[发明专利]随机森林模型的训练方法、异常流量检测方法及装置

权利要求书

1.一种随机森林模型的训练方法，其特征在于，包括：

采集原始流量数据；

对所述原始流量数据样本进行特征标记，生成训练样本；

将所述训练样本随机分为训练集和测试集；

根据特征对训练集样本进行预处理，根据预处理后的训练集样本对随机森林模型进行训练；

将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求。

2.如权利要求1所述的随机森林模型的训练方法，其特征在于，所述对所述原始流量数据样本进行特征标记包括：

对原始流量数据样本根据特征进行分类，

按照分类结果将原始流量数据样本标记为正常和/或异常；

对缺省值进行处理：当缺省值数量少且影响程度较小时，舍弃对应的缺省值，当缺省值数量多或影响程度较大时，将特征的均值赋予对应的缺省值；

对异常值进行处理：根据异常值和标准值差距进行处理。

3.如权利要求1所述的随机森林模型的训练方法，其特征在于，所述根据特征对训练集样本进行预处理包括：

根据特征对训练集样本标记特征值，按照特征值进行排序，选择前若干个样本作为新样本集合。

4.如权利要求3所述的随机森林模型的训练方法，其特征在于，所述根据特征对训练集样本标记特征值包括：

对训练集样本去中心化处理，利用协方差矩阵计算特征间的相关性，根据相关性标记特征值。

5.如权利要求1所述的随机森林模型的训练方法，其特征在于，所述将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求包括：

根据安全性需求设置阈值，将测试集样本依次输入随机森林模型中；

如果随机森林模型输出的特征与标记特征一致率小于阈值，则不满足安全性需求；如果随机森林模型输出的特征与标记特征一致率大于阈值，则满足安全性需求。

6.如权利要求1所述的随机森林模型的训练方法，其特征在于，还包括测试集样本补充训练集，包括：

将测试集样本输入训练后的随机森林模型中，当随机森林模型无法输出特征时，标记对应的流量数据样本特征，并将对应的流量数据样本及特征存入训练集。

7.一种基于随机森林模型的异常流量检测方法，其特征在于，包括：

将流量数据输入采用权利要求1-6任一项所述的随机森林模型的训练方法训练得到的随机森林模型，根据随机森林模型输出的特征判断是否为异常流量。

8.如权利要求7所述的基于随机森林模型的异常流量检测方法，其特征在于，还包括更新训练集样本，包括：

当随机森林模型无法输出特征时，标记对应的流量数据特征，并将对应的流量数据及特征存入训练集。

9.一种随机森林模型的训练装置，其特征在于，包括：

采集单元，用于采集原始流量数据；

标记单元，用于对所述原始流量数据样本进行特征标记，生成训练样本；

分组单元，用于将所述训练样本随机分为训练集和测试集；

训练单元，用于根据特征对训练集样本进行预处理，根据预处理后的训练集样本对随机森林模型进行训练；

测试单元，用于将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求。

10.一种基于随机森林模型的异常流量检测装置，其特征在于，包括：

模型生成单元，用于采用权利要求1-6任一项所述的随机森林模型的训练方法训练得到随机森林模型；

判断单元，用于将数据流量输入训练后的随机森林模型，根据随机森林模型输出的特征判断是否为异常流量。