基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法
【專利摘要】本發(fā)明提出了基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法。其中��,所述方法包括:按照預(yù)定的采樣時(shí)間窗口周期性地采樣網(wǎng)絡(luò)上的數(shù)據(jù)流��;分析所述采樣的數(shù)據(jù)流��,并基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型以判斷所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流���,如果所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流�����,則執(zhí)行相關(guān)的報(bào)警操作����。本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法具有高的穩(wěn)定性和準(zhǔn)確性��,資源消耗低并且能夠適用于各種復(fù)雜網(wǎng)絡(luò)環(huán)境���。
【專利說(shuō)明】基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法��,更具體地���,涉及基于分類決策樹的網(wǎng)絡(luò) 純凈性檢測(cè)裝置及方法。
【背景技術(shù)】
[0002] 目前����,隨著計(jì)算機(jī)和網(wǎng)絡(luò)應(yīng)用的日益廣泛以及不同領(lǐng)域的業(yè)務(wù)種類的日益豐富 (尤其在云計(jì)算環(huán)境中),網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法變得越來(lái)越重要��。網(wǎng)絡(luò)數(shù)據(jù)流的純凈 性檢測(cè)的主要目的是為了保證特定網(wǎng)絡(luò)中只允許存在某些特定類型的數(shù)據(jù)流(即正常的 數(shù)據(jù)流)��,而其它類型的數(shù)據(jù)流則被視為異常數(shù)據(jù)流,當(dāng)檢測(cè)到異常數(shù)據(jù)流時(shí)需要進(jìn)行報(bào) 警或者數(shù)據(jù)流清洗操作�����。
[0003] 現(xiàn)有的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法通?��;谌缦聝煞N方式:(1)根據(jù)數(shù)據(jù)包使 用的傳輸層端口來(lái)判斷其承載的應(yīng)用層協(xié)議的類型�;(2)利用深度包檢測(cè)(De印Packet Inspection�����,DPI)的方法對(duì)數(shù)據(jù)包的負(fù)載進(jìn)行分析��,并根據(jù)通信的行為或者特定的模式匹 配來(lái)判斷上層的應(yīng)用協(xié)議���。
[0004] 然而�,現(xiàn)有的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法存在如下問(wèn)題:(1)針對(duì)第一種方式��, 由于只能檢測(cè)使用公知端口的應(yīng)用層協(xié)議(例如HTTP協(xié)議使用TCP 80端口���,DNS協(xié)議使 用UDP 53端口等)��,故該方法的準(zhǔn)確率較低并且適用范圍較窄����;(2)針對(duì)第二種方式,由于 需要事先了解每種應(yīng)用層協(xié)議的特征��,因此僅適用于識(shí)別已知的常用協(xié)議且在某些情況下 是不可行的(例如有些協(xié)議的負(fù)載本身是經(jīng)過(guò)加密的)��,故其適用范圍有限并且資源消耗較 多����。
[0005] 因此���,存在如下需求:提供具有高的穩(wěn)定性和準(zhǔn)確性��,資源消耗低并且能夠適用于 各種復(fù)雜網(wǎng)絡(luò)環(huán)境(例如云計(jì)算環(huán)境)的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法����。
【發(fā)明內(nèi)容】
[0006] 為了解決上述現(xiàn)有技術(shù)方案所存在的問(wèn)題���,本發(fā)明提出了具有高的穩(wěn)定性和準(zhǔn)確 性���,資源消耗低并且能夠適用于各種復(fù)雜網(wǎng)絡(luò)環(huán)境(例如云計(jì)算環(huán)境)的基于分類決策樹的 網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法。
[0007] 本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的: 一種基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置�����,所述基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè) 裝置包括: 網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊,所述網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊按照預(yù)定的采樣時(shí)間窗口周期性地采 樣網(wǎng)絡(luò)上的數(shù)據(jù)流����,并將采樣的數(shù)據(jù)流傳送到?jīng)Q策樹分類器; 決策樹分類器�,所述決策樹分類器分析所述采樣的數(shù)據(jù)流,并基于分類決策樹確定所 述采樣的數(shù)據(jù)流的類型以判斷所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流�,如果所述采樣的數(shù)據(jù) 流是異常數(shù)據(jù)流,則構(gòu)造報(bào)警指令��,并將所述報(bào)警指令傳送到報(bào)警模塊以實(shí)施報(bào)警���,其中��, 所述報(bào)警指令包含異常數(shù)據(jù)流的信息��; 報(bào)警模塊����,所述報(bào)警模塊基于接收到的所述報(bào)警指令執(zhí)行相關(guān)的報(bào)警操作���。
[0008] 在上面所公開的方案中���,可選地��,所述基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置進(jìn) 一步包括協(xié)議過(guò)濾器�,所述協(xié)議過(guò)濾器在所述決策樹分類器之前預(yù)處理所述采樣的數(shù)據(jù) 流�,如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型不是正常數(shù)據(jù)流的類型,則將所述采樣的 數(shù)據(jù)流轉(zhuǎn)發(fā)到所述決策樹分類器進(jìn)行后續(xù)的處理�����,而如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議 的類型是正常數(shù)據(jù)流的類型��,則不將所述采樣的數(shù)據(jù)流轉(zhuǎn)發(fā)到所述決策樹分類器����。
[0009] 在上面所公開的方案中���,可選地����,所述決策樹分類器在基于分類決策樹判斷所述 采樣的數(shù)據(jù)流是異常數(shù)據(jù)流之后進(jìn)一步基于DPI技術(shù)檢驗(yàn)所述采樣的數(shù)據(jù)流����,如果所述采 樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字不匹配�����,則構(gòu)造報(bào)警指令并將所述報(bào)警指令傳 送到報(bào)警模塊以實(shí)施報(bào)警�����,而如果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字相匹 配���,則不觸發(fā)報(bào)警操作。
[0010] 在上面所公開的方案中��,優(yōu)選地�,所述分類決策樹包括至少兩層,并且每個(gè)非葉子 節(jié)點(diǎn)的值表示數(shù)據(jù)流的一個(gè)特征量的值���,而每個(gè)葉子節(jié)點(diǎn)的值表示滿足如下條件的數(shù)據(jù)流 的類型:該數(shù)據(jù)流的各個(gè)對(duì)應(yīng)的特征量的值匹配該葉子節(jié)點(diǎn)對(duì)應(yīng)的分類決策樹的分支中的 各個(gè)節(jié)點(diǎn)的值��。
[0011] 在上面所公開的方案中�,優(yōu)選地���,以如下方式基于分類決策樹確定所述采樣的數(shù) 據(jù)流的類型:從所述分類決策樹的根節(jié)點(diǎn)開始����,將所述采樣的數(shù)據(jù)流的對(duì)應(yīng)的特征量的值 與當(dāng)前層的對(duì)應(yīng)節(jié)點(diǎn)的值相比較,如果相匹配��,則針對(duì)該匹配的節(jié)點(diǎn)對(duì)應(yīng)的下一層的節(jié)點(diǎn) 重復(fù)執(zhí)行與上述匹配操作相似的匹配操作�,如果最終到達(dá)葉子節(jié)點(diǎn),則該葉子節(jié)點(diǎn)的值所 代表的數(shù)據(jù)流的類型就是所述采樣的數(shù)據(jù)流的類型�。
[0012] 在上面所公開的方案中,優(yōu)選地��,以如下方式基于訓(xùn)練數(shù)據(jù)集生成所述分類決策 樹:(1)對(duì)從訓(xùn)練數(shù)據(jù)集獲得的數(shù)據(jù)流的連續(xù)的特征量取值進(jìn)行離散化���;(2)從根節(jié)點(diǎn)開始 構(gòu)造分類決策樹����,每次選取具有最大增益率的特征量做為分裂屬性����,并按照該特征量的可 能取值構(gòu)造不同的分支�����,隨后遞歸地選取后續(xù)的特征量節(jié)點(diǎn)���;(3)當(dāng)?shù)竭_(dá)葉子節(jié)點(diǎn)時(shí)���,如果 所有樣本屬于同一數(shù)據(jù)流類型��,則以該數(shù)據(jù)流類型作為葉子節(jié)點(diǎn)的值�����,而如果包含了不同 類型的數(shù)據(jù)流樣本����,則以該集合中占多數(shù)的數(shù)據(jù)流類型作為該葉子節(jié)點(diǎn)的值�。
[0013] 本發(fā)明的目的也可以通過(guò)以下技術(shù)方案實(shí)現(xiàn): 一種基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法,所述方法包括下列步驟: (A1)按照預(yù)定的采樣時(shí)間窗口周期性地采樣網(wǎng)絡(luò)上的數(shù)據(jù)流�����; (A2)分析所述采樣的數(shù)據(jù)流���,并基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型以判斷 所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流��,如果所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流�����,則執(zhí)行相關(guān) 的報(bào)警操作��。
[0014] 本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置及方法具有以下優(yōu)點(diǎn): (1)具有高的穩(wěn)定性和準(zhǔn)確性�;(2)算法復(fù)雜度較低,占用資源較少����;(3)能夠適用于各種復(fù) 雜網(wǎng)絡(luò)環(huán)境(例如云計(jì)算環(huán)境)。
【專利附圖】
【附圖說(shuō)明】
[0015] 結(jié)合附圖�,本發(fā)明的技術(shù)特征以及優(yōu)點(diǎn)將會(huì)被本領(lǐng)域技術(shù)人員更好地理解,其 中: 圖1是根據(jù)本發(fā)明的實(shí)施例的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置的示意性結(jié)構(gòu) 圖�; 圖2是根據(jù)本發(fā)明的實(shí)施例的分類決策樹的實(shí)例的示意圖; 圖3是根據(jù)本發(fā)明的實(shí)施例的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法的流程圖�����。
【具體實(shí)施方式】
[0016]圖1是根據(jù)本發(fā)明的實(shí)施例的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置的示意性 結(jié)構(gòu)圖����。如圖1所示���,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置包括決策樹 分類器1��、網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊2和報(bào)警模塊4���。其中�,所述網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊2按照預(yù)定 的采樣時(shí)間窗口(其可以由用戶根據(jù)實(shí)際需求而配置)周期性地采樣網(wǎng)絡(luò)上的數(shù)據(jù)流��,并將 采樣的數(shù)據(jù)流傳送到?jīng)Q策樹分類器1��。所述決策樹分類器1分析所述采樣的數(shù)據(jù)流�,并基于 分類決策樹確定所述采樣的數(shù)據(jù)流的類型以判斷所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流,如 果所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流�,則構(gòu)造報(bào)警指令,并將所述報(bào)警指令傳送到報(bào)警模塊4 以實(shí)施報(bào)警�,其中,所述報(bào)警指令包含異常數(shù)據(jù)流的信息�。所述報(bào)警模塊4基于接收到的所 述報(bào)警指令執(zhí)行相關(guān)的報(bào)警操作。
[0017] 可選地��,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置進(jìn)一步包括協(xié)議 過(guò)濾器3,所述協(xié)議過(guò)濾器3在所述決策樹分類器1之前預(yù)處理所述采樣的數(shù)據(jù)流�����,如果所 述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型不是正常數(shù)據(jù)流的類型�,則將所述采樣的數(shù)據(jù)流轉(zhuǎn)發(fā) 到所述決策樹分類器1進(jìn)行后續(xù)的處理,而如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型是 正常數(shù)據(jù)流的類型����,則不將所述采樣的數(shù)據(jù)流轉(zhuǎn)發(fā)到所述決策樹分類器1�。
[0018] 可選地���,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置中�����,所述決策 樹分類器1在基于分類決策樹判斷所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流之后進(jìn)一步基于DPI (深度包檢測(cè))技術(shù)檢驗(yàn)所述采樣的數(shù)據(jù)流����,如果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流 的關(guān)鍵字不匹配��,則構(gòu)造報(bào)警指令并將所述報(bào)警指令傳送到報(bào)警模塊4以實(shí)施報(bào)警��,而如 果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字相匹配����,則不觸發(fā)報(bào)警操作。
[0019] 優(yōu)選地�����,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置中��,所述分類 決策樹包括至少兩層���,并且每個(gè)非葉子節(jié)點(diǎn)的值表示數(shù)據(jù)流的一個(gè)特征量的值����,而每個(gè)葉 子節(jié)點(diǎn)的值表示滿足如下條件的數(shù)據(jù)流的類型:該數(shù)據(jù)流的各個(gè)對(duì)應(yīng)的特征量的值匹配該 葉子節(jié)點(diǎn)對(duì)應(yīng)的分類決策樹的分支中的各個(gè)節(jié)點(diǎn)的值�����。
[0020] 優(yōu)選地��,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置中����,以如下方 式基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型:從所述分類決策樹的根節(jié)點(diǎn)開始,將所 述采樣的數(shù)據(jù)流的對(duì)應(yīng)的特征量的值與當(dāng)前層的對(duì)應(yīng)節(jié)點(diǎn)的值相比較�����,如果相匹配���,則針 對(duì)該匹配的節(jié)點(diǎn)對(duì)應(yīng)的下一層的節(jié)點(diǎn)重復(fù)執(zhí)行與上述匹配操作相似的匹配操作�,如果最終 到達(dá)葉子節(jié)點(diǎn)�����,則該葉子節(jié)點(diǎn)的值所代表的數(shù)據(jù)流的類型就是所述采樣的數(shù)據(jù)流的類型。
[0021] 優(yōu)選地��,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置中����,以如下方 式基于訓(xùn)練數(shù)據(jù)集生成所述分類決策樹:(1)對(duì)從訓(xùn)練數(shù)據(jù)集獲得的數(shù)據(jù)流的連續(xù)的特征 量取值進(jìn)行離散化;(2)從根節(jié)點(diǎn)開始構(gòu)造分類決策樹��,每次選取具有最大增益率的特征 量做為分裂屬性(即對(duì)訓(xùn)練樣本具有最高區(qū)分度的特征量)���,并按照該特征量的可能取值構(gòu) 造不同的分支�,隨后遞歸地選取后續(xù)的特征量節(jié)點(diǎn)����;(3)當(dāng)?shù)竭_(dá)葉子節(jié)點(diǎn)時(shí),如果所有樣本 屬于同一數(shù)據(jù)流類型�����,則以該數(shù)據(jù)流類型作為葉子節(jié)點(diǎn)的值��,而如果包含了不同類型的數(shù) 據(jù)流樣本(即不同類型的數(shù)據(jù)流樣本包含了相同的特征量)�����,則以該集合中占多數(shù)的數(shù)據(jù)流 類型作為該葉子節(jié)點(diǎn)的值。
[0022] 圖2是根據(jù)本發(fā)明的實(shí)施例的分類決策樹的實(shí)例的示意圖�。如圖2所示����,在該例 子中,數(shù)據(jù)流由包含傳輸層協(xié)議類型�、源IP地址、目的IP地址�����、源端口號(hào)和目的端口號(hào)五個(gè) 元素的組來(lái)標(biāo)識(shí)�����,并且在分類時(shí)同時(shí)考慮了上行和下行數(shù)據(jù)流����,其中,針對(duì)每個(gè)數(shù)據(jù)流����,選 取最初四個(gè)數(shù)據(jù)包方向、平均數(shù)據(jù)包長(zhǎng)度�、平均數(shù)據(jù)包間隔時(shí)間以及數(shù)據(jù)流持續(xù)時(shí)間作為 特征量�����,其中����,最初四個(gè)數(shù)據(jù)包方向反映出鏈接建立時(shí)的交互過(guò)程(示例性地�����,可以設(shè)定下 行數(shù)據(jù)包方向?yàn)椹?上行數(shù)據(jù)包方向?yàn)?�����,則該特征量可以表示為由四位二進(jìn)制數(shù)組成的整 數(shù))���。此外����,該例子中���,在計(jì)算平均數(shù)據(jù)包長(zhǎng)度時(shí)����,僅考慮包含實(shí)際負(fù)載的數(shù)據(jù)包,而僅包含 例如ACK的純TCP數(shù)據(jù)包不會(huì)加入到計(jì)算之中��,另外����,平均數(shù)據(jù)包間隔時(shí)間指的是在該數(shù)據(jù) 流內(nèi)部的每個(gè)數(shù)據(jù)包之間間隔的平均時(shí)間���。
[0023] 由上可見(jiàn)�����,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置具有下列優(yōu) 點(diǎn):(1)具有高的穩(wěn)定性和準(zhǔn)確性�;(2)算法復(fù)雜度較低�,占用資源較少;(3)能夠適用于各 種復(fù)雜網(wǎng)絡(luò)環(huán)境(例如云計(jì)算環(huán)境)�����。
[0024] 圖3是根據(jù)本發(fā)明的實(shí)施例的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法的流程圖��。 如圖3所示����,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法包括下列步驟:(A1) 按照預(yù)定的采樣時(shí)間窗口(其可以由用戶根據(jù)實(shí)際需求而配置)周期性地采樣網(wǎng)絡(luò)上的數(shù) 據(jù)流���;(A2)分析所述采樣的數(shù)據(jù)流,并基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型以判 斷所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流�,如果所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流,則執(zhí)行相 關(guān)的報(bào)警操作�����。
[0025] 可選地�,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法進(jìn)一步包括:在 基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型之前預(yù)處理所述采樣的數(shù)據(jù)流,如果所述采 樣的數(shù)據(jù)流的傳輸層協(xié)議的類型不是正常數(shù)據(jù)流的類型�����,則隨后基于分類決策樹確定所述 采樣的數(shù)據(jù)流的類型�,而如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型是正常數(shù)據(jù)流的類 型,則不進(jìn)行后續(xù)的處理����。
[0026] 可選地,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法進(jìn)一步包括:在 基于分類決策樹判斷所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流之后進(jìn)一步基于DPI (深度包檢測(cè)) 技術(shù)檢驗(yàn)所述采樣的數(shù)據(jù)流����,如果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字不匹 配,則執(zhí)行相關(guān)的報(bào)警操作,而如果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字相 匹配���,則不觸發(fā)報(bào)警操作����。
[0027] 優(yōu)選地�����,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法中���,所述分類 決策樹包括至少兩層,并且每個(gè)非葉子節(jié)點(diǎn)的值表示數(shù)據(jù)流的一個(gè)特征量的值��,而每個(gè)葉 子節(jié)點(diǎn)的值表示滿足如下條件的數(shù)據(jù)流的類型:該數(shù)據(jù)流的各個(gè)對(duì)應(yīng)的特征量的值匹配該 葉子節(jié)點(diǎn)對(duì)應(yīng)的分類決策樹的分支中的各個(gè)節(jié)點(diǎn)的值��。
[0028] 優(yōu)選地���,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法中��,以如下方 式基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型:從所述分類決策樹的根節(jié)點(diǎn)開始��,將所 述采樣的數(shù)據(jù)流的對(duì)應(yīng)的特征量的值與當(dāng)前層的對(duì)應(yīng)節(jié)點(diǎn)的值相比較�����,如果相匹配���,則針 對(duì)該匹配的節(jié)點(diǎn)對(duì)應(yīng)的下一層的節(jié)點(diǎn)重復(fù)執(zhí)行與上述匹配操作相似的匹配操作��,如果最終 到達(dá)葉子節(jié)點(diǎn)����,則該葉子節(jié)點(diǎn)的值所代表的數(shù)據(jù)流的類型就是所述采樣的數(shù)據(jù)流的類型���。
[0029] 優(yōu)選地�,在本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法中��,以如下方 式基于訓(xùn)練數(shù)據(jù)集生成所述分類決策樹:(1)對(duì)從訓(xùn)練數(shù)據(jù)集獲得的數(shù)據(jù)流的連續(xù)的特征 量取值進(jìn)行離散化���;(2)從根節(jié)點(diǎn)開始構(gòu)造分類決策樹�,每次選取具有最大增益率的特征 量做為分裂屬性(即對(duì)訓(xùn)練樣本具有最高區(qū)分度的特征量),并按照該特征量的可能取值構(gòu) 造不同的分支�����,隨后遞歸地選取后續(xù)的特征量節(jié)點(diǎn)�;(3)當(dāng)?shù)竭_(dá)葉子節(jié)點(diǎn)時(shí)�����,如果所有樣本 屬于同一數(shù)據(jù)流類型,則以該數(shù)據(jù)流類型作為葉子節(jié)點(diǎn)的值����,而如果包含了不同類型的數(shù) 據(jù)流樣本(即不同類型的數(shù)據(jù)流樣本包含了相同的特征量)��,則以該集合中占多數(shù)的數(shù)據(jù)流 類型作為該葉子節(jié)點(diǎn)的值���。
[0030] 由上可見(jiàn)����,本發(fā)明所公開的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法具有下列優(yōu) 點(diǎn):(1)具有高的穩(wěn)定性和準(zhǔn)確性�����;(2)算法復(fù)雜度較低,占用資源較少�;(3)能夠適用于各 種復(fù)雜網(wǎng)絡(luò)環(huán)境(例如云計(jì)算環(huán)境)�����。
[0031] 盡管本發(fā)明是通過(guò)上述的優(yōu)選實(shí)施方式進(jìn)行描述的���,但是其實(shí)現(xiàn)形式并不局限于 上述的實(shí)施方式�����。應(yīng)該認(rèn)識(shí)到:在不脫離本發(fā)明主旨和范圍的情況下����,本領(lǐng)域技術(shù)人員可以 對(duì)本發(fā)明做出不同的變化和修改�����。
【權(quán)利要求】
1. 一種基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置,所述基于分類決策樹的網(wǎng)絡(luò)純凈性檢 測(cè)裝置包括: 網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊�����,所述網(wǎng)絡(luò)數(shù)據(jù)流采樣模塊按照預(yù)定的采樣時(shí)間窗口周期性地采 樣網(wǎng)絡(luò)上的數(shù)據(jù)流���,并將采樣的數(shù)據(jù)流傳送到?jīng)Q策樹分類器�����; 決策樹分類器,所述決策樹分類器分析所述采樣的數(shù)據(jù)流���,并基于分類決策樹確定所 述采樣的數(shù)據(jù)流的類型以判斷所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流����,如果所述采樣的數(shù)據(jù) 流是異常數(shù)據(jù)流,則構(gòu)造報(bào)警指令��,并將所述報(bào)警指令傳送到報(bào)警模塊以實(shí)施報(bào)警��,其中, 所述報(bào)警指令包含異常數(shù)據(jù)流的信息���; 報(bào)警模塊��,所述報(bào)警模塊基于接收到的所述報(bào)警指令執(zhí)行相關(guān)的報(bào)警操作�����。
2. 根據(jù)權(quán)利要求1所述的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置���,其特征在于�����,所述 基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置進(jìn)一步包括協(xié)議過(guò)濾器,所述協(xié)議過(guò)濾器在所述決 策樹分類器之前預(yù)處理所述采樣的數(shù)據(jù)流����,如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型不 是正常數(shù)據(jù)流的類型��,則將所述采樣的數(shù)據(jù)流轉(zhuǎn)發(fā)到所述決策樹分類器進(jìn)行后續(xù)的處理�, 而如果所述采樣的數(shù)據(jù)流的傳輸層協(xié)議的類型是正常數(shù)據(jù)流的類型����,則不將所述采樣的數(shù) 據(jù)流轉(zhuǎn)發(fā)到所述決策樹分類器�����。
3. 根據(jù)權(quán)利要求2所述的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置�����,其特征在于��,所述 決策樹分類器在基于分類決策樹判斷所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流之后進(jìn)一步基于DPI 技術(shù)檢驗(yàn)所述采樣的數(shù)據(jù)流,如果所述采樣的數(shù)據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字不匹 配����,則構(gòu)造報(bào)警指令并將所述報(bào)警指令傳送到報(bào)警模塊以實(shí)施報(bào)警,而如果所述采樣的數(shù) 據(jù)流的關(guān)鍵字與正常數(shù)據(jù)流的關(guān)鍵字相匹配��,則不觸發(fā)報(bào)警操作��。
4. 根據(jù)權(quán)利要求3所述的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置�����,其特征在于����,所述 分類決策樹包括至少兩層,并且每個(gè)非葉子節(jié)點(diǎn)的值表示數(shù)據(jù)流的一個(gè)特征量的值��,而每 個(gè)葉子節(jié)點(diǎn)的值表示滿足如下條件的數(shù)據(jù)流的類型:該數(shù)據(jù)流的各個(gè)對(duì)應(yīng)的特征量的值匹 配該葉子節(jié)點(diǎn)對(duì)應(yīng)的分類決策樹的分支中的各個(gè)節(jié)點(diǎn)的值���。
5. 根據(jù)權(quán)利要求4所述的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置��,其特征在于��,以如 下方式基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型:從所述分類決策樹的根節(jié)點(diǎn)開始�����, 將所述采樣的數(shù)據(jù)流的對(duì)應(yīng)的特征量的值與當(dāng)前層的對(duì)應(yīng)節(jié)點(diǎn)的值相比較�,如果相匹配���, 則針對(duì)該匹配的節(jié)點(diǎn)對(duì)應(yīng)的下一層的節(jié)點(diǎn)重復(fù)執(zhí)行與上述匹配操作相似的匹配操作�����,如果 最終到達(dá)葉子節(jié)點(diǎn)��,則該葉子節(jié)點(diǎn)的值所代表的數(shù)據(jù)流的類型就是所述采樣的數(shù)據(jù)流的類 型���。
6. 根據(jù)權(quán)利要求5所述的基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)裝置��,其特征在于��,以如 下方式基于訓(xùn)練數(shù)據(jù)集生成所述分類決策樹:(1)對(duì)從訓(xùn)練數(shù)據(jù)集獲得的數(shù)據(jù)流的連續(xù)的 特征量取值進(jìn)行離散化����;(2)從根節(jié)點(diǎn)開始構(gòu)造分類決策樹��,每次選取具有最大增益率的 特征量做為分裂屬性����,并按照該特征量的可能取值構(gòu)造不同的分支,隨后遞歸地選取后續(xù) 的特征量節(jié)點(diǎn)�����;(3)當(dāng)?shù)竭_(dá)葉子節(jié)點(diǎn)時(shí)�,如果所有樣本屬于同一數(shù)據(jù)流類型,則以該數(shù)據(jù)流 類型作為葉子節(jié)點(diǎn)的值���,而如果包含了不同類型的數(shù)據(jù)流樣本,則以該集合中占多數(shù)的數(shù) 據(jù)流類型作為該葉子節(jié)點(diǎn)的值�。
7. -種基于分類決策樹的網(wǎng)絡(luò)純凈性檢測(cè)方法��,所述方法包括下列步驟: (A1)按照預(yù)定的采樣時(shí)間窗口周期性地采樣網(wǎng)絡(luò)上的數(shù)據(jù)流����; (A2)分析所述采樣的數(shù)據(jù)流��,并基于分類決策樹確定所述采樣的數(shù)據(jù)流的類型以判斷 所述采樣的數(shù)據(jù)流是否是異常數(shù)據(jù)流,如果所述采樣的數(shù)據(jù)流是異常數(shù)據(jù)流,則執(zhí)行相關(guān) 的報(bào)警操作����。
【文檔編號(hào)】H04L29/06GK104125106SQ201310142240
【公開日】2014年10月29日 申請(qǐng)日期:2013年4月23日 優(yōu)先權(quán)日:2013年4月23日
【發(fā)明者】柴洪峰, 吳杰, 魯志軍, 葉家煒, 王明博, 嚴(yán)明 申請(qǐng)人:中國(guó)銀聯(lián)股份有限公司