[发明专利]一种基于随机森林的入侵检测分类方法及装置

说明书

本发明涉及一种基于随机森林的入侵检测分类方法及装置。使用网络入侵检测数据集进行网络流量的攻击识别，选取的特征属性有TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征，并将入侵检测数据集分为70％的训练集和30％测试集，然后对非数值型特征进行数值转换，对于没有关联的特征分类数值进行one‑hot编码，将这四类特征作为随机森林入侵检测模型的输入，通过训练集构建随机森林分类器模型，调整基评估其数量以得到最佳的分类器模型，后用测试集对该模型进行评估，实现对入侵检测的精确分类。实验表明，本方法准确率可达99.91％，该模型具有非常好的入侵检测分类效果。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于随机森林的入侵检测分类方法及装置。

背景技术

随着互联网的快速发展，新的网络技术数见不鲜，网络入侵却不断带来网络安全问题，面对如此复杂网络环境下的攻击，我们如何及时发现黑客的攻击行为，尽可能抵御、减少网络上的恶意攻击、维护网络安全，这使网络流量的监控和入侵检测变得越发重要。

入侵检测技术可通过识别网络流量数据中的攻击来保障网络空间的安全。主机型和网络型的入侵检测系统一般比较常见，以日志为数据源的主机型入侵检测系统，能很好的识别分析、紧密关注特殊主机事件以及成本低廉，可以检测到攻击但不快捷；而网络型入侵检测系统一般是通过捕获网络流量的数据包作为数据源，将系统放置在网关或者防火墙之后，对所有的数据包起到监视的作用。

近年来，机器学习的分类、聚类、降维、回归的方法被广泛用于入侵检测研究，如何建立正确的入侵检测模型成为研究热点之一。网络流量分类存在准确率低的问题，因此，本发明提出基于随机森林的入侵检测分类方法及装置。

发明内容

本发明的目的是：为了解决上述问题，本发明提出一种基于随机森林的入侵检测分类方法及装置。该方法基于并行式集成学习的随机森林模型，利用样本的随机选择和特征的随机选择，解决了传统机器学习算法容易过拟合的问题，而且，随机森林中的决策树数量多，不但可以解决单个决策树泛化能力弱的问题，对数量大维度高的数据也能进行较好的分类，提高入侵检测的准确性。

为了解决上述问题，本发明所采用的技术方案是：

一种基于随机森林的入侵检测分类方法，其特征在于，包括如下步骤：

选取入侵检测数据集的特征属性：对NSL-KDD网络入侵检测数据集进行分析，选取与入侵检测有密切关系的四类特征属性作为输入，包括：TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征；

划分训练集和测试集：导入NSL-KDD网络入侵检测数据集的数据，并将其随机划分为70％的训练集和30％的测试集；

数值转换：对训练集和测试集的数据进行数值转换处理，将分类标签转换成分类数值，将文字型特征也转换为数值类型；

one-hot编码：对没有关联的特征分类数值进行one-hot编码，将字符型特征转换为哑变量覆盖原来的数值；

建立随机森林分类器模型：选取训练集的数据作为输入导入随机森林算法中，通过训练集建立随机森林分类器模型，实现对入侵检测分类；

调整基评估器数量：比较不同的基评估器数量对精确度的影响，选择分类结果最好的一个作为最终的分类器；

完善随机森林分类器模型：通过测试集对随机森林分类器模型进行评估，从而完善随机森林分类器模型，实现对入侵检测数据精确分类。

进一步的，选取入侵检测数据集的特征属性，包括：基于随机森林分类算法，选取入侵检测数据集中与入侵检测紧密相关的四类特征属性共41个特征属性建立入侵检测分类模型，表1至表4是属性说明：

表1 TCP连接的基本特征