CN112910918A - 基于随机森林的工控网络DDoS攻击流量检测方法及装置 - Google Patents
基于随机森林的工控网络DDoS攻击流量检测方法及装置 Download PDFInfo
- Publication number
- CN112910918A CN112910918A CN202110217244.5A CN202110217244A CN112910918A CN 112910918 A CN112910918 A CN 112910918A CN 202110217244 A CN202110217244 A CN 202110217244A CN 112910918 A CN112910918 A CN 112910918A
- Authority
- CN
- China
- Prior art keywords
- ddos attack
- prediction result
- random forest
- industrial control
- control network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 98
- 238000007637 random forest analysis Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000012549 training Methods 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241001501944 Suricata Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000012535 impurity Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置,其中方法包括:获取工控网络流量数据包;解析所述工控网络流量数据包并提取DDoS攻击流量特征;将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,所述预测结果包括第一预测结果以及第二预测结果,所述第一预测结果为DDoS攻击,所述第二预测结果为非DDoS攻击;根据所述预测结果进行处理。通过对工控网络流量数据包进行解析和特征提取,提取出DDoS攻击的多维度特征,再利用基于随机森林的预设DDoS攻击流量检测模型进行检测,该模型的准确检测以及实时告警,能够满足检测的效率以及准确性要求。
Description
技术领域
本申请涉及攻击检测技术领域,尤其涉及一种基于随机森林的工控网络DDoS攻击流量检测方法及装置。
背景技术
工控网络安全面临的挑战有新型木马、蠕虫病毒等入侵,例如导致美国东部大规模互联网瘫痪的“Mirai”病毒充分利用了网络摄像头、智能开关等现有智能终端设备的硬件编码漏洞,通过暴力破解的方式攻破了相关设备的访问控制权限,从而组建了数十万台的僵尸网络。
工控网络信息安全防护有其特殊性,首先是防护和攻击主体特殊,与传统网络攻击所不同,产业入侵者不是传统的黑客,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;其次是遭受攻击破坏的后果严重,工控关键设施如果遭受攻击,会直接威胁到国家经济的发展和社会的安定。
近年来,云计算、基于大数据理论的网络安全防护等新兴技术已经应用到了传统信息安全领域,这些新技术可以对终端恶意文件进行有效识别,但这些技术在工业控制系统领域应用较少。
DDOS攻击即分布式阻断服务,黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的,这样就形成了DDOS攻击。在DDoS攻击下,大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。如何迅速且准确地检测出工控网络DDoS攻击是本领域技术人员急需解决的技术问题。
发明内容
本申请提供了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置,能够实时、快速且准确地对工控网络中的DDoS攻击进行检测并识别。
有鉴于此,本申请第一方面提供了一种基于随机森林的工控网络DDoS攻击流量检测方法,所述方法包括:
获取工控网络流量数据包;
解析所述工控网络流量数据包并提取DDoS攻击流量特征;
将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,所述预测结果包括第一预测结果以及第二预测结果,所述第一预测结果为DDoS攻击,所述第二预测结果为非DDoS攻击;
根据所述预测结果进行处理。
可选地,所述DDoS攻击流量特征具体包括:
会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
可选地,所述将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测之前还包括:
基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型。
可选地,所述得到基于随机森林的预设DDoS攻击流量检测模型之后还包括:
通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标,当所述检测率高于第一预设值,所述误报率低于第二预设值时,所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
可选地,所述根据所述预测结果进行处理具体包括:
若所述预测结果为第一预测结果,则进行告警处理;
若所述预测结果为第二预测结果,则丢弃所述工控网络流量数据包。
本申请第二方面提供一种基于随机森林的工控网络DDoS攻击流量检测装置,所述装置包括:
获取单元,用于获取工控网络流量数据包;
提取单元,用于解析所述工控网络流量数据包并提取DDoS攻击流量特征;
预测单元,用于将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,所述预测结果包括第一预测结果以及第二预测结果,所述第一预测结果为DDoS攻击,所述第二预测结果为非DDoS攻击;
处理单元,用于根据所述预测结果进行处理。
可选地,所述DDoS攻击流量特征具体包括:
会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
可选地,还包括:
训练单元,用于基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型。
可选地,还包括:
验证单元,用于通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标,当所述检测率高于第一预设值,所述误报率低于第二预设值时,所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
可选地,所述处理单元具体用于:
若所述预测结果为第一预测结果,则进行告警处理;
若所述预测结果为第二预测结果,则丢弃所述工控网络流量数据包。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请中,提供了一种基于随机森林的工控网络DDoS攻击流量检测方法,通过对工控网络流量数据包进行解析和特征提取,提取出DDoS攻击的多维度特征,再利用基于随机森林的预设DDoS攻击流量检测模型进行检测,该模型的准确检测以及实时告警,能够满足检测的效率以及准确性要求。
附图说明
图1为本申请中一种基于随机森林的工控网络DDoS攻击流量检测方法的第一个方法流程图;
图2为本申请中一种基于随机森林的工控网络DDoS攻击流量检测方法的第二个方法流程图;
图3为本申请中一种基于随机森林的工控网络DDoS攻击流量检测装置的第一个结构示意图;
图4为本申请中一种基于随机森林的工控网络DDoS攻击流量检测装置的第二个结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请设计了一种基于随机森林的工控网络DDoS攻击流量检测方法及装置,能够实时、快速且准确地对工控网络中的DDoS攻击进行检测并识别。
为了便于理解,请参阅图1,图1为本申请实施例中一种基于随机森林的工控网络DDoS攻击流量检测方法的第一个方法流程图,如图1所示,具体为:
101、获取工控网络流量数据包;
需要说明的是通过采集镜像口的工控网络流量数据包,对工控网络流量数据包进行后续处理和分析。
102、解析工控网络流量数据包并提取DDoS攻击流量特征;
需要说明的是,对获取到的工控网络流量数据包,需要根据DDoS攻击的特点,针对性地提取DDoS攻击流量特征。
103、将DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,预测结果包括第一预测结果以及第二预测结果,第一预测结果为DDoS攻击,第二预测结果为非DDoS攻击;
需要说明的是,在提取了DDoS攻击流量特征后,将DDoS攻击流量特征加载至已经训练好的基于随机森林的预设DDoS攻击流量检测模型中进行检测,由随机森林中的所有树得票最多的类别决定工控网络流量数据包的预测结果,预测结果包括两类结果,一类是代表包含DDoS攻击的第一预测结果,另一类是代表非DDoS攻击的第二预测结果。
104、根据预测结果进行处理。
需要说明的是,在得到了预测结果后,根据预测结果做出相应的后续处理。
本申请中,提供了一种基于随机森林的工控网络DDoS攻击流量检测方法,通过对工控网络流量数据包进行解析和特征提取,提取出DDoS攻击的多维度特征,再利用基于随机森林的预设DDoS攻击流量检测模型进行检测,该模型的准确检测以及实时告警,能够满足检测的效率以及准确性要求。
请参阅图2,图2为本申请实施例中一种基于随机森林的工控网络DDoS攻击流量检测方法的第二个方法流程图,如图2所示,具体为:
201、获取工控网络流量数据包;
需要说明的是通过采集镜像口的工控网络流量数据包,对工控网络流量数据包进行后续处理和分析。对于获取的工控网络流量数据包,需要通过suricata解析工控网络流量数据包用以后续的特征提取。
202、解析工控网络流量数据包并提取DDoS攻击流量特征,DDoS攻击流量特征具体包括:会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议;
需要说明的是,对获取到的工控网络流量数据包,需要根据DDoS攻击的特点,针对性地提取DDoS攻击流量特征,具体为:
由于DDoS均会在攻击期间发出大量攻击包,因而大部分情况下会使网络中特定节点间的流数量、包数量和字节数上升,因此选定合适固定时间窗口(10s),以源IP和目的IP(src_ip,dst_ip)为分组统计维度,提取特征:
会话持续时间dur;
会话数connections;
下行包大小pkts_toserver,上行包大小pkts_toclient;
下行字节数bytes_toserver,上行字节数bytes_toclient。
熵是表现复杂度的度量,固定时间窗口内,当熵值越小说明网络空间活动越单纯,此时遭受网络攻击的可能性越大,因此提取目的IP(dst_ip)的活跃熵。
DDOS攻击的显著特点是,出口带宽几乎完全被攻击包占用,或者系统资源被打了无效请求耗尽,被攻击IP(dst_ip)无法正常响应用户访问,因此,提取服务率作为检测异常源IP和目的IP(src_ip,dst_ip)的流量行为特征:Server_ratio=pkts_toclient/pkts_toserver。
提取协议。Proto:tcp/udp/icmp。
203、基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型;
需要说明的是,随机森林中使用50颗树训练,最终分类结果由随机森林中所有树之间得票最多的类别决定(分类结果分为两类:DDoS攻击、正常);
随机森林模型中使用基尼指数(gini)作为切分节点的标准,公式如下:
Δi=i(NL)-i(NR);
其中:N代表未分离节点;NL代表分离后左节点;NR代表分离后右节点;Wi代表c类样本的类权重;ni代表节点内各样本数量;Δi代表不纯度减少量代表越大表明分离点效果越好。
204、通过测试样本集对基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为基于随机森林的预设DDoS攻击流量检测模型的评价指标,当检测率高于第一预设值,误报率低于第二预设值时,基于随机森林的预设DDoS攻击流量检测模型训练完成;
需要说明的是,在训练好模型以后,还需要对基于随机森林的预设DDoS攻击流量检测模型进行验证,主要采用以下两个指标来进行评估:
检测率越高误报率越低模型效果越好,因此,针对检测率和误报率分别设置第一预设值和第二预设值。
205、将DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,预测结果包括第一预测结果以及第二预测结果,第一预测结果为DDoS攻击,第二预测结果为非DDoS攻击;
206、根据预测结果进行处理:
207、若预测结果为第一预测结果,则进行告警处理;
208、若预测结果为第二预测结果,则丢弃工控网络流量数据包。
本申请实施例中,由于随机森林中树与树之间是相互独立的,可以实现并行化训练,因此基于随机森林的预设DDoS攻击流量检测模型的训练速度十分快,而预设DDoS攻击流量检测特征不需要进行选择,只需要提取工控网络流量数据包中的特征即可,如果有一部分特征遗失仍然可以维持准确度。综上,本申请实施例提供了基于随机森林的工控网络DDoS攻击流量检测方法在保证了检测准确性的情况下,能够快速、实时地实现攻击检测。
请参阅图3,图3为本申请实施例中一种基于随机森林的工控网络DDoS攻击流量检测装置的第一个结构示意图,如图3所示,具体为:
获取单元301,用于获取工控网络流量数据包;
提取单元302,用于解析工控网络流量数据包并提取DDoS攻击流量特征;
预测单元303,用于将DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,预测结果包括第一预测结果以及第二预测结果,第一预测结果为DDoS攻击,第二预测结果为非DDoS攻击;
处理单元304,用于根据预测结果进行处理。
请参阅图4,图4为本申请实施例中一种基于随机森林的工控网络DDoS攻击流量检测装置的第二个结构示意图,如图4所示,具体为:
获取单元401,用于获取工控网络流量数据包;
提取单元402,用于解析工控网络流量数据包并提取DDoS攻击流量特征,DDoS攻击流量特征具体包括:会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议;
预测单元403,用于将DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,预测结果包括第一预测结果以及第二预测结果,第一预测结果为DDoS攻击,第二预测结果为非DDoS攻击;
处理单元404,用于根据预测结果进行处理:
若预测结果为第一预测结果,则进行告警处理;
若预测结果为第二预测结果,则丢弃工控网络流量数据包。
进一步地,还包括:
训练单元405,用于基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型。
进一步地,还包括:
验证单元406,用于通过测试样本集对基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为基于随机森林的预设DDoS攻击流量检测模型的评价指标,当检测率高于第一预设值,误报率低于第二预设值时,基于随机森林的预设DDoS攻击流量检测模型训练完成。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种基于随机森林的工控网络DDoS攻击流量检测方法,其特征在于,包括:
获取工控网络流量数据包;
解析所述工控网络流量数据包并提取DDoS攻击流量特征;
将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,所述预测结果包括第一预测结果以及第二预测结果,所述第一预测结果为DDoS攻击,所述第二预测结果为非DDoS攻击;
根据所述预测结果进行处理。
2.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法,其特征在于,所述DDoS攻击流量特征具体包括:
会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
3.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法,其特征在于,所述将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测之前还包括:
基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型。
4.根据权利要求3所述的基于随机森林的工控网络DDoS攻击流量检测方法,其特征在于,所述得到基于随机森林的预设DDoS攻击流量检测模型之后还包括:
通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标,当所述检测率高于第一预设值,所述误报率低于第二预设值时,所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
5.根据权利要求1所述的基于随机森林的工控网络DDoS攻击流量检测方法,其特征在于,所述根据所述预测结果进行处理具体包括:
若所述预测结果为第一预测结果,则进行告警处理;
若所述预测结果为第二预测结果,则丢弃所述工控网络流量数据包。
6.一种基于随机森林的工控网络DDoS攻击流量检测装置,其特征在于,包括:
获取单元,用于获取工控网络流量数据包;
提取单元,用于解析所述工控网络流量数据包并提取DDoS攻击流量特征;
预测单元,用于将所述DDoS攻击流量特征加载至基于随机森林的预设DDoS攻击流量检测模型中进行预测,得到预测结果,所述预测结果包括第一预测结果以及第二预测结果,所述第一预测结果为DDoS攻击,所述第二预测结果为非DDoS攻击;
处理单元,用于根据所述预测结果进行处理。
7.根据权利要求6所述的基于随机森林的工控网络DDoS攻击流量检测装置,其特征在于,所述DDoS攻击流量特征具体包括:
会话持续时间、会话数、下行包大小、上行包大小、下行字节数、上行字节数、目的IP的活跃熵、服务率以及协议。
8.根据权利要求6所述的基于随机森林的工控网络DDoS攻击流量检测装置,其特征在于,还包括:
训练单元,用于基于随机森林法,采用基尼指数作为切分节点的标准,以是否为DDoS攻击作为分类结果,通过训练样本集对DDoS攻击流量检测模型进行训练,得到基于随机森林的预设DDoS攻击流量检测模型。
9.根据权利要求8所述的基于随机森林的工控网络DDoS攻击流量检测装置,其特征在于,还包括:
验证单元,用于通过测试样本集对所述基于随机森林的预设DDoS攻击流量检测模型进行验证,根据对测试样本集的分类结果以及实际分类结果,以检测率和误报率作为所述基于随机森林的预设DDoS攻击流量检测模型的评价指标,当所述检测率高于第一预设值,所述误报率低于第二预设值时,所述基于随机森林的预设DDoS攻击流量检测模型训练完成。
10.根据权利要求6所述的基于随机森林的工控网络DDoS攻击流量检测装置,其特征在于,所述处理单元具体用于:
若所述预测结果为第一预测结果,则进行告警处理;
若所述预测结果为第二预测结果,则丢弃所述工控网络流量数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110217244.5A CN112910918A (zh) | 2021-02-26 | 2021-02-26 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110217244.5A CN112910918A (zh) | 2021-02-26 | 2021-02-26 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112910918A true CN112910918A (zh) | 2021-06-04 |
Family
ID=76108474
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110217244.5A Pending CN112910918A (zh) | 2021-02-26 | 2021-02-26 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910918A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
| CN114024748A (zh) * | 2021-11-04 | 2022-02-08 | 东南大学 | 一种结合活跃节点库和机器学习的高效以太坊流量识别方法 |
| CN114021150A (zh) * | 2021-11-17 | 2022-02-08 | 山东云天安全技术有限公司 | 基于N-gram预测工控网漏洞的系统 |
| CN114430361A (zh) * | 2021-12-30 | 2022-05-03 | 天翼云科技有限公司 | 一种异常带宽检测方法、装置、电子设备及存储介质 |
| CN114826764A (zh) * | 2022-05-17 | 2022-07-29 | 广西科技大学 | 一种基于集成学习的边缘计算网络攻击识别方法及系统 |
| CN115001739A (zh) * | 2022-04-19 | 2022-09-02 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的横向蠕虫攻击检测方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| CN101267313A (zh) * | 2008-04-23 | 2008-09-17 | 华为技术有限公司 | 泛洪攻击检测方法及检测装置 |
| CN109067586A (zh) * | 2018-08-16 | 2018-12-21 | 海南大学 | DDoS攻击检测方法及装置 |
| CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
| CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
| CN110505249A (zh) * | 2019-09-30 | 2019-11-26 | 怀来斯达铭数据有限公司 | DDoS攻击的识别方法和装置 |
| CN110691073A (zh) * | 2019-09-19 | 2020-01-14 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
-
2021
- 2021-02-26 CN CN202110217244.5A patent/CN112910918A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| CN101267313A (zh) * | 2008-04-23 | 2008-09-17 | 华为技术有限公司 | 泛洪攻击检测方法及检测装置 |
| CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
| CN109067586A (zh) * | 2018-08-16 | 2018-12-21 | 海南大学 | DDoS攻击检测方法及装置 |
| CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
| CN110691073A (zh) * | 2019-09-19 | 2020-01-14 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
| CN110505249A (zh) * | 2019-09-30 | 2019-11-26 | 怀来斯达铭数据有限公司 | DDoS攻击的识别方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 李宏勋等: "基于GA-ELM模型的我国天然气进口预测", 《河南科学》 * |
| 李建更等: "随机森林针对小样本数据类权重设置", 《计算机工程与应用》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
| CN114024748A (zh) * | 2021-11-04 | 2022-02-08 | 东南大学 | 一种结合活跃节点库和机器学习的高效以太坊流量识别方法 |
| CN114024748B (zh) * | 2021-11-04 | 2024-04-30 | 东南大学 | 一种结合活跃节点库和机器学习的高效以太坊流量识别方法 |
| CN114021150A (zh) * | 2021-11-17 | 2022-02-08 | 山东云天安全技术有限公司 | 基于N-gram预测工控网漏洞的系统 |
| CN114430361A (zh) * | 2021-12-30 | 2022-05-03 | 天翼云科技有限公司 | 一种异常带宽检测方法、装置、电子设备及存储介质 |
| CN114430361B (zh) * | 2021-12-30 | 2024-01-05 | 天翼云科技有限公司 | 一种异常带宽检测方法、装置、电子设备及存储介质 |
| CN115001739A (zh) * | 2022-04-19 | 2022-09-02 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的横向蠕虫攻击检测方法 |
| CN114826764A (zh) * | 2022-05-17 | 2022-07-29 | 广西科技大学 | 一种基于集成学习的边缘计算网络攻击识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112910918A (zh) | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| KR101860395B1 (ko) | 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN108156174A (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| CN108600003B (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| CN107360118A (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| CN105743880A (zh) | 一种数据分析系统 | |
| Rout et al. | A hybrid approach for network intrusion detection | |
| CN110572397B (zh) | 一种基于流量的webshell的检测方法 | |
| Jamdagni et al. | Intrusion detection using GSAD model for HTTP traffic on web services | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN113242227A (zh) | 一种网络安全态势感知方法 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
| CN113055335A (zh) | 用于检测通信异常的方法、装置、网络系统和存储介质 | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| CN116938507A (zh) | 一种电力物联网安全防御终端及其控制系统 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210604 |
|
| RJ01 | Rejection of invention patent application after publication |