(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111224994A(43)申请公布日2020.06.02(21)申请号202010041369.2(22)申请日2020.01.15(71)申请人南京邮电大学地址210000江苏省南京市亚东新城区文苑路9号(72)发明人陈丹伟于洋(74)专利代理机构南京苏科专利代理有限责任公司32102代理人陈栋智(51)Int.Cl.H04L29/06(2006.01)G06N3/08(2006.01)G06N3/04(2006.01)权利要求书1页说明书4页附图1页(54)发明名称一种基于特征选择的僵尸网络检测方法(57)摘要本发明提出了一种基于特征选择的僵尸网络检测方法，步骤如下：S1使用公开的僵尸网络数据集，解析网络流量提取流量特征；S2采用随机森林算法计算流量特征的重要性并进行排序，从而选择出合适的特征进行学习；S3采用改进的卷积神经网络对流量特征进行学习，生成僵尸网络检测模型；S4对网络流量进行捕获，使用训练好的僵尸网络检测模型检测是否被感染，本发明通过特征选择剔除无关和不重要的特征，充分保留有效特征，从而提高了僵尸网络的检测准确率和训练速度。CN111224994ACN111224994A权利要求书1/1页1.一种基于特征选择的僵尸网络检测方法，其特征在于，步骤如下：S1使用公开的僵尸网络数据集，解析网络流量提取流量特征；S2采用随机森林算法计算流量特征的重要性并进行排序，从而选择出合适的特征进行学习；S3采用改进的卷积神经网络对流量特征进行学习，生成僵尸网络检测模型；S4对网络流量进行捕获，使用训练好的僵尸网络检测模型检测是否被感染。2.根据权利要求1所述的一种基于特征选择的僵尸网络检测方法，其特征在于，步骤S1的具体步骤为：S101.下载僵尸网络数据集，包括僵尸网络流量和正常流量，文件格式为pcap；S102.对pcap文件进行分割，采用基于流的分割方法，将具有相同五元组（源IP、源端口、目的IP、目的端口、传输协议）的数据包聚合成数据流，以此为粒度将大容量的pcap文件分割成小容量的pcap文件；S103.使用CICFlowmeter提取流量特征。3.根据权利要求1所述的一种基于特征选择的僵尸网络检测方法，其特征在于，步骤S2的具体步骤为：S201.对提取到的特征使用随机森林算法计算特征重要性，采用基尼系数作为评价指标；S202.计算结果进行排序，选择前20的特征进行学习。4.根据权利要求1所述的一种基于特征选择的僵尸网络检测方法，其特征在于，步骤S3的具体步骤为：S301.将选择后的特征数据转换成二维灰度图像；S302.构建卷积神经网络进行特征学习，以二维灰度图像作为输入，特征学习结束后使用softmax进行分类，输出检测结果。5.根据权利要求1所述的一种基于特征选择的僵尸网络检测方法，其特征在于，步骤S4的具体步骤为：S401.使用wireshark工具捕获网络流量；S402.对捕获的流量进行分割，提取出20种特征并转换为二维灰度图像；S403.使用步骤S3中训练好的模型进行僵尸网络检测。2CN111224994A说明书1/4页一种基于特征选择的僵尸网络检测方法技术领域[0001]本发明涉及一种网络检测方法，具体的说是一种基于特征选择的僵尸网络检测方法，属于网络安全呢技术领域。背景技术[0002]僵尸网络（botnet）是由大量被攻击者控制的联网设备构成的，其中受控的联网设备被称作僵尸主机（bot），攻击者（botmaster）通过预先设置好的命令与控制信道（commandandcontrol，C&C）操控僵尸主机进行DDOS攻击、挖矿、恶意软件分发等恶意行为。其中最具有代表性的是2016年10月21日攻击者利用Mirai，感染和控制了数以万计的物联网设备，组成了僵尸网络，对美国域名解析服务提供商Dyn公司发动了DDOS攻击，致使美国东部大面积网络瘫痪，包括Twitter、Facebook在内的多家美国网站无法通过域名访问。根据绿盟发布的《2018BOTNET趋势报告》，2018年总共监控到攻击命令111472条，其中有效攻击目标数量为451187次，相较2017年增长了66.4%，而botnet攻击的受害者中，中国占据了39.78%。[0003]僵尸网络的检测主要有3类方法：基于蜜罐的检测方法、基于主机行为的检测方法以及基于网络流量的检测方法。蜜罐是被精心构造用作陷阱的工具，可以通过蜜罐收集僵尸程序的信息和活动并对这些数据进行分析，从而进行僵尸网络的检测。基于主机行为的检测是通过在联网设备上部署检测程序，收集设备的行为信息并加以分析，从而实现僵尸网络的检测。基于网络流量的检测方法主要分为2类：误用检测和异常检测。误用检测基于通信特征码，使