【APT攻击中的CC加密信道检测模型设计综述3500字】.docVIP

APT攻击中的CC加密信道检测模型设计综述

目录

TOC\o1-3\h\u

1661.1模型评价指标 1

307071.2基于随机森林的CC加密信道检测模型 3

94701.3实验结果与分析 4

248881.3.1实验环境 4

117511.3.2模型参数的选取 5

85661.3.3模型分类性能 5

248031.3.4特征的重要性 6

80651.3.5特征集的子集 7

模型评价指标

（1）二分类问题评价指标

APT攻击中的恶意加密流量识别是一个二分类问题。在之后的分类器训练与测试中，分类预测结果用Positive和Negative表示，Positive（P）代表恶意流量（malware），Negative（N）代表正常流量（benign）；Ture表示分类器做出了正确的预测，而False则表示预测错误。根据这些定义，表5-1列出了用于评估模型的指标。当测试集在分类器上运行后，可以以表5-1的结构给出一个混淆矩阵用于评估模型。

表5-1二分类问题术语

预测标签

实际标签

正常

恶意

正常

TureNegative(TN)

FalsePositive

恶意

FalseNegative(FN)

TurePositive

除此之外，定义假正率（FalsePositiveRate，FPR）和真正率（TruePositiveRate，TPR）如下：

FPR=

TPR=

FPR代表的是被错误标记为恶意的正常流量的比例。TPR代表的是分类器正确标记的恶意流量的比例。

（2）准确率、精确率、召回率、F1-score

准确率（Accuracy）是最主要的分类评价指标，它给出了正确标记的流相对于数据集中样本总数的比例，计算公式如下：

Accuracy=

精确率（Precision）给出了在所有被分类器标记为恶意的流量中真正恶意流量的比例：

Precision=

召回率（Recall）也被称为真正率（TPR），它给出了分类器在所有真正的恶意流量中正确发现的恶意流量的比例：

Recall=

F1

F

（3）ROC曲线

接收者操作特性曲线（ReceiverOperatingCharacteristicCurve，ROC）表示随着分类阈值的变化，FPR和TPR之间的关系。ROC曲线上的每一个点对应着一个阈值，每个阈值下会有一个TPR和FPR。图5-1给出了Scikit-learnADDINEN.CITEEndNoteCiteAuthorPedregosa/AuthorYear2011/YearRecNum6/RecNumDisplayTextstyleface=superscript[25]/style/DisplayTextrecordrec-number6/rec-numberforeign-keyskeyapp=ENdb-id=0erv5drx8aspfxettwm50prge0zvs5d2tea0timestamp=16213203946/key/foreign-keysref-typename=JournalArticle17/ref-typecontributorsauthorsauthorPedregosa,Fabian/authorauthorVaroquaux,Ga?l/authorauthorGramfort,Alexandre/authorauthorMichel,Vincent/authorauthorThirion,Bertrand/authorauthorGrisel,Olivier/authorauthorBlondel,Mathieu/authorauthorPrettenhofer,Peter/authorauthorWeiss,Ron/authorauthorDubourg,Vincent/author/authors/contributorstitlestitleScikit-learn:MachinelearninginPython/titlesecondary-titletheJournalofmachineLearningresearch/secondary-title/titlesperiodicalfull-titletheJournalofmachineLearningresearch/full-title/periodicalpages2825-2830/pagesvolume12/volumedatesyear2011/year/datesisbn1532-4435/isbnurls/urls/record/Cite/EndN