近年來,網(wǎng)絡(luò)技術(shù)的發(fā)展使得互聯(lián)網(wǎng)的體量呈爆發(fā)式得增長。隨著網(wǎng)絡(luò)服務(wù)越來越多,網(wǎng)絡(luò)安全問題也越來越得到人們的關(guān)注。從上世紀(jì)80年代開始,為了應(yīng)對網(wǎng)絡(luò)威脅,網(wǎng)絡(luò)安全技術(shù)就已經(jīng)開始投入了研究。許多經(jīng)典的網(wǎng)絡(luò)安全機(jī)制如數(shù)字簽名、網(wǎng)絡(luò)加密層、訪問控制列表技術(shù)以及防火墻技術(shù)等等,在過去網(wǎng)絡(luò)變化較少的情況下能夠達(dá)到不錯(cuò)的網(wǎng)絡(luò)安全保障效果。但是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中,頻繁的網(wǎng)絡(luò)狀態(tài)變化已經(jīng)使得以上這些靜態(tài)防護(hù)措施的效果變得越來越差,因此引入了入侵檢測系統(tǒng)。入侵檢測系統(tǒng)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)不同,從性能表現(xiàn)上來看,入侵檢測系統(tǒng)能降低整體的誤報(bào)率。對未知的攻擊來說,入侵檢測系統(tǒng)能夠快速做出反應(yīng),主動(dòng)學(xué)習(xí)新的威脅特征,保證了漏報(bào)率的降低。入侵檢測系統(tǒng)中最重要的部分是檢測分析所采用的方法。近年來,機(jī)器學(xué)習(xí)技術(shù)得到了長足的發(fā)展,因此本文從決策樹算法開始引入,對該類機(jī)器學(xué)習(xí)算法的原理展開敘述。同時(shí)闡述了機(jī)器學(xué)習(xí)算法中決策樹算法應(yīng)用于入侵檢測系統(tǒng)的優(yōu)勢并簡單評估了算法的性能表現(xiàn)。之后在決策樹算法的基礎(chǔ)上,引入了最新的XGBoost算法。與基礎(chǔ)的決策樹算法相比,XGBoost算法在正則化優(yōu)化方面引入了L1正則化與L2正則化... 

【文章來源】：上海交通大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：86 頁

【學(xué)位級別】：碩士

【部分圖文】：

–1入侵檢測發(fā)展趨勢

在 2000 年，CIDF 框架被 IETF 組織（The Internet Engineering Task Force）所采用，并集成到他們的 IDWG 框架（Intrusion Detection Working Group）中，IDWG 框架同樣也是一個(gè)通用的網(wǎng)絡(luò)入侵檢測框架，主要分為四種功能模塊 ，如圖2–1所示。1. 事件模塊：該模塊由監(jiān)測組件組成，用于監(jiān)測主機(jī)或網(wǎng)絡(luò)的流量情況，并獲取流量信息輸入至其他需要這些信息的模塊中。2. 數(shù)據(jù)庫模塊：存儲來自時(shí)間模塊的網(wǎng)絡(luò)流量信息，以便分析模塊與響應(yīng)模塊處理。3. 分析模塊：主要處理信息的模塊，分析事件并檢測潛在的惡意行為，以便及時(shí)產(chǎn)生警告。4. 響應(yīng)模塊：該模塊主要為執(zhí)行模塊，當(dāng)入侵行為發(fā)生的時(shí)候，響應(yīng)并應(yīng)對產(chǎn)生的威脅。除了基本框架之外，網(wǎng)絡(luò)入侵檢測領(lǐng)域有專用的組件通信協(xié)議，如 IDXP（‘Intru-sion Detection eXchange Protocol’，RFC 4767），以及專用的通信格式 IDMEF（IntrusionDetection MEssage Format

同的決策樹算法進(jìn)行簡單的評估。首先本文對使用信息熵增益作為特征評分的 ID3 決策樹進(jìn)行評估，評估的標(biāo)準(zhǔn)是使用 ROC 曲線，并給出經(jīng)過數(shù)據(jù)集訓(xùn)練的 ID3 決策樹模型。從圖3–1(a)中可以看到，id3決策樹在 ID3 決策樹上的表現(xiàn)。圖3–1(b)中的是使用基尼指數(shù)進(jìn)行特征評分的 CART 決策樹的 ROC 曲線，可以看到其在 KDD Cup 99 數(shù)據(jù)集上的表現(xiàn)與 ID3 決策樹相差得不多，其 ROC 曲線下的 AUC 面積都稍大與 0.8。圖3–2是經(jīng)過訓(xùn)練的 ID3 決策樹的一小部分，由于整個(gè)樹的深度太深，無法完整的在本文中展示，因此只截取了其中的根節(jié)點(diǎn)與子節(jié)點(diǎn)。從圖中可以看到根節(jié)點(diǎn)使用了數(shù)據(jù)中第五個(gè)特征作為其分裂節(jié)點(diǎn)的特征，評價(jià)標(biāo)準(zhǔn)為熵增益。當(dāng)樣本經(jīng)過該特征的判斷后，返回 True 的樣本被分到左子節(jié)點(diǎn)中


本文編號：3210898