(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210892613.5 (22)申请日 2022.07.27 (71)申请人 天津市国瑞数码安全系统股份有限 公司 地址 300392 天津市西青区华苑产业区海 泰绿色产业基地K1-1- 601室 (72)发明人 胡文波　齐帅　范传庆　 (74)专利代理 机构 北京秉文同创知识产权代理 事务所(普通 合伙) 11859 专利代理师 孙富利　张文武 (51)Int.Cl. G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 5/00(2006.01) G06N 20/20(2019.01)G06F 40/30(2020.01) G06F 40/284(2020.01) G06F 40/242(2020.01) G06F 40/211(2020.01) G06N 3/08(2006.01) (54)发明名称 基于AI随机森林恶意 流量检测方法和系统 (57)摘要 本发明提供一种基于AI随机森林恶意流量 检测方法和系统， 通过降维采样数据流得到离散 化后的数据流， 不仅降低了后续所需的运算速 度， 也极大地减少了运算量； 通过调用句法模型 和语义分析模 型， 可以自动化完成数据流的断句 和冗余过滤， 得到特征向量矩阵， 实现了特征提 取的人工智能化和自动化； 通过卷积神经网络和 随机森林分类， 可以进一步突出所需的特征向 量， 并实现不同分类整合能力的分类功能， 从而 克服了现有技术的难以检测时刻变化的攻击和 运算量巨大的问题。 权利要求书2页 说明书5页 附图1页 CN 115238799 A 2022.10.25 CN 115238799 A 1.一种基于AI随机森林恶意 流量检测方法， 其特 征在于， 所述方法包括： 接收采集终端发送 的数据流， 从所述数据流中提取报文头部字段内容， 识别出不同的 客户端， 为每一个客户端生成一个单独的标识符； 对所述数据流进行离散化处理， 按照 时域连续性采样所述数据流， 得到降维后的离散 数据流； 根据所述标识符分别建立 不同的容器， 用于存 储对应不同客户端的特 征向量； 获取所述离散数据流， 调用服务器的句法模型， 进行断句， 自动化查询词典得到第一词 分量， 并将所述第一词分量存 入所属标识符对应的容器中； 按照所需客户端对应的标识符， 从对应容器中提取出所述第一词分量， 逐个输入服务 器的语义分析模型， 接收返回的所述第一词分量对应的词含义； 根据第一规则从词含义中过滤冗余信息， 得到过滤后对应的第二词分量， 组成第一词 分量矩阵； 将所述第一词分量矩阵输入到识别模型的输入层， 计算出不同词类的标准差， 所述标 准差用于确定后续卷积层的滑动窗口的宽度大小； 所述识别模型为基于随机森林和卷积神 经网络的模型架构； 所述输入层的输出送入所述识别模型的卷积层中， 利用不同大小的滑动窗口来选择文 本中的局部词分量， 拼接局部词分量得到第二词分量矩阵， 将所述第二词分量矩阵送入所 述识别模型的池化层； 所述池化层通过选择池化函数来选择区分所述词含义有效的特征值， 再次拼接得到第 三词分量矩阵； 将完成上述处理 的第三词分量矩阵传输到所述识别模型的随机森林中进行分类， 随机 森林把所述第三词分量矩阵进 行n轮抽取， 得到n个训练集， 使用抽取的n个训练集由列采样 随机使用指定量特征值训练得到n棵决策树， 所述n棵决策树按照投票的方式得到分类结 果； 根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向量， 如果包括攻击 向量则阻断该 数据流， 反 之则允许 该数据流。 2.根据权利要求1所述的方法， 其特征在于： 所述识别模型在训练时， 通过反向的传播 方式来最小化熵损失函数， 避免过饱和， 当所述识别模型的精度满足 阈值的要求， 则表明该 识别模型训练完成。 3.根据权利要求1所述的方法， 其特征在于： 所述每棵决策树的分类能力具有针对性， 所述指定量特征值是根据不同分类得出的， 将同一个特征向量矩阵通过决策树按照不同的 角度进行分类， 即完成针对不同分类能力的整合功能。 4.根据权利要求2或3任一项所述的方法， 其特征在于： 所述投票的方式包括将每棵决 策树的输出 结果进行加权累加。 5.一种基于AI随机森林恶意 流量检测系统， 其特 征在于， 所述系统包括： 预处理模块， 用于接收采集终端发送的数据流， 从所述数据流中提取报文头部字段内 容， 识别出不同的客户端， 为每一个客户端生 成一个单独的标识符； 对所述数据流进 行离散 化处理， 按照时域连续 性采样所述数据流， 得到降维后的离 散数据流； 容器模块， 用于根据所述标识符分别建立不同的容器， 用于存储对应不同客户端的特权　利　要　求　书 1/2 页 2 CN 115238799 A 2征向量； AI模块， 用于获取所述离散数据流， 调用服务器的句法模型， 进行断句， 自动化查询词 典得到第一词分量， 并将所述第一词分量存入所属标识符对应的容器中； 按照所需客户端 对应的标识符， 从对应容器中提取出所述第一词分量， 逐个输入服务器的语义分析模型， 接 收返回的所述第一词分量对应的词含义； 根据第一规则从词含义中过滤冗余信息， 得到过 滤后对应的第二词分量， 组成第一词分量矩阵； 识别模块， 包括识别模型， 所述识别模型为基于随机森林和卷积神经网络的模型架构， 用于接收AI模块输出的所述第一词分量矩阵， 输入到识别模型的输入层， 计算出不同词类 的标准差， 所述标准差用于确定后续卷积层的滑动窗口的宽度大小； 所述输入层的输出送 入所述识别模型 的卷积层中， 利用不同大小的滑动窗口来选择文本中的局部词分量， 拼接 局部词分量得到第二词分量矩阵， 将所述第二词分量矩阵送入所述识别模型 的池化层； 所 述池化层通过选择池化函数来选择区分所述词含义有效的特征值， 再次拼接得到第三词分 量矩阵； 将完成上述处理 的第三词分量矩阵传输到所述识别模型的随机森林中进行分类， 随机 森林把所述第三词分量矩阵进 行n轮抽取， 得到n个训练集， 使用抽取的n个训练集由列采样 随机使用指定量特征值训练得到n棵决策树， 所述n棵决策树按照投票的方式得到分类结 果； 执行模块， 用于根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向 量， 如果包括 攻击向量则阻断该 数据流， 反 之则允许 该数据流。 6.一种基于AI随机森林恶意流量检测系统， 其特征在于， 所述系统包括处理器以及存 储器： 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据所述程序代码中的指令执行实现权利要求1 ‑4任一项所述的方 法。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执 行实现权利要求1 ‑4任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115238799 A 3