摘要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)在人們生活和工作中的普遍應(yīng)用，網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)的傳輸不斷受到攻擊和篡改，網(wǎng)絡(luò)安全已變得越來(lái)越重要。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范的要求不斷提高，針對(duì)目前的入侵檢測(cè)系統(tǒng)準(zhǔn)確度不高、自適應(yīng)性差、檢測(cè)效率低等問(wèn)題，該文基于決策樹(shù)分類算法，設(shè)計(jì)了一個(gè)基于決策樹(shù)的入侵檢測(cè)系統(tǒng)模型，將決策樹(shù)算法作為分類器應(yīng)用于入侵檢測(cè)的過(guò)程中，提高了入侵檢測(cè)系統(tǒng)的性能。

關(guān)鍵詞：入侵檢測(cè)；決策樹(shù)；入侵檢測(cè)系統(tǒng)；數(shù)據(jù)處理

分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）12-2885-03

入侵檢測(cè)是判斷當(dāng)前分析的網(wǎng)絡(luò)連接是正常的還是異常的。實(shí)際要解決的就是一個(gè)分類問(wèn)題，通過(guò)選擇網(wǎng)絡(luò)的一些特征可以快速、準(zhǔn)確地判別該網(wǎng)絡(luò)連接的性質(zhì)，如通過(guò)主機(jī)和網(wǎng)絡(luò)的安全特征來(lái)分析辨別。傳統(tǒng)的基于規(guī)則的簡(jiǎn)單模式匹配方法需全部屬性特征的參與，且只能檢測(cè)出已有的攻擊。決策樹(shù)是基于統(tǒng)計(jì)原理的，檢測(cè)方法不需要全部屬性特征的參與，是從決策樹(shù)根節(jié)點(diǎn)到葉節(jié)點(diǎn)的一條路徑的匹配，匹配次數(shù)更低，因而提高了檢測(cè)效率。決策樹(shù)可以不僅可以檢測(cè)出已有的攻擊還可以檢測(cè)出新的攻擊。該文將決策樹(shù)算法應(yīng)用于入侵檢測(cè)的數(shù)據(jù)分類中，設(shè)計(jì)了一個(gè)基于決策樹(shù)分類算法的入侵檢測(cè)系統(tǒng)。

1 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)（Intrusion Detection簡(jiǎn)稱ID）作為一種主動(dòng)的網(wǎng)絡(luò)安全防御措施，能主動(dòng)防御入侵攻擊，高效地檢測(cè)入侵行為。它通過(guò)從計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)這些信息進(jìn)行分析，從而發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象[1]。要檢測(cè)出對(duì)系統(tǒng)的攻擊行為或攻擊的企圖，需要通過(guò)入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）來(lái)實(shí)現(xiàn)，IDS作為一種重要的網(wǎng)絡(luò)安全保障工具，可以對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)的監(jiān)視，能有效地防止入侵攻擊行為的發(fā)生。能主動(dòng)對(duì)來(lái)自外部的攻擊進(jìn)行有效防御，并可以對(duì)系統(tǒng)內(nèi)部的惡意入侵行為進(jìn)行檢測(cè)。IDS的工作過(guò)程分為數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理4個(gè)階段。IDS基本工作結(jié)構(gòu)如圖1所示。

2 決策樹(shù)分類方法綜述

決策樹(shù)是一種較常用的數(shù)據(jù)挖掘算法，用來(lái)對(duì)數(shù)據(jù)的分類和預(yù)測(cè)。決策樹(shù)算法的核心內(nèi)容是構(gòu)造精度高、規(guī)模小的決策樹(shù)。決策樹(shù)分類算法的基本原理是：采用自頂向下的遞歸方式構(gòu)造決策樹(shù)，首先計(jì)算每個(gè)屬性變量的信息增益，將具有最高信息增益的變量作為測(cè)試變量，創(chuàng)建一個(gè)分支節(jié)點(diǎn)，并用該變量標(biāo)記，對(duì)該變量的每個(gè)值創(chuàng)建分支，并由此分裂樣本。決策樹(shù)的生成是指根據(jù)訓(xùn)練樣本數(shù)據(jù)集生成決策樹(shù)的過(guò)程。決策樹(shù)是由內(nèi)部各節(jié)點(diǎn)、分支和葉子組成的一棵有向無(wú)環(huán)樹(shù)。在無(wú)環(huán)樹(shù)中根節(jié)點(diǎn)是決策樹(shù)中最頂層的節(jié)點(diǎn)，其中每個(gè)內(nèi)部節(jié)點(diǎn)對(duì)應(yīng)于待分類對(duì)象的某個(gè)屬性，決策樹(shù)中有多個(gè)分支，每一個(gè)分支指向一個(gè)內(nèi)部節(jié)點(diǎn)或葉子節(jié)點(diǎn)。對(duì)未知樣本應(yīng)用決策樹(shù)來(lái)進(jìn)行分類，是從上向下進(jìn)行搜索分類。從決策樹(shù)的根節(jié)點(diǎn)開(kāi)始進(jìn)行節(jié)點(diǎn)測(cè)試，對(duì)每個(gè)內(nèi)部節(jié)點(diǎn)進(jìn)行測(cè)試，每一個(gè)不同的測(cè)試結(jié)果對(duì)應(yīng)一個(gè)分支。對(duì)每一個(gè)測(cè)試的結(jié)果進(jìn)行分析，根據(jù)分析結(jié)果選擇分支，按照算法最后到達(dá)一個(gè)葉子節(jié)點(diǎn)，葉子節(jié)點(diǎn)內(nèi)存放一個(gè)類標(biāo)號(hào)，用葉子節(jié)點(diǎn)的類標(biāo)號(hào)來(lái)表示未知樣本的類別。決策樹(shù)的構(gòu)造過(guò)程：一是由訓(xùn)練集生成一棵決策樹(shù)；二是對(duì)生成的決策樹(shù)進(jìn)行剪枝，剪去影響精度的分枝。決策樹(shù)算法在模型易理解性、易實(shí)施性、通用性和有用性方面都是最佳的，因此本文選用決策樹(shù)算法作為主要算法。

目前，生成決策樹(shù)算法主要包括CART、CHAIR、ID3、C4.5 等算法。其中C4.5 算法是比較簡(jiǎn)單易懂的構(gòu)造決策樹(shù)分類器的一種算法。該文以 C4.5 算法來(lái)構(gòu)造對(duì)決策樹(shù)。從所有訓(xùn)練樣本處的樹(shù)的根節(jié)點(diǎn)開(kāi)始，通過(guò)選取一個(gè)屬性，對(duì)訓(xùn)練樣本來(lái)區(qū)分開(kāi)。根據(jù)每一個(gè)屬性的值產(chǎn)生一個(gè)相應(yīng)的分支，相應(yīng)的樣本子集根據(jù)分支屬性的值被移到新生成的子節(jié)點(diǎn)上，按照這種遞歸的算法，把所有樣本都分配到某個(gè)類中，到達(dá)決策樹(shù)的葉節(jié)點(diǎn)的每條路徑表示一個(gè)分類規(guī)則。不同的屬性值的選擇，會(huì)產(chǎn)生不同的記錄子集，因此，對(duì)節(jié)點(diǎn)屬性值的選擇，是決策樹(shù)的生成算法的關(guān)鍵。直接影響到?jīng)Q策樹(shù)結(jié)構(gòu)的好壞，決策樹(shù)生長(zhǎng)的快慢，導(dǎo)致找到的規(guī)則信息的優(yōu)劣。C4.5 算法的屬性選擇的基礎(chǔ)是基于使生成的決策樹(shù)中節(jié)點(diǎn)所含的信息熵最小。集合S的熵的計(jì)算公式如下：

3 基于決策樹(shù)的入侵檢測(cè)系統(tǒng)設(shè)計(jì)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，使互聯(lián)網(wǎng)成為人們工作、學(xué)習(xí)、生活各方面不可缺少的信息獲取途徑。網(wǎng)絡(luò)是把雙刃劍，在給人們提供服務(wù)的同時(shí)，也被不法分子利用，網(wǎng)絡(luò)的安全問(wèn)題變得日趨嚴(yán)峻。由于網(wǎng)絡(luò)不斷受到黑客的攻擊，攻擊的方式、手段每天都層出不窮，而已有的入侵檢測(cè)系統(tǒng)由于自身算法的原因，檢測(cè)效率低，當(dāng)面對(duì)新的攻擊，使得當(dāng)前的入侵檢測(cè)系統(tǒng)對(duì)新的攻擊不能起到很好的防御作用。

3.1 入侵檢測(cè)系統(tǒng)模型

本文設(shè)計(jì)的基于決策樹(shù)分類算法的入侵檢測(cè)系統(tǒng)模型，按照功能來(lái)劃分，該系統(tǒng)模型由訓(xùn)練模塊、數(shù)據(jù)采集模塊、數(shù)據(jù)處理模塊、檢測(cè)模塊和報(bào)警與響應(yīng)模塊共五個(gè)模塊組成。如圖2所示。

3.2 模塊設(shè)計(jì)

把系統(tǒng)模型分為兩部分，一個(gè)是訓(xùn)練模塊，另一個(gè)是數(shù)據(jù)采集模塊。下面對(duì)系統(tǒng)中的各模塊的功能實(shí)現(xiàn)進(jìn)行分析。

1） 訓(xùn)練模塊

系統(tǒng)中訓(xùn)練模塊將根據(jù)數(shù)據(jù)庫(kù)中現(xiàn)有的入侵檢測(cè)訓(xùn)練樣本，通過(guò)一定的策略，對(duì)訓(xùn)練樣本集進(jìn)行樣本選擇，來(lái)構(gòu)造一個(gè)性能優(yōu)良的分類模型，用于數(shù)據(jù)模塊的實(shí)時(shí)檢測(cè)。

首先，對(duì)數(shù)據(jù)庫(kù)中的訓(xùn)練樣本經(jīng)過(guò)數(shù)值化、歸一化、去重、去噪等初步的預(yù)處理。選取訓(xùn)練樣本集中最有代表性的樣本。其次，對(duì)選出的代表性的樣本子集，通過(guò)某種技術(shù)，把原始樣本子集的特征之間的相關(guān)性消除，去除噪聲和冗余，從而從原始樣本子集的特征中獲取最有效的信息，進(jìn)行特征提取。最后，把得到的訓(xùn)練集送入決策樹(shù)分類器進(jìn)行訓(xùn)練，構(gòu)建系統(tǒng)的決策樹(shù)分類模型。由于網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，為了更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊，需要在訓(xùn)練數(shù)據(jù)集中增加更多的訓(xùn)練樣本，可以增加更多的樣本特征，把更多的訓(xùn)練集進(jìn)行重新運(yùn)行訓(xùn)練模塊，不斷地更新系統(tǒng)的分類模型，使其更好的適應(yīng)新的需要。

2） 數(shù)據(jù)采集模塊

對(duì)網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包進(jìn)行有效的監(jiān)聽(tīng)，并負(fù)責(zé)從網(wǎng)絡(luò)中采集到數(shù)據(jù)包。數(shù)據(jù)采集通過(guò)系統(tǒng)進(jìn)行高效的數(shù)據(jù)包捕獲，并對(duì)所捕獲的數(shù)據(jù)包進(jìn)行一系列的自動(dòng)分析，實(shí)現(xiàn)網(wǎng)絡(luò)安全的可靠管理。數(shù)據(jù)采集模塊中實(shí)現(xiàn)數(shù)據(jù)包捕獲的硬件條件是硬件系統(tǒng)中的網(wǎng)卡，由于同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)的數(shù)據(jù)包必須經(jīng)過(guò)一個(gè)站點(diǎn)的網(wǎng)卡過(guò)濾，才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息進(jìn)行有效的監(jiān)視。所以，根據(jù)系統(tǒng)要求，網(wǎng)卡的工作模式需要設(shè)置在混合模式下。WinPcap是由BPF模型派生而來(lái)的包捕獲程序，WinPcap為用戶層提供了 Windows下的一個(gè)包捕獲平臺(tái)。在Windows操作環(huán)境下，可以利用WinPcap來(lái)實(shí)現(xiàn)數(shù)據(jù)包的捕獲，實(shí)現(xiàn)對(duì)底層包的過(guò)濾。WinPcap包括一個(gè)網(wǎng)絡(luò)組包過(guò)濾程序（NPF），一個(gè)高層的獨(dú)立于系統(tǒng)的函數(shù)庫(kù)（Wpcap.dll）和一個(gè)底層動(dòng)態(tài)鏈接庫(kù)（Packet.dll）。

3） 數(shù)據(jù)處理模塊

數(shù)據(jù)處理模塊對(duì)捕獲的數(shù)據(jù)包，進(jìn)行解析處理，分離出與安全相關(guān)的特征信息，可以得到每個(gè)網(wǎng)絡(luò)連接的安全相關(guān)特征，把得到的安全相關(guān)特征經(jīng)過(guò)一定的變換，就可以被分類模型正確得辨識(shí)。

4） 檢測(cè)和報(bào)警響應(yīng)模塊

從系統(tǒng)中的訓(xùn)練模塊可以得到分類模型，檢測(cè)模塊根據(jù)分類模型預(yù)測(cè)各個(gè)網(wǎng)絡(luò)連接的所屬類別，如DoS，R2L，Normal，Probe，U2R等。在檢測(cè)過(guò)程中如果檢測(cè)到有網(wǎng)絡(luò)攻擊入侵行為時(shí)，將進(jìn)行確認(rèn)，然后記錄所檢測(cè)到的入侵行為，同時(shí)，系統(tǒng)會(huì)發(fā)出警報(bào)，并作出響應(yīng)的措施，并把檢測(cè)到的入侵行為報(bào)告給網(wǎng)絡(luò)管理員。如果入侵監(jiān)測(cè)系統(tǒng)和控制臺(tái)同時(shí)在一臺(tái)計(jì)算機(jī)上，則該入侵行為的警報(bào)信息就會(huì)在屏幕上直接顯示出來(lái)，并發(fā)出警告提示的聲音。否則，將通過(guò)有效的安全通信途徑，把入侵行為的警報(bào)信息傳遞給網(wǎng)絡(luò)系統(tǒng)管理員。另外，對(duì)檢測(cè)到的入侵行為還可以有其他的響應(yīng)措施，如把入侵者的網(wǎng)絡(luò)切斷，或者給入侵者發(fā)送信息給予警告，或者對(duì)入侵者進(jìn)行追蹤、調(diào)查、收集入侵者的額外信息用于改進(jìn)系統(tǒng)，必要的時(shí)候還可以采取反擊行動(dòng)對(duì)入侵者進(jìn)行反擊。

4 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)數(shù)據(jù)被入侵攻擊的不斷增多，入侵檢測(cè)是防火墻之后的第二道防御措施，它是一種主動(dòng)的能有效的防御入侵攻擊的安全防御技術(shù)，是網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)領(lǐng)域的重要研究方向之一。因此，將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中，可以自動(dòng)地從大量的網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)新的摸式。根據(jù)目前入侵檢測(cè)的實(shí)際需要，結(jié)合決策樹(shù)分類算法，構(gòu)建基于決策樹(shù)分類算法的入侵檢測(cè)系統(tǒng)，把決策樹(shù)分類算法應(yīng)用到入侵檢測(cè)系統(tǒng)中，通過(guò)決策樹(shù)分類算法來(lái)構(gòu)建分類模型，利用決策樹(shù)分類算法能自動(dòng)地對(duì)海量數(shù)據(jù)進(jìn)行預(yù)處理和分析，可以對(duì)外來(lái)的入侵?jǐn)?shù)據(jù)和系統(tǒng)的正常數(shù)據(jù)進(jìn)行有效地的識(shí)別，提高了對(duì)外來(lái)的入侵?jǐn)?shù)據(jù)異常檢測(cè)的準(zhǔn)確性，并對(duì)網(wǎng)絡(luò)中未知的入侵?jǐn)?shù)據(jù)也有較好的檢測(cè)效果，具有很強(qiáng)的自適應(yīng)能力。

參考文獻(xiàn)：

[1] 李劍.入侵檢測(cè)技術(shù)[M].北京：高等教育出版社，2008.

[2] 宋明秋，傅韻，鄧貴仕.基于決策樹(shù)和協(xié)議分析的入侵檢測(cè)研究[J].計(jì)算機(jī)應(yīng)用研究，2007（12）：171-176.

[3] 沈超，薛勝軍.分布式協(xié)同入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].武漢理工大學(xué)學(xué)報(bào)，2010（16）：155-158.

[4] 于孝美，陳貞翔，彭立志.基于決策樹(shù)的網(wǎng)絡(luò)流量分類方法[J].濟(jì)南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2012（3）：291-295.

[5] 易倩.改進(jìn)的聚類與決策樹(shù)算法在入侵檢測(cè)中的應(yīng)用[D].廣東工業(yè)大學(xué)，2012.