基于决策树的远程控制协议字典攻击检测

摘要

针对远程控制协议的字典攻击是常见的安全威胁,基于主机日志的传统检测方式已不能有效防御隐蔽式的字典攻击.因此,提出了一种基于网络流量的检测机制,通过分析针对远程控制协议的字典攻击与正常访问的流量指纹特征存在的差异,选取10个存在差异的候选特征,接着采用信息增益比方法选择比值较高的前4个特征作为分类评价指标;再对校园网部署的蜜罐网络捕获的数据流进行过滤,选取含有远程控制协议载荷信息的数据包,采用数据处理算法提取出特征数据;最后运用C4.5决策树方法对带有人工标记的数据流进行分类评估,并统计精确率、漏报率、误报率等五项分类性能评估指标.实验结果表明,通过网络流量的检测方式能够在网络层面以低虚警率、高精确率检测出数据流中存在的字典攻击流量.