[发明专利]一种网络攻击应用检测方法和系统

说明书

本发明公开了一种网络攻击应用检测方法和系统。该方法包括：采集全量样本包含的全部特征，生成多个特征组，该特征组缺省全部所述特征中任意一项特征，根据该特征组构建第一决策树；每棵所述第一决策树对应一个缺省特征；根据所述第一决策树的预测正确率确定多个有效特征；根据多个所述有效特征训练攻击应用检测模型；将当前应用的多个所述有效特征对应的样本数据输入所述攻击应用检测模型，以确定所述当前应用是否为攻击应用。本发明提高了对网络攻击应用进行检测的检测准确率。

技术领域

本发明涉及计算机技术领域，具体涉及一种软件定义网络的攻应用检测方法和装置。

背景技术

网络早已经成为支撑人们生活、娱乐、工作、学习等各个方面的基础性设施之一。然而，传统互联网的架构越来越难以满足运营商、企业和用户的需求。因此，软件定义网络(Software Defined Network，SDN)应运而生，SDN的核心理念是使网络软件化并充分开放，从而使得网络能够像软件一样便捷、灵活，以此提高网络的创新能力。

SDN结合网络虚拟化技术在网络的发展中发挥越来越大的作用，但是各类针对软件定义网络控制器的攻击应用也逐渐增多。当前软件定义网络的攻击检测系统通常根据相关应用的应用程序编程接口(Application Programming Interface，API)调用情况判断其是否为攻击应用。但是，对于含有定向威胁攻击(Advanced Persistent Threat，APT)的应用，仅仅只根据“API调用情况”一项应用行为特征很难判断该应用是否为攻击应用，导致软件定义网络对攻击应用的检测准确性较低。

发明内容

为此，本发明提供一种攻击应用检测方法，以解决现有技术中仅根据API调用情况很难检测应用是否为攻击应用而导致的软件定义网络对攻击应用的检测准确性较低的问题。

为了实现上述目的，本发明第一方面提供一种网络攻击应用检测方法，该方法包括：

采集全量样本包含的全部特征；

生成多个特征组；该特征组缺省全部特征中任意一项特征；

根据上述特征组构建第一决策树；每棵第一决策树对应一个缺省特征；

根据上述第一决策树的预测正确率确定多个有效特征；

根据多个上述有效特征训练攻击应用检测模型；

将当前应用的多个有效特征对应的样本数据输入上述攻击应用检测模型，以确定当前应用是否为攻击应用。

优选地，根据第一决策树的预测正确率确定多个有效特征步骤，包括：

按照第一决策树的预测正确率由高到低对多颗第一决策树进行排序；

选取排名后J颗第一决策树对应的缺省特征作为有效特征，J为大于1的正整数。

优选地，根据多个有效特征训练攻击应用检测模型步骤，包括：

生成有效样本集；该有效样本集是多个历史应用的有效特征对应的样本数据的集合；该有效样本集按照预设比例分为训练样本集和验证样本集；

根据该训练样本集生成多个随机森林；

根据该验证样本集确定随机森林的验证错误率；

选取验证错误率最低的随机森林构建攻击应用检测模型。

优选地，根据训练样本集生成多个随机森林步骤，包括：

步骤S1，从训练样本集中随机有放回地选取多个历史应用的样本数据；

步骤S2，根据上述样本数据生成第二决策树；

步骤S3，重复上述步骤S1和S2，生成随机森林；该随机森林包括多棵第二决策树；