基于层次式网络流量特征汇聚的攻击分类研究

摘要

入侵检测是近些年来人们提出的一种新型的防御机制，已经成为网络安全的一个重要技术。大多数入侵检测系统采用基于网络和主机的方法检测和防御攻击。基于网络的入侵检测系统以网络上传输的数据包为数据源，通过网络适配器来监视并分析通过网络的数据流量。 目前入侵检测领域的研究中，异常检测作为一种网络测量手段成为相当活跃的研究方向。将网络上通过的报文信息按照基于会话、基于IP和基于网络的层次和方式汇聚起来，可以构成网络流量特征集合。从信息汇聚集中提取不同的特征子集可以描述不同网络攻击行为的特征。如果这些特征属性的值在正常的情况下比较稳定，而在对应的攻击发生时产生较明显的变化，则可作为相关攻击行为的判别要素。根据特征属性值的变化趋势得出备选的判别属性，对冗余属性进行删减，使得生成分类器的效率更高，提高入侵检测系统的实时判别能力。基于决策树算法的分类器是由特征指标判别攻击行为存在与否并识别其类别的有效手段。在网络流量层次汇聚模型的基础上，设计相关试验对设计的分类器进行测试，实验的数据集采用的是MITLincoln Labs 用于评估入侵检测系统的DARPA数据集。将这些数据还原到真实的网络环境，进行层次式汇聚，将得到的特征值数据集进行决策树分类，从而得出试验结果，进一步验证了层次汇聚的可行性和分类器的正确率。