[发明专利]一种基于XGBoost的端口扫描恶意流量的检测方法

权利要求书

1.一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B，确认根据该基础数据集对XGBoost模型进行训练，获得训练好的XGBoost模型，使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在端口扫描恶意流量，对于存在误检或者漏检的情况采用人工办法进行干预，将误检或者漏检的流量标签进行重置，并将该流量加入到基础数据集中形成更新的数据集B′，当B′的新增数据样本增加到一定的比例时，重启XGBoost训练，获得优化的XGBoost模型，从而达到不断提升恶意流量检测成功率的目的。

2.根据权利要求1所述的一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：步骤一：基于标准流量数据集对XGBoost模型初始化：从互联网上下载CICIDS2017数据集构成本方法的基础流量数据集B，所述该数据集包含良性流量和常见攻击，其中包括端口扫描恶意流量，与真实世界流量数据具有高度的一致性，该数据集还包括使用CICFlowMeter进行的网络流量分析的结果，使用包头信息中的五元组基于时间戳、源和目标ip、源和目标端口、协议和攻击CSV文件的标记流量。

3.根据权利要求2所述的一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：将所述基础流量数据集B按比例分成两部分B₁和B₂，其中B₁为训练数据集，所述训练数据集B₁的样本从B中随机挑选；B₂为验证数据集，其样本为数据集B中除去B₁的部分。

4.根据权利要求3所述的据权利要求1所述的一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：利用训练集B₁的网络流量样本数据对XGBoost模型进行训练，针对端口扫描恶意流量，先对网络流量的特征进行优化，使其对端口扫描恶意流量更精确，流量特征优选为：

5.根据权利要求4所述的一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：基于训练集B₁对XGBoost模型进行训练，XGBoost采用特征并行的方法进行计算选择要分裂的特征，即用多个线程，尝试把各个特征都作为分裂的特征，找到各个特征的最优分割点，计算根据它们分裂后产生的增益，选择增益最大的那个特征作为分裂的特征，其中XGBoost在每次迭代之后，为叶子结点分配学习速率，降低每棵树的权重，减少每棵树的影响，为后面提供更好的学习空间，XGBoost目标函数定义为：其中，目标函数由两部分构成，第一部分用来衡量预测分数和真实分数的差距，另一部分则是正则化项，正则化项同样包含两部分，T表示叶子结点的个数，w表示叶子节点的分数，γ可以控制叶子结点的个数，λ可以控制叶子节点的分数不会过大，防止过拟合，二分类时将输出预测值限制为0到1之间的值，得到返回给定流为端口扫描恶意攻击的概率p∈[0,1]，当p0.5时，输出1，表示网络流被识别为扫描端口恶意攻击流，否则输出为0表示为正常流。

6.根据权利要求5所述的一种基于XGBoost的端口扫描恶意流量的检测方法，其特征在于：采用验证数据集B₂的样本对训练好的XGBoost模型进行验证，若验证结果满足预定义的正确率，则可将训练好的模型用于线上的检测，否则，调整XGBoost的相关参数，持续进行上述训练过程。

7.根据权利要求6所述的一种零信任网络的构建方法，其特征在于：步骤二：采集网络线上流量，在预设的时间窗T内，根据数据包头信息中的五元组将收集的数据包划分为不同的网络流，所述五元组为源IP、源端口、目的IP、目的端口和协议，使用网络流量特征提取工具CICFlowMeter对基础数据集网络流进行特征提取，并按照步骤一所述特征表进行优化，获得网络线上的优化流量特征集。