[发明专利]基于随机森林的工控网络DDoS攻击流量检测方法及装置

说明书

本申请公开了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置，其中方法包括：获取工控网络流量数据包；解析所述工控网络流量数据包并提取DDoS攻击流量特征；将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；根据所述预测结果进行处理。通过对工控网络流量数据包进行解析和特征提取，提取出DDoS攻击的多维度特征，再利用基于随机森林的预设DDoS攻击流量检测模型进行检测，该模型的准确检测以及实时告警，能够满足检测的效率以及准确性要求。

技术领域

本申请涉及攻击检测技术领域，尤其涉及一种基于随机森林的工控网络DDoS攻击流量检测方法及装置。

背景技术

工控网络安全面临的挑战有新型木马、蠕虫病毒等入侵，例如导致美国东部大规模互联网瘫痪的“Mirai”病毒充分利用了网络摄像头、智能开关等现有智能终端设备的硬件编码漏洞，通过暴力破解的方式攻破了相关设备的访问控制权限，从而组建了数十万台的僵尸网络。

工控网络信息安全防护有其特殊性，首先是防护和攻击主体特殊，与传统网络攻击所不同，产业入侵者不是传统的黑客，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；其次是遭受攻击破坏的后果严重，工控关键设施如果遭受攻击，会直接威胁到国家经济的发展和社会的安定。

近年来，云计算、基于大数据理论的网络安全防护等新兴技术已经应用到了传统信息安全领域，这些新技术可以对终端恶意文件进行有效识别，但这些技术在工业控制系统领域应用较少。

DDOS攻击即分布式阻断服务，黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的，这样就形成了DDOS攻击。在DDoS攻击下，大量的不明数据报文流向受害主机，受害主机的网络接入带宽被耗尽，或者受害主机的系统资源(存储资源和计算资源)被大量占用，甚至发生死机。如何迅速且准确地检测出工控网络DDoS攻击是本领域技术人员急需解决的技术问题。

发明内容

本申请提供了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置，能够实时、快速且准确地对工控网络中的DDoS攻击进行检测并识别。

有鉴于此，本申请第一方面提供了一种基于随机森林的工控网络DDoS攻击流量检测方法，所述方法包括：

获取工控网络流量数据包；

解析所述工控网络流量数据包并提取DDoS攻击流量特征；

将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测，得到预测结果，所述预测结果包括第一预测结果以及第二预测结果，所述第一预测结果为DDoS攻击，所述第二预测结果为非DDoS攻击；

根据所述预测结果进行处理。

可选地，所述DDoS攻击流量特征具体包括：

会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。

可选地，所述将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测之前还包括：

基于随机森林法，采用基尼指数作为切分节点的标准，以是否为DDoS攻击作为分类结果，通过训练样本集对DDoS攻击流量检测模型进行训练，得到基于随机森林的预设DDoS攻击流量检测模型。

可选地，所述得到基于随机森林的预设DDoS攻击流量检测模型之后还包括：