面向物联网的多协议僵尸网络检测方法

针对现有僵尸网络检测方法采样不均、特征选择差、泛化能力较弱，导致检测分类效果偏低且对计算和存储资源受限的物联网环境的适应性较差等不足，本文提出了一种面向物联网的多协议僵尸网络检测方法. 通过所设计的基于地址三元组和时间窗口的 IP 聚合与特征重构方法整合从物联网网关中获取的网络流量，得到重构样本集. 采用所提出的自修正混合加权采样算法平衡重构样本集中正常流量与僵尸流量，得到重采样样本集. 采用所提出的基于多属性决策和邻接关系链的序列前向选择算法剔除重采样样本集中的冗余特征，得到最优特征子集. 采用所设计的基于阵发混沌的秃鹰搜索算法优化后的两阶段混合异构模型，对经最优特征子集筛选后的重采样样本集进行检测分类 . 实验结果表明，所提方法对僵尸网络的检测效果较好，检测准确率为 99.24%，马修斯相关系数为 98.49%，误报率为0.17%，漏报率为1.29%，优于现有方法. 该方法能够有效降低采样与特征选择的时空开销，可较好地适应资源受限的物联网环境.