买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国民航大学

摘要：本发明公开了一种面向物联网的多协议僵尸网络检测方法中，其依次通过样本捕获、样本预处理、样本重采样、样本特征选择、两阶段混合异构模型构建以及模型参数寻优、模型训练和僵尸网络检测实现；该方法通过基于地址三元组和时间窗口的IP聚合与特征重构方法降低了样本中的数据包数量，通过基于多属性决策和邻接关系链的序列前向选择算法对冗余特征进行两次剔除操作，降低物联网网关的计算开销，通过经过优化和训练的两阶段混合异构模型实现从多角度学习僵尸网络中多种通信协议的样本特征，进而实现该方法在准确率、F分数、马修斯相关系数和几何平均数这四个评估指标上均有明显提升，并具有能够较好地适应资源受限的物联网环境的优势。

主权项：1.一种面向物联网的多协议僵尸网络检测方法，其特征在于，步骤如下：S1、样本捕获：捕获流经物联网网关的网络流量，并形成原始样本集；其中，原始样本包含的特征数据信息为：流量开始时间、流量持续时间、协议、源地址、目的地址、交换的数据包总数、交换的总字节数和源头发送字节数；S2、样本预处理：1基于僵尸流量所用的传输协议类型，对原始样本集进行多协议流量提取，并依据流量开始时间对提取的样本进行时间序列排序，得到预处理样本集；2采用基于地址三元组和时间窗口的IP聚合与特征重构方法对预处理样本集进行IP聚合，并依据设定的传输协议类型排列顺序对预处理样本进行特征重构，以重新获得若干个具有重构特征的重构样本；3根据受控设备主机号，对重构样本以正常流量为负样本、僵尸流量为正样本分配标签特征，并采用最大-最小归一化方法对重构样本中各重构特征数值进行规范，形成重构样本集；S3、样本重采样：基于正样本的期望样本数，采用近邻合成方法对属于正样本的重构样本集进行重采样，基于负样本的期望样本数，采用近邻压缩方法对属于负样本的重构样本集进行重采样，获得重采样样本集；S4、样本特征选择：使用博弈论权重分配模型融合多种特征赋权方法获得重采样样本的特征综合权重值，并依据特征综合权重值和特征相关系数矩阵计算构建邻接关系链，采用基于多属性决策和邻接关系链的序列前向选择算法对重采样样本进行特征选择，得到最优特征子集；S5、两阶段混合异构模型构建：模型由第一阶段的异构模型和第二阶段的异构模型构成；第一阶段的异构模型由随机森林算法、自适应提升算法和极限梯度提升算法构成；第二阶段的异构模型由逻辑回归算法构成；S6、两阶段混合异构模型参数动态寻优：采用秃鹰搜索算法获得用于两阶段混合异构模型的最优参数集，即最优评估器数量和最优特征个数；其中，秃鹰种群数量pop≥10，初始化秃鹰种群利用阵发混沌序列获得；最大迭代次数MaxIter≥10；S7、两阶段混合异构模型训练：在重采样样本集中剔除最优特征子集中不包含的特征以得到最优重采样样本集，其分为训练集和测试集；将最优参数集代入两阶段混合异构模型中，并使用训练集以K折交叉验证的方法对模型进行训练，由测试集验证训练效果；S8、僵尸网络检测：利用训练好的模型对输出网络检测结果。

全文数据：

权利要求：

百度查询： 中国民航大学 一种面向物联网的多协议僵尸网络检测方法