基于随机森林的工控网络DDoS攻击流量检测方法及装置制造方法及图纸

本申请公开了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置，其中方法包括：获取工控网络流量数据包；解析所述工控网络流量数据包并提取DDoS攻击流量特征；将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；根据所述预测结果进行处理。通过对工控网络流量数据包进行解析和特征提取，提取出DDoS攻击的多维度特征，再利用基于随机森林的预设DDoS攻击流量检测模型进行检测，该模型的准确检测以及实时告警，能够满足检测的效率以及准确性要求。够满足检测的效率以及准确性要求。够满足检测的效率以及准确性要求。

【技术实现步骤摘要】
基于随机森林的工控网络DDoS攻击流量检测方法及装置


[0001]本申请涉及攻击检测
，尤其涉及一种基于随机森林的工控网络DDoS攻击流量检测方法及装置。

技术介绍

[0002]工控网络安全面临的挑战有新型木马、蠕虫病毒等入侵，例如导致美国东部大规模互联网瘫痪的“Mirai”病毒充分利用了网络摄像头、智能开关等现有智能终端设备的硬件编码漏洞，通过暴力破解的方式攻破了相关设备的访问控制权限，从而组建了数十万台的僵尸网络。
[0003]工控网络信息安全防护有其特殊性，首先是防护和攻击主体特殊，与传统网络攻击所不同，产业入侵者不是传统的黑客，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；其次是遭受攻击破坏的后果严重，工控关键设施如果遭受攻击，会直接威胁到国家经济的发展和社会的安定。
[0004]近年来，云计算、基于大数据理论的网络安全防护等新兴技术已经应用到了传统信息安全领域，这些新技术可以对终端恶意文件进行有效识别，但这些技术在工业控制系统领域应用较少。
[0005]DDOS攻击即分布式阻断服务，黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的，这样就形成了DDOS攻击。在DDoS攻击下，大量的不明数据报文流向受害主机，受害主机的网络接入带宽被耗尽，或者受害主机的系统资源(存储资源和计算资源)被大量占用，甚至发生死机。如何迅速且准确地检测出工控网络DDoS攻击是本领域技术人员急需解决的技术问题。

技术实现思路

[0006]本申请提供了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置，能够实时、快速且准确地对工控网络中的DDoS攻击进行检测并识别。
[0007]有鉴于此，本申请第一方面提供了一种基于随机森林的工控网络DDoS攻击流量检测方法，所述方法包括：
[0008]获取工控网络流量数据包；
[0009]解析所述工控网络流量数据包并提取DDoS攻击流量特征；
[0010]将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；
[0011]根据所述预测结果进行处理。
[0012]可选地，所述DDoS攻击流量特征具体包括：
[0013]会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
[0014]可选地，所述将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测之前还包括：
[0015]基于随机森林法，采用基尼指数作为切分节点的标准，以是否为DDoS攻击作为分类结果，通过训练样本集对DDoS攻击流量检测模型进行训练，得到基于随机森林的预设DDoS攻击流量检测模型。
[0016]可选地，所述得到基于随机森林的预设DDoS攻击流量检测模型之后还包括：
[0017]通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证，根据对测试样本集的分类结果以及实际分类结果，以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标，当所述检测率高于第一预设值，所述误报率低于第二预设值时，所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
[0018]可选地，所述根据所述预测结果进行处理具体包括：
[0019]若所述预测结果为第一预测结果，则进行告警处理；
[0020]若所述预测结果为第二预测结果，则丢弃所述工控网络流量数据包。
[0021]本申请第二方面提供一种基于随机森林的工控网络DDoS攻击流量检测装置，所述装置包括：
[0022]获取单元，用于获取工控网络流量数据包；
[0023]提取单元，用于解析所述工控网络流量数据包并提取DDoS攻击流量特征；
[0024]预测单元，用于将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；
[0025]处理单元，用于根据所述预测结果进行处理。
[0026]可选地，所述DDoS攻击流量特征具体包括：
[0027]会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
[0028]可选地，还包括：
[0029]训练单元，用于基于随机森林法，采用基尼指数作为切分节点的标准，以是否为DDoS攻击作为分类结果，通过训练样本集对DDoS攻击流量检测模型进行训练，得到基于随机森林的预设DDoS攻击流量检测模型。
[0030]可选地，还包括：
[0031]验证单元，用于通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证，根据对测试样本集的分类结果以及实际分类结果，以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标，当所述检测率高于第一预设值，所述误报率低于第二预设值时，所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
[0032]可选地，所述处理单元具体用于：
[0033]若所述预测结果为第一预测结果，则进行告警处理；
[0034]若所述预测结果为第二预测结果，则丢弃所述工控网络流量数据包。
[0035]从以上技术方案可以看出，本申请实施例具有以下优点：
[0036]本申请中，提供了一种基于随机森林的工控网络DDoS攻击流量检测方法，通过对
工控网络流量数据包进行解析和特征提取，提取出DDoS攻击的多维度特征，再利用基于随机森林的预设DDoS攻击流量检测模型进行检测，该模型的准确检测以及实时告警，能够满足检测的效率以及准确性要求。
附图说明
[0037]图1为本申请中一种基于随机森林的工控网络DDoS攻击流量检测方法的第一个方法流程图；
[0038]图2为本申请中一种基于随机森林的工控网络DDoS攻击流量检测方法的第二个方法流程图；
[0039]图3为本申请中一种基于随机森林的工控网络DDoS攻击流量检测装置的第一个结构示意图；
[0040]图4为本申请中一种基于随机森林的工控网络DDoS攻击流量检测装置的第二个结构示意图。
具体实施方式
[0041]为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0042]本申请设计了一种基于随机森林的工控网络DDoS攻击流量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于随机森林的工控网络DDoS攻击流量检测方法，其特征在于，包括：获取工控网络流量数据包；解析所述工控网络流量数据包并提取DDoS攻击流量特征；将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；根据所述预测结果进行处理。2.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法，其特征在于，所述DDoS攻击流量特征具体包括：会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。3.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法，其特征在于，所述将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测之前还包括：基于随机森林法，采用基尼指数作为切分节点的标准，以是否为DDoS攻击作为分类结果，通过训练样本集对DDoS攻击流量检测模型进行训练，得到基于随机森林的预设DDoS攻击流量检测模型。4.根据权利要求3所述的基于随机森林的工控网络DDoS攻击流量检测方法，其特征在于，所述得到基于随机森林的预设DDoS攻击流量检测模型之后还包括：通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证，根据对测试样本集的分类结果以及实际分类结果，以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标，当所述检测率高于第一预设值，所述误报率低于第二预设值时，所述基于随机森林的预设DDoS攻击流量检测模型训练完成。5.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法，其特征在于，所述根据所述预测结果进行处理具体包括：若所述预测结果为第一预测结果，则进行告警处理；若所述预测结果为第二预测结果，则丢弃...

【专利技术属性】
技术研发人员：张宇南，许爱东，蒋屹新，洪超，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：