基于決策樹(shù)的協(xié)議分析在入侵檢測(cè)中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)的不斷發(fā)展，安全問(wèn)題越來(lái)越多，原有的防火墻已經(jīng)難以單獨(dú)保障網(wǎng)絡(luò)的安全，入侵檢測(cè)系統(tǒng)(Intrusion Detection System)開(kāi)始發(fā)揮出不可替代的作用。當(dāng)前大多數(shù)入侵檢測(cè)產(chǎn)品使用的多是基于規(guī)則的簡(jiǎn)單模式匹配技術(shù)，它們存在著資源消耗量大，誤報(bào)率高以及隨著網(wǎng)速的提高而出現(xiàn)丟包等問(wèn)題。為了提高檢測(cè)效率和降低誤報(bào)率，本論文提出了一種基于決策樹(shù)的協(xié)議分析入侵檢測(cè)系統(tǒng)。應(yīng)用了協(xié)議分析技術(shù)，根據(jù)協(xié)議的高度規(guī)則性，將檢測(cè)空間降低為單

2、個(gè)的域以減少搜索空間提高檢測(cè)效率；同時(shí)利用決策樹(shù)能生成模型并具有預(yù)測(cè)能力的特點(diǎn)，用決策樹(shù)算法進(jìn)行檢測(cè)模型的構(gòu)建；將決策樹(shù)算法和協(xié)議分析技術(shù)有機(jī)地結(jié)合起來(lái)，用于入侵檢測(cè)。本文研究了協(xié)議分析中比較前沿的應(yīng)用層協(xié)議分析方法，利用決策樹(shù)構(gòu)建入侵檢測(cè)決策樹(shù)模型，并通過(guò)將捕獲的網(wǎng)絡(luò)數(shù)據(jù)在入侵檢測(cè)決策樹(shù)上進(jìn)行遍歷來(lái)實(shí)現(xiàn)入侵檢測(cè)。最后通過(guò)實(shí)驗(yàn)證明系統(tǒng)具有較高的檢測(cè)率和可用性。 論文共分四部分。首先是文獻(xiàn)綜述和問(wèn)題提出。然后，建立了協(xié)議分析模塊，

3、主要包括預(yù)處理和應(yīng)用層協(xié)議分析兩個(gè)部分。預(yù)處理階段包括IP分片重組和TCP流重組。對(duì)應(yīng)用層協(xié)議，主要針對(duì)HTTP、SMTP、FTP三種常用協(xié)議進(jìn)行了分析。接下來(lái)，描述了決策樹(shù)算法的選擇及決策樹(shù)算法結(jié)合協(xié)議分析在入侵檢測(cè)中應(yīng)用，包括入侵檢測(cè)決策樹(shù)的數(shù)據(jù)結(jié)構(gòu)、決策樹(shù)的建立過(guò)程、剪枝過(guò)程以及用決策樹(shù)進(jìn)行入侵檢測(cè)的過(guò)程。最后，是系統(tǒng)實(shí)現(xiàn)與測(cè)試。在對(duì)基于協(xié)議分析和決策樹(shù)算法的入侵檢測(cè)系統(tǒng)的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)進(jìn)行描述之后，利用KDDCup99和MITDA