發(fā)布時間：2021-06-02 22:51

　　近年來,網(wǎng)絡技術的發(fā)展使得互聯(lián)網(wǎng)的體量呈爆發(fā)式得增長。隨著網(wǎng)絡服務越來越多,網(wǎng)絡安全問題也越來越得到人們的關注。從上世紀80年代開始,為了應對網(wǎng)絡威脅,網(wǎng)絡安全技術就已經(jīng)開始投入了研究。許多經(jīng)典的網(wǎng)絡安全機制如數(shù)字簽名、網(wǎng)絡加密層、訪問控制列表技術以及防火墻技術等等,在過去網(wǎng)絡變化較少的情況下能夠達到不錯的網(wǎng)絡安全保障效果。但是在現(xiàn)在的網(wǎng)絡環(huán)境中,頻繁的網(wǎng)絡狀態(tài)變化已經(jīng)使得以上這些靜態(tài)防護措施的效果變得越來越差,因此引入了入侵檢測系統(tǒng)。入侵檢測系統(tǒng)與傳統(tǒng)的網(wǎng)絡安全技術不同,從性能表現(xiàn)上來看,入侵檢測系統(tǒng)能降低整體的誤報率。對未知的攻擊來說,入侵檢測系統(tǒng)能夠快速做出反應,主動學習新的威脅特征,保證了漏報率的降低。入侵檢測系統(tǒng)中最重要的部分是檢測分析所采用的方法。近年來,機器學習技術得到了長足的發(fā)展,因此本文從決策樹算法開始引入,對該類機器學習算法的原理展開敘述。同時闡述了機器學習算法中決策樹算法應用于入侵檢測系統(tǒng)的優(yōu)勢并簡單評估了算法的性能表現(xiàn)。之后在決策樹算法的基礎上,引入了最新的XGBoost算法。與基礎的決策樹算法相比,XGBoost算法在正則化優(yōu)化方面引入了L1正則化與L2正則化... 

【文章來源】：上海交通大學上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：86 頁

【學位級別】：碩士

【部分圖文】：

–1入侵檢測發(fā)展趨勢

在 2000 年，CIDF 框架被 IETF 組織（The Internet Engineering Task Force）所采用，并集成到他們的 IDWG 框架（Intrusion Detection Working Group）中，IDWG 框架同樣也是一個通用的網(wǎng)絡入侵檢測框架，主要分為四種功能模塊 ，如圖2–1所示。1. 事件模塊：該模塊由監(jiān)測組件組成，用于監(jiān)測主機或網(wǎng)絡的流量情況，并獲取流量信息輸入至其他需要這些信息的模塊中。2. 數(shù)據(jù)庫模塊：存儲來自時間模塊的網(wǎng)絡流量信息，以便分析模塊與響應模塊處理。3. 分析模塊：主要處理信息的模塊，分析事件并檢測潛在的惡意行為，以便及時產(chǎn)生警告。4. 響應模塊：該模塊主要為執(zhí)行模塊，當入侵行為發(fā)生的時候，響應并應對產(chǎn)生的威脅。除了基本框架之外，網(wǎng)絡入侵檢測領域有專用的組件通信協(xié)議，如 IDXP（‘Intru-sion Detection eXchange Protocol’，RFC 4767），以及專用的通信格式 IDMEF（IntrusionDetection MEssage Format

同的決策樹算法進行簡單的評估。首先本文對使用信息熵增益作為特征評分的 ID3 決策樹進行評估，評估的標準是使用 ROC 曲線，并給出經(jīng)過數(shù)據(jù)集訓練的 ID3 決策樹模型。從圖3–1(a)中可以看到，id3決策樹在 ID3 決策樹上的表現(xiàn)。圖3–1(b)中的是使用基尼指數(shù)進行特征評分的 CART 決策樹的 ROC 曲線，可以看到其在 KDD Cup 99 數(shù)據(jù)集上的表現(xiàn)與 ID3 決策樹相差得不多，其 ROC 曲線下的 AUC 面積都稍大與 0.8。圖3–2是經(jīng)過訓練的 ID3 決策樹的一小部分，由于整個樹的深度太深，無法完整的在本文中展示，因此只截取了其中的根節(jié)點與子節(jié)點。從圖中可以看到根節(jié)點使用了數(shù)據(jù)中第五個特征作為其分裂節(jié)點的特征，評價標準為熵增益。當樣本經(jīng)過該特征的判斷后，返回 True 的樣本被分到左子節(jié)點中


本文編號：3210898