僵尸网络已经成为网络基础设施面临的最严重的威胁之一，针对现有的僵尸网络研究工作所检测的僵尸网络生命周期的阶段较为单一的问题，提出基于集成学习的僵尸网络在线检测方法。首先，细粒度地标记僵尸网络多个阶段的流量，生成僵尸网络数据集。其次，结合多种特征选择算法生成包含23个特征的重要特征集和包含28个特征的次重要特征集。基于Stacking集成学习技术集成多种深度学习模型，并针对不同的初级分类器提供不同的输入特征集，得到僵尸网络在线检测模型；最后，将僵尸网络在线检测模型部署在网络入口处在线检测多种僵尸网络。实验表明，所提出的基于集成学习的僵尸网络在线检测方法能够有效地检测出多个阶段的僵尸网络流量，恶意流量检测率可达96.47%。

• 单位
  北京交通大学; 电子信息工程学院