专利名称:基于决策树的攻击检测系统的制作方法
技术领域:
本发明涉及一种移动Ad Hoc网络攻击检测技术,尤其是一种可靠性高的攻击检测模块,具体地说是一种基于决策树的攻击检测模块攻击检测模块。
背景技术:
目前,随着网络技术不断发展,入侵技术的多样化,特别是移动AdHoc网络活动性高,结构变化快,并且结构多样化等特点,传统的攻击检测技术已经不能满足系统的需要。移动Ad Hoc网络攻击检测技术目前还不成熟,到目前为止,还缺乏一个全面的,指导性的理论框架,大量的工作还需要进行。当前大部分移动Ad Hoc网络攻击检测模块所面临的严重问题是新攻击类型检测能力不足、误报率高。现有的攻击检测技术中,大多是根据己定义好的入侵模式,通过判断在计算机或网络系统中是否出现这些入侵模式来完成攻击检测功能,没有使用决策树技术,检测能力和检测对象范围受已有知识的局限,无法检测未知的和新型的攻击类型。
发明内容
本发明的目的是针对现有的网络攻击检测模块所存在的对于攻击类型检测能力不足、误报率高的问题,提出一种基于决策树的攻击检测系统。本发明的技术方案是:
一种基于决策树的攻击检测系统,它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测系统的输出,显示检测状态。本发明的检测数据采集器与检测挖掘处理器之间串接检测预处理器。本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显示分类状态。本发明的训练数据采集器与训练挖掘处理器之间串接训练预处理器。本发明的有益效果:
本发明采用的分类器即决策树是数据挖掘技术中的一种,用于对于数据的分类和预测,可以用于提取描述重要数据类的模型或预测未来的数据趋势,实时训练,可以对新类型的攻击进行有效检测。决策树具有结构简单,生成的规则易于理解,分类精度高,检测速率快,不需要人为参数设置等优点,适合用在攻击检测上。本发明基于决策树的分类模型的优点是:(I)决策树结构简单,便于理解;(2)决策树模型效率高,对训练数据量较大的情况较为合适;(3)相比较其他的数据挖掘分类技术,决策树不需要训练数据外的知识;(4)决策树具有较高的分类精确度。
图1是本发明攻击检测系统的原理框图。图2是本发明的分类器的原理框图。
具体实施例方式下面结合附图和实施例对本发明作进一步的说明。如图1所示。一种基于决策树的攻击检测系统,它包括检测数据采集器(用于采集网络、本地等输入数据)、检测挖掘处理器(用于提取攻击数据)和分类器即决策树(由多个对应于分类的存储器构成),所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测系统的输出,显示检测状态。本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显示分类状态。在训练阶段,首先,向预处理器输入不包含攻击的数据和包含攻击的数据,得到待挖掘数据,将待挖掘数据经过挖掘处理机处理后得到分类器的训练数据,经过构造器构造得到完整的分类器。在检测阶段,首先,实验数据通过预处理器处理后得到待挖掘数据,然后经过挖掘处理器处理后输出可疑规则,最后将可疑规则交给分类器判断是否为攻击以及攻击类型。如图2所示,分类器的构造由训练数据的输入,考虑关联性的决策树构造技术和带权值的多标准减枝技术组成,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性。减枝时可以根据用户的需求为用户认为重要的标准分配一个权值。具体的描述如下:
基于关联性的决策树构造策略Advanced_Decision_Tree:
输入:由值-属性描述的训练样本集samples ;候选属性集合atrribute_list。输出:一颗决策树。步骤:
(1)创建节点N;
(2)if samples 都在同一类 C 中 then返回N作为叶节点,以类C标记;
(3)if attribute_list为空then 返回N作为叶节点,以samples中最普遍的类标
记;
(4)选择attributejist中属性与父属性相关性属性加属性信息增益和最大的属性为 test_attribute ;
(5)以test_attribute 标记节点 N ;
(6)for each test_attribute 的已知值 v由节点N分出一个对应test_attribute=v的分支;
(7)令Sv 为 samples 中 test_attribute=v 的样本集合;
(8)if Sv为同一类型或者Sv为空then 加上一个叶节点,以samples中最普遍的类标记;
(9)else加入一个由 Advanced_Decision_Tree (Sv, attribute_list - test_attribute)返回的节点。带权值的多标准复合的减枝技术:
步骤I选择剪枝策略;
步骤2给出关于准确率、稳定性的阈值;
步骤3按需要调整复杂性公式的参数,给确定为重要的属性更大的权值;
步骤4令Tmax (由决策树生成技术生成的未剪枝的完全决策树)为T,计算T的性能参数,Ti为T去掉第i个叶节点,计算Ti的性能参数,若K (T)大于任意K (Ti),则停止,T为最优;否则,找到max(K(Ti)),令T=Ti ;
步骤5重复步骤4,直到参数不能优化,得到按这个标准集剪枝的最优树;如果不满意,可以修改系统参数,再次剪枝,直到最终满意为止具体实施时:
第一步,采用关联规则法用于构建正常行为规则集,用来检测异常攻击;
第二步,采用决策树进行进一步的分类预测,达到降低误报率,并将关联性应用于决策树的构造,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性;第三步,采用带权值的多标准剪枝技术进行决策树的剪枝以提升决策树检测未知攻击的能力。本发明采用关联规则法用于构建正常行为规则集,用来检测异常攻击;决策树进行进一步的分类预测,达到降低误报率;并且改进决策树的剪枝以提升决策树检测未知攻击的能力。将关联性应用于决策树的构造,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性。可以使用独立性检验,独立性检验有统计论的证明,可以用来寻找那些属性相关的属性来构造决策树。针对单一标准减枝技术的不足,决策树的剪枝采用多标准复合的减枝策略。该策略可以根据用户的需求为用户认为重要的标准分配一个权值,使用带权值的多标准来衡量剪枝的效果,从而使减枝后的决策树能够检测更多的新型攻击。本发明的基于决策树的攻击检测, 减低了 Ad Hoc网络的误报率,使得系统检测新入侵行为的能力提高了。本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
权利要求
1.一种基于决策树的攻击检测系统,其特征是它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测系统的输出,显示检测状态。
2.根据权利要求1所述的基于决策树的攻击检测系统,其特征是所述的检测数据采集器与检测挖掘处理器之间串接检测预处理器。
3.根据权利要求1所述的基于决策树的攻击检测系统,其特征是所述的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显不分类状态。
4.根据权利要求3所述的基于决策树的攻击检测系统,其特征是所述的训练数据采集器与训练挖掘处理器之间串接训练预处理器。
全文摘要
一种基于决策树的攻击检测系统,它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测系统的输出,显示检测状态。本发明采用关联规则法用于构建正常行为规则集,用来检测异常攻击;决策树进行进一步的分类预测,达到降低误报率;本发明的基于决策树的攻击检测,减低了AdHoc网络的误报率,使得系统检测新入侵行为的能力提高了。
文档编号H04L12/26GK103107902SQ20111035992
公开日2013年5月15日 申请日期2011年11月14日 优先权日2011年11月14日
发明者李千目, 戚湧, 茅海雁, 张泓 申请人:无锡南理工科技发展有限公司