• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      新型入侵增量識(shí)別入侵檢測(cè)模型

      2019-04-01 09:28:26劉培玉孔凡玉李新金
      關(guān)鍵詞:檢測(cè)點(diǎn)數(shù)據(jù)流決策樹(shù)

      劉 佳 張 平 劉培玉 孔凡玉 李新金

      1(山東師范大學(xué)歷山學(xué)院電子與信息工程學(xué)院 山東 濰坊 262500)2(山東大學(xué)網(wǎng)絡(luò)信息安全研究所 山東 濟(jì)南 250100)

      0 引 言

      在信息安全領(lǐng)域,入侵檢測(cè)是防護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境安全的重要防線(xiàn)。隨著硬件、軟件技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)數(shù)據(jù)量呈現(xiàn)海量數(shù)據(jù)特征,新的網(wǎng)絡(luò)入侵模式快速呈現(xiàn)。然而,與之相對(duì)的是傳統(tǒng)的入侵檢測(cè)的原理,它一般是通過(guò)識(shí)別已知入侵行為的入侵特征來(lái)達(dá)到檢測(cè)入侵的目的,往往對(duì)于入侵模式的改變難以適應(yīng)。

      隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展,如何讓入侵檢測(cè)自我識(shí)別未識(shí)別的入侵模式和進(jìn)化的入侵模式具有很高的研究?jī)r(jià)值。近年來(lái),對(duì)于入侵檢測(cè)如何識(shí)別新型入侵模式做出了很多努力。

      2016年文獻(xiàn)[1]針對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)難以為Ad-Hoc網(wǎng)絡(luò)中日益增長(zhǎng)的安全威脅提供令人滿(mǎn)意的保障,提出了基于對(duì)比有攻擊和無(wú)攻擊的狀況下的情況特征來(lái)自我學(xué)習(xí)識(shí)別入侵行為。2016年文獻(xiàn)[2]采用映射模型來(lái)進(jìn)行入侵檢測(cè),創(chuàng)造合適的攻擊跡象并應(yīng)用于入侵檢測(cè)系統(tǒng)中來(lái)解決常規(guī)入侵檢測(cè)特征不變的情況,識(shí)別新型入侵行為。2017年文獻(xiàn)[3]針對(duì)一般自適性入侵檢測(cè)系統(tǒng)一般耗費(fèi)巨大資源的情況,采用一種混合SVM和ELM的分類(lèi)模型,其中自適性SVM模型分布在MAS上并行計(jì)算,實(shí)時(shí)學(xué)習(xí)新型入侵。2017年文獻(xiàn)[4]為了監(jiān)測(cè)拒絕服務(wù)攻擊,改進(jìn)一般監(jiān)測(cè)只是基于數(shù)據(jù)包的監(jiān)測(cè),提出一種利用物理特征的機(jī)器學(xué)習(xí)監(jiān)測(cè)模型,能夠?qū)σ呀?jīng)識(shí)別的拒絕服務(wù)攻擊和當(dāng)前沒(méi)有監(jiān)測(cè)到的拒絕服務(wù)攻擊有良好的監(jiān)測(cè)性能。

      上述研究成果中一般通過(guò)對(duì)比有入侵的行為和沒(méi)有入侵的行為的不同點(diǎn)進(jìn)行新型入侵檢測(cè)的識(shí)別,或者改進(jìn)自適性入侵檢測(cè)的監(jiān)測(cè)性能,具有了一定成效。但是上述檢測(cè)過(guò)程中普遍存在的問(wèn)題:一是入侵檢測(cè)往往反應(yīng)較慢;二是如果主機(jī)已經(jīng)不能和安全環(huán)境中的堡壘機(jī)相溝通,那么難以達(dá)到檢測(cè)入侵的目的。

      在研究各個(gè)入侵檢測(cè)自我改進(jìn)方法之后,提出了一種全局檢測(cè)點(diǎn)相互溝通自身和周?chē)O(shè)備異常情況的機(jī)制,判別新型入侵行為,并根據(jù)收集的信息自我進(jìn)化識(shí)別新型入侵模式的入侵檢測(cè)模型來(lái)識(shí)別新型入侵模式,改進(jìn)全局安全環(huán)境。并且為了達(dá)到不斷進(jìn)化、快速識(shí)別新型入侵行為的目的,提出了一種決策樹(shù)的自我快速改進(jìn)模型來(lái)將新型入侵模式納入入侵檢測(cè)范疇。

      提出的入侵檢測(cè)模型的優(yōu)勢(shì)如下:

      (1) 改進(jìn)傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模式固化的缺陷,采用各個(gè)入侵檢測(cè)點(diǎn)相互交流的機(jī)制溝通自身和周?chē)O(shè)備異常情況信息,建立算法。根據(jù)局部異常情況建立全局異常情況,通過(guò)與設(shè)定好的異常情況閾值進(jìn)行比較,如果超出閾值,則認(rèn)為現(xiàn)有網(wǎng)絡(luò)環(huán)境防護(hù)出現(xiàn)漏洞,正在遭受新型入侵模式的攻擊。

      (2) 抽取近期各個(gè)入侵檢測(cè)點(diǎn)交流的異常信息,根據(jù)一般入侵檢測(cè)是某個(gè)現(xiàn)有入侵的變種,并根據(jù)異常信息在決策樹(shù)入侵檢測(cè)器大致流向,判別是否是某種入侵行為的變種,還是新型入侵模式。

      (3) 抽取異常信息的特征,如果是現(xiàn)有入侵模式的變種,則對(duì)此種入侵模式進(jìn)行決策樹(shù)入侵檢測(cè)器的局部進(jìn)化,如果是新型入侵模式,抽取其特征,納入決策樹(shù)入侵檢測(cè)器中。

      (4) 將進(jìn)化完成的入侵檢測(cè)器投入入侵檢測(cè)環(huán)境中,監(jiān)測(cè)全局異常情況變化情況。如果狀況緩解,則認(rèn)為自我進(jìn)化是正確的方向,將判別的特征納入日志記錄,識(shí)別新型入侵行為。如果沒(méi)有緩解,則持續(xù)收集局部異常信息,做進(jìn)一步分析。

      1 新型入侵檢測(cè)

      提出一種入侵檢測(cè)架構(gòu),該入侵檢測(cè)架構(gòu)擺脫了一般入侵檢測(cè)模式固化的缺點(diǎn),采用各個(gè)入侵檢測(cè)點(diǎn)相互交流的機(jī)制溝通自身和周?chē)O(shè)備異常情況,發(fā)現(xiàn)全局異常區(qū)域,并匯報(bào)異常區(qū)域流量數(shù)據(jù),達(dá)到識(shí)別新型入侵的目的。

      Intel公司曾經(jīng)提出“自治企業(yè)安全”方案獲取局部異常信息流匯總形成全局異常情況[5],這種思想可以全局入侵檢測(cè)點(diǎn)相互交流協(xié)作檢測(cè)入侵,對(duì)比一般的單一主機(jī)檢測(cè)具有很大的優(yōu)勢(shì)。

      本架構(gòu)采用全局入侵檢測(cè)點(diǎn)相互交流異常情況并判斷各個(gè)入侵檢測(cè)點(diǎn)是否在線(xiàn)的形式形成全局情況信息。具體機(jī)制如下:

      (1) 各種類(lèi)別分布式入侵檢測(cè)點(diǎn)的入侵檢測(cè)策略由各個(gè)中間設(shè)備管理器進(jìn)行管理與部署。

      (2) 各個(gè)入侵檢測(cè)點(diǎn)持續(xù)收集流量數(shù)據(jù),例如連接各層協(xié)議類(lèi)型、發(fā)生時(shí)間、近期一定時(shí)間內(nèi)連接情況等,當(dāng)出現(xiàn)異常情況如近期網(wǎng)絡(luò)流量異常增大,向其他節(jié)點(diǎn)交流發(fā)送的ICMP協(xié)議返回異常等情況,記錄異常情況,根據(jù)對(duì)于主機(jī)威脅重要程度制定的異常情況權(quán)重表(見(jiàn)表1)。更新異常獲得值(異常情況權(quán)重即發(fā)生問(wèn)題的情況對(duì)于主機(jī)的重要程度,比如ICMP協(xié)議返回異常,ICMP協(xié)議在異常情況權(quán)重表中重要程度占1,則獲得1的異常情況獲得值),各個(gè)異常獲得值隨著時(shí)間按遞減值進(jìn)行遞減,來(lái)防止異常獲得值無(wú)理由持續(xù)增長(zhǎng),進(jìn)而持續(xù)增加全局異常情況。

      表1 異常情況權(quán)重表

      (3) 各個(gè)入侵檢測(cè)點(diǎn)相互交流,定期共享本地異常獲得值信息,各個(gè)入侵檢測(cè)點(diǎn)維護(hù)其他節(jié)點(diǎn)異常獲得值表(如無(wú)法交流則為無(wú)法交流節(jié)點(diǎn)增加對(duì)應(yīng)異常獲得值),并根據(jù)與其他節(jié)點(diǎn)的距離情況(如直接到達(dá)則為1,路由兩個(gè)設(shè)備到達(dá)則為2)和對(duì)應(yīng)的獲得值(見(jiàn)表2),全局統(tǒng)計(jì)計(jì)算臨時(shí)全局異常值。

      表2 其他檢測(cè)點(diǎn)獲得值

      (4) 各個(gè)檢測(cè)點(diǎn)形成的獲得值表和臨時(shí)全局異常值表與設(shè)定的異常閾值做對(duì)比,如果超出閾值,則認(rèn)為發(fā)現(xiàn)當(dāng)前入侵檢測(cè)檢測(cè)不了的新型入侵,入侵檢測(cè)點(diǎn)向反饋信息收集節(jié)點(diǎn)發(fā)送反饋信息,包括維護(hù)的獲得值表。

      (5) 反饋信息收集節(jié)點(diǎn)向信息處理節(jié)點(diǎn)發(fā)送收集的信息,根據(jù)獲得值表情況進(jìn)行分析。根據(jù)表情況收取對(duì)應(yīng)入侵檢測(cè)點(diǎn)的相關(guān)信息,并進(jìn)行一定的清理與整型。將獲得值表發(fā)送到全局網(wǎng)絡(luò)安全信任度建立節(jié)點(diǎn)進(jìn)行全局情況信任度建立,并分析受威脅的網(wǎng)絡(luò)區(qū)域,將收集的各個(gè)出現(xiàn)異常情況的入侵檢測(cè)點(diǎn)的相關(guān)信息發(fā)送到自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)進(jìn)行入侵模式分析與入侵檢測(cè)模型改進(jìn)。

      (6) 在自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)中,由于一般新的入侵模式是現(xiàn)有入侵模式的一種變種,利用先驗(yàn)的入侵模式大類(lèi)對(duì)收集的信息進(jìn)行分析。如果判別是現(xiàn)有入侵模式的變種,則進(jìn)化該種入侵模式分支。如果判別出不屬于任何一種現(xiàn)有入侵類(lèi)別,則識(shí)別其特征,納入入侵檢測(cè)模型中,如圖1所示。

      圖1 入侵檢測(cè)模型

      2 自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)

      2.1 問(wèn)題假設(shè)及目標(biāo)

      針對(duì)上節(jié)提出的入侵檢測(cè)模型,其中的自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)需要根據(jù)識(shí)別出來(lái)的信息提取異常情況的特征,并納入入侵檢測(cè)模型中。本文采用了一種改進(jìn)的決策樹(shù)的算法,一方面決策樹(shù)分類(lèi)具有快速和高效特點(diǎn),另一方面根據(jù)改進(jìn)決策樹(shù)分類(lèi)模式的固定性缺陷,提出一種增量式的決策樹(shù)的自我進(jìn)化方法。

      該算法的改進(jìn)思路在于:

      (1) 基于決策樹(shù)總是根據(jù)最明顯的屬性區(qū)別一步步區(qū)分類(lèi)別,這樣根據(jù)收集到的異常數(shù)據(jù)流入決策樹(shù)的節(jié)點(diǎn)情況判別是已有入侵類(lèi)型的變種還是新型入侵類(lèi)型。

      (2) 如果是入侵類(lèi)型變種只需要自我改進(jìn)這種入侵類(lèi)型,將變種特征納入此決策樹(shù)分枝即可。如果流入的決策樹(shù)的數(shù)據(jù)在決策樹(shù)中的走向過(guò)于分散,則認(rèn)為是一種新型入侵類(lèi)型,則提取其類(lèi)型特征,納入決策樹(shù)判別。

      (3) 針對(duì)決策樹(shù)由于經(jīng)常會(huì)出現(xiàn)的過(guò)度擬合的現(xiàn)象,采用樸素貝葉斯算法進(jìn)行樹(shù)判別增強(qiáng),加強(qiáng)決策樹(shù)對(duì)于過(guò)度擬合的情況的判別性能,提高決策樹(shù)對(duì)于數(shù)據(jù)量較少的類(lèi)型的判別性能。

      這里設(shè)收集的異常數(shù)據(jù)為Dadapt。

      2.2 性能指標(biāo)

      檢出率(DR%)、誤報(bào)率(FP%)、漏報(bào)率(FN%)與數(shù)據(jù)檢測(cè)不出率(DN%)、識(shí)別為入侵但入侵類(lèi)型錯(cuò)誤率(FI%)作為評(píng)價(jià)入侵檢測(cè)算法性能的重要指標(biāo)。通過(guò)對(duì)測(cè)試數(shù)據(jù)流的決策樹(shù)判別各種性能指標(biāo)的判別來(lái)判別決策樹(shù)的性能。

      2.3 異常數(shù)據(jù)決策樹(shù)自我進(jìn)化

      統(tǒng)計(jì)異常數(shù)據(jù)流對(duì)于決策樹(shù)各個(gè)節(jié)點(diǎn)的流量情況,記錄異常數(shù)據(jù)流在決策樹(shù)中最先開(kāi)始分枝節(jié)點(diǎn)node,計(jì)算異常數(shù)據(jù)流占最先開(kāi)始分枝節(jié)點(diǎn)生成數(shù)據(jù)的比例rate,設(shè)置閾值threshold。若rate>threshold,則表明新型入侵模式在此節(jié)點(diǎn)表現(xiàn)明顯,將異常流數(shù)據(jù)納入此節(jié)點(diǎn)的數(shù)據(jù)表,根據(jù)新生成的生成數(shù)據(jù)表重新構(gòu)造局部決策樹(shù)識(shí)別新型入侵模式。若rate≤threshold,則認(rèn)為新型入侵?jǐn)?shù)據(jù)模式在此節(jié)點(diǎn)表現(xiàn)不明顯,讓異常數(shù)據(jù)流繼續(xù)流入決策樹(shù)各個(gè)節(jié)點(diǎn),在最終流入的葉子節(jié)點(diǎn)處,進(jìn)行決策樹(shù)的初步改進(jìn),初步識(shí)別新型入侵行為。這個(gè)在節(jié)點(diǎn)處設(shè)置的判別信息量多少的閾值稱(chēng)為敏感性閾值。

      具體操作步驟為:

      Step1異常信息流收集,數(shù)據(jù)清理。形成新型入侵類(lèi)型的數(shù)據(jù)特征集合。

      Step2將異常信息流流入初始決策樹(shù),記錄異常信息流在決策樹(shù)中最先開(kāi)始分流的節(jié)點(diǎn),計(jì)算異常數(shù)據(jù)流占節(jié)點(diǎn)生成數(shù)據(jù)的比例rate,如圖2所示。

      圖2 異常數(shù)據(jù)流流向圖

      Step3設(shè)置閾值threshold,若rate≤threshold,則異常數(shù)據(jù)流在此節(jié)點(diǎn)的模式表現(xiàn)不夠明顯,異常信息流向下分流到?jīng)Q策樹(shù)葉子節(jié)點(diǎn),在最終流入葉子節(jié)點(diǎn)的父母處進(jìn)行決策樹(shù)的重新生成算法,形成新的決策子樹(shù)納入全局決策樹(shù),若rate>threshold進(jìn)入Step 4,如圖3所示。

      圖3 數(shù)據(jù)量不足決策樹(shù)自適改進(jìn)圖

      Step4異常信息流數(shù)據(jù)納入節(jié)點(diǎn)生成數(shù)據(jù)表,采用決策樹(shù)算法重新生成決策樹(shù)納入全局決策樹(shù),如圖4所示。

      圖4 數(shù)據(jù)量充足決策樹(shù)自適改進(jìn)圖

      Step5將異常信息流納入全局決策樹(shù)生成數(shù)據(jù)統(tǒng)計(jì)中,為下一次決策樹(shù)自適做參考。

      輕量級(jí)樸素貝葉斯分類(lèi)在決策樹(shù)分類(lèi)的基礎(chǔ)上,減少判別屬性,對(duì)于過(guò)度擬合的數(shù)據(jù)的進(jìn)一步判別,提升決策樹(shù)的判別能力,對(duì)于數(shù)據(jù)量較小的新型入侵模式的過(guò)度分類(lèi)進(jìn)行改進(jìn)。

      2.4 輕量級(jí)樸素貝葉斯算法樹(shù)增強(qiáng)

      由于決策樹(shù)生成過(guò)程容易對(duì)數(shù)據(jù)量多的模式識(shí)別敏感,但是對(duì)于數(shù)據(jù)量較少的數(shù)據(jù)識(shí)別容易過(guò)度擬合,判別過(guò)細(xì)的現(xiàn)象。如果異常數(shù)據(jù)流較小,在決策樹(shù)分流過(guò)程中對(duì)于異常數(shù)據(jù)流的屬性的各個(gè)屬性值存在判斷過(guò)細(xì),出現(xiàn)無(wú)法判別數(shù)據(jù)流的情況。因此這里采用樸素貝葉斯[6]分類(lèi)彌補(bǔ)這種不足,并采取一種輕量級(jí)選擇判別屬性的方式減少樸素貝葉斯分類(lèi)的判別屬性。

      輕量級(jí)樸素貝葉斯決策樹(shù)進(jìn)一步分類(lèi)表示如下:

      1) 向上回溯異常數(shù)據(jù)流流入節(jié)點(diǎn),直至回溯到目的節(jié)點(diǎn)(此節(jié)點(diǎn)的生成數(shù)據(jù)集中存在無(wú)法判別的數(shù)據(jù)流的無(wú)法判別的屬性值)。

      2) 基于假設(shè):如果數(shù)據(jù)流向統(tǒng)一節(jié)點(diǎn),則其祖先節(jié)點(diǎn)對(duì)于此數(shù)據(jù)流的判別有效。不考慮祖先節(jié)點(diǎn)的屬性,選取目的節(jié)點(diǎn)生成數(shù)據(jù)集中的其他屬性計(jì)算各個(gè)入侵類(lèi)別的條件概率。

      3) 選擇條件概率最大的入侵類(lèi)別為此記錄的入侵類(lèi)別。

      具體生成算法為:

      1) 計(jì)算節(jié)點(diǎn)數(shù)據(jù)集各個(gè)入侵類(lèi)別的先驗(yàn)概率P(Ci)。

      2) 計(jì)算目的節(jié)點(diǎn)屬性表,將祖先節(jié)點(diǎn)的屬性從考慮屬性中剔除。

      3) 計(jì)算數(shù)據(jù)項(xiàng)屬性表中的各個(gè)屬性值對(duì)于各個(gè)入侵類(lèi)別的條件概率,如果屬性值沒(méi)有在此入侵類(lèi)別中出現(xiàn),乘以0.001,統(tǒng)計(jì)各個(gè)入侵類(lèi)別沒(méi)有出現(xiàn)的屬性的個(gè)數(shù)flag。

      P(x1|Ci)P(x2|Ci)…P(xn|Ci)

      (1)

      4) 計(jì)算閾值threshold=屬性表屬性值個(gè)數(shù)/10。

      5) 如果threshold

      6) 用整體訓(xùn)練數(shù)據(jù)進(jìn)行樸素貝葉斯類(lèi)別判斷,判斷屬性類(lèi)別。

      輕量級(jí)樸素貝葉斯分類(lèi)在決策樹(shù)分類(lèi)的基礎(chǔ)上,減少判別屬性,對(duì)于過(guò)度擬合的數(shù)據(jù)的進(jìn)一步判別,提升決策樹(shù)的判別能力,對(duì)于數(shù)據(jù)量較小的新型入侵模式造成的過(guò)度擬合進(jìn)行改進(jìn)。

      3 仿真測(cè)試

      3.1 實(shí)驗(yàn)環(huán)境

      采用64位Windows 7平臺(tái),CPU為Intel雙核酷睿i5處理器,8 GB內(nèi)存,1 TB硬盤(pán),Visual Studio 2013平臺(tái)C#作為編程語(yǔ)言,SQL Server 2012作為數(shù)據(jù)庫(kù)。

      3.2 數(shù)據(jù)集與性能評(píng)估

      訓(xùn)練數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集[7]中的10%的訓(xùn)練數(shù)據(jù)集的選取的10%數(shù)據(jù)量作為訓(xùn)練數(shù)據(jù):兼顧數(shù)據(jù)量較少的入侵行為,均勻選取每種入侵類(lèi)型的數(shù)據(jù)條數(shù)。如果入侵類(lèi)型的數(shù)據(jù)量在數(shù)據(jù)集的記錄條數(shù)少于設(shè)置的閾值,則全部選取;如果大于閾值,則選取設(shè)置閾值條數(shù)的記錄條數(shù)作為此種入侵模式的模式匹配數(shù)據(jù)。

      新型入侵模式的選擇為均勻選取測(cè)試數(shù)據(jù)集中的新型入侵?jǐn)?shù)據(jù)10%的樣本。將其流入決策樹(shù),采用第2節(jié)提出的進(jìn)化算法進(jìn)行進(jìn)化。

      將這些新型入侵模式數(shù)據(jù)作為自適性入侵檢測(cè)架構(gòu)識(shí)別的數(shù)據(jù),參照第2節(jié)提出的自我改進(jìn)方式進(jìn)行進(jìn)化,然后用10%的測(cè)試數(shù)據(jù)集檢測(cè)進(jìn)化后的決策樹(shù)。采用檢出率(DR)、誤報(bào)率(FP)、漏報(bào)率(FN)與數(shù)據(jù)檢測(cè)不出率(DN)、識(shí)別為入侵正確但入侵類(lèi)型錯(cuò)誤率(FI)作為評(píng)估入侵檢測(cè)模型性能的依據(jù)。

      3.3 仿真實(shí)驗(yàn)及結(jié)果分析

      采用C4.5決策樹(shù)[8]算法訓(xùn)練一般決策樹(shù)具體結(jié)果如表3所示。

      表3 C4.5決策樹(shù)實(shí)驗(yàn)結(jié)果

      采用第2節(jié)提出的算法進(jìn)行初始決策樹(shù)的生成和自我進(jìn)化,并用測(cè)試數(shù)據(jù)進(jìn)行測(cè)試,測(cè)試結(jié)果見(jiàn)表4。

      表4 自適性決策樹(shù)實(shí)驗(yàn)結(jié)果

      從實(shí)驗(yàn)結(jié)果得出,自我進(jìn)化后的決策樹(shù)總體識(shí)別正確率為79.4%,比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的總體識(shí)別正確率74.23%提升5.17個(gè)百分點(diǎn),對(duì)于新型入侵模式有一個(gè)較好的提升。這里將包括識(shí)別正確率DR和識(shí)別為入侵正確但入侵類(lèi)型錯(cuò)誤率FI之和作為整體入侵檢測(cè)的有效識(shí)別率,對(duì)于自我進(jìn)化后的決策樹(shù)總體有效識(shí)別率達(dá)到94.09%(DR為79.4%,F(xiàn)I為14.69%,和為94.09%),比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的有效識(shí)別率92.21%(DR為74.23%,F(xiàn)I為17.98%,和為92.21%)提升了1.88個(gè)百分點(diǎn)。

      4 結(jié) 語(yǔ)

      提出的識(shí)別新型入侵模式的入侵檢測(cè)模型是基于相互交流機(jī)制,有效緩解了單個(gè)節(jié)點(diǎn)入侵檢測(cè)的盲點(diǎn),如遭受拒絕服務(wù)攻擊等。在識(shí)別異常節(jié)點(diǎn)并收集信息后的入侵檢測(cè)模型的自我進(jìn)化采用決策樹(shù)這種相對(duì)快速、準(zhǔn)確率較高的算法進(jìn)行模型的建立,但是由于決策樹(shù)的分類(lèi)相對(duì)固化,因此提出了一種決策樹(shù)快速自我進(jìn)化的方法來(lái)彌補(bǔ)這個(gè)缺陷。實(shí)驗(yàn)證明這種決策樹(shù)自我進(jìn)化算法對(duì)于新型入侵模式改進(jìn)后對(duì)于一般決策樹(shù)有較好的適應(yīng)性能,總體識(shí)別正確率為79.4%,比較一般決策樹(shù)提升了5.17個(gè)百分點(diǎn),總體有效識(shí)別率達(dá)到94.09%,比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的有效識(shí)別率92.21%提升了1.88個(gè)百分點(diǎn)。

      猜你喜歡
      檢測(cè)點(diǎn)數(shù)據(jù)流決策樹(shù)
      核酸檢測(cè)點(diǎn)上,有最可愛(ài)的平江人
      騎馬做核酸
      汽車(chē)維修數(shù)據(jù)流基礎(chǔ)(下)
      一種針對(duì)不均衡數(shù)據(jù)集的SVM決策樹(shù)算法
      決策樹(shù)和隨機(jī)森林方法在管理決策中的應(yīng)用
      電子制作(2018年16期)2018-09-26 03:27:06
      一種提高TCP與UDP數(shù)據(jù)流公平性的擁塞控制機(jī)制
      飛行器FPGA檢測(cè)點(diǎn)優(yōu)化設(shè)置方法
      基于決策樹(shù)的出租車(chē)乘客出行目的識(shí)別
      基于數(shù)據(jù)流聚類(lèi)的多目標(biāo)跟蹤算法
      江西省綠色通道車(chē)輛貨物檢測(cè)點(diǎn)布點(diǎn)方案探討
      河源市| 微山县| 始兴县| 大同县| 仪征市| 宜川县| 如皋市| 时尚| 子长县| 井研县| 托里县| 曲麻莱县| 于都县| 白水县| 谷城县| 青浦区| 治县。| 郯城县| 科尔| 牙克石市| 泗水县| 微山县| 上杭县| 芮城县| 涪陵区| 花莲县| 清水河县| 永川市| 奉新县| 天台县| 宣威市| 东乡族自治县| 双流县| 富裕县| 浦东新区| 临清市| 乐昌市| 漳浦县| 兰考县| 亚东县| 平舆县|