張軍　劉亞茹

摘要：為了更好地提高入侵檢測的準(zhǔn)確率，節(jié)省檢測時間，文章提出了一種基于增量式的決策樹檢測算法。該方法采用了基于粒度決策熵和改進(jìn)的主成分分析方法對數(shù)據(jù)集中的冗余以及不相關(guān)屬性進(jìn)行歸類、降維。該方法將數(shù)據(jù)挖掘增量學(xué)習(xí)技術(shù)與決策樹分類算法相結(jié)合，在屬性降維后的決策樹基礎(chǔ)上，對于新的測試樣本實例，引入擴(kuò)展貝葉斯結(jié)點，比較貝葉斯分類方法與決策樹分類方法的準(zhǔn)確率，返回更新后的決策樹。針對屬性降維，主成分分析方法在約簡屬性的基礎(chǔ)上，能夠有攻擊分類結(jié)果準(zhǔn)確率高、耗時少的特點。將增量式?jīng)Q策樹算法與貝葉斯算法、ID3算法進(jìn)行對比，發(fā)現(xiàn)在檢測精確率、檢測效率的指標(biāo)下，增量式?jīng)Q策樹算法在一定程度上優(yōu)于其他算法，并且誤報率有效降低。

關(guān)鍵詞：粒度決策熵；貝葉斯算法；增量學(xué)習(xí)；入侵檢測

中圖分類號：TP3文獻(xiàn)標(biāo)志碼：A0引言 隨著互聯(lián)網(wǎng)快速發(fā)展，數(shù)據(jù)泄露、病毒肆虐等問題對社會發(fā)展產(chǎn)生了極大的危害。如何設(shè)計一套安全訪問資源和數(shù)據(jù)的系統(tǒng)，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個十分重要而迫切的問題［1］。入侵檢測系統(tǒng)能積極主動防御外部入侵，而被廣泛應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域［2］。

針對入侵檢測導(dǎo)致的網(wǎng)絡(luò)安全事件。李軍豪等［3］提出了多通道高速數(shù)據(jù)安全傳輸方法，利用FPGA配合高速串行收發(fā)器實現(xiàn)四路通道的高速數(shù)據(jù)安全傳輸。但由于該方法穩(wěn)定性較差，不能保證涉密信息在網(wǎng)絡(luò)傳輸中的機(jī)密性。邢璐等［4］提出了改進(jìn)UDT協(xié)議的傳輸方法。通過分析帶寬下的UDT傳輸瓶頸、優(yōu)化系統(tǒng)參數(shù)、增強(qiáng)UDT可靠性和減少系統(tǒng)調(diào)用代價等方式實現(xiàn)數(shù)據(jù)傳輸，而該方法沒有分類，導(dǎo)致傳輸效率過低、完整性差。

在已有入侵檢測技術(shù)中，決策樹分類算法模型簡單，能有效對入侵檢測數(shù)據(jù)分類，但有新的樣本數(shù)據(jù)時，在構(gòu)造決策樹模型的過程中需要對網(wǎng)絡(luò)連接數(shù)據(jù)集進(jìn)行多次順序掃描和排序［4］，導(dǎo)致檢測效率低，為此引入增量式?jīng)Q策樹算法，對已學(xué)習(xí)到的知識庫進(jìn)行更新、糾正，不用重新對數(shù)據(jù)進(jìn)行學(xué)習(xí)，提高入侵檢測的效率。本文所做工作如下：（1）在初始決策樹的基礎(chǔ)上，對自頂向下構(gòu)造決策樹算法進(jìn)行優(yōu)化，在葉子結(jié)點處插入貝葉斯結(jié)點，比較貝葉斯分類方法和決策樹分類方法的準(zhǔn)確率，更新修正決策樹模型。（2）對于數(shù)據(jù)集中連續(xù)屬性需離散化問題，本文采用無監(jiān)督離散化算法Equal-width Binning方法離散化連續(xù)屬性。（3）對于傳統(tǒng)決策樹算法ID3和C4.5得到的決策樹子樹重復(fù)、屬性存在大量冗余的問題，本文通過引入粒度決策熵和主成分分析法來選擇分裂屬性，降低數(shù)據(jù)集合的數(shù)量級和數(shù)據(jù)量［5］。實驗結(jié)果表明，模型的入侵檢測效率性、機(jī)密性、完整性相比目前的研究方法都有很大的提高。

1增量式?jīng)Q策樹算法模型

1.1決策樹歸納算法

1.2貝葉斯算法原理

1.3增量式?jīng)Q策樹算法描述網(wǎng)絡(luò)入侵檢測分為兩種，一種是將數(shù)據(jù)信息與數(shù)據(jù)庫中已有的入侵行為對照匹配規(guī)則檢測，若匹配成功則判定為入侵行為。另一種是數(shù)據(jù)庫中無數(shù)據(jù)信息的入侵行為，則需要使用貝葉斯結(jié)點將數(shù)據(jù)信息插入數(shù)據(jù)庫。

貝葉斯結(jié)點：設(shè)一個樣本數(shù)據(jù)集的決策樹的某個結(jié)點A，對新的到達(dá)A結(jié)點的樣本數(shù)據(jù)進(jìn)行樸素貝葉斯分類，A稱為貝葉斯結(jié)點。

貝葉斯參數(shù)：決策樹的某個結(jié)點屬性空間D和分類情況稱為貝葉斯參數(shù)。

貝葉斯結(jié)點插入決策樹的葉子節(jié)點上的思路是對于新的數(shù)據(jù)樣本到達(dá)決策樹葉子節(jié)點P，通過設(shè)置flag，當(dāng)需要對P插入貝葉斯結(jié)點時，才將P改為貝葉斯結(jié)點。即只有部分葉子結(jié)點是貝葉斯結(jié)點。

1.4增量式?jīng)Q策樹算法實驗使用UCI數(shù)據(jù)庫中部分?jǐn)?shù)據(jù)集對算法進(jìn)行實驗測試，選擇的對比算法是擴(kuò)展前貝葉斯分類器的增量式?jīng)Q策樹算法、ID3算法和貝葉斯分類算法，針對3種算法的準(zhǔn)確率和耗時指標(biāo)，分別從非增量和增量兩種情況進(jìn)行比較分析，測試兩者的分類效果。

從表1看出，實驗硬件配置為Core（TM）i5-8250U，使用的軟件開發(fā)平臺為Eclipse4.2，JDK版本為1.8。實驗軟硬件環(huán)境符合實驗要求。

從表2中UCI數(shù)據(jù)集信息看出，Letter數(shù)據(jù)集的樣本規(guī)模最大，達(dá)到20 500；Banding數(shù)據(jù)集的樣本規(guī)模最小為146。數(shù)據(jù)集Soybean的樣本屬性個數(shù)最多為41個；Monk1的樣本屬性個數(shù)最少為9個。在6個數(shù)據(jù)集中，Banding，Crx，Monk1，Vote數(shù)據(jù)集歸為類別2。Letter，Soybean歸為其他類別。

3種算法在非增量的情況下準(zhǔn)確率和耗時結(jié)果如表3所示。從表3看出，在非增量情況下，增量式?jīng)Q策樹算法的分類準(zhǔn)確率比ID3算法提高了3.75%，比貝葉斯算法提高了8.64%，說明增量式?jīng)Q策樹算法在分類準(zhǔn)確率方面優(yōu)于ID3和貝葉斯算法。

使用同樣的數(shù)據(jù)集，在增量學(xué)習(xí)的情況下，比較兩種算法的效果如表4所示。

從表4看出，在增量情況下，增量式?jīng)Q策樹算法的分類準(zhǔn)確率比ID3算法提高了2.65%?？梢园l(fā)現(xiàn)增量式?jīng)Q策樹算法的不足，算法的開銷比ID3算法和貝葉斯算法較大，這是因為算法主要集中對葉子結(jié)點進(jìn)行貝葉斯分類學(xué)習(xí)，所以會有一定的時間花費(fèi)。

2結(jié)語針對在入侵檢測重復(fù)計算效率低下的問題，本文提出了增量式?jīng)Q策樹歸納算法。首先，針對屬性冗余問題，通過粒度決策熵和主成分分析法對屬性精簡和降維。其次，在構(gòu)造決策樹中引入擴(kuò)展貝葉斯結(jié)點，在一定程度上可以避免重復(fù)計算的問題。通過貝葉斯算法、樸素貝葉斯算法和增量式?jīng)Q策樹算法在正確率、精確率、召回率3個方面進(jìn)行比對，發(fā)現(xiàn)增量式?jīng)Q策樹算法比其他算法提高了10%。本文實驗部署在基于Windows的電腦上，結(jié)果表明使用增量式?jīng)Q策樹算法能夠在較短的時間內(nèi)有效甄別入侵檢測。雖然本方案能夠在一定程度上有效識別入侵檢測，但是隨著現(xiàn)在技術(shù)更新發(fā)展，入侵檢測的防范技術(shù)會不斷更新，只使用一種算法很難做到有效地分類識別，所以需要做進(jìn)一步的改進(jìn)，以擴(kuò)大本方案的適用范圍。

參考文獻(xiàn)

［1］蔣建春，馬恒太，任黨恩，等.網(wǎng)絡(luò)安全入侵檢測：研究綜述［J］.軟件學(xué)報，2000（11）：1460-1466.

［2］李貝貝，宋佳芮，杜卿蕓，等.DRL-IDS：基于深度強(qiáng)化學(xué)習(xí)的工業(yè)物聯(lián)網(wǎng)入侵檢測系統(tǒng)［J］.計算機(jī)科學(xué)，2021（7）：47-54.

［3］李君豪，畢麗霞，王永利.多通道高速數(shù)據(jù)安全傳輸系統(tǒng)的設(shè)計與實現(xiàn)［J］.電子技術(shù)應(yīng)用，2018（9）：125-128.

［4］邢璐，嚴(yán)明，吳承榮.高速網(wǎng)絡(luò)環(huán)境中適合大數(shù)據(jù)傳輸?shù)母倪M(jìn)UDT協(xié)議［J］.計算機(jī)應(yīng)用與軟件，2018（6）：138-145.

［5］張昊，張小雨，張振友，等.基于深度學(xué)習(xí)的入侵檢測模型綜述［J］.計算機(jī)工程與應(yīng)用，2022（6）：17-28.

［6］解濱，董新玉，梁皓偉.基于三支動態(tài)閾值K-means聚類的入侵檢測算法［J］.鄭州大學(xué)學(xué)報（理學(xué)版），2020（2）：64-70.

［7］OGHENEOVO E，NLERUM P.Iterative Dichotomizer 3（ID3） Decision Tree：A Machine Learning Algorithm for Data Classification and Predictive Analysis［J］.International Journal of Advanced Engineering Research and Science，2020（4）：514-521.

（編輯王 永超）

Research on intrusion detection based on invremental decision tree algorithm Zhang? Jun， Liu? Yaru

（Henan Vocational College of Water Conservancy and Environment， Zhengzhou 450008， China）Abstract：? In order to improve the accuracy of intrusion detection and save detection time， an incremental decision tree detection algorithm is proposed. This method adapts attribute reduction algorithm based on granularity decision entropy to classify redundant and irrelevant attributes in data set.Then the paper combines incremental learning technology of data mining with decision tree classification algorithm. On the basis of initial decision tree， Bayesian nodes are introduced to compare the accuracy of Bayesian classification method and decision tree classification method， and the updated decision tree is returned. For attribute reduction， the granular decision entropy algorithm can ensure high accuracy and recall on the basis of reducing attribute. Compared with Bayes algorithm and ID3 algorithm， it is found that the incremental decision tree algorithm is better than other algorithms in detection accuracy and detection efficiency， and the false alarm rate is significantly reduced.

Key words： granular decision entropy; Bayesian algorithm; incremental learning; intrusion detection