[发明专利]一种基于随机森林的僵尸网络恶意流量监测方法

说明书

本发明公开了一种基于随机森林的僵尸网络恶意流量监测方法，具体为：数据收集过程用于收集包含网络流量的PCAP文件，经过数据预处理过程分类成数据流类型并且提取其包含的流统计特征，使用基于随机森林的Wrapper方法进行特征筛选，再利用筛选得到特征子集作为机器学习模型输入得到检测结果，最终实现恶意流量判断。本发明有利于快速、准确地检测识别加密流量中是否包含恶意流量类别。

技术领域

本发明属于计算机网络安全领域，尤其涉及一种基于随机森林的僵尸网络恶意流量监测方法。

背景技术

随着互联网技术的迅速发展，互联网在生活中愈加重要，为人们带来了前所未有的便利。然而，互联网技术的发展在一定程度上也促进了恶意代码的发展和传播。网络中各种恶意代码的产生和传播已经完全超出了人们的想象。这些恶意代码的攻击手段层出不穷，攻击特点多种多样，已经呈现出全球性的威胁。

在各类各样的恶意代码中，僵尸网络是一种综合性强，集成度高的恶意代码，囊括多种恶意代码的特性。攻击者一般通过远程控制僵尸网络所感染的计算机来进行各种攻击行为，包括窥察身份信息，窃取用户信息，发送大量无效邮件等。由于被感染的僵尸主机产生的流量与正常主机相互通信产生的流量特征具有较大差异，通过网络流量对僵尸网络恶意流量的分类识别是检测僵尸网络的主要手段之一。因此对僵尸网络恶意流量分类检测技术进行研究具有重要的意义。

目前已经有多种网络流量分类和识别技术被提出。按照使用的技术不同，目前常见的网络流量分类方法可分为：基于端口号的流量识别技术，基于深度包检测的流量识别技术，基于传输层的流量识别技术等。以上方法随着动态随机端口策略以及隐私数据加密等技术的出现，已经呈现出越来越多的局限性。

基于端口号的流量识别技术：在互联网早期阶段，传统网络应用都遵从一套固定规则，按照特定的端口发送数据。接收方通过预先设定好的规则即可识别对应网络协议。例如：HTTP协议使用80端口进行通信，Telnet远程终端使用23端口通信，SSL协议则使用443端口。在早起流量识别研究中，基于端口号的方法识别效率和准确率很高。但是随着动态端口策略的应用，此类方法的识别效率有所下降。

基于深度包检测的流量识别技术：首先对流量片段进行特征提取，分析其中所包含的数据包荷载中的有效特征码。检测系统需要对流量片段进行解包操作，检查数据包中携带的有效特征码。但是此方法对于高速网络环境下检测装置的运算速度和内存要求很高，并且无法应对加密流量数据，在当下的互联网环境下发挥的作用愈发有限。

基于传输层的流量识别技术是利用主机主要基于传输层的行为模式来进行分类识别。该方法不存在对于流量数据包的信息提取和分析操作，并且不会受到网络拥塞和网络延迟等问题的影响。其主要分类依据是基于经验的启发式分类识别，因而在目前互联网可能会出现新的协议的情况下，其准确率存在不稳定的问题。

发明内容

基于上述问题，为解决快速识别，检测加密流量中可能包含的恶意流量类别。本发明提供一种基于随机森林的僵尸网络恶意流量监测方法。

本发明的一种基于随机森林的僵尸网络恶意流量监测方法，包括以下步骤：

步骤A：数据收集：用收集流量收集软件提取到的PCAP文件，收集恶意流量数据并标注类别。

步骤B：数据预处理：对数据收集模块提取到的PCAP文件进行数据预处理，将流量按照五元组类型划分为数据流并提取其中的流统计特征。

步骤C：核心分析：对数据预处理模块得到的流统计特征进行基于随机森林的Wrapper方法进行特征筛选，选取特征子集。

步骤D：恶意流量种类检测：用于利用核心分析模块筛选出的特征子集作为模型输入，检测其是否属于恶意流量数据，并输出其所属类别。