海南;46 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 xgboost 端口掃描 惡意 流量 檢測 方法 | ||
1.一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:利用已知的標準惡意流量數據集(CICIDS2017數據集)構成的基礎流量數據集B,確認根據該基礎數據集對XGBoost模型進行訓練,獲得訓練好的XGBoost模型,使用訓練好的XGBoost模型對軟件定義網絡的流量進行在線檢測是否存在端口掃描惡意流量,對于存在誤檢或者漏檢的情況采用人工辦法進行干預,將誤檢或者漏檢的流量標簽進行重置,并將該流量加入到基礎數據集中形成更新的數據集B′,當B′的新增數據樣本增加到一定的比例時,重啟XGBoost訓練,獲得優化的XGBoost模型,從而達到不斷提升惡意流量檢測成功率的目的。
2.根據權利要求1所述的一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:步驟一:基于標準流量數據集對XGBoost模型初始化:從互聯網上下載CICIDS2017數據集構成本方法的基礎流量數據集B,所述該數據集包含良性流量和常見攻擊,其中包括端口掃描惡意流量,與真實世界流量數據具有高度的一致性,該數據集還包括使用CICFlowMeter進行的網絡流量分析的結果,使用包頭信息中的五元組基于時間戳、源和目標ip、源和目標端口、協議和攻擊CSV文件的標記流量。
3.根據權利要求2所述的一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:將所述基礎流量數據集B按比例分成兩部分B1和B2,其中B1為訓練數據集,所述訓練數據集B1的樣本從B中隨機挑選;B2為驗證數據集,其樣本為數據集B中除去B1的部分。
4.根據權利要求3所述的據權利要求1所述的一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:利用訓練集B1的網絡流量樣本數據對XGBoost模型進行訓練,針對端口掃描惡意流量,先對網絡流量的特征進行優化,使其對端口掃描惡意流量更精確,流量特征優選為:
5.根據權利要求4所述的一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:基于訓練集B1對XGBoost模型進行訓練,XGBoost采用特征并行的方法進行計算選擇要分裂的特征,即用多個線程,嘗試把各個特征都作為分裂的特征,找到各個特征的最優分割點,計算根據它們分裂后產生的增益,選擇增益最大的那個特征作為分裂的特征,其中XGBoost在每次迭代之后,為葉子結點分配學習速率,降低每棵樹的權重,減少每棵樹的影響,為后面提供更好的學習空間,XGBoost目標函數定義為:其中,目標函數由兩部分構成,第一部分用來衡量預測分數和真實分數的差距,另一部分則是正則化項,正則化項同樣包含兩部分,T表示葉子結點的個數,w表示葉子節點的分數,γ可以控制葉子結點的個數,λ可以控制葉子節點的分數不會過大,防止過擬合,二分類時將輸出預測值限制為0到1之間的值,得到返回給定流為端口掃描惡意攻擊的概率p∈[0,1],當p0.5時,輸出1,表示網絡流被識別為掃描端口惡意攻擊流,否則輸出為0表示為正常流。
6.根據權利要求5所述的一種基于XGBoost的端口掃描惡意流量的檢測方法,其特征在于:采用驗證數據集B2的樣本對訓練好的XGBoost模型進行驗證,若驗證結果滿足預定義的正確率,則可將訓練好的模型用于線上的檢測,否則,調整XGBoost的相關參數,持續進行上述訓練過程。
7.根據權利要求6所述的一種零信任網絡的構建方法,其特征在于:步驟二:采集網絡線上流量,在預設的時間窗T內,根據數據包頭信息中的五元組將收集的數據包劃分為不同的網絡流,所述五元組為源IP、源端口、目的IP、目的端口和協議,使用網絡流量特征提取工具CICFlowMeter對基礎數據集網絡流進行特征提取,并按照步驟一所述特征表進行優化,獲得網絡線上的優化流量特征集。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中電積至(海南)信息技術有限公司,未經中電積至(海南)信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110956812.3/1.html,轉載請聲明來源鉆瓜專利網。
