【技术实现步骤摘要】
一种基于随机森林的僵尸网络恶意流量监测方法
[0001]本专利技术属于计算机网络安全领域,尤其涉及一种基于随机森林的僵尸网络恶意流量监测方法。
技术介绍
[0002]随着互联网技术的迅速发展,互联网在生活中愈加重要,为人们带来了前所未有的便利。然而,互联网技术的发展在一定程度上也促进了恶意代码的发展和传播。网络中各种恶意代码的产生和传播已经完全超出了人们的想象。这些恶意代码的攻击手段层出不穷,攻击特点多种多样,已经呈现出全球性的威胁。
[0003]在各类各样的恶意代码中,僵尸网络是一种综合性强,集成度高的恶意代码,囊括多种恶意代码的特性。攻击者一般通过远程控制僵尸网络所感染的计算机来进行各种攻击行为,包括窥察身份信息,窃取用户信息,发送大量无效邮件等。由于被感染的僵尸主机产生的流量与正常主机相互通信产生的流量特征具有较大差异,通过网络流量对僵尸网络恶意流量的分类识别是检测僵尸网络的主要手段之一。因此对僵尸网络恶意流量分类检测技术进行研究具有重要的意义。
[0004]目前已经有多种网络流量分类和识别技术被提出。...
【技术保护点】
【技术特征摘要】
1.一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,包括以下步骤:步骤A:数据收集:用收集流量收集软件提取到的PCAP文件,收集恶意流量数据并标注类别;步骤B:数据预处理:对数据收集模块提取到的PCAP文件进行数据预处理,将流量按照五元组类型划分为数据流并提取其中的流统计特征;步骤C:核心分析:对数据预处理模块得到的流统计特征进行基于随机森林的Wrapper方法进行特征筛选,选取特征子集;步骤D:恶意流量种类检测:用于利用核心分析模块筛选出的特征子集作为模型输入,检测其是否属于恶意流量数据,并输出其所属类别;步骤E:反馈显示:收到恶意流量种类检测模块产生的最终检测结果,判断是否检测到恶意流量;如果检测为恶意流量数据,则将此条流量的具体信息反馈给用户;若检测结果不包含恶意流量,则告知用户该段捕获流量不存在恶意流量。2.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤B中数据预处理的具体为:B1、判断原始数据是否包含相同五元组,是则继续,否则丢弃;B2、判断数据流是否携带一定信息,是则继续,否则丢弃;B3、判断数据流是否是一个完整的双向流,是则保留,否则丢弃。3.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤B中采用的数据流类型要求正常流量与恶意流量比例为6:1。4.根据权利要求1...
【专利技术属性】
技术研发人员:张笑然,闫连山,李赛飞,李洪赭,
申请(专利权)人:西南交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。