亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法與流程

文檔序號(hào):12493068閱讀:635來(lái)源:國(guó)知局
基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法與流程

本發(fā)明涉及下一代互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域,具體涉及一種基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法。



背景技術(shù):

下一代互聯(lián)網(wǎng),無(wú)疑要面臨萬(wàn)物互聯(lián)的挑戰(zhàn)。在物聯(lián)網(wǎng)(IoT)迅速發(fā)展的同時(shí),網(wǎng)絡(luò)路由器的數(shù)據(jù)平面行為異常的事件時(shí)有發(fā)生,異常行為不僅僅種類繁多,而且不同的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景可能對(duì)異常行為的判定不一致,因此下一代互聯(lián)網(wǎng)在數(shù)據(jù)平面暴露出新的安全問(wèn)題,亟待解決。而且,即使是已有的傳統(tǒng)網(wǎng)絡(luò),隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大、豐富,路由器數(shù)據(jù)平面的異常行為頻繁發(fā)生,帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題給廣大用戶和國(guó)家?guī)?lái)了巨大的安全威脅,也需要一個(gè)強(qiáng)有力、穩(wěn)定性高、可擴(kuò)展的路由器數(shù)據(jù)平面異常行為的檢測(cè)方法。

關(guān)于路由器數(shù)據(jù)平面的異常行為檢測(cè)方法主要是依靠已有的歷史數(shù)據(jù)和人為對(duì)數(shù)據(jù)進(jìn)行標(biāo)記來(lái)識(shí)別未知數(shù)據(jù)是否為異常行為,從而達(dá)到異常行為的檢測(cè)效果。目前已有的路由器數(shù)據(jù)平面異常行為檢測(cè)方法難以同時(shí)滿足時(shí)效性和準(zhǔn)確性。隨著機(jī)器學(xué)習(xí)的發(fā)展,分類思想和聚類思想在路由器數(shù)據(jù)平面的異常行為檢測(cè)中得到了普遍的應(yīng)用。相對(duì)于分類的思想,采用聚類思想的方法不要求對(duì)已有數(shù)據(jù)進(jìn)行標(biāo)記,能夠自學(xué)習(xí)到異常行為的特征,但是此方法運(yùn)算開(kāi)銷較大,而且聚類對(duì)于異常行為的檢測(cè)容易出現(xiàn)誤差,難以保證路由器的安全性。而采用分類的思想,盡管要求帶標(biāo)記的數(shù)據(jù),但是可以離線完成標(biāo)記,不會(huì)影響路由器中異常行為的檢測(cè)效率,同時(shí)計(jì)算開(kāi)銷低,能夠達(dá)到理想的時(shí)效性要求,而且在路由器的數(shù)據(jù)平面基于分類的異常行為檢測(cè)方法的精度普遍優(yōu)于基于聚類的異常行為檢測(cè)方法的精度。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明旨在至少解決上述技術(shù)問(wèn)題之一。

為此,本發(fā)明的目的在于提出一種基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,解決下一代互聯(lián)網(wǎng)由于萬(wàn)物互聯(lián)所帶來(lái)的錯(cuò)綜復(fù)雜的行為種類所導(dǎo)致的異常行為難以準(zhǔn)確檢測(cè)的問(wèn)題。

為了實(shí)現(xiàn)上述目的,本發(fā)明的實(shí)施例公開(kāi)了一種基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,包括以下步驟:

根據(jù)本發(fā)明實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,包括以下步驟:S1:根據(jù)數(shù)據(jù)傳輸需求和應(yīng)用場(chǎng)景需求選擇多個(gè)屬性,根據(jù)所述多個(gè)屬性構(gòu)建已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合和標(biāo)記數(shù)據(jù)集,所述標(biāo)記數(shù)據(jù)集是根據(jù)路由器的歷史運(yùn)行記錄進(jìn)行標(biāo)注的,所述標(biāo)記數(shù)據(jù)集中每個(gè)標(biāo)記包括正常標(biāo)記或異常標(biāo)記;S2:根據(jù)所述屬性向量數(shù)據(jù)集合和標(biāo)記數(shù)據(jù)集離線構(gòu)建分類回歸決策樹(shù);S3:根據(jù)所述分類回歸決策樹(shù)對(duì)新數(shù)據(jù)進(jìn)行異常行為的檢測(cè)。

能夠準(zhǔn)確檢測(cè)已知的異常行為,而且能夠利用緩存池的思想將介于正常行為與異常行為之外的不確定行為緩存,根據(jù)不同的應(yīng)用場(chǎng)景需求自定義是否為異常行為,增強(qiáng)了下一代互聯(lián)網(wǎng)的安全性。更重要的是,此技術(shù)相對(duì)于已有的路由器數(shù)據(jù)平面異常檢測(cè)方法,具備檢測(cè)誤差小、擴(kuò)展性強(qiáng)、性能穩(wěn)定等優(yōu)點(diǎn)。

另外,根據(jù)本發(fā)明上述實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,還可以具有如下附加的技術(shù)特征:

進(jìn)一步地,所述數(shù)據(jù)傳輸需求包括源地址、目的地址、源端口號(hào)、目的端口號(hào)和數(shù)據(jù)傳輸類型。

進(jìn)一步地,所述應(yīng)用場(chǎng)景需求包括數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)到達(dá)和離開(kāi)時(shí)間。

進(jìn)一步地,步驟S1進(jìn)一步包括:S101:根據(jù)歷史數(shù)據(jù)日志建立長(zhǎng)度為N+M維的屬性向量v=(l1,…,lN,lN+1,…,lN+M),其中,N為所述數(shù)據(jù)傳輸需求的屬性數(shù)量,M為所述應(yīng)用場(chǎng)景需求的屬性數(shù)量,確定每份數(shù)據(jù)的屬性向量,構(gòu)成與已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合Ω={v1,…,vn},其中n為數(shù)據(jù)集的大??;S102:根據(jù)歷史路由器運(yùn)行情況,人為通過(guò)二元組h=(h',h”)標(biāo)記數(shù)據(jù)行為是否異常,其中h'為正常標(biāo)記或者異常標(biāo)記,h”表示不同異常行為對(duì)應(yīng)的ID碼,所述屬性向量數(shù)據(jù)集合中每個(gè)屬性向量分別對(duì)應(yīng)一個(gè)標(biāo)記,從而構(gòu)成的標(biāo)記數(shù)據(jù)集Θ={h1,h2,…,hn-1,hn}。

進(jìn)一步地,步驟S2進(jìn)一步包括:S201:根據(jù)預(yù)設(shè)的尼基值的計(jì)算方法體現(xiàn)數(shù)據(jù)集Ω的純度;S202:根據(jù)數(shù)據(jù)集Ω的純度計(jì)算所涉及的每個(gè)屬性的尼基指數(shù);S203:選取尼基指數(shù)最小的屬性作為劃分屬性,構(gòu)建所述分類回歸決策樹(shù)。

進(jìn)一步地,在步驟S203之后還包括:S204:在構(gòu)建所述分類回歸決策樹(shù)后,根據(jù)非葉子節(jié)點(diǎn)是否對(duì)所述分類回歸決策樹(shù)的泛化能力的增強(qiáng)有益來(lái)決定是否將非葉節(jié)點(diǎn)合并為葉子節(jié)點(diǎn)。

進(jìn)一步地,步驟S3進(jìn)一步包括:S301:提取所述新數(shù)據(jù)的各個(gè)屬性值,自頂向下執(zhí)行所述分類回歸決策樹(shù)的判定流程,以識(shí)別具有突出特征的異常行為。

進(jìn)一步地,在步驟S301之后還包括:S302:對(duì)于所述分類回歸決策樹(shù)無(wú)法判定的未知行為進(jìn)行緩存,當(dāng)所述未知行為達(dá)到預(yù)定數(shù)量時(shí)進(jìn)行離線訓(xùn)練,根據(jù)離線訓(xùn)練結(jié)果更新所述分類回歸決策樹(shù)。

本發(fā)明的附加方面和優(yōu)點(diǎn)將在下面的描述中部分給出,部分將從下面的描述中變得明顯,或通過(guò)本發(fā)明的實(shí)踐了解到。

附圖說(shuō)明

本發(fā)明的上述和/或附加的方面和優(yōu)點(diǎn)從結(jié)合下面附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解,其中:

圖1是本發(fā)明實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法的流程圖;

圖2是本發(fā)明一個(gè)實(shí)施例中構(gòu)建所述分類回歸決策樹(shù)后,在路由器中需要執(zhí)行的路由器數(shù)據(jù)平面未知行為檢測(cè)緩存處理示意圖;

圖3是本發(fā)明一個(gè)實(shí)施例中基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法的詳細(xì)流程圖。

具體實(shí)施方式

下面詳細(xì)描述本發(fā)明的實(shí)施例,所述實(shí)施例的示例在附圖中示出,下面通過(guò)參考附圖描述的實(shí)施例是示例性的,僅用于解釋本發(fā)明,而不能理解為對(duì)本發(fā)明的限制。

在本發(fā)明的描述中,需要理解的是,術(shù)語(yǔ)“第一”、“第二”僅用于描述目的,而不能理解為指示或暗示相對(duì)重要性。

參照下面的描述和附圖,將清楚本發(fā)明的實(shí)施例的這些和其它方面。在這些描述和附圖中,具體公開(kāi)了本發(fā)明的實(shí)施例中的一些特定實(shí)施方式,來(lái)表示實(shí)施本發(fā)明的實(shí)施例的原理的一些方式,但是應(yīng)當(dāng)理解,本發(fā)明的實(shí)施例的范圍不受此限制。相反,本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。

本發(fā)明的發(fā)明人通過(guò)大量創(chuàng)造性研究發(fā)現(xiàn):基于分類的異常行為檢測(cè)的方法應(yīng)用到路由器數(shù)據(jù)平面的異常行為檢測(cè)中的方法有限。主要是因?yàn)閭鹘y(tǒng)機(jī)器學(xué)習(xí)中的分類方法主要適用于圖像或者視頻數(shù)據(jù),難以在路由器數(shù)據(jù)平面找到合適的特征屬性。而本方法從物聯(lián)網(wǎng)時(shí)代錯(cuò)綜復(fù)雜的IoT設(shè)備和各種不同數(shù)據(jù)需求的網(wǎng)絡(luò)應(yīng)用考慮,選取了恰當(dāng)?shù)臄?shù)據(jù)平面中的相關(guān)屬性,同時(shí)允許根據(jù)應(yīng)用場(chǎng)景需求自定義異常行為以及相關(guān)屬性。隨之采用較穩(wěn)定的分類回歸決策樹(shù)對(duì)數(shù)據(jù)平面的行為進(jìn)行檢測(cè)判定,同時(shí)采用緩存池的思想來(lái)保證決策樹(shù)的穩(wěn)定性,不僅僅能夠區(qū)分明確的正常行為和異常行為,還能夠根據(jù)不同的應(yīng)用場(chǎng)景需求來(lái)處理中間行為(既不是正常行為也不是異常行為的行為)。

以下結(jié)合附圖描述本發(fā)明。

圖1是本發(fā)明實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法的流程圖。如圖1所示,一種基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,包括以下步驟:

S1:根據(jù)數(shù)據(jù)傳輸需求和應(yīng)用場(chǎng)景需求選擇多個(gè)屬性,根據(jù)多個(gè)屬性構(gòu)建已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合和標(biāo)記數(shù)據(jù)集,標(biāo)記數(shù)據(jù)集是根據(jù)路由器的歷史運(yùn)行記錄進(jìn)行標(biāo)注的,標(biāo)記數(shù)據(jù)集中每個(gè)標(biāo)記包括正常標(biāo)記或異常標(biāo)記。

具體地,確定必要的N個(gè)數(shù)據(jù)傳輸需求屬性和根據(jù)具體的應(yīng)用場(chǎng)景需求選定可選的M個(gè)屬性。在本發(fā)明的一個(gè)實(shí)施例中,數(shù)據(jù)傳輸需要包括源地址、目的地址、源端口號(hào)、目的端口號(hào)和數(shù)據(jù)傳輸類型中的一種或多種。應(yīng)用場(chǎng)景需求對(duì)應(yīng)的屬性是自定義的,例如對(duì)某個(gè)應(yīng)用場(chǎng)景選擇數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)到達(dá)和離開(kāi)時(shí)間等屬性。

在本發(fā)明的一個(gè)實(shí)施例中,步驟S1進(jìn)一步包括:

S101:為方便分類回歸決策樹(shù)的創(chuàng)建,根據(jù)歷史數(shù)據(jù)日志建立長(zhǎng)度為N+M維的屬性向量v=(l1,…,lN,lN+1,…,lN+M),其中,N為所述數(shù)據(jù)傳輸需求的屬性數(shù)量,M為所述應(yīng)用場(chǎng)景需求的屬性數(shù)量,確定每份數(shù)據(jù)的屬性向量,構(gòu)成與已有數(shù)據(jù)規(guī)模一致的屬性向量數(shù)據(jù)集合Ω={v1,…,vn},其中n為數(shù)據(jù)集的大小。

S102:根據(jù)歷史路由器運(yùn)行情況,人為標(biāo)記數(shù)據(jù)行為是否異常。標(biāo)記內(nèi)容為二元組,h=(h',h”),其中h'只能是正常或者異常兩種取值(1表示正常,0表示不正常),h”表示不同異常行為對(duì)應(yīng)的ID碼,h”是對(duì)h'的補(bǔ)充,說(shuō)明具體的行為類別(比如DOS攻擊、端口掃描)。h”可以為空值,隨后的離線更新根據(jù)具體應(yīng)用場(chǎng)景需求將不確定具體行為類型的對(duì)象的h'賦值以表示正常與否(自定義正常與否)。每個(gè)屬性向量都對(duì)應(yīng)一個(gè)標(biāo)記,從而構(gòu)成的標(biāo)記數(shù)據(jù)集Θ={h1,h2,…,hn-1,hn}。

S2:根據(jù)屬性向量數(shù)據(jù)集合和標(biāo)記數(shù)據(jù)集離線構(gòu)建分類回歸決策樹(shù)。

S201:在根據(jù)尼基指數(shù)選取分類屬性前,利用尼基值來(lái)體現(xiàn)數(shù)據(jù)集Ω的純度,尼基指數(shù)越小,純度越高,尼基值的計(jì)算方法如下:

其中,pk表示第k類樣本在樣本集中所占的比例,tn和tu分別表示正常類別的種數(shù)和不正常類別的種數(shù)。

S202:根據(jù)以下公式計(jì)算所涉及的每個(gè)屬性的尼基指數(shù):

其中,li為某個(gè)屬性,Vi表示屬性li的可能取值的個(gè)數(shù)。

S203:針對(duì)整個(gè)樣本數(shù)據(jù)計(jì)算所有屬性的尼基指數(shù)之后,優(yōu)先選取尼基指數(shù)最小的屬性作為劃分屬性,開(kāi)始構(gòu)建分類回歸決策樹(shù)。對(duì)于分類回歸決策樹(shù)每個(gè)沒(méi)有達(dá)到純度要求的點(diǎn)依次計(jì)算各個(gè)屬性的尼基指數(shù)ai={a1,a2,…,aN+M},選取尼基指數(shù)最小min{ai}的一個(gè)屬性作為當(dāng)前節(jié)點(diǎn)的劃分屬性:min{ai}→i。選取的劃分屬性為從而將該節(jié)點(diǎn)劃分為個(gè)子節(jié)點(diǎn),依次判斷每個(gè)子節(jié)點(diǎn)的純度(正確分類的行為所占的比例),若純度無(wú)法提高或者純度達(dá)到具體應(yīng)用場(chǎng)景所需要的閾值ε(例如ε≥0.85),則停止對(duì)節(jié)點(diǎn)的劃分;否則,按照步驟S203繼續(xù)劃分該節(jié)點(diǎn)。

S204:為了避免決策樹(shù)出現(xiàn)過(guò)擬合情況,在決策樹(shù)建立之后,根據(jù)非葉子節(jié)點(diǎn)是否對(duì)決策樹(shù)的泛化能力的增強(qiáng)有益來(lái)決定是否將非葉節(jié)點(diǎn)合并為葉子節(jié)點(diǎn)。

S3:根據(jù)分類回歸決策樹(shù)對(duì)新數(shù)據(jù)進(jìn)行異常行為的檢測(cè)。

S301:提取新數(shù)據(jù)的各個(gè)屬性值,自頂向下執(zhí)行分類回歸決策樹(shù)判定流程,可直接識(shí)別一些具有突出特征的異常行為,比如端口掃描、拒絕服務(wù)攻擊等常見(jiàn)異常行為。

S302:對(duì)于分類回歸決策樹(shù)無(wú)法判定的未知行為進(jìn)行緩存,應(yīng)用緩存池思想,當(dāng)緩存屬性向量(具有數(shù)據(jù)的詳細(xì)信息)達(dá)到預(yù)定數(shù)量時(shí)進(jìn)行離線訓(xùn)練,根據(jù)離線訓(xùn)練結(jié)果更新決策樹(shù),提高決策樹(shù)的可擴(kuò)展性。

圖2是本發(fā)明一個(gè)實(shí)施例中構(gòu)建分類回歸決策樹(shù)后,在路由器中需要執(zhí)行的路由器數(shù)據(jù)平面未知行為檢測(cè)緩存處理示意圖。如圖2所示,首先自頂向下執(zhí)行分類回歸決策樹(shù)的判定流程,以識(shí)別具有突出特征的異常行為。對(duì)于未知類別行為集合放入緩存池進(jìn)行存儲(chǔ)。對(duì)于緩存池內(nèi)的未知類別行為集合達(dá)到一定數(shù)量之后,離線提取數(shù)據(jù)的屬性值,采用聚類的方法將未知行為劃分為若干群體,確定是否存在新的異常行為,同時(shí)人為給這些群體命名新的類別,從而進(jìn)行標(biāo)記。隨后將這些新的類別加入數(shù)據(jù)集,進(jìn)而更新決策樹(shù),使決策樹(shù)更加穩(wěn)定、更加泛化。

為使本領(lǐng)域人員進(jìn)一步理解本發(fā)明,將通過(guò)以下實(shí)施例進(jìn)行詳細(xì)說(shuō)明。

如圖3所示,根據(jù)歷史數(shù)據(jù)日志,選定數(shù)據(jù)傳輸需求和應(yīng)用場(chǎng)景需求建立的分類回歸決策樹(shù),其中分類回歸決策樹(shù)優(yōu)先選取尼基指數(shù)最小的屬性作為劃分屬性,同一屬性在同一路徑中最多出現(xiàn)一次。

假設(shè)本實(shí)施例構(gòu)建的分類回歸決策樹(shù)需要6個(gè)數(shù)據(jù)傳輸需求屬性,分別為源地址、目的地址、源端口號(hào)、目的端口號(hào)、數(shù)據(jù)傳輸類型、數(shù)據(jù)類型,即N=6;同時(shí)需要2個(gè)應(yīng)用場(chǎng)景需求屬性,分別為數(shù)據(jù)大小、源地址與目的地址是否一致,即M=2。隨后,進(jìn)行數(shù)據(jù)的提取,對(duì)于大量的歷史數(shù)據(jù),提取前面提到的M+N=6+2=8個(gè)屬性,從而構(gòu)建長(zhǎng)度為8的屬性向量,如v=(102.51.130.23,99.6.130.4,1,4,u,v,s,0)。為了決策樹(shù)的準(zhǔn)確性,數(shù)據(jù)集不能太小,本實(shí)施例假設(shè)數(shù)據(jù)集大小n為5。屬性向量提取之后,為每一個(gè)屬性向量標(biāo)記行為類別,比如h=(0,1)表示一個(gè)不正常行為,具體類別h”為1所對(duì)應(yīng)的異常行為類別——DOS攻擊。這里為不同的異常行為類別編碼了各自的ID,比如2表示LandAttack,構(gòu)成數(shù)據(jù)集如表1,其中u表示上傳,d表示下載,v表示視頻,m表示郵件,r表示請(qǐng)求,s表示小文件,b表示大文件。

表1訓(xùn)練數(shù)據(jù)集

在具備了帶有標(biāo)記的訓(xùn)練數(shù)據(jù)集之后,創(chuàng)建分類回歸決策樹(shù)。創(chuàng)建過(guò)程中,對(duì)于每一次節(jié)點(diǎn)的劃分,都是選取基尼指數(shù)最小的一個(gè)屬性作為該節(jié)點(diǎn)的劃分屬性。首先,基于整個(gè)數(shù)據(jù)集(舉例說(shuō)明時(shí)數(shù)據(jù)集大小僅僅5條記錄,實(shí)際數(shù)據(jù)集的大小應(yīng)該大于10000)依次計(jì)算8個(gè)屬性的尼基指數(shù),其中l(wèi)8對(duì)應(yīng)的尼基指數(shù)最小η(Ω,l8)=0,因此選擇“源地址和目的地址是否一致”這一屬性作為劃分屬性,由于l8的取值僅有兩種可能,因此將產(chǎn)生兩個(gè)子節(jié)點(diǎn),而兩個(gè)子節(jié)點(diǎn)剛好均達(dá)到純度的最大值100%,必然大于閾值ε(建議取值大于0.85),因此無(wú)須繼續(xù)劃分,決策樹(shù)訓(xùn)練完成。需要說(shuō)明的是:本實(shí)施例中數(shù)據(jù)集比較簡(jiǎn)單,實(shí)際使用過(guò)程中數(shù)據(jù)集至少要大于10000,因此離線訓(xùn)練過(guò)程也要比較長(zhǎng),但是因?yàn)槭请x線訓(xùn)練,不會(huì)影響檢測(cè)效率,實(shí)際的決策樹(shù)結(jié)構(gòu)也遠(yuǎn)遠(yuǎn)復(fù)雜于舉例中的僅含有三個(gè)節(jié)點(diǎn)的決策樹(shù)。

在決策樹(shù)創(chuàng)建成功之后(按照實(shí)際可能的決策樹(shù)來(lái)說(shuō)明,而不是前面舉例提到的僅三個(gè)節(jié)點(diǎn)的決策樹(shù)),依次對(duì)來(lái)到的數(shù)據(jù)進(jìn)行行為檢測(cè)。對(duì)于一個(gè)LandAttack的異常行為的數(shù)據(jù),在決策樹(shù)中逐層下降,前2層可能無(wú)法確定是否為異常行為,當(dāng)達(dá)到使用“源與目的地址是否一致”這一屬性作為劃分屬性所在的第3層時(shí),決策樹(shù)執(zhí)行屬性值為“是”的分支,從而到達(dá)葉子節(jié)點(diǎn),給該行為分配的二元組(0,2),其中第一項(xiàng)0表示是異常行為,而第二項(xiàng)ID碼標(biāo)識(shí)出了的具體的異常行為類別。后續(xù)路由器可能執(zhí)行一定的行為預(yù)警或者直接采取安全措施。

對(duì)于一個(gè)正常行為,在決策樹(shù)中執(zhí)行若干層判斷之后達(dá)到一個(gè)正常行為的葉子節(jié)點(diǎn),從而分配二元組(1,0),其中第一項(xiàng)1表示正常行為,0無(wú)意義。

對(duì)于一個(gè)未知具體類別的行為,在決策樹(shù)中執(zhí)行若干層判斷之后達(dá)到一個(gè)無(wú)法確定行為類別的子節(jié)點(diǎn),所分配二元組為(0,0),其中第一項(xiàng)0表示異常行為,第二項(xiàng)0表示異常行為類別不明,需要進(jìn)一步人為干預(yù)。也就是說(shuō),為了安全,本方法會(huì)將所有明確為正常行為之外的行為暫定為異常行為,但是對(duì)于類別不明的異常行為會(huì)進(jìn)行緩存,達(dá)到一定數(shù)量后,人為干預(yù)進(jìn)行標(biāo)記,從而確定異常行為類別,也可能歸類到正常行為。隨后,利用標(biāo)記好的緩存數(shù)據(jù)離線更新決策樹(shù),從而提高決策樹(shù)的適應(yīng)性。

本發(fā)明實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法,分類回歸決策樹(shù)根據(jù)歷史數(shù)據(jù)離線進(jìn)行的,不會(huì)給路由器數(shù)據(jù)平面的異常行為檢測(cè)增加計(jì)算開(kāi)銷。而且,在完整的決策樹(shù)建立之后,路由器內(nèi)部只需按照決策樹(shù)自頂向下執(zhí)行異常行為的判定,計(jì)算開(kāi)銷小,而且完整的決策樹(shù)能夠保證較高的檢測(cè)精度,所以保證效率的同時(shí)保證了精度。對(duì)于一些暫時(shí)無(wú)法判定的行為,基于緩存池的思想,當(dāng)緩存到一定數(shù)量之后進(jìn)行行為的分析判定,不僅僅能夠有效提高決策樹(shù)的健壯性,而且不會(huì)頻繁地更新決策樹(shù),保證了決策樹(shù)的穩(wěn)定,同時(shí)還提高了決策樹(shù)的可擴(kuò)展性。

另外,本發(fā)明實(shí)施例的基于分類回歸決策樹(shù)的路由器數(shù)據(jù)平面異常行為檢測(cè)方法的其它構(gòu)成以及作用對(duì)于本領(lǐng)域的技術(shù)人員而言都是已知的,為了減少冗余,不做贅述。

在本說(shuō)明書的描述中,參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說(shuō)明書中,對(duì)上述術(shù)語(yǔ)的示意性表述不一定指的是相同的實(shí)施例或示例。而且,描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。

盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例,本領(lǐng)域的普通技術(shù)人員可以理解:在不脫離本發(fā)明的原理和宗旨的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化、修改、替換和變型,本發(fā)明的范圍由權(quán)利要求及其等同限定。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1