基于主成分分析禁忌搜索决策树分类异常流量检测方法.pdfVIP

JournalofComputerApplicationsISSN1001—90812013—10．01

计算机应用，2013，33(10)：2846—2850，2944C0DENJYIIDUhttp：／／www．joca．an

文章编号：1001—9081(2013)10—2846—05doi：10．11772／j．issn．1001—9081．2013．10．2846

基于主成分分析禁忌搜索和决策树分类的异常流量检测方法

冶晓隆’，兰巨龙，郭通

(国家数字交换系统工程技术研究中心，郑州450002)

(通信作者电子邮箱yexiaolong_2854@163．con)

摘要：真实网络流量包括大量特征属性，现有基于特征分析的异常流量检测方法无法满足高维特征分析要求。

提出一种基于主成分分析和禁忌搜索(PCA—TS)的流量特征选择算法结合决策树分类的异常流量检测方法，通过

PCA—TS对高维特征进行特征约减和近优特征子集选择，为决策树分类方法提供有效的低维特征属性，结合决策树分

类精度和处理效率高的优点，采用半监督学习方式进行异常流量实时检测。实验表明，与传统异常检测方法相比，此

方法具有更高的检测精度和更低的误检率，其检测性能受样本规模影响较小，且对未知异常可以进行有效检测。

关键词：异常检测；决策树；特征选择；主成分分析；禁忌搜索

中图分类号：TP393．08文献标志码：A

Networkanomalydetectionmethodbasedon

principlecomponentanalysisandtabusearchanddecisiontreeclassification

YEXiaolong‘

，LANJulong，GUOTong

(NationalDigitalSwitchingSyste,~EngineeringandTechnologicalRDCenter,ZhengzhouHenan450002，China)

Abstract：Realnetworktrafficcontainsmassoffeatures，andthemethodofanomalydetectionbasedonfeatureanalysis

isnotsuitableforhigh—dimensionalfeaturesclassification．AmethodbasedonPrincipalComponentAnalysisandtabuTabu

Search(PCA—TS)decisiontreeclassificationofranomalydetectionwasproposed．Themethodreducedhigh—dimensional

featuresandselectedoptimalfeaturesubsetwhichwassuitbaleforclassificationthroughPCA—TSalgorithm，thenthedecision

treeofhigherdetectionrateandlowerfalseratewasusedofrclassificationanddetectionbasedonsemi—supervisedlearning．

Theexperimentshowsthattheapproachhashigherdetectionaccuracyandlowerfalseratecomparedwithtraditionalanomaly

detectionmethod，andthedetectionperformanceislessaffectedbysamplesizeandissuitableofrreal—timedetection