[发明专利]一种异常加密流量识别方法和系统

权利要求书

1.一种基于REF-PSO特征提取的异常加密流量识别方法，包括：

进行流量清洗并将清洗后的流量进行流量聚合；

进行特征提取，利用Relief F算法滤除权重较低的流量特征，并通过选取权重较高的流量特征将粒子群初始化后经PSO优化算法获取最优特征子集；

将处理好的流量数据划分成训练数据集和测试数据集；

使用所述训练数据集进行模型训练调优参数，利用所述测试数据集使用调优参数后的模型进行测试；以及

将流量识别为正常加密流量和异常加密流量。

2.如权利要求1所述的方法，其特征在于，进行流量清洗并将清洗后的流量进行流量聚合的步骤包括清理读取的数据报文中的VLAN字段，将残缺的数据报文从原始数据包中清除，以及将五元组相同的数据包聚合成网络流。

3.如权利要求1所述的方法，其特征在于，特征提取步骤所提取的特征来源于Moore特征集，进行特征提取包括权重分配和特征优化，利用Relief F算法给Moore特征集中与数据包的数量、长度，流的持续时间及其统计特征相关的特征分配权重，去除权重较小的特征，选取权重较高的特征用于PSO算法粒子群初始化，计算粒子的适应度，根据粒子的适应度更新粒子的速度和位置，在达到最大迭代次数或适应度值不变时输出最优特征子集。

4.如权利要求1所述的方法，其特征在于，所述训练数据集和所述测试数据集的划分比例为2:1。

5.如权利要求1所述的方法，其特征在于，在模型训练中通过对数据集样本进行参数统计分析得出最优参数。

6.如权利要求1所述的方法，其特征在于，将流量识别为正常加密流量和异常加密流量是通过XGBoost二分类器进行的，所述方法进一步包括，通过XGBoost多分类器将识别的所述异常加密流量按照恶意软件的类型进行划分。

7.一种基于REF-PSO特征提取的异常加密流量识别系统，包括数据处理模块和异常流量识别模块，其中：

所述数据处理模块包括用于进行流量清洗和流量聚合的预处理模块、用于特征提取的特征提取模块、以及用于数据集划分的数据集划分模块；

所述异常流量识别模块包括模型训练模块和测试模块，

其中所述特征提取模块利用Relief F算法滤除权重较低的流量特征，并通过选取权重较高的流量特征将粒子群初始化后经PSO优化算法获取最优特征子集。

8.如权利要求7所述的系统，其特征在于，所述特征提取模块利用Relief F算法给Moore特征集中与数据包的数量、长度，流的持续时间及其统计特征相关的特征分配权重，去除权重较小的特征，选取权重较高的特征用于PSO算法粒子群初始化，计算粒子的适应度，根据粒子的适应度更新粒子的速度和位置，在达到最大迭代次数或适应度值不变时输出最优特征子集。

9.如权利要求7所述的系统，其特征在于，所述异常流量识别模块将流量识别为正常加密流量和异常加密流量，并将识别的所述异常加密流量按照恶意软件的类型进行划分。

10.如权利要求7所述的系统，其特征在于，所述预处理模块清理读取的数据报文中的VLAN字段，将残缺的数据报文从原始数据包中清除，并将五元组相同的数据包聚合成网络流。