一種基于XGBoost的端口掃描惡意流量的檢測方法，利用已知的標準惡意流量數據集(CICIDS2017數據集)構成的基礎流量數據集B，確認根據該基礎數據集對XGBoost模型進行訓練，獲得訓練好的XGBoost模型，使用訓練好的XGBoost模型對軟件定義網絡的流量進行在線檢測是否存在端口掃描惡意流量，對于存在誤檢或者漏檢的情況采用人工辦法進行干預；將誤檢或者漏檢的流量標簽進行重置，并將該流量加入到基礎數據集中形成更新的數據集B′，當B′中新增流量樣本增加到一定的比例時，重啟XGBoost訓練，獲得優化的XGBoost模型，從而達到不斷提升惡意流量檢測成功率的目的。

技術領域

本發明涉及互聯網技術領域，更具體地說，本發明涉及一種基于XGBoost 的端口掃描惡意流量的檢測方法。

背景技術

隨著互聯網技術的發展，網絡流量正在迅速增加，用戶訪問互聯網所產生的流量部分來源于傳統的網絡服務，例如網頁瀏覽、電子郵件，另一部分則來源于種類繁多的多媒體服務，例如視頻、游戲、社交平臺等等。互聯網的總體流量正在迅速增加，伴隨著商業或其他的目的，隨之而來的是惡意流量也在迅猛增加，嚴重影響著互聯網服務商為用戶提供服務的質量。

一般而言，端口掃描是進攻一臺機器的第一步。因此，IDS能夠從端口掃描階段就發現威脅就變得尤為重要。目前，對端口掃描的惡意流量檢測主要分為兩大類。一是基于規則的檢測技術，主要方式是定義一系列規則，如果某個行為滿足了這一系列規則所定義的條件，則判定為是端口掃描攻擊。這種檢測方法的局限性在于隨著攻擊的模式增加，所需要的規則數量也在不斷增加，從而影響到檢測性能，而且容易被攻擊者繞開。

另一種是應用機器學習的方法檢測攻擊行為，通過對大量數據的分析提取特征、標注等手段建立攻擊行為模型，從而達到檢測端口掃描惡意流量的目的。目前，基于機器學習的惡意流量檢測方法上，主要算法有樸素貝葉斯、決策樹以及SVM等。但這些方法在實際的運用中，存在檢測成功不太高的問題；本發明基于機器學習的方法的優勢，發明了一種基于XGBoost的端口掃描惡意流量的檢測方法，有效地提升了檢測成功率的同時，還保持著檢測速度快的優勢。

發明內容

為了克服現有技術的上述缺陷，本發明的實施例提供一種基于XGBoost 的端口掃描惡意流量的檢測方法，通過需要設計一套方法來避免這些問題，以達到升了檢測成功率的同時，還保持著檢測速度快的優勢的目的，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種基于XGBoost的端口掃描惡意流量的檢測方法，利用已知的標準惡意流量數據集(CICIDS2017數據集)構成的基礎流量數據集B，確認根據該基礎數據集對XGBoost模型進行訓練，獲得訓練好的XGBoost模型，使用訓練好的XGBoost模型對軟件定義網絡的流量進行在線檢測是否存在端口掃描惡意流量，對于存在誤檢或者漏檢的情況采用人工辦法進行干預，將誤檢或者漏檢的流量標簽進行重置，并將該流量加入到基礎數據集中形成更新的數據集B′，當數據集B′中的樣本數量增加到一定的比例時，重啟XGBoost訓練，獲得優化的XGBoost模型，從而達到不斷提升惡意流量檢測成功率的目的。

在一個優選地實施方式中，步驟一：基于標準流量數據集對XGBoost模型初始化：從互聯網上下載CICIDS2017數據集構成本方法的基礎流量數據集 B，所述該數據集包含良性流量和常見攻擊，其中包括端口掃描惡意流量，與真實世界流量數據具有高度的一致性，該數據集還包括使用CICFlowMeter進行的網絡流量分析的結果，使用包頭信息中的五元組基于時間戳、源和目標 ip、源和目標端口、協議和攻擊CSV文件的標記流量。

在一個優選地實施方式中，將所述基礎流量數據集B按比例分成兩部分B₁和B₂，其中B₁為訓練數據集，所述訓練數據集B₁的樣本從B中隨機挑選；B₂為驗證數據集，其樣本為數據集B中除去B₁的部分。