一种制造技术

本发明专利技术涉及人工智能技术领域，具体为一种

【技术实现步骤摘要】
一种DoS入侵智能检测方法


[0001]本专利技术涉及人工智能
，具体为一种
DOS
入侵智能检测方法
。

技术介绍

[0002]人工智能和机器学习是近年来最热门的技术之一，
AIOps
是指将人工智能应用于运维领域，基于已有的运维数据，通过机器学习技术来进一步解决自动化运维没能解决的问题
。
基于传统网络，智能网络成为了
AIOps
概念下的一个重要研究领域，其目标是通过机器学习技术实现网络故障定位与自动排障
。
[0003]现有技术中，近年来，网络安全事件频繁发生，网络安全防护成为了人们越来越关心的问题，也成为了智能网络技术的一个主要应用方向
。DoS
入侵是网络流量入侵的一个常见种类，传统的入侵检测方法大多通过指定的特征来判断流量是否异常，如
TCP
连接数
、IP
地址
、
请求状态等
。
由于不同的入侵环境和入侵手段呈现出不同的流量特点和现象，传统的入侵检测方法暴露出以下局限性：
[0004]1)
单一或少数特征不足以代表复杂的流量特点，模型泛化能力不足
。
[0005]2)
在入侵流量非连续的场景下，简单的计算方法不足以对流量是否异常做出准确判断
。

技术实现思路

[0006]本专利技术的目的在于提供一种
DOS
入侵智能检测方法，以解决上述
技术介绍
中提出的问题
。
[0007]为实现上述目的，本专利技术提供如下技术方案：一种
DoS
入侵智能检测方法，所述方法包括以下步骤：
[0008]使用
CIC
‑
IDS2017
作为训练数据集；
[0009]使用
Scikit
‑
Learn
框架进行模型训练与入侵检测；
[0010]在入侵检测过程中，分别借助
scapy
与
CICFlowMeter
工具进行实时抓包与数据处理；通过
iptables
实现入侵流量的阻断
。
[0011]优选的，使用
CIC
‑
IDS2017
作为训练数据集时，数据格式包含以下两种：
[0012]a)PCAP
格式的原始流量数据；
[0013]b)
使用
CICFlowMeter
工具，将原始流量数据转化为
CSV
格式的流量统计数据，每条数据表示一个
flow
，每个
flow
包含超过
80
个统计特征，并被标注是否入侵及入侵种类
。
[0014]优选的，使用
Scikit
‑
Learn
框架进行模型训练与入侵检测包括数据预处理
、
数据分类
、
重要特征提取以及模型训练与验证
。
[0015]优选的，所述数据预处理对原始训练数据进行预处理，具体包括：
[0016]数据清理，删除包含空值或无效值的数据，提高训练数据的准确性；
[0017]数据转化，字符串数据转化为数值型数据，便于后续机器学习算法的执行；
[0018]数据合并，合并相似入侵种类的数据，增大训练数据量
。
[0019]优选的，所述数据分类是指将原始数据集进行整合，为每个入侵种类生成一个训练数据文件，不仅包含该入侵种类的异常流量样本，而且包含一定比例的正常流量样本，用于入侵种类对应的模型训练；按比例选取正常流量样本具体包括：
[0020]若原始训练数据文件中正常流量样本数小于异常流量样本数，则选取全部正常流量样本；
[0021]若原始训练数据文件中正常流量样本数大于或等于异常流量样本数，则对正常流量样本进行随机抽样，使得正常流量样本数与异常流量样本数的比例为
7:5。
[0022]优选的，所述重要特征的提取在模型训练的流程上属于降维的过程，剔除对模型意义不大甚至是造成干扰作用的特征，保留能够体现模型特点的特征，有利于提高模型训练的效率和准确性
。
[0023]优选的，所述模型训练与验证将每个模型的训练数据按照8：2的比例分为训练集和验证集，以提取出的重要流量特征作为模型的特征，以是否入侵作为标签，进行模型训练，并使用机器学习常用的评估参数进行模型的验证
。
[0024]优选的，所述入侵检测包括：
[0025]实时抓包，使用
scapy
工具在待检测的机器上进行实时抓包，抓取目的地址为本机的流量，单次抓包数量设为
500
个，并将抓包的结果保存为
PCAP
格式的原始流量文件，待后续数据处理与分析；
[0026]数据处理，使用
CICFlowMeter
工具将步骤所得数据转化为
CSV
格式的流量统计数据，每条数据表示一个
flow。
每个
flow
包含超过
80
个统计特征，无标注，待后续在模型预测过程中被标注；
[0027]模型预测，基于
Scikit
‑
Learn
框架，使用训练得到的三个模型对所得数据进行入侵检测，为每个
flow
进行标注，若任何一种模型将流量识别为异常，则标注为异常流量
Attack
，否则标注为正常流量
Benign
；
[0028]流量阻断，将检测结果按照流量的源
IP
进行分组，对于每个源
IP
，若有超过
80
％的流量被检测为异常流量，则在
iptables
中添加规则，丢弃来自源
IP
的流量，从而实现入侵流量的阻断
。
[0029]与现有技术相比，本专利技术的有益效果是：
[0030]本专利技术提出的
DOS
入侵智能检测方法根据历史流量数据的统计特征建立流量模型，基于机器学习技术进行模型训练和实时入侵检测，进而通过防火墙规则实现入侵流量的阻断
。
与传统入侵检测方法相比，根据流量统计特征建立的流量模型能够更好地反映出复杂的流量特点，基于机器学习技术的智能检测方法能够对
DoS
入侵做出更准确的判断，适用于更复杂
、
更广泛的应用场景；
[0031]为每种入侵工具生成各自的训练数据文件，提取各自的重要特征，训练得到各自的模型，并使用各自的模型分别进行入侵检测
。
若任何一种模型将流量识别为异常，则标注为异常流量，否则标注为正常流量
。
该方案使得每种入侵工具的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种
DoS
入侵智能检测方法，其特征在于：所述方法包括以下步骤：使用
CIC
‑
IDS2017
作为训练数据集；使用
Scikit
‑
Learn
框架进行模型训练与入侵检测；在入侵检测过程中，分别借助
scapy
与
CICFlowMeter
工具进行实时抓包与数据处理；通过
iptables
实现入侵流量的阻断
。2.
根据权利要求1所述的一种
DoS
入侵智能检测方法，其特征在于：使用
CIC
‑
IDS2017
作为训练数据集时，数据格式包含以下两种：
a)PCAP
格式的原始流量数据；
b)
使用
CICFlowMeter
工具，将原始流量数据转化为
CSV
格式的流量统计数据，每条数据表示一个
flow
，每个
flow
包含超过
80
个统计特征，并被标注是否入侵及入侵种类
。3.
根据权利要求1所述的一种
DoS
入侵智能检测方法，其特征在于：使用
Scikit
‑
Learn
框架进行模型训练与入侵检测包括数据预处理
、
数据分类
、
重要特征提取以及模型训练与验证
。4.
根据权利要求3所述的一种
DoS
入侵智能检测方法，其特征在于：所述数据预处理对原始训练数据进行预处理，具体包括：数据清理，删除包含空值或无效值的数据，提高训练数据的准确性；数据转化，字符串数据转化为数值型数据，便于后续机器学习算法的执行；数据合并，合并相似入侵种类的数据，增大训练数据量
。5.
根据权利要求3所述的一种
DoS
入侵智能检测方法，其特征在于：所述数据分类是指将原始数据集进行整合，为每个入侵种类生成一个训练数据文件，不仅包含该入侵种类的异常流量样本，而且包含一定比例的正常流量样本，用于入侵种类对应的模型训练；按比例选取正常流量样本具体包括：若原始训练数据文件中正常流量...

【专利技术属性】
技术研发人员：李婉君，孙兴艳，李彦君，杨燚，胡章丰，
申请(专利权)人：浪潮云信息技术股份公司，
类型：发明
国别省市：