基于孤立森林评分扩展的流量异常检测方法

文档名：基于孤立森林评分扩展的流量异常检测方法
摘要：流量异常检测是一种有效识别网络攻击行为的技术.近年来,无监督方法在异常检测领域得到了广泛应用.针对现有流量数据间时序关系挖掘的需求与孤立森林随机选择特征属性进行样本划分的问题,本文提出一种基于孤立森林评分扩展的流量异常检测方法.首先,文章使用滑动窗口机制和信息熵特性,设计了网络流量的熵时序特征提取方法,集成至特征集执行显著特征筛选.然后,文章构建了孤立森林评分扩展模型,在节点样本划分时,利用特征集合迭代方法与特征重要性矩阵,综合集合中孤立树特征,为节点标记综合路径长度代替原路径长度,并计算更能表征样本分布的异常评分.最后,通过设定异常得分阈值判别样本是否异常.在公开数据集上的实验结果表明,文章提出的异常检测模型,相比其他方法有明显优势,具有良好的实时检测性能,误报率更低,可有效用于网络流量的异常检测中,对真实网络环境中攻击事件的识别具有重要意义.

Abstract：Trafficanomalydetectionisatechniqueusedtoidentifynetworkattackseffectively.Inrecentyears,unsupervisedmethodshavebecomeprevalentinanomalydetection.AimingatthedemandofminingthetemporalrelationshipbetweenexistingtrafficdataandtheproblemofrandomlyselectingfeatureattributesforsampledivisioniniForest,thispaperproposedatrafficanomalydetectionmethodbasedoniForestscoreextension.Firstly,thepaperusedtheslidingwindowmechanismandtheinformationentropypropertytodesignanentropictime-seriesfeatureextractionmethodfornetworktraffic,whichwasintegratedintothefeaturesettoperformsignificantfeaturescreening.Secondly,thepaperconstructedaniForestscoreextensionmodelthatutilizedthefeaturesetiterationmethodwiththefeatureimportancematrixinthenodesampledivision,integratedtheisolatedtreefeaturesintheset,markedtheintegratedpathlengthbetweennodesinsteadoftheoriginalpathlength,andcalculatedtheanomalyscorethatbettercharacterizedthesampledistribution.Finally,bysettingtheanomalyscorethreshold,thepaperdiscriminatedwhetherthesampleswereabnormal.Theexperimentalresultsonthepublicdatasetshowthattheanomalydetectionmodelproposedinthepaperhasobviousadvantagesoverothermethods,withgoodreal-timedetectionperformanceandlowerfalsealarmrate,whichcanbeeffectivelyusedintheanomalydetectionofnetworktraffic,andisofgreatsignificancefortheidentificationofattackeventsinrealnetworkactivities.

作者：沈萍  陈俊丽Author：ShenPing  ChenJunli
作者单位：上海大学通信与信息工程学院上海200444
刊名：电子测量技术 ISTICPKU
Journal：ElectronicMeasurementTechnology
年，卷(期)：2024, 47(8)
分类号：TP399
关键词：熵时序特征  异常检测  无监督  异常评分  
Keywords：entropytime-seriesfeature  iForest  unsupervised  anomalyscore  
机标分类号：TP393.08TN925.93O241.6
在线出版日期：2024年7月16日
基金项目：基于孤立森林评分扩展的流量异常检测方法[
期刊论文]  电子测量技术--2024, 47(8)沈萍  陈俊丽流量异常检测是一种有效识别网络攻击行为的技术.近年来,无监督方法在异常检测领域得到了广泛应用.针对现有流量数据间时序关系挖掘的需求与孤立森林随机选择特征属性进行样本划分的问题,本文提出一种基于孤立森林评分扩...参考文献和引证文献
参考文献
引证文献
本文读者也读过
相似文献
相关博文

        基于孤立森林评分扩展的流量异常检测方法  Traffic anomaly detection method based on iForest score extension

基于孤立森林评分扩展的流量异常检测方法.pdf

2024-12-14 11:39 上传 基于孤立森林评分扩展的流量异常检测方法.pdf

文件大小:

5.53 MB

下载次数:

60

高速下载