入侵檢測模糊分類算法研究.pdf

1、入侵檢測是用來檢測和識別對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，或者違反安全策略事件的過程。它從計算機系統(tǒng)或網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù)、分析數(shù)據(jù)、發(fā)現(xiàn)可疑攻擊行為或異常事件，并采取一定的響應(yīng)措施攔截攻擊行為，降低可能的損失。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)研究已成為現(xiàn)階段計算機網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點。建立網(wǎng)絡(luò)入侵檢測系統(tǒng)的核心是為網(wǎng)絡(luò)正常行為或異常行為模式建模。本文旨在對基于傳統(tǒng)分類算法的入侵檢測模型加以改進，以提高系統(tǒng)處理模糊數(shù)

2、據(jù)的能力，從而提高檢測率。 本文對各種傳統(tǒng)分類算法進行了深入分析，從算法基本思想、數(shù)據(jù)存儲結(jié)構(gòu)、算法執(zhí)行效率等方面對進行了比較，因為決策樹具有較高的分類準確率和分類速度，所以將其作為入侵檢測系統(tǒng)模型的分類算法。但同時經(jīng)典決策樹在入侵檢測領(lǐng)域也存在局限性，故以此為基礎(chǔ)，將處理不確定性信息的模糊集理論應(yīng)用到入侵檢測領(lǐng)域中，以起到改進決策樹的作用。 多數(shù)網(wǎng)絡(luò)事件與時間相關(guān)，在為入侵檢測系統(tǒng)構(gòu)建檢測模型時，選取一些與時間相關(guān)的特

3、征屬性來表示網(wǎng)絡(luò)連接記錄能夠改善模型的檢測精度。而這些特征屬性通常是連續(xù)型的，這就存在一個問題：對連續(xù)型屬性的使用使得生成的決策樹分支過多，從而導(dǎo)致檢測模型的靈活性和適應(yīng)性都很差，且浪費了大量存儲空間；此外在檢測階段，這些規(guī)則也會參與模式比較，又浪費了大量檢測時間，甚至還會導(dǎo)致較高的誤報率。網(wǎng)絡(luò)安全事件本質(zhì)上具有模糊性，表現(xiàn)在正常行為和異常行為之間沒有非常明確的界線，它們之間有一個平滑的過渡。所以本文引入模糊集理論來解決上述問題，為連續(xù)

4、型屬性劃分模糊集，并給出屬性值屬于某個模糊集的隸屬度，為生成分類規(guī)則提供依據(jù)。模糊化后的決策樹算法從表示計算機網(wǎng)絡(luò)中的正常和異常行為信息的數(shù)據(jù)集中挖掘出分類規(guī)則，一類為表示正常行為的規(guī)則，另一類為表示異常行為的規(guī)則，并且每條規(guī)則都有其置信度。運用這種方法的關(guān)鍵問題在于如何劃分模糊集。本文主要是針對網(wǎng)絡(luò)入侵檢測建模方法的深入研究，提出了一種基于模糊決策樹的網(wǎng)絡(luò)入侵檢測模型。通過理論分析和實驗證明，模糊決策樹在入侵檢測系統(tǒng)中具有良好的作用，