新型入侵增量識(shí)別入侵檢測(cè)模型

劉 佳 張 平 劉培玉 孔凡玉 李新金

1(山東師范大學(xué)歷山學(xué)院電子與信息工程學(xué)院 山東 濰坊 262500)2(山東大學(xué)網(wǎng)絡(luò)信息安全研究所 山東 濟(jì)南 250100)

0 引 言

在信息安全領(lǐng)域，入侵檢測(cè)是防護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境安全的重要防線(xiàn)。隨著硬件、軟件技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)量呈現(xiàn)海量數(shù)據(jù)特征，新的網(wǎng)絡(luò)入侵模式快速呈現(xiàn)。然而，與之相對(duì)的是傳統(tǒng)的入侵檢測(cè)的原理，它一般是通過(guò)識(shí)別已知入侵行為的入侵特征來(lái)達(dá)到檢測(cè)入侵的目的，往往對(duì)于入侵模式的改變難以適應(yīng)。

隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展，如何讓入侵檢測(cè)自我識(shí)別未識(shí)別的入侵模式和進(jìn)化的入侵模式具有很高的研究?jī)r(jià)值。近年來(lái)，對(duì)于入侵檢測(cè)如何識(shí)別新型入侵模式做出了很多努力。

2016年文獻(xiàn)[1]針對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)難以為Ad-Hoc網(wǎng)絡(luò)中日益增長(zhǎng)的安全威脅提供令人滿(mǎn)意的保障，提出了基于對(duì)比有攻擊和無(wú)攻擊的狀況下的情況特征來(lái)自我學(xué)習(xí)識(shí)別入侵行為。2016年文獻(xiàn)[2]采用映射模型來(lái)進(jìn)行入侵檢測(cè)，創(chuàng)造合適的攻擊跡象并應(yīng)用于入侵檢測(cè)系統(tǒng)中來(lái)解決常規(guī)入侵檢測(cè)特征不變的情況，識(shí)別新型入侵行為。2017年文獻(xiàn)[3]針對(duì)一般自適性入侵檢測(cè)系統(tǒng)一般耗費(fèi)巨大資源的情況，采用一種混合SVM和ELM的分類(lèi)模型，其中自適性SVM模型分布在MAS上并行計(jì)算，實(shí)時(shí)學(xué)習(xí)新型入侵。2017年文獻(xiàn)[4]為了監(jiān)測(cè)拒絕服務(wù)攻擊，改進(jìn)一般監(jiān)測(cè)只是基于數(shù)據(jù)包的監(jiān)測(cè)，提出一種利用物理特征的機(jī)器學(xué)習(xí)監(jiān)測(cè)模型，能夠?qū)σ呀?jīng)識(shí)別的拒絕服務(wù)攻擊和當(dāng)前沒(méi)有監(jiān)測(cè)到的拒絕服務(wù)攻擊有良好的監(jiān)測(cè)性能。

上述研究成果中一般通過(guò)對(duì)比有入侵的行為和沒(méi)有入侵的行為的不同點(diǎn)進(jìn)行新型入侵檢測(cè)的識(shí)別，或者改進(jìn)自適性入侵檢測(cè)的監(jiān)測(cè)性能，具有了一定成效。但是上述檢測(cè)過(guò)程中普遍存在的問(wèn)題：一是入侵檢測(cè)往往反應(yīng)較慢；二是如果主機(jī)已經(jīng)不能和安全環(huán)境中的堡壘機(jī)相溝通，那么難以達(dá)到檢測(cè)入侵的目的。

在研究各個(gè)入侵檢測(cè)自我改進(jìn)方法之后，提出了一種全局檢測(cè)點(diǎn)相互溝通自身和周?chē)O(shè)備異常情況的機(jī)制，判別新型入侵行為，并根據(jù)收集的信息自我進(jìn)化識(shí)別新型入侵模式的入侵檢測(cè)模型來(lái)識(shí)別新型入侵模式，改進(jìn)全局安全環(huán)境。并且為了達(dá)到不斷進(jìn)化、快速識(shí)別新型入侵行為的目的，提出了一種決策樹(shù)的自我快速改進(jìn)模型來(lái)將新型入侵模式納入入侵檢測(cè)范疇。

提出的入侵檢測(cè)模型的優(yōu)勢(shì)如下：

(1) 改進(jìn)傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)模式固化的缺陷，采用各個(gè)入侵檢測(cè)點(diǎn)相互交流的機(jī)制溝通自身和周?chē)O(shè)備異常情況信息，建立算法。根據(jù)局部異常情況建立全局異常情況，通過(guò)與設(shè)定好的異常情況閾值進(jìn)行比較，如果超出閾值，則認(rèn)為現(xiàn)有網(wǎng)絡(luò)環(huán)境防護(hù)出現(xiàn)漏洞，正在遭受新型入侵模式的攻擊。

(2) 抽取近期各個(gè)入侵檢測(cè)點(diǎn)交流的異常信息，根據(jù)一般入侵檢測(cè)是某個(gè)現(xiàn)有入侵的變種，并根據(jù)異常信息在決策樹(shù)入侵檢測(cè)器大致流向，判別是否是某種入侵行為的變種，還是新型入侵模式。

(3) 抽取異常信息的特征，如果是現(xiàn)有入侵模式的變種，則對(duì)此種入侵模式進(jìn)行決策樹(shù)入侵檢測(cè)器的局部進(jìn)化，如果是新型入侵模式，抽取其特征，納入決策樹(shù)入侵檢測(cè)器中。

(4) 將進(jìn)化完成的入侵檢測(cè)器投入入侵檢測(cè)環(huán)境中，監(jiān)測(cè)全局異常情況變化情況。如果狀況緩解，則認(rèn)為自我進(jìn)化是正確的方向，將判別的特征納入日志記錄，識(shí)別新型入侵行為。如果沒(méi)有緩解，則持續(xù)收集局部異常信息，做進(jìn)一步分析。

1 新型入侵檢測(cè)

提出一種入侵檢測(cè)架構(gòu)，該入侵檢測(cè)架構(gòu)擺脫了一般入侵檢測(cè)模式固化的缺點(diǎn)，采用各個(gè)入侵檢測(cè)點(diǎn)相互交流的機(jī)制溝通自身和周?chē)O(shè)備異常情況，發(fā)現(xiàn)全局異常區(qū)域，并匯報(bào)異常區(qū)域流量數(shù)據(jù)，達(dá)到識(shí)別新型入侵的目的。

Intel公司曾經(jīng)提出“自治企業(yè)安全”方案獲取局部異常信息流匯總形成全局異常情況[5]，這種思想可以全局入侵檢測(cè)點(diǎn)相互交流協(xié)作檢測(cè)入侵，對(duì)比一般的單一主機(jī)檢測(cè)具有很大的優(yōu)勢(shì)。

本架構(gòu)采用全局入侵檢測(cè)點(diǎn)相互交流異常情況并判斷各個(gè)入侵檢測(cè)點(diǎn)是否在線(xiàn)的形式形成全局情況信息。具體機(jī)制如下：

(1) 各種類(lèi)別分布式入侵檢測(cè)點(diǎn)的入侵檢測(cè)策略由各個(gè)中間設(shè)備管理器進(jìn)行管理與部署。

(2) 各個(gè)入侵檢測(cè)點(diǎn)持續(xù)收集流量數(shù)據(jù)，例如連接各層協(xié)議類(lèi)型、發(fā)生時(shí)間、近期一定時(shí)間內(nèi)連接情況等，當(dāng)出現(xiàn)異常情況如近期網(wǎng)絡(luò)流量異常增大，向其他節(jié)點(diǎn)交流發(fā)送的ICMP協(xié)議返回異常等情況，記錄異常情況，根據(jù)對(duì)于主機(jī)威脅重要程度制定的異常情況權(quán)重表(見(jiàn)表1)。更新異常獲得值(異常情況權(quán)重即發(fā)生問(wèn)題的情況對(duì)于主機(jī)的重要程度，比如ICMP協(xié)議返回異常，ICMP協(xié)議在異常情況權(quán)重表中重要程度占1，則獲得1的異常情況獲得值)，各個(gè)異常獲得值隨著時(shí)間按遞減值進(jìn)行遞減，來(lái)防止異常獲得值無(wú)理由持續(xù)增長(zhǎng)，進(jìn)而持續(xù)增加全局異常情況。

表1 異常情況權(quán)重表

(3) 各個(gè)入侵檢測(cè)點(diǎn)相互交流，定期共享本地異常獲得值信息，各個(gè)入侵檢測(cè)點(diǎn)維護(hù)其他節(jié)點(diǎn)異常獲得值表(如無(wú)法交流則為無(wú)法交流節(jié)點(diǎn)增加對(duì)應(yīng)異常獲得值)，并根據(jù)與其他節(jié)點(diǎn)的距離情況(如直接到達(dá)則為1，路由兩個(gè)設(shè)備到達(dá)則為2)和對(duì)應(yīng)的獲得值(見(jiàn)表2)，全局統(tǒng)計(jì)計(jì)算臨時(shí)全局異常值。

表2 其他檢測(cè)點(diǎn)獲得值

(4) 各個(gè)檢測(cè)點(diǎn)形成的獲得值表和臨時(shí)全局異常值表與設(shè)定的異常閾值做對(duì)比，如果超出閾值，則認(rèn)為發(fā)現(xiàn)當(dāng)前入侵檢測(cè)檢測(cè)不了的新型入侵，入侵檢測(cè)點(diǎn)向反饋信息收集節(jié)點(diǎn)發(fā)送反饋信息，包括維護(hù)的獲得值表。

(5) 反饋信息收集節(jié)點(diǎn)向信息處理節(jié)點(diǎn)發(fā)送收集的信息，根據(jù)獲得值表情況進(jìn)行分析。根據(jù)表情況收取對(duì)應(yīng)入侵檢測(cè)點(diǎn)的相關(guān)信息，并進(jìn)行一定的清理與整型。將獲得值表發(fā)送到全局網(wǎng)絡(luò)安全信任度建立節(jié)點(diǎn)進(jìn)行全局情況信任度建立，并分析受威脅的網(wǎng)絡(luò)區(qū)域，將收集的各個(gè)出現(xiàn)異常情況的入侵檢測(cè)點(diǎn)的相關(guān)信息發(fā)送到自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)進(jìn)行入侵模式分析與入侵檢測(cè)模型改進(jìn)。

(6) 在自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)中，由于一般新的入侵模式是現(xiàn)有入侵模式的一種變種，利用先驗(yàn)的入侵模式大類(lèi)對(duì)收集的信息進(jìn)行分析。如果判別是現(xiàn)有入侵模式的變種，則進(jìn)化該種入侵模式分支。如果判別出不屬于任何一種現(xiàn)有入侵類(lèi)別，則識(shí)別其特征，納入入侵檢測(cè)模型中，如圖1所示。

圖1 入侵檢測(cè)模型

2 自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)

2.1 問(wèn)題假設(shè)及目標(biāo)

針對(duì)上節(jié)提出的入侵檢測(cè)模型，其中的自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)需要根據(jù)識(shí)別出來(lái)的信息提取異常情況的特征，并納入入侵檢測(cè)模型中。本文采用了一種改進(jìn)的決策樹(shù)的算法，一方面決策樹(shù)分類(lèi)具有快速和高效特點(diǎn)，另一方面根據(jù)改進(jìn)決策樹(shù)分類(lèi)模式的固定性缺陷，提出一種增量式的決策樹(shù)的自我進(jìn)化方法。

該算法的改進(jìn)思路在于:

(1) 基于決策樹(shù)總是根據(jù)最明顯的屬性區(qū)別一步步區(qū)分類(lèi)別，這樣根據(jù)收集到的異常數(shù)據(jù)流入決策樹(shù)的節(jié)點(diǎn)情況判別是已有入侵類(lèi)型的變種還是新型入侵類(lèi)型。

(2) 如果是入侵類(lèi)型變種只需要自我改進(jìn)這種入侵類(lèi)型，將變種特征納入此決策樹(shù)分枝即可。如果流入的決策樹(shù)的數(shù)據(jù)在決策樹(shù)中的走向過(guò)于分散，則認(rèn)為是一種新型入侵類(lèi)型，則提取其類(lèi)型特征，納入決策樹(shù)判別。

(3) 針對(duì)決策樹(shù)由于經(jīng)常會(huì)出現(xiàn)的過(guò)度擬合的現(xiàn)象，采用樸素貝葉斯算法進(jìn)行樹(shù)判別增強(qiáng)，加強(qiáng)決策樹(shù)對(duì)于過(guò)度擬合的情況的判別性能，提高決策樹(shù)對(duì)于數(shù)據(jù)量較少的類(lèi)型的判別性能。

這里設(shè)收集的異常數(shù)據(jù)為Dadapt。

2.2 性能指標(biāo)

檢出率(DR%)、誤報(bào)率(FP%)、漏報(bào)率(FN%)與數(shù)據(jù)檢測(cè)不出率(DN%)、識(shí)別為入侵但入侵類(lèi)型錯(cuò)誤率(FI%)作為評(píng)價(jià)入侵檢測(cè)算法性能的重要指標(biāo)。通過(guò)對(duì)測(cè)試數(shù)據(jù)流的決策樹(shù)判別各種性能指標(biāo)的判別來(lái)判別決策樹(shù)的性能。

2.3 異常數(shù)據(jù)決策樹(shù)自我進(jìn)化

統(tǒng)計(jì)異常數(shù)據(jù)流對(duì)于決策樹(shù)各個(gè)節(jié)點(diǎn)的流量情況，記錄異常數(shù)據(jù)流在決策樹(shù)中最先開(kāi)始分枝節(jié)點(diǎn)node，計(jì)算異常數(shù)據(jù)流占最先開(kāi)始分枝節(jié)點(diǎn)生成數(shù)據(jù)的比例rate，設(shè)置閾值threshold。若rate>threshold，則表明新型入侵模式在此節(jié)點(diǎn)表現(xiàn)明顯，將異常流數(shù)據(jù)納入此節(jié)點(diǎn)的數(shù)據(jù)表，根據(jù)新生成的生成數(shù)據(jù)表重新構(gòu)造局部決策樹(shù)識(shí)別新型入侵模式。若rate≤threshold，則認(rèn)為新型入侵?jǐn)?shù)據(jù)模式在此節(jié)點(diǎn)表現(xiàn)不明顯，讓異常數(shù)據(jù)流繼續(xù)流入決策樹(shù)各個(gè)節(jié)點(diǎn)，在最終流入的葉子節(jié)點(diǎn)處，進(jìn)行決策樹(shù)的初步改進(jìn)，初步識(shí)別新型入侵行為。這個(gè)在節(jié)點(diǎn)處設(shè)置的判別信息量多少的閾值稱(chēng)為敏感性閾值。

具體操作步驟為：

Step1異常信息流收集，數(shù)據(jù)清理。形成新型入侵類(lèi)型的數(shù)據(jù)特征集合。

Step2將異常信息流流入初始決策樹(shù)，記錄異常信息流在決策樹(shù)中最先開(kāi)始分流的節(jié)點(diǎn)，計(jì)算異常數(shù)據(jù)流占節(jié)點(diǎn)生成數(shù)據(jù)的比例rate，如圖2所示。

圖2 異常數(shù)據(jù)流流向圖

Step3設(shè)置閾值threshold，若rate≤threshold，則異常數(shù)據(jù)流在此節(jié)點(diǎn)的模式表現(xiàn)不夠明顯，異常信息流向下分流到?jīng)Q策樹(shù)葉子節(jié)點(diǎn)，在最終流入葉子節(jié)點(diǎn)的父母處進(jìn)行決策樹(shù)的重新生成算法，形成新的決策子樹(shù)納入全局決策樹(shù)，若rate>threshold進(jìn)入Step 4，如圖3所示。

圖3 數(shù)據(jù)量不足決策樹(shù)自適改進(jìn)圖

Step4異常信息流數(shù)據(jù)納入節(jié)點(diǎn)生成數(shù)據(jù)表，采用決策樹(shù)算法重新生成決策樹(shù)納入全局決策樹(shù)，如圖4所示。

圖4 數(shù)據(jù)量充足決策樹(shù)自適改進(jìn)圖

Step5將異常信息流納入全局決策樹(shù)生成數(shù)據(jù)統(tǒng)計(jì)中，為下一次決策樹(shù)自適做參考。

輕量級(jí)樸素貝葉斯分類(lèi)在決策樹(shù)分類(lèi)的基礎(chǔ)上，減少判別屬性，對(duì)于過(guò)度擬合的數(shù)據(jù)的進(jìn)一步判別，提升決策樹(shù)的判別能力，對(duì)于數(shù)據(jù)量較小的新型入侵模式的過(guò)度分類(lèi)進(jìn)行改進(jìn)。

2.4 輕量級(jí)樸素貝葉斯算法樹(shù)增強(qiáng)

由于決策樹(shù)生成過(guò)程容易對(duì)數(shù)據(jù)量多的模式識(shí)別敏感，但是對(duì)于數(shù)據(jù)量較少的數(shù)據(jù)識(shí)別容易過(guò)度擬合，判別過(guò)細(xì)的現(xiàn)象。如果異常數(shù)據(jù)流較小，在決策樹(shù)分流過(guò)程中對(duì)于異常數(shù)據(jù)流的屬性的各個(gè)屬性值存在判斷過(guò)細(xì)，出現(xiàn)無(wú)法判別數(shù)據(jù)流的情況。因此這里采用樸素貝葉斯[6]分類(lèi)彌補(bǔ)這種不足，并采取一種輕量級(jí)選擇判別屬性的方式減少樸素貝葉斯分類(lèi)的判別屬性。

輕量級(jí)樸素貝葉斯決策樹(shù)進(jìn)一步分類(lèi)表示如下：

1) 向上回溯異常數(shù)據(jù)流流入節(jié)點(diǎn)，直至回溯到目的節(jié)點(diǎn)(此節(jié)點(diǎn)的生成數(shù)據(jù)集中存在無(wú)法判別的數(shù)據(jù)流的無(wú)法判別的屬性值)。

2) 基于假設(shè)：如果數(shù)據(jù)流向統(tǒng)一節(jié)點(diǎn)，則其祖先節(jié)點(diǎn)對(duì)于此數(shù)據(jù)流的判別有效。不考慮祖先節(jié)點(diǎn)的屬性，選取目的節(jié)點(diǎn)生成數(shù)據(jù)集中的其他屬性計(jì)算各個(gè)入侵類(lèi)別的條件概率。

3) 選擇條件概率最大的入侵類(lèi)別為此記錄的入侵類(lèi)別。

具體生成算法為：

1) 計(jì)算節(jié)點(diǎn)數(shù)據(jù)集各個(gè)入侵類(lèi)別的先驗(yàn)概率P(Ci)。

2) 計(jì)算目的節(jié)點(diǎn)屬性表，將祖先節(jié)點(diǎn)的屬性從考慮屬性中剔除。

3) 計(jì)算數(shù)據(jù)項(xiàng)屬性表中的各個(gè)屬性值對(duì)于各個(gè)入侵類(lèi)別的條件概率，如果屬性值沒(méi)有在此入侵類(lèi)別中出現(xiàn)，乘以0.001，統(tǒng)計(jì)各個(gè)入侵類(lèi)別沒(méi)有出現(xiàn)的屬性的個(gè)數(shù)flag。

P(x1|Ci)P(x2|Ci)…P(xn|Ci)

(1)

4) 計(jì)算閾值threshold=屬性表屬性值個(gè)數(shù)/10。

5) 如果threshold

6) 用整體訓(xùn)練數(shù)據(jù)進(jìn)行樸素貝葉斯類(lèi)別判斷，判斷屬性類(lèi)別。

輕量級(jí)樸素貝葉斯分類(lèi)在決策樹(shù)分類(lèi)的基礎(chǔ)上，減少判別屬性，對(duì)于過(guò)度擬合的數(shù)據(jù)的進(jìn)一步判別，提升決策樹(shù)的判別能力，對(duì)于數(shù)據(jù)量較小的新型入侵模式造成的過(guò)度擬合進(jìn)行改進(jìn)。

3 仿真測(cè)試

3.1 實(shí)驗(yàn)環(huán)境

采用64位Windows 7平臺(tái)，CPU為Intel雙核酷睿i5處理器，8 GB內(nèi)存，1 TB硬盤(pán)，Visual Studio 2013平臺(tái)C#作為編程語(yǔ)言，SQL Server 2012作為數(shù)據(jù)庫(kù)。

3.2 數(shù)據(jù)集與性能評(píng)估

訓(xùn)練數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集[7]中的10%的訓(xùn)練數(shù)據(jù)集的選取的10%數(shù)據(jù)量作為訓(xùn)練數(shù)據(jù)：兼顧數(shù)據(jù)量較少的入侵行為，均勻選取每種入侵類(lèi)型的數(shù)據(jù)條數(shù)。如果入侵類(lèi)型的數(shù)據(jù)量在數(shù)據(jù)集的記錄條數(shù)少于設(shè)置的閾值，則全部選取；如果大于閾值，則選取設(shè)置閾值條數(shù)的記錄條數(shù)作為此種入侵模式的模式匹配數(shù)據(jù)。

新型入侵模式的選擇為均勻選取測(cè)試數(shù)據(jù)集中的新型入侵?jǐn)?shù)據(jù)10%的樣本。將其流入決策樹(shù)，采用第2節(jié)提出的進(jìn)化算法進(jìn)行進(jìn)化。

將這些新型入侵模式數(shù)據(jù)作為自適性入侵檢測(cè)架構(gòu)識(shí)別的數(shù)據(jù)，參照第2節(jié)提出的自我改進(jìn)方式進(jìn)行進(jìn)化，然后用10%的測(cè)試數(shù)據(jù)集檢測(cè)進(jìn)化后的決策樹(shù)。采用檢出率(DR)、誤報(bào)率(FP)、漏報(bào)率(FN)與數(shù)據(jù)檢測(cè)不出率(DN)、識(shí)別為入侵正確但入侵類(lèi)型錯(cuò)誤率(FI)作為評(píng)估入侵檢測(cè)模型性能的依據(jù)。

3.3 仿真實(shí)驗(yàn)及結(jié)果分析

采用C4.5決策樹(shù)[8]算法訓(xùn)練一般決策樹(shù)具體結(jié)果如表3所示。

表3 C4.5決策樹(shù)實(shí)驗(yàn)結(jié)果

采用第2節(jié)提出的算法進(jìn)行初始決策樹(shù)的生成和自我進(jìn)化，并用測(cè)試數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試結(jié)果見(jiàn)表4。

表4 自適性決策樹(shù)實(shí)驗(yàn)結(jié)果

從實(shí)驗(yàn)結(jié)果得出，自我進(jìn)化后的決策樹(shù)總體識(shí)別正確率為79.4%，比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的總體識(shí)別正確率74.23%提升5.17個(gè)百分點(diǎn)，對(duì)于新型入侵模式有一個(gè)較好的提升。這里將包括識(shí)別正確率DR和識(shí)別為入侵正確但入侵類(lèi)型錯(cuò)誤率FI之和作為整體入侵檢測(cè)的有效識(shí)別率，對(duì)于自我進(jìn)化后的決策樹(shù)總體有效識(shí)別率達(dá)到94.09%(DR為79.4%，F(xiàn)I為14.69%，和為94.09%)，比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的有效識(shí)別率92.21%(DR為74.23%，F(xiàn)I為17.98%，和為92.21%)提升了1.88個(gè)百分點(diǎn)。

4 結(jié) 語(yǔ)

提出的識(shí)別新型入侵模式的入侵檢測(cè)模型是基于相互交流機(jī)制，有效緩解了單個(gè)節(jié)點(diǎn)入侵檢測(cè)的盲點(diǎn)，如遭受拒絕服務(wù)攻擊等。在識(shí)別異常節(jié)點(diǎn)并收集信息后的入侵檢測(cè)模型的自我進(jìn)化采用決策樹(shù)這種相對(duì)快速、準(zhǔn)確率較高的算法進(jìn)行模型的建立，但是由于決策樹(shù)的分類(lèi)相對(duì)固化，因此提出了一種決策樹(shù)快速自我進(jìn)化的方法來(lái)彌補(bǔ)這個(gè)缺陷。實(shí)驗(yàn)證明這種決策樹(shù)自我進(jìn)化算法對(duì)于新型入侵模式改進(jìn)后對(duì)于一般決策樹(shù)有較好的適應(yīng)性能，總體識(shí)別正確率為79.4%，比較一般決策樹(shù)提升了5.17個(gè)百分點(diǎn)，總體有效識(shí)別率達(dá)到94.09%，比較一般決策樹(shù)對(duì)于有新型入侵類(lèi)型的測(cè)試數(shù)據(jù)的有效識(shí)別率92.21%提升了1.88個(gè)百分點(diǎn)。