CN103107902A - 基于决策树的攻击检测*** - Google Patents
基于决策树的攻击检测*** Download PDFInfo
- Publication number
- CN103107902A CN103107902A CN 201110359924 CN201110359924A CN103107902A CN 103107902 A CN103107902 A CN 103107902A CN 201110359924 CN201110359924 CN 201110359924 CN 201110359924 A CN201110359924 A CN 201110359924A CN 103107902 A CN103107902 A CN 103107902A
- Authority
- CN
- China
- Prior art keywords
- processor
- detection
- training
- attack
- decision tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种基于决策树的攻击检测***,它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测***的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测***的输出,显示检测状态。本发明采用关联规则法用于构建正常行为规则集,用来检测异常攻击;决策树进行进一步的分类预测,达到降低误报率;本发明的基于决策树的攻击检测,减低了AdHoc网络的误报率,使得***检测新入侵行为的能力提高了。
Description
技术领域
本发明涉及一种移动Ad Hoc网络攻击检测技术,尤其是一种可靠性高的攻击检测模块,具体地说是一种基于决策树的攻击检测模块攻击检测模块。
背景技术
目前,随着网络技术不断发展,入侵技术的多样化,特别是移动Ad Hoc网络活动性高,结构变化快,并且结构多样化等特点,传统的攻击检测技术已经不能满足***的需要。
移动Ad Hoc网络攻击检测技术目前还不成熟,到目前为止,还缺乏一个全面的,指导性的理论框架,大量的工作还需要进行。当前大部分移动Ad Hoc网络攻击检测模块所面临的严重问题是新攻击类型检测能力不足、误报率高。
现有的攻击检测技术中, 大多是根据己定义好的入侵模式,通过判断在计算机或网络***中是否出现这些入侵模式来完成攻击检测功能,没有使用决策树技术,检测能力和检测对象范围受已有知识的局限,无法检测未知的和新型的攻击类型。
发明内容
本发明的目的是针对现有的网络攻击检测模块所存在的对于攻击类型检测能力不足、误报率高的问题,提出一种基于决策树的攻击检测***。
本发明的技术方案是:
一种基于决策树的攻击检测***,它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测***的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测***的输出,显示检测状态。
本发明的检测数据采集器与检测挖掘处理器之间串接检测预处理器。
本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显示分类状态。
本发明的训练数据采集器与训练挖掘处理器之间串接训练预处理器。
本发明的有益效果:
本发明采用的分类器即决策树是数据挖掘技术中的一种,用于对于数据的分类和预测,可以用于提取描述重要数据类的模型或预测未来的数据趋势,实时训练,可以对新类型的攻击进行有效检测。决策树具有结构简单,生成的规则易于理解,分类精度高,检测速率快,不需要人为参数设置等优点,适合用在攻击检测上。
本发明基于决策树的分类模型的优点是:(1)决策树结构简单,便于理解;(2)决策树模型效率高,对训练数据量较大的情况较为合适;(3)相比较其他的数据挖掘分类技术,决策树不需要训练数据外的知识;(4)决策树具有较高的分类精确度。
附图说明
图1是本发明攻击检测***的原理框图。
图2是本发明的分类器的原理框图。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明。
如图1所示。一种基于决策树的攻击检测***,它包括检测数据采集器(用于采集网络、本地等输入数据)、检测挖掘处理器(用于提取攻击数据)和分类器即决策树(由多个对应于分类的存储器构成),所述的检测数据采集器作为攻击检测***的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测***的输出,显示检测状态。
本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显示分类状态。
在训练阶段,首先,向预处理器输入不包含攻击的数据和包含攻击的数据,得到待挖掘数据,将待挖掘数据经过挖掘处理机处理后得到分类器的训练数据,经过构造器构造得到完整的分类器。在检测阶段,首先,实验数据通过预处理器处理后得到待挖掘数据,然后经过挖掘处理器处理后输出可疑规则,最后将可疑规则交给分类器判断是否为攻击以及攻击类型。
如图2所示,分类器的构造由训练数据的输入,考虑关联性的决策树构造技术和带权值的多标准减枝技术组成,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性。减枝时可以根据用户的需求为用户认为重要的标准分配一个权值。具体的描述如下:
基于关联性的决策树构造策略Advanced_Decision_Tree:
输入:由值-属性描述的训练样本集samples;候选属性集合atrribute_list。
输出:一颗决策树。
步骤:
(1) 创建节点N;
(2) if samples 都在同一类C中 then
返回N作为叶节点,以类C标记;
(3)if attribute_list为空 then 返回N作为叶节点,以samples中最普遍的类标记;
(4)选择attribute_list中属性与父属性相关性属性加属性信息增益和最大的属性为test_attribute;
(5) 以test_attribute标记节点N ;
(6)for each test_attribute的已知值v
由节点N分出一个对应test_attribute=v的分支;
(7)令Sv为samples中test_attribute=v的样本集合;
(8)if Sv为同一类型或者Sv为空 then
加上一个叶节点,以samples中最普遍的类标记;
(9)else加入一个由Advanced_Decision_Tree (Sv, attribute_list–test_attribute)返回的节点。
带权值的多标准复合的减枝技术:
步骤 1 选择剪枝策略;
步骤 2 给出关于准确率、稳定性的阈值;
步骤 3 按需要调整复杂性公式的参数,给确定为重要的属性更大的权值;
步骤 4 令Tmax(由决策树生成技术生成的未剪枝的完全决策树)为T,计算T的性能参数,Ti为T去掉第i个叶节点,计算Ti的性能参数,若K(T)大于任意K(Ti),则停止,T为最优;否则,找到max(K(Ti)),令T=Ti;
步骤 5 重复步骤4,直到参数不能优化,得到按这个标准集剪枝的最优树;如果不满意,可以修改***参数,再次剪枝,直到最终满意为止
具体实施时:
第一步,采用关联规则法用于构建正常行为规则集,用来检测异常攻击;
第二步,采用决策树进行进一步的分类预测,达到降低误报率,并将关联性应用于决策树的构造,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性;
第三步,采用带权值的多标准剪枝技术进行决策树的剪枝以提升决策树检测未知攻击的能力。
本发明采用关联规则法用于构建正常行为规则集,用来检测异常攻击;决策树进行进一步的分类预测,达到降低误报率;并且改进决策树的剪枝以提升决策树检测未知攻击的能力。将关联性应用于决策树的构造,既在构造决策树时,不仅仅考虑单个属性的信息增益,而且还考虑属性之间的相关性。可以使用独立性检验,独立性检验有统计论的证明,可以用来寻找那些属性相关的属性来构造决策树。针对单一标准减枝技术的不足,决策树的剪枝采用多标准复合的减枝策略。该策略可以根据用户的需求为用户认为重要的标准分配一个权值,使用带权值的多标准来衡量剪枝的效果,从而使减枝后的决策树能够检测更多的新型攻击。
本发明的基于决策树的攻击检测,减低了Ad Hoc网络的误报率,使得***检测新入侵行为的能力提高了。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
Claims (4)
1.一种基于决策树的攻击检测***,其特征是它包括检测数据采集器、检测挖掘处理器和分类器即决策树,所述的检测数据采集器作为攻击检测***的检测信号输入端采集待检测数据,检测数据采集器的输出端连接检测挖掘处理器的信号输入端,检测挖掘处理器的信号输出端连接分类器的信号输入端,分类器的信号输出端作为基于决策树的攻击检测***的输出,显示检测状态。
2.根据权利要求1所述的基于决策树的攻击检测***,其特征是所述的检测数据采集器与检测挖掘处理器之间串接检测预处理器。
3.根据权利要求1所述的基于决策树的攻击检测***,其特征是所述的分类器包括训练数据采集器、训练挖掘处理器和构造器,所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据,训练数据采集器的输出端连接训练挖掘处理器的信号输入端,训练挖掘处理器的信号输出端连接构造器的信号输入端,构造器的信号输出端作为分类器的输出,显示分类状态。
4.根据权利要求3所述的基于决策树的攻击检测***,其特征是所述的训练数据采集器与训练挖掘处理器之间串接训练预处理器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110359924 CN103107902A (zh) | 2011-11-14 | 2011-11-14 | 基于决策树的攻击检测*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110359924 CN103107902A (zh) | 2011-11-14 | 2011-11-14 | 基于决策树的攻击检测*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103107902A true CN103107902A (zh) | 2013-05-15 |
Family
ID=48315484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110359924 Pending CN103107902A (zh) | 2011-11-14 | 2011-11-14 | 基于决策树的攻击检测*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103107902A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530138A (zh) * | 2014-09-28 | 2016-04-27 | 腾讯科技(深圳)有限公司 | 一种数据监控方法及装置 |
| CN105550583A (zh) * | 2015-12-22 | 2016-05-04 | 电子科技大学 | 基于随机森林分类方法的Android平台恶意应用检测方法 |
| CN106603538A (zh) * | 2016-12-20 | 2017-04-26 | 北京安信天行科技有限公司 | 一种入侵检测方法及*** |
| US9710364B2 (en) | 2015-09-04 | 2017-07-18 | Micron Technology Licensing, Llc | Method of detecting false test alarms using test step failure analysis |
| CN107341247A (zh) * | 2017-07-07 | 2017-11-10 | 河南科技大学 | 一种数据分析***及数据分析方法 |
| CN107395597A (zh) * | 2017-07-25 | 2017-11-24 | 合肥红铭网络科技有限公司 | 一种虚拟主机防御优化方法 |
| CN107682302A (zh) * | 2016-08-02 | 2018-02-09 | 中国电信股份有限公司 | 跨站脚本攻击检测方法和装置 |
| CN111343127A (zh) * | 2018-12-18 | 2020-06-26 | 北京数安鑫云信息技术有限公司 | 一种提升爬虫识别召回率的方法、装置、介质及设备 |
| CN112910859A (zh) * | 2021-01-19 | 2021-06-04 | 山西警察学院 | 基于c5.0决策树和时序分析的物联网设备监测预警方法 |
-
2011
- 2011-11-14 CN CN 201110359924 patent/CN103107902A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530138A (zh) * | 2014-09-28 | 2016-04-27 | 腾讯科技(深圳)有限公司 | 一种数据监控方法及装置 |
| US10235277B2 (en) | 2015-09-04 | 2019-03-19 | Microsoft Technology Licensing, Llc | Method of detecting false test alarms using test step failure analysis |
| US9710364B2 (en) | 2015-09-04 | 2017-07-18 | Micron Technology Licensing, Llc | Method of detecting false test alarms using test step failure analysis |
| CN105550583A (zh) * | 2015-12-22 | 2016-05-04 | 电子科技大学 | 基于随机森林分类方法的Android平台恶意应用检测方法 |
| CN105550583B (zh) * | 2015-12-22 | 2018-02-13 | 电子科技大学 | 基于随机森林分类方法的Android平台恶意应用检测方法 |
| CN107682302A (zh) * | 2016-08-02 | 2018-02-09 | 中国电信股份有限公司 | 跨站脚本攻击检测方法和装置 |
| CN106603538A (zh) * | 2016-12-20 | 2017-04-26 | 北京安信天行科技有限公司 | 一种入侵检测方法及*** |
| CN107341247A (zh) * | 2017-07-07 | 2017-11-10 | 河南科技大学 | 一种数据分析***及数据分析方法 |
| CN107395597A (zh) * | 2017-07-25 | 2017-11-24 | 合肥红铭网络科技有限公司 | 一种虚拟主机防御优化方法 |
| CN111343127A (zh) * | 2018-12-18 | 2020-06-26 | 北京数安鑫云信息技术有限公司 | 一种提升爬虫识别召回率的方法、装置、介质及设备 |
| CN111343127B (zh) * | 2018-12-18 | 2021-03-16 | 北京数安鑫云信息技术有限公司 | 一种提升爬虫识别召回率的方法、装置、介质及设备 |
| CN112910859A (zh) * | 2021-01-19 | 2021-06-04 | 山西警察学院 | 基于c5.0决策树和时序分析的物联网设备监测预警方法 |
| CN112910859B (zh) * | 2021-01-19 | 2022-06-14 | 山西警察学院 | 基于c5.0决策树和时序分析的物联网设备监测预警方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103107902A (zh) | 基于决策树的攻击检测*** | |
| CN109978222A (zh) | 一种基于贝叶斯网络的风电爬坡事件概率预测方法及*** | |
| CN110147387B (zh) | 一种根因分析方法、装置、设备及存储介质 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN112506990A (zh) | 一种基于时空信息的水文数据异常检测方法 | |
| CN106446016A (zh) | 一种基于并行关联规则挖掘的配电网运行可靠性预测方法 | |
| CN102521534B (zh) | 一种基于粗糙熵属性约简的入侵检测方法 | |
| CN104408667A (zh) | 一种电能质量综合评估的方法和*** | |
| CN103400299B (zh) | 基于重叠点识别的网络重叠社团检测方法 | |
| CN103778567B (zh) | 一种用户异常用电甄别的方法及*** | |
| CN112668773B (zh) | 一种入库流量的预测方法、装置及电子设备 | |
| CN102902960A (zh) | 基于高斯建模与目标轮廓的遗留物检测方法 | |
| CN110493221A (zh) | 一种基于聚簇轮廓的网络异常检测方法 | |
| CN115208680A (zh) | 一种基于图神经网络的动态网络风险预测方法 | |
| CN109710599A (zh) | 一种基于知识图谱的群体划分方法及装置 | |
| CN110348683A (zh) | 电能质量扰动事件主成因分析方法、装置设备及存储介质 | |
| Luu et al. | Analysing flood fatalities in Vietnam using national disaster database and tree-based methods | |
| CN112765313B (zh) | 一种基于原文和评论信息分析算法的虚假信息检测方法 | |
| CN117034149A (zh) | 故障处理策略确定方法、装置、电子设备和存储介质 | |
| CN105930430A (zh) | 一种基于非累积属性的实时欺诈检测方法及装置 | |
| CN114595764A (zh) | 用于获取城市要素对内涝灾害损失影响程度的方法及*** | |
| CN106550387B (zh) | 一种无线传感器网络路由层服务质量评价方法 | |
| CN115409089A (zh) | 一种非侵入式负荷识别的自适应阈值事件检测方法 | |
| CN110400160B (zh) | 识别竞品用户的方法、装置、电子设备和存储介质 | |
| CN113852612A (zh) | 一种基于随机森林的网络入侵检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130515 |