决策树算法在入侵检测中应用研究.docVIP

决策树算法在入侵检测中应用研究 　　摘要：随着计算机和网络在人们生活和工作中的普遍应用，网络环境下数据的传输不断受到攻击和篡改，网络安全已变得越来越重要。网络安全风险防范的要求不断提高，针对目前的入侵检测系统准确度不高、自适应性差、检测效率低等问题，该文基于决策树分类算法，设计了一个基于决策树的入侵检测系统模型，将决策树算法作为分类器应用于入侵检测的过程中，提高了入侵检测系统的性能。 　　关键词：入侵检测；决策树；入侵检测系统；数据处理 　　分类号：TP393.08 文献标识码：A 文章编号：1009-3044（2013）12-2885-03 　　入侵检测是判断当前分析的网络连接是正常的还是异常的。实际要解决的就是一个分类问题，通过选择网络的一些特征可以快速、准确地判别该网络连接的性质，如通过主机和网络的安全特征来分析辨别。传统的基于规则的简单模式匹配方法需全部属性特征的参与，且只能检测出已有的攻击。决策树是基于统计原理的，检测方法不需要全部属性特征的参与，是从决策树根节点到叶节点的一条路径的匹配，匹配次数更低，因而提高了检测效率。决策树可以不仅可以检测出已有的攻击还可以检测出新的攻击。该文将决策树算法应用于入侵检测的数据分类中，设计了一个基于决策树分类算法的入侵检测系统。 　　1 入侵检测系统 　　入侵检测（Intrusion Detection简称ID）作为一种主动的网络安全防御措施，能主动防御入侵攻击，高效地检测入侵行为。它通过从计算机系统或计算机网络中的若干关键点收集信息，并对这些信息进行分析，从而发现计算机网络或系统中是否有违反安全策略的行为和遭到袭击的迹象[1]。要检测出对系统的攻击行为或攻击的企图，需要通过入侵检测系统（Intrusion Detection System，IDS）来实现，IDS作为一种重要的网络安全保障工具，可以对网络实现实时的监视，能有效地防止入侵攻击行为的发生。能主动对来自外部的攻击进行有效防御，并可以对系统内部的恶意入侵行为进行检测。IDS的工作过程分为数据收集、数据处理、数据分析和响应处理4个阶段。IDS基本工作结构如图1所示。 　　2 决策树分类方法综述 　　决策树是???种较常用的数据挖掘算法，用来对数据的分类和预测。决策树算法的核心内容是构造精度高、规模小的决策树。决策树分类算法的基本原理是：采用自顶向下的递归方式构造决策树，首先计算每个属性变量的信息增益，将具有最高信息增益的变量作为测试变量，创建一个分支节点，并用该变量标记，对该变量的每个值创建分支，并由此分裂样本。决策树的生成是指根据训练样本数据集生成决策树的过程。决策树是由内部各节点、分支和叶子组成的一棵有向无环树。在无环树中根节点是决策树中最顶层的节点，其中每个内部节点对应于待分类对象的某个属性，决策树中有多个分支，每一个分支指向一个内部节点或叶子节点。对未知样本应用决策树来进行分类，是从上向下进行搜索分类。从决策树的根节点开始进行节点测试，对每个内部节点进行测试，每一个不同的测试结果对应一个分支。对每一个测试的结果进行分析，根据分析结果选择分支，按照算法最后到达一个叶子节点，叶子节点内存放一个类标号，用叶子节点的类标号来表示未知样本的类别。决策树的构造过程：一是由训练集生成一棵决策树；二是对生成的决策树进行剪枝，剪去影响精度的分枝。决策树算法在模型易理解性、易实施性、通用性和有用性方面都是最佳的，因此本文选用决策树算法作为主要算法。 　　目前，生成决策树算法主要包括CART、CHAIR、ID3、C4.5 等算法。其中C4.5 算法是比较简单易懂的构造决策树分类器的一种算法。该文以 C4.5 算法来构造对决策树。从所有训练样本处的树的根节点开始，通过选取一个属性，对训练样本来区分开。根据每一个属性的值产生一个相应的分支，相应的样本子集根据分支属性的值被移到新生成的子节点上，按照这种递归的算法，把所有样本都分配到某个类中，到达决策树的叶节点的每条路径表示一个分类规则。不同的属性值的选择，会产生不同的记录子集，因此，对节点属性值的选择，是决策树的生成算法的关键。直接影响到决策树结构的好坏，决策树生长的快慢，导致找到的规则信息的优劣。C4.5 算法的属性选择的基础是基于使生成的决策树中节点所含的信息熵最小。集合S的熵的计算公式如下： 　　3 基于决策树的入侵检测系统设计 　　随着计算机和网络技术的不断发展，使互联网成为人们工作、学习、生活各方面不可缺少的信息获取途径。网络是把双刃剑，在给人们提供服务的同时，也被不法分子利用，网络的安全问题变得日趋严峻。由于网络不断受到黑客的攻击，攻击的方式、手段每天都层出不穷，而已有的入侵检测系统由于自身算法的原因，检测效率低，当面对新的攻击，使得当前的入侵检测系统对新的