【技术实现步骤摘要】
一种基于极限学习机的僵尸网络识别方法
本专利技术涉及信息安全和僵尸网络检测
,特别是一种基于极限学习机的僵尸网络识别方法。
技术介绍
僵尸网络的检测方法主要分为两大类:传统入侵检测系统检测和深度学习模型检测。传统入侵检测系统检测僵尸网络的技术主要包括误用检测和异常检测。其中,误用检测基于通信特征码,使用事先配置的特征匹配规则对网络流量进行筛选。误用检测技术虽然对已知的僵尸网络的准确率较高,但是对加密流量的识别能力较弱,而且无法检测未知攻击。异常检测假设僵尸网络中命令与控制服务器与僵尸主机之间的通信模式与正常用户之间的通信模式有显著差异,因此可通过流量分析来对僵尸网络产生的异常流量进行检测,典型的异常特征包括高网络时延、非常规端口流量等。近年来,一些研究学者将CNN,LSTM,SVM等方法应用到僵尸网络的检测方法中,并取得了相对不错的检测结果。神经网络和深度学习的发展给僵尸网络的检测提供了新的手段,但也带来了新的问题。无论是CNN还是LSTM方法来检测僵尸网络时,都需要将网络流量转化为模型需要的数据格式。例如,通...
【技术保护点】
1.一种基于极限学习机的僵尸网络识别方法,其特征在于:包括以下步骤:/n步骤S1:依据不同僵尸网络的特征,对网络流量数据进行解析,提取网络流量数据,采集得到包含僵尸网络特征的僵尸网络数据集;/n步骤S2:采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;/n步骤S3:将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;/n步骤S4:将获取的K组测试数据集输入到训练好的僵尸网络模型中,用以测试模型的拟合能力和泛化能力,并根据混淆矩阵对测试结果进行统计,根据混淆矩阵的检测结果计算得到K组测试数据集的召回率(Recall,R)、精...
【技术特征摘要】
1.一种基于极限学习机的僵尸网络识别方法,其特征在于:包括以下步骤:
步骤S1:依据不同僵尸网络的特征,对网络流量数据进行解析,提取网络流量数据,采集得到包含僵尸网络特征的僵尸网络数据集;
步骤S2:采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;
步骤S3:将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;
步骤S4:将获取的K组测试数据集输入到训练好的僵尸网络模型中,用以测试模型的拟合能力和泛化能力,并根据混淆矩阵对测试结果进行统计,根据混淆矩阵的检测结果计算得到K组测试数据集的召回率(Recall,R)、精确率(Precision,P)、准确率即Accuracy和F值即F-measure指标;
步骤S5:判断步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure是否符合要求;若不符合要求即若步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure的平均结果均低于预设值,则调整僵尸网络检测模型隐含层神经元个数,所述调整神经元个数的范围为100—200,直到平均结果不低于预设值为止,重新执行步骤S3至步骤S4训练僵尸网络模型;其中,所述预设值为80%;若符合要求则得到步骤S4中测试完拟合能力和泛化能力后的模型,并继续执行步骤S6;
步骤S6:将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集,并将数据集输入到步骤S5得到的僵尸网络检测模型中,若僵尸网络模型输出为1,则判定该网络流量中是包含僵尸网络,若僵尸网络模型输出为0,则判定该网络流量中不包含僵尸网络。
2.根据权利要求1所述的一种基于极限学习机的僵尸网络识别方法,其特征在于:步骤S1所述对网络流量数据进行解析,提...
【专利技术属性】
技术研发人员:董晨,董旭东,郭文忠,程烨,何辉,杨旸,
申请(专利权)人:福州大学,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。