[发明专利]一种基于随机森林的入侵检测分类方法及装置

权利要求书

1.一种基于随机森林的入侵检测分类方法，其特征在于，包括如下步骤：

选取入侵检测数据集的特征属性：对NSL-KDD网络入侵检测数据集进行分析，选取与入侵检测有密切关系的四类特征属性作为输入，包括：TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征；

划分训练集和测试集：导入NSL-KDD网络入侵检测数据集的数据，并将其随机划分为70％的训练集和30％的测试集；

数值转换：对训练集和测试集的数据进行数值转换处理，将分类标签转换成分类数值，将文字型特征也转换为数值类型；

one-hot编码：对没有关联的特征分类数值进行one-hot编码，将字符型特征转换为哑变量覆盖原来的数值；

建立随机森林分类器模型：选取训练集的数据作为输入导入随机森林算法中，通过训练集建立随机森林分类器模型，实现对入侵检测分类；

调整基评估器数量：比较不同的基评估器数量对精确度的影响，选择分类结果最好的一个作为最终的分类器；

完善随机森林分类器模型：通过测试集对随机森林分类器模型进行评估，从而完善随机森林分类器模型，实现对入侵检测数据精确分类。

2.如权利要求1所述的一种基于随机森林的入侵检测分类方法，其特征在于，选取入侵检测数据集的特征属性，包括：基于随机森林分类算法，选取入侵检测数据集中与入侵检测紧密相关的四类特征属性共41个特征属性建立入侵检测分类模型，表1至表4是属性说明：

表1 TCP连接的基本特征

表2 TCP连接的内容特征

表3 基于时间的网络流量统计特征

表4 基于主机的网络流量统计特征

3.如权利要求1所述的一种基于随机森林的入侵检测分类方法，其特征在于，数值转换，包括：由于机器学习的第三方模块sklearn规定导入模型的数据只能为数值型，所以利用Preprocessing.LabelEncoder模块将分类标签转成分类数值；同理，用Preprocessing.OrdinalEncoder模块将分类特征转换成分类数值，将协议类型、主机的服务类型、连接状态三个特征值转换为数值类型。

4.如权利要求1所述的一种基于随机森林的入侵检测分类方法，其特征在于，one-hot编码，包括：将分类转换成数字的时候，如果忽略数字中自带的数学性质，会给算法传达不准确的信息，影响建模过程，所以使用独热编码，将协议类型、主机的服务类型、连接状态这三个特征转换为哑变量覆盖原来的数值，将处理好的数据作为随机森林算法的输入。

5.如权利要求1所述的一种基于随机森林的入侵检测分类方法，其特征在于，调整基评估器数量，包括：给定决策树参数范围1～200，随着随机森林中树的数量的增加，模型分类的准确率呈突发式增长，之后处于一个比较平稳的状态，经实验证明当随机森林中决策树的数量为114时，模型的准确率最高。

6.一种基于随机森林的入侵检测分类装置，其特征在于，包括：

入侵检测数据集的特征属性选取模块：对NSL-KDD网络入侵检测数据集进行分析，选取与入侵检测有密切关系的四类特征属性作为输入，包括：TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征；

训练集和测试集的划分模块：导入NSL-KDD网络入侵检测数据集的数据，并将其随机划分为70％的训练集和30％的测试集；

数值转换模块：对训练集和测试集的数据进行数值转换处理，将分类标签转换成分类数值，将文字型特征也转换为数值型；

one-hot编码模块：对没有关联的特征分类数值进行one-hot编码，将字符型特征转换为哑变量覆盖原来的数值；

随机森林分类器模型的建立模块：选取训练集的数据作为输入导入随机森林算法模型中，通过训练集建立随机森林分类器模型，实现对入侵检测分类；

基评估器数量的调整模块：比较不同的基评估器数量对精确度的影响，选择分类结果最好的一个作为最终的分类器；

随机森林分类器模型的完善模块：通过测试集对随机森林分类器模型进行评估，从而完善随机森林分类器模型，实现对入侵检测数据精确分类。