[发明专利]一种网络攻击应用检测方法和系统

权利要求书

1.一种网络攻击应用检测方法，其特征在于，所述方法包括：

采集全量样本包含的全部特征；

生成多个特征组；所述特征组缺省全部所述特征中任意一项特征，且每个特征组的缺省特征各不相同；

根据每个所述特征组构建一棵第一决策树；每棵所述第一决策树对应一个缺省特征；

根据所述第一决策树的预测正确率确定多个有效特征；

根据多个所述有效特征训练攻击应用检测模型；

将当前应用的多个所述有效特征对应的样本数据输入所述攻击应用检测模型，以确定所述当前应用是否为攻击应用。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第一决策树的预测正确率确定多个有效特征步骤，包括：

按照所述第一决策树的预测正确率由高到低对多棵所述第一决策树进行排序；

选取排名后J棵第一决策树对应的缺省特征作为所述有效特征，J为大于1的正整数。

3.根据权利要求1所述的方法，其特征在于，所述根据多个所述有效特征训练攻击应用检测模型步骤，包括：

生成有效样本集；所述有效样本集是多个历史应用的所述有效特征对应的样本数据的集合；所述有效样本集按照预设比例分为训练样本集和验证样本集；

根据所述训练样本集生成多个随机森林；

根据所述验证样本集确定所述随机森林的验证错误率；

选取所述验证错误率最低的随机森林构建攻击应用检测模型。

4.根据权利要求3所述的方法，其特征在于，所述根据所述训练样本集生成多个随机森林步骤，包括：

步骤S1，从所述训练样本集中随机有放回地选取多个历史应用的所述样本数据；

步骤S2，根据所述样本数据生成第二决策树；

步骤S3，重复上述步骤S1和S2，生成随机森林；所述随机森林包括多棵第二决策树；

步骤S4，重复步骤S1、S2和S3，获得多棵随机森林。

5.根据权利要求3所述的方法，其特征在于，所述根据所述验证样本集确定所述随机森林的验证错误率步骤，包括：

提取所述验证样本集中历史应用的所述有效特征对应的样本数据；所述历史应用包括多个攻击应用和多个正常应用；

将所述样本数据输入所述随机森林生成所述历史应用的预测类型；如果所述预测类型与所述历史应用对应的实际类型不一致，则预测错误；

确定所述随机森林的验证错误率；所述验证错误率为预测错误的个数占所述验证样本集中所述历史应用数目的比率。

6.一种网络攻击应用检测系统，其特征在于，所述系统包括：

采集装置，用于采集全量样本包含的全部特征；

第一生成装置，用于生成多个特征组；所述特征组缺省全部所述特征中任意一项特征，且每个特征组的缺省特征各不相同；

第二生成装置，用于根据每个所述特征组构建一棵第一决策树；每棵所述第一决策树对应一个缺省特征；

有效特征获取装置，用于根据所述第一决策树的预测正确率确定多个有效特征；

训练装置，用于根据多个所述有效特征训练攻击应用检测模型；

预测装置，用于将当前应用的多个所述有效特征对应的样本数据输入所述攻击应用检测模型，以确定所述当前应用是否为攻击应用。

7.根据权利要求6所述的系统，其特征在于，所述有效特征获取装置，包括：

排序模块，用于按照所述第一决策树的预测正确率由高到低对多棵所述第一决策树进行排序；

选取模块，用于选取排名后J棵第一决策树对应的缺省特征作为所述有效特征，J为大于1的正整数。