论文摘要
入侵检测是用来检测和识别对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或网络环境中采集数据、分析数据、发现可疑攻击行为或异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。基于网络的入侵检测系统研究已成为现阶段计算机网络安全领域中的研究热点。建立网络入侵检测系统的核心是为网络正常行为或异常行为模式建模。本文旨在对基于传统分类算法的入侵检测模型加以改进,以提高系统处理模糊数据的能力,从而提高检测率。本文对各种传统分类算法进行了深入分析,从算法基本思想、数据存储结构、算法执行效率等方面对进行了比较,因为决策树具有较高的分类准确率和分类速度,所以将其作为入侵检测系统模型的分类算法。但同时经典决策树在入侵检测领域也存在局限性,故以此为基础,将处理不确定性信息的模糊集理论应用到入侵检测领域中,以起到改进决策树的作用。多数网络事件与时间相关,在为入侵检测系统构建检测模型时,选取一些与时间相关的特征属性来表示网络连接记录能够改善模型的检测精度。而这些特征属性通常是连续型的,这就存在一个问题:对连续型属性的使用使得生成的决策树分支过多,从而导致检测模型的灵活性和适应性都很差,且浪费了大量存储空间;此外在检测阶段,这些规则也会参与模式比较,又浪费了大量检测时间,甚至还会导致较高的误报率。网络安全事件本质上具有模糊性,表现在正常行为和异常行为之间没有非常明确的界线,它们之间有一个平滑的过渡。所以本文引入模糊集理论来解决上述问题,为连续型属性划分模糊集,并给出属性值属于某个模糊集的隶属度,为生成分类规则提供依据。模糊化后的决策树算法从表示计算机网络中的正常和异常行为信息的数据集中挖掘出分类规则,一类为表示正常行为的规则,另一类为表示异常行为的规则,并且每条规则都有其置信度。运用这种方法的关键问题在于如何划分模糊集。本文主要是针对网络入侵检测建模方法的深入研究,提出了一种基于模糊决策树的网络入侵检测模型。通过理论分析和实验证明,模糊决策树在入侵检测系统中具有良好的作用,不仅能够检测异常行为,而且与传统模型相比,由于引入了模糊集理论,该模型具有更简洁的行为模式库和更低的误报率,检测效率和检测性能都得到了较大的改善。