基于決策樹的協(xié)議分析在入侵檢測中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)的不斷發(fā)展，安全問題越來越多，原有的防火墻已經(jīng)難以單獨保障網(wǎng)絡(luò)的安全，入侵檢測系統(tǒng)(Intrusion Detection System)開始發(fā)揮出不可替代的作用。當(dāng)前大多數(shù)入侵檢測產(chǎn)品使用的多是基于規(guī)則的簡單模式匹配技術(shù)，它們存在著資源消耗量大，誤報率高以及隨著網(wǎng)速的提高而出現(xiàn)丟包等問題。為了提高檢測效率和降低誤報率，本論文提出了一種基于決策樹的協(xié)議分析入侵檢測系統(tǒng)。應(yīng)用了協(xié)議分析技術(shù)，根據(jù)協(xié)議的高度規(guī)則性，將檢測空間降低為單

2、個的域以減少搜索空間提高檢測效率；同時利用決策樹能生成模型并具有預(yù)測能力的特點，用決策樹算法進(jìn)行檢測模型的構(gòu)建；將決策樹算法和協(xié)議分析技術(shù)有機地結(jié)合起來，用于入侵檢測。本文研究了協(xié)議分析中比較前沿的應(yīng)用層協(xié)議分析方法，利用決策樹構(gòu)建入侵檢測決策樹模型，并通過將捕獲的網(wǎng)絡(luò)數(shù)據(jù)在入侵檢測決策樹上進(jìn)行遍歷來實現(xiàn)入侵檢測。最后通過實驗證明系統(tǒng)具有較高的檢測率和可用性。 論文共分四部分。首先是文獻(xiàn)綜述和問題提出。然后，建立了協(xié)議分析模塊，

3、主要包括預(yù)處理和應(yīng)用層協(xié)議分析兩個部分。預(yù)處理階段包括IP分片重組和TCP流重組。對應(yīng)用層協(xié)議，主要針對HTTP、SMTP、FTP三種常用協(xié)議進(jìn)行了分析。接下來，描述了決策樹算法的選擇及決策樹算法結(jié)合協(xié)議分析在入侵檢測中應(yīng)用，包括入侵檢測決策樹的數(shù)據(jù)結(jié)構(gòu)、決策樹的建立過程、剪枝過程以及用決策樹進(jìn)行入侵檢測的過程。最后，是系統(tǒng)實現(xiàn)與測試。在對基于協(xié)議分析和決策樹算法的入侵檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)設(shè)計進(jìn)行描述之后，利用KDDCup99和MITDA