[发明专利]基于高维扩展关键特征向量的网络恶意流量识别方法

权利要求书

1.基于高维扩展关键特征向量的网络恶意流量识别方法，其特征在于所述方法包括如下步骤：

步骤1，对采集到的网络流量数据进行特征优化表达和特征构建，得到扩展的特征向量；

步骤1.1，对数据进行异常值剔除、空缺值补全和数据标准化处理；

步骤1.2，采用特征分割与融合的方法，以关键字、时段节点、行为组合三个方面为基准构建特征；

步骤1.3，分别对上述三方面特征向量根据进行归一化处理，其中x和x′为数据的原始值和归一化值，x_min和x_max为数据的最小值和最大值，x_{new_min}和x_{new_max}为定义范围(如0和1)，再经过标准化处理后，得到关键词特征向量、时段特征向量、行为特征向量这三维特征向量；

步骤1.4，将关键词特征向量、时段特征向量、行为特征向量顺序拼接获得高维扩展特征向量；

步骤2，结合专家调查法和因子分析法，对数据的关键影响因素进行分析，并提取关键特征向量；

步骤2.1，依据专家调查法对特征进行多轮经验分析，得到特征权重集Weight(N)＝{w₁,w₂,…w_k…,w_N}，其中w_k表示第k个特征的权重，w_k∈[0,1]，

步骤2.2，依据因子分析计算特征权重，得到特征权重集Votes(N)＝{v₁,v₂,…v_k…,v_N}，其中v_k表示第k个特征的权重，v_k∈[0,1]；

步骤2.3，依据Importance(N)＝{w₁*v₁,w₂*v₂,…w_k*v_k…,w_N*v_N}分析关键影响因素，保留关键特征信息，获得关键特征向量；

步骤3，训练t棵决策树，选取AUC值高的Q棵组合作为最终的随机森林判别模型；

步骤3.1，将数据分为t个子集，相应构建t棵决策树，对每个决策树进行AUC的值评估和计算，并按由高到低顺序排列；

步骤3.2，在降序排列的决策树中选择前2/3棵AUC值较高的继续进行步骤3.3，记为P；

步骤3.3，依据公式(1)对步骤3.2中选取的决策树规则相似度进行计算，其中，i和j分别为决策树中的两条规则，n＝max{n_i,n_j},Sim_k为i和j中两个节点数相同的子规则的相似度；

步骤3.4，依据计算决策树d₁，d₂之间的相似度，依据决策树之间的相似度构建相似度矩阵Sim；

步骤3.5，若则判定决策树d₁，d₂非常相似，并依据此将决策树分为Q类，Q∈[1,P]，然后选取每个分类中AUC值最高的决策树保留，组成随机森林模型；

步骤4，基于以上构建的基于高维扩展关键特征向量的随机森林模型实现对网络恶意流量的识别。

2.根据权利要求1所述的基于高维扩展关键特征向量的网络恶意流量识别方法，其特征在于：步骤1.2是通过采用特征分割与融合的方法，以关键字、时段节点、行为组合三个方面为基准来构建特征。

3.根据权利要求1所述的基于高维扩展关键特征向量的网络恶意流量识别方法，其特征在于：步骤1.3中，分别对步骤1.2中构建的三方面特征向量根据进行归一化处理，再经过标准化处理后，得到关键词特征向量、时段特征向量、行为特征向量这三维特征向量，顺序拼接得到高维扩展向量。

4.根据权利要求1所述的基于高维扩展关键特征向量的网络恶意流量识别方法，其特征在于：步骤2是通过使用专家调查法和因子分析法分别得到特征权重集，再依据Importance(N)＝{w₁*v₁,w₂*v₂,…w_k*v_k…,w_N*v_N}得到最终权重，分析关键影响因素，剔除冗余特征和混淆特征，保留关键特征信息，获得关键特征向量。