近年来云计算不断发展,针对虚拟主机的入侵也越来越多,传统的网络安全措施难以适应云环境安全检测需求。为了解决云环境下的网络安全问题,研究者们提出了基于机器学习的云环境异常检测技术。在机器学习算法中,BP神经网络、K-Means、SVM等算法被广泛应用于异常检测,但是这些算法复杂度高,模型泛化能力弱,数据量较大时检测时间较长。随机森林是集成学习Bagging思想的典型应用,每个弱学习器给出一个分类结果,然后将多个弱学习器并行组合成一个强的学习器,最后投票决定最终分类结果,该方法简单且准确率高。本文通过对异常检测以及随机森林的研究,设计了一种使用随机森林进行异常检测的系统,采集Windows审计日志作为数据训练模型,并对异常检测结果使用准确率、精确率、召回率、F-1度量进行了评估。论文主要工作内容如下:(1)针对数据处理,论文先对数据进行预处理,在充分挖掘数据含义的前提下,使用随机森林特征重要性这一度量标准,在多维时间序列日志中找到对分类结果起关键作用的字段,对这些字段进行特征编码,从而将多维时间序列转化成由0和1组成的特征向量,并以此作为随机森林算法的输入数据,进行异常检测,大大降低了模型计算复杂度,结果表明训练数据量为40万时,模型训练检测时间约为5s,达到了实时检测的要求。(2)针对随机森林模型,设计了云环境下的随机森林异常检测系统,利用机器学习Sklearn库对样本数据进行训练,通过调整随机森林中决策树个数、每个决策树节点分裂时参与判断的特征数目、决策树最大深度等重要参数,确定了理想参数范围,并在测试集上取得了很高的分类准确率。(3)作为横向对比,采用相同数据集,在随机森林检测基础上,分别使用AdaBoost、SVM、K-means算法进行了异常检测。在训练时间以及准确率等方面,将结果与随机森林算法进行对比,对模型进行评估及优化。其中在训练检测所花时间方面(样本数据集为40万),随机森林算法花5s左右,AdaBoost算法花50s左右,SVM花3小时左右;在准确率方面,随机森林也高于SVM、AdaBoost和 K-means算法。