决策树在网络入侵检测中的研究与应用.docVIP

决策树在网络入侵检测中的研究与应用 　　摘要:该文在描述决策树分类算法的基础上,叙述了决策树分类算法用于网络入侵检测领域,给出了决策树分类模型的构造过程,并说明了应用基于决策树模型检测入侵的过程。最后用KDD CUP 99数据进行实验,验证了用本文描述的方法检测入侵行为的有效性。 　　关键词:决策树;入侵检测;分类模型 　　中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)07-1560-04 　　Research and Application of Decision Tree in Network Intrusion Detection 　　PU Yuan-fang , DU Hong-le 　　(Faculty of Computer, Guangdong University of Technology, Guangzhou 510006, China) 　　Abstract: After the decision tree classification algorithm is described, this paper gives how to apply decision tree classification algorithm to the network intrusion detection. It is shown in the text how to construct a classification model of decision tree and how to apply the model to detect intrusion. At last the data sets of KDD CUP99 are used as the experiment data, and the results show the efficiency of our method. 　　Key words: decision tree; intrusion detection; classification model 　　近年来,随着网络技术的快速发展和广泛应用,网络上的各种攻击也与日俱增,对入侵攻击的检测与防范、保障网络系统及整个信息基础设施的安全已成为刻不容缓的重要课题。入侵检测作为一种动态网络安全技术是当前网络安全研究的重点,根据检测方法,入侵检测分为两大类型:①误用检测:运用已知攻击方法,按照已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。②异常检测:将偏离正常行为模式视为入侵嫌疑,即任何不符合以往活动规律的行为都将被视为入侵嫌疑[1]。传统的入侵检测系统的建立,通常由安全专家分析攻击行为,归纳出攻击特征,然后经过手工编码建立入侵检测所需规则,用于识别入侵。高速网络的出现使网络数据的流量不断增加,攻击方法的变化和不断更新又增加了检测攻击的难度,面对海量数据和复杂的攻击行为,需要好的数据挖掘技术和检测方法才能应对入侵行为。从Wenke Lee将数据挖掘用于入侵检测以来[2],数据挖掘技术在入侵检测中的应用获得了快速发展。本文将决策树用于入侵检测领域,对网络数据进行分类,检测入侵行为,并用SAS/EM对KDD CUP99数据进行实验,验证了本文方法的有效性。 　　1 决策树简介 　　决策树是一个类似于流程图的树结构,在一棵决策树中,每个内部节点表示一个属性上的测试,每个分支代表一个测试的输出,而每个叶子节点存放一个类标号,树的顶层节点是根节点。决策树的构造从代表全部训练样本的根节点开始,为每个内部节点选择一个分裂属性,并根据该属性的取值将样本划分为若干分支,直到叶节点将样本划分为某一类[3-4]。 　　最早出现的决策树算法是1966年由Hunt等人提出的CLS算法[5],其主要思想是从一棵空的决策树开始,通过添加结点逐步求精,直到产生一棵能正确分类训练实例的决策树为止。CLS算法在构造决策树的过程中没有给出选择测试属性的具体标准,因此在该算法的基础上,Quinlan提出了在国际上具有影响力的以信息增益作为属性选择度量的ID3算法[6],设节点N代表整个数据集,选择具有最高信息增益的属性作为节点N的分裂属性,该属性使结果划分中的元组分类所需的信息量最小。由于信息增益度量倾向于选择具有大量值的属性,为了克服这种偏倚,Quinlan随后提出以信息增益率为属性选择度量的C4.5算法[7]。大约同时期几位统计学家L.Breiman等提出了著名的CART算法[8],以Gini指标作为属性选择度量,每次选择Gini系数最小的属性划分样本,该算法强调树是二叉的。此外,常见的决策树算法还有CHAID、SLIQ和SPRINT等[3-4]。 　　2 构建基于决策