[发明专利]随机森林模型的训练方法、异常流量检测方法及装置

说明书

本公开的实施例提供了一种随机森林模型的训练方法、异常流量检测方法及装置。所述方法包括采集原始流量数据；对所述原始流量数据样本进行特征标记，生成训练样本；将所述训练样本随机分为训练集和测试集；根据特征对训练集样本进行预处理，根据预处理后的训练集样本对随机森林模型进行训练；将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求。以此方式，可以提升随机森林模型对流量特征的识别速度与准确率，满足对异常流量特征分析检测需求。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种随机森林模型的训练方法、异常流量检测方法及装置。

背景技术

目前网络中充斥着众多恶意攻击流量，导致网络面临的风险逐渐增加，在此背景下，必须对网络中异常流量进行检测，对网络中传输数据进行安全分析，从而避免网络中用户和应用数据遭到窃取、修改等恶意攻击，并在造成巨大损失前发布告警，及时进行处置。

随机森林算法因其不受噪声数据影响，能够有效地解决过拟合问题，具有较高精确性和稳定性，广泛应用于安全领域，然而，由于异常流量种类多，变化快，因此目前随机森林算法针对异常流量的检测结果不够准确。

发明内容

本公开提供了一种随机森林模型的训练方法、异常流量检测方法及装置。

根据本公开的第一方面，提供一种随机森林模型的训练方法，包括：

采集原始流量数据；

对所述原始流量数据样本进行特征标记，生成训练样本；

将所述训练样本随机分为训练集和测试集；

根据特征对训练集样本进行预处理，根据预处理后的训练集样本对随机森林模型进行训练；

将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求。

在第一方面的一些实现方式中，所述对所述原始流量数据样本进行特征标记包括：

对原始流量数据样本根据特征进行分类，

按照分类结果将原始流量数据样本标记为正常和/或异常；

对缺省值进行处理：当缺省值数量少且影响程度较小时，舍弃对应的缺省值，当缺省值数量多或影响程度较大时，将特征的均值赋予对应的缺省值；

对异常值进行处理：根据异常值和标准值差距进行处理。

在第一方面的一些实现方式中，所述根据特征对训练集样本进行预处理包括：

根据特征对训练集样本标记特征值，按照特征值进行排序，选择前若干个样本作为新样本集合。

在第一方面的一些实现方式中，所述根据特征对训练集样本标记特征值包括：

对训练集样本去中心化处理，利用协方差矩阵计算特征间的相关性，根据相关性标记特征值。

在第一方面的一些实现方式中，所述将测试集样本输入训练后的随机森林模型中，将随机森林模型输出的特征与标记特征比较，根据比较结果判断训练后的随机森林模型是否满足安全性需求包括：

根据安全性需求设置阈值，将测试集样本依次输入随机森林模型中；

如果随机森林模型输出的特征与标记特征一致率小于阈值，则不满足安全性需求；如果随机森林模型输出的特征与标记特征一致率大于阈值，则满足安全性需求。

在第一方面的一些实现方式中，还包括测试集样本补充训练集，包括：