基于决策树分类算法的网络入侵检测系统的研究

摘要

随着网络技术的飞速发展，安全问题越来越突出。原有的防火墙技术很难保障网络的安全，入侵检测系统开始发挥出越来越重要的作用。传统的基于规则的入侵检测系统资源消耗量大，相对于复杂的网络系统和层出不穷的攻击技术，有着明显的时间和空间上的局限性，因此传统的基于特征的检测技术极易造成漏报和虚警。为了提高检测效率和检测准确率，本文提出了一种基于决策树分类算法的入侵检测系统。本文对于构造入侵检测决策树的过程，采用信息增益率作为分类属性的选择标准，并通过将捕获的网络数据在入侵检测决策树上进行遍历来实现入侵检测。最后通过实验证明该入侵检测系具有较高的检测效率和检测准确率。 本文主要内容包括： 1．对网络入侵检测技术进行了研究，根据入侵检测不同的分类标准，详细描述了异常检测技术、误用检测技术，以及基于主机和基于网络的入侵检测系统。分析了数据包截获技术，描述了伯克利数据包截获过滤机制，研究了洛仑兹伯克利国家实验室所编写的专用于数据包截获功能的API函数库“Libpcap”。然后对入侵检测中常用的数据挖掘算法进行了阐述。 2．描述了决策树算法的选择及它在入侵检测中应用，包括决策树算法的分类、决策树算法的工作流程、以及用决策树进行入侵检测的过程。利用数据挖掘技术在从数据中提取特征与规则方面的优势，结合网络数据捕获及预处理技术和数据挖掘中决策树算法，提出了一种基于决策树分类算法的网络入侵检测系统。 3．在对基于决策树算法的入侵检测系统的系统结构设计进行描述之后，给出了数据获取及预处理的实现方法，并利用KDD Cup99的专门用于入侵检测的测试数据对检测准确率、效率进行了测试，记录了测试结果。实验证明系统具有较高的检测效率和检测准确率。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章引言

1.1网络安全现状和入侵检测

1.2入侵检测研究概况

1.2.1入侵检测研究历史与现状

1.2.2基于数据挖掘的入侵检测研究现状

1.3本文主要工作

1.4本论文的整体结构和章节安排

第2章入侵检测与数据挖掘技术

2.1入侵检测系统的分类

2.1.1按照信息的来源分类

2.1.2按照所采用的分析方法分类

2.1.3按照其组成的方式

2.2入侵检测数据包截获分析

2.2.1网络数据包截获分析基本知识

2.2.2 BPF数据包截获与分析

2.2.3 Libpcap数据包截获软件分析

2.3入侵检测中的常用的数据挖掘算法

2.3.1关联分析算法

2.3.2序列分析算法

2.3.3聚类算法

2.3.4分类算法

2.4在入侵检测应用数据挖掘技术的优点

2.5本章小结

第3章基于入侵检测决策树的分类

3.1决策树算法概述

3.1.1决策树算法分类

3.1.2属性选择方法

3.1.3决策树剪枝算法

3.2决策树中分类规则获取

3.3决策树算法的选择及应用于入侵检测中

3.3.1入侵检测决策树算法选择

3.3.2 C4.5决策树算法的工作流程

3.3.3入侵检测决策树的生成

3.3.4根据入侵检测树进行入侵检测

3.4本章小结

第4章基于决策树分类算法的IDS设计与实现

4.1系统设计思想

4.1.1系统设计目标

4.1.2系统实现过程

4.2系统模型及系统各组件的功能

4.2.1系统模型设计

4.2.2数据获取及数据预处理模块

4.2.3数据挖掘模块

4.2.4入侵检测引擎及管理员接口模块

4.3数据获取及预处理实现

4.3.1利用winpcap进行网络数据包的捕获和过滤的步骤

4.3.2数据包捕获实现的步骤的主要源代码

4.3.3数据预处理

4.4实验及结果分析

4.4.1实验环境

4.4.2显示入侵检测决策树

4.4.3检测效率测试

4.4.4检测准确率测试

4.5本章小结

结束语

参考文献

附录

致谢