基于决策树和协议分析入侵检测研究.docVIP

基于决策树和协议分析入侵检测研究 　　摘要：当前大多数入侵检测产品使用的是基于规则的简单模式匹配技术，它们存在着资源消耗量大、误报率高以及随着网速的提高出现丢包等问题。针对这些问题，提出了用决策树算法实现基于协议分析的入侵检测方法。试验结果表明，该方法具有较高的检测速度和较低的正误报率。 　　关键词：决策树； 协议分析； 入侵检测 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2007)12-0171-03 　　 　　0引言 　　 　　当前大多数异常入侵检测系统使用的是简单模式匹配技术。然而简单模式匹配技术有如下一些问题：a)支持这种方法的计算量巨大，影响了检测效率。b)简单模式匹配不理解规则中入侵特征的真正含义，仅靠强力探测方式进行特征串匹配。一些特征串值只有在某个特定域内才有特殊含义，如果在其他域内匹配到时就会产生误报。 　　协议分析技术利用网络协议的高度规则性对报头中相应位置的协议信息进行分析，只检测对入侵检测有用的字段。在协议解码部分不仅对低层协议解码，而且还对应用层协议进行解码。因为协议分析技术引导搜索数据包明确特定的部分而不是整个有效载荷，减少了搜索空间，所以能提高入侵检测的效率。又由于协议分析技术将搜索空间降低为单个的域，确保特征串的实际意义被真正理解。例如，可以通过检测状态码中是否含有代表服务被拒绝的“403”来发现是否有未授权访问网页[1]。然而简单模式匹配方法则可能在非状态码的其他域内搜索到“403”，于是将正常数据判断为入侵数据而导致正误判。协议分析技术较好地解决了这个问题，降低了正误判率，被认为是下一代入侵检测的希望。 　　随着网络流量的增大和入侵种类的增多，数据挖掘被引入入侵检测[2]。决策树[3,4]方法作为数据挖掘的一种，通过大量样本数据的训练提取对入侵行为最具概括性的描述；加上算法生成的决策树模型简单优化，使得对大量数据的预测过程中总的匹配次数减少，检测结果更加准确、高效。决策树方法被用于对现有的入侵检测系统检测规则进行优化[5]，目的是建立属性与类别之间的关系，从而有效减少手工分析入侵行为和入侵模型编码的工作量，提高了入侵检测的效率。这正好适应了网络数据量增大和入侵种类增多的趋势。 　　本文将决策树与协议分析技术结合起来用于入侵检测系统。它们的结合不仅因为其各自的优势对于提高检测效率和降低正误判率有很好的作用，还因为生成决策树和检测对象所需的属性―值形式的数据是由协议分析得来的。协议分析是入侵检测决策树生成的基础和应用的对象。 　　 　　1入侵检测决策树 　　 　　决策树方法是数据挖掘中分类方法的一种。其核心思想是选择某种决策树算法利用样本数据生成决策树模型，然后用生成的决策树对未知数据进行分类预测[5]。决策树模型的生成过程也就是分类模型的生成过程，用生成的决策树对未知数据进行分类的过程就是分类模型的预测过程。入侵检测可以被看做是对网络数据是正常还是入侵的预测，即通过一个分类模型将网络数据分为入侵和正常两类。由于决策树有创建优化的分类模型和高效的分类预测的作用，将它应用到入侵检测问题中有着非常重要的意义和实际应用价值。 　　1．1决策树算法思想及算法选择 　　决策树算法基本思想为：假设??R为训练样本集，每一个样本均有若干个属性。从样本集根节点出发，根据对属性值的测试结果逐渐分裂产生分支节点，直到产生一棵完整的树。要为R构造决策树必须首先确定属性测试选择标准，选出当前检测属性。常用的属性选择标准有信息增益、信息增益率和??gain??等。按属性选择标准并按当前属性的n个值将R分裂为n个子集。若第i个子集R??i含有的所有记录的类别标签一致，该节点就成为决策树的叶节点，停止分裂并以所属分类标记这个叶节点；而对不满足此条件的R??的其他子集按照上述方法继续分裂，直到所有子集所含记录均属于一个类为止。 　　决策树方法的起源是概念学习系统CLS，发展到ID3算法为高潮，后来又演化为能处理连续属性的C4.5算法。有名的决策树算法还有CART和SLIQ等。ID3算法选择具有最高信息增益的属性作为测试属性，只能处理离散属性。C4.5算法[6,7]对ID3算法作了改进，选择具有最高信息增益率的属性作为测试属性，能处理连续属性。CART算法可以处理高度倾斜或多态的数值型数据，也可以处理顺序或无序的类属性数据。对于协议分析问题时将协议字段作为属性，它们中既有离散型的又有连续型的，因此不能用ID3算法。又由于网络数据仅有两个分类，并不复杂，也无高度倾斜或多态等问题。如果用太复杂的算法，反而会影响效率。本系统选用C4．5算法。 　　 　　1．2入侵检测决策树结构模型 　　入侵检测决策树由节点和将节点连接起来的分支组成。节点分为普通节点和叶节点