本发明涉及人工智能,具体为一种dos入侵智能检测方法。
背景技术:
::1、人工智能和机器学习是近年来最热门的技术之一,aiops是指将人工智能应用于运维领域,基于已有的运维数据,通过机器学习技术来进一步解决自动化运维没能解决的问题。基于传统网络,智能网络成为了aiops概念下的一个重要研究领域,其目标是通过机器学习技术实现网络故障定位与自动排障。2、现有技术中,近年来,网络安全事件频繁发生,网络安全防护成为了人们越来越关心的问题,也成为了智能网络技术的一个主要应用方向。dos入侵是网络流量入侵的一个常见种类,传统的入侵检测方法大多通过指定的特征来判断流量是否异常,如tcp连接数、ip地址、请求状态等。由于不同的入侵环境和入侵手段呈现出不同的流量特点和现象,传统的入侵检测方法暴露出以下局限性:3、1)单一或少数特征不足以代表复杂的流量特点,模型泛化能力不足。4、2)在入侵流量非连续的场景下,简单的计算方法不足以对流量是否异常做出准确判断。技术实现思路1、本发明的目的在于提供一种dos入侵智能检测方法,以解决上述
背景技术:
:中提出的问题。2、为实现上述目的,本发明提供如下技术方案:一种dos入侵智能检测方法,所述方法包括以下步骤:3、使用cic-ids2017作为训练数据集;4、使用scikit-learn框架进行模型训练与入侵检测;5、在入侵检测过程中,分别借助scapy与cicflowmeter工具进行实时抓包与数据处理;通过iptables实现入侵流量的阻断。6、优选的,使用cic-ids2017作为训练数据集时,数据格式包含以下两种:7、a)pcap格式的原始流量数据;8、b)使用cicflowmeter工具,将原始流量数据转化为csv格式的流量统计数据,每条数据表示一个flow,每个flow包含超过80个统计特征,并被标注是否入侵及入侵种类。9、优选的,使用scikit-learn框架进行模型训练与入侵检测包括数据预处理、数据分类、重要特征提取以及模型训练与验证。10、优选的,所述数据预处理对原始训练数据进行预处理,具体包括:11、数据清理,删除包含空值或无效值的数据,提高训练数据的准确性;12、数据转化,字符串数据转化为数值型数据,便于后续机器学习算法的执行;13、数据合并,合并相似入侵种类的数据,增大训练数据量。14、优选的,所述数据分类是指将原始数据集进行整合,为每个入侵种类生成一个训练数据文件,不仅包含该入侵种类的异常流量样本,而且包含一定比例的正常流量样本,用于入侵种类对应的模型训练;按比例选取正常流量样本具体包括:15、若原始训练数据文件中正常流量样本数小于异常流量样本数,则选取全部正常流量样本;16、若原始训练数据文件中正常流量样本数大于或等于异常流量样本数,则对正常流量样本进行随机抽样,使得正常流量样本数与异常流量样本数的比例为7:5。17、优选的,所述重要特征的提取在模型训练的流程上属于降维的过程,剔除对模型意义不大甚至是造成干扰作用的特征,保留能够体现模型特点的特征,有利于提高模型训练的效率和准确性。18、优选的,所述模型训练与验证将每个模型的训练数据按照8:2的比例分为训练集和验证集,以提取出的重要流量特征作为模型的特征,以是否入侵作为标签,进行模型训练,并使用机器学习常用的评估参数进行模型的验证。19、优选的,所述入侵检测包括:20、实时抓包,使用scapy工具在待检测的机器上进行实时抓包,抓取目的地址为本机的流量,单次抓包数量设为500个,并将抓包的结果保存为pcap格式的原始流量文件,待后续数据处理与分析;21、数据处理,使用cicflowmeter工具将步骤所得数据转化为csv格式的流量统计数据,每条数据表示一个flow。每个flow包含超过80个统计特征,无标注,待后续在模型预测过程中被标注;22、模型预测,基于scikit-learn框架,使用训练得到的三个模型对所得数据进行入侵检测,为每个flow进行标注,若任何一种模型将流量识别为异常,则标注为异常流量attack,否则标注为正常流量benign;23、流量阻断,将检测结果按照流量的源ip进行分组,对于每个源ip,若有超过80%的流量被检测为异常流量,则在iptables中添加规则,丢弃来自源ip的流量,从而实现入侵流量的阻断。24、与现有技术相比,本发明的有益效果是:25、本发明提出的dos入侵智能检测方法根据历史流量数据的统计特征建立流量模型,基于机器学习技术进行模型训练和实时入侵检测,进而通过防火墙规则实现入侵流量的阻断。与传统入侵检测方法相比,根据流量统计特征建立的流量模型能够更好地反映出复杂的流量特点,基于机器学习技术的智能检测方法能够对dos入侵做出更准确的判断,适用于更复杂、更广泛的应用场景;26、为每种入侵工具生成各自的训练数据文件,提取各自的重要特征,训练得到各自的模型,并使用各自的模型分别进行入侵检测。若任何一种模型将流量识别为异常,则标注为异常流量,否则标注为正常流量。该方案使得每种入侵工具的模型训练与检测过程互不干扰,提取的特征能够更好地反映出各自的流量特点,有利于提高模型的准确性以及整个入侵检测系统的可拓展性;27、使用机器学习算法与流量分析策略相结合的方法进行重要特征的提取,与单独使用其中某一种方法相比,两者相结合的方法使提取的特征更适合于具体的应用场景,有利于提高模型的准确性和泛化能力;28、在单次抓包数量达到500个时即进行入侵检测,保证了流量阻断的实时性。将实时抓包、数据处理、模型预测、流量阻断四个步骤作为一条完整的流水线进行自动化执行,实现了自动排障的目标。技术特征:1.一种dos入侵智能检测方法,其特征在于:所述方法包括以下步骤:2.根据权利要求1所述的一种dos入侵智能检测方法,其特征在于:使用cic-ids2017作为训练数据集时,数据格式包含以下两种:3.根据权利要求1所述的一种dos入侵智能检测方法,其特征在于:使用scikit-learn框架进行模型训练与入侵检测包括数据预处理、数据分类、重要特征提取以及模型训练与验证。4.根据权利要求3所述的一种dos入侵智能检测方法,其特征在于:所述数据预处理对原始训练数据进行预处理,具体包括:5.根据权利要求3所述的一种dos入侵智能检测方法,其特征在于:所述数据分类是指将原始数据集进行整合,为每个入侵种类生成一个训练数据文件,不仅包含该入侵种类的异常流量样本,而且包含一定比例的正常流量样本,用于入侵种类对应的模型训练;按比例选取正常流量样本具体包括:6.根据权利要求3所述的一种dos入侵智能检测方法,其特征在于:所述重要特征的提取在模型训练的流程上属于降维的过程,剔除对模型意义不大甚至是造成干扰作用的特征,保留能够体现模型特点的特征,有利于提高模型训练的效率和准确性。7.根据权利要求3所述的一种dos入侵智能检测方法,其特征在于:所述模型训练与验证将每个模型的训练数据按照8:2的比例分为训练集和验证集,以提取出的重要流量特征作为模型的特征,以是否入侵作为标签,进行模型训练,并使用机器学习常用的评估参数进行模型的验证。8.根据权利要求1所述的一种dos入侵智能检测方法,其特征在于:所述入侵检测包括:技术总结本发明涉及人工智能
技术领域:
:,具体为一种DoS入侵智能检测方法,包括以下步骤:使用CIC‑IDS2017作为训练数据集;使用Scikit‑Learn框架进行模型训练与入侵检测;在入侵检测过程中,分别借助scapy与CICFlowMeter工具进行实时抓包与数据处理;通过iptables实现入侵流量的阻断;有益效果为:本发明提出的DOS入侵智能检测方法根据历史流量数据的统计特征建立流量模型,基于机器学习技术进行模型训练和实时入侵检测,进而通过防火墙规则实现入侵流量的阻断。与传统入侵检测方法相比,根据流量统计特征建立的流量模型能够更好地反映出复杂的流量特点,基于机器学习技术的智能检测方法能够对DoS入侵做出更准确的判断,适用于更复杂、更广泛的应用场景。技术研发人员:李婉君,孙兴艳,李彦君,杨燚,胡章丰受保护的技术使用者:浪潮云信息技术股份公司技术研发日:技术公布日:2024/1/16