决策树(彭展)介绍.docVIP

《Using Decision Trees to Improve Signature-Based Intrusion Detection》 在入侵检测系统中，数据包与规则集之间的匹配过程是最耗时的，目前许多算法都是将每一个输入的数据包依次和所有的规则进行比较，从而确定匹配上的规则，或无任何匹配，但在该过程中存在大量冗余比较，所以这种方法远远没有达到最优。这里给出了一种方法，将机器学习中的聚类算法应用到规则匹配过程中，以提高匹配效率。该方法依据给定的规则集来构造一棵决策树，使匹配过程中的比较次数尽可能少，从而提高了整体效率。 基本思想： 该方法可以分为两，首先依据给定的规则建立一棵决策树，接着利用该决策树对网络上的数据包进行匹配，具体过程如下： 建立“决策树”：该方法将最初的包含所有规则的集合作为决策树的根节点，然后运用ID3算法，在根节点所包含的规则集合中选取最具有区分度的规则属性，作为根节点的属性标签，再按照规则集在该属性上的不同取值，对其进行分组，分组后的每一个子集都作为根节点的孩子节点并入决策树，在由根节点到孩子节点的分支上，标注该孩子节点所代表的规则集在根节点属性上的取值。当决策树中，存在一个节点包含多于一个规则时，继续使用ID3算法和上述步骤对该节点进行分组，但在选取属性时不能选择前面已经标注过的属性。在决策树中，每一个叶子节点，都只包含一条规则，或者一些规则，这些规则不