技術領域

本發明涉及計算機網絡、網絡通信、安全審計、計算機程序，尤其涉及一種安全審計中的決策樹生成方法。它實現了對網絡數據包的分類，基于網絡數據的決策樹的生成，能有效地防止惡意攻擊。

背景技術

在當今的信息時代，計算機網絡的應用無所不在，因而網絡的安全性也就成為網絡應用最關鍵的課題之一。然而，由于網絡的脆弱性以及攻擊手段的多樣化，防火墻和入侵檢測并不能徹底保障系統的安全，因此需要使用安全審計系統發現潛在問題并加以避免.

安全審計是指根據一定的安全策略記錄和分析歷史操作事件和數據，發現能夠改進系統性能和安全的一種信息安全保護技術，位于防火墻系統和入侵檢測系統之后，作為對二者的補充，對攻擊行為進行記錄和取證.待信息量積累到一定程度，就可以進行入侵行為建模，從而發現新的攻擊特征，并將這種特征添加到防火墻的動態規則庫中.

決策樹算法是數據挖掘技術中一種常用的分類方法，易于理解且應用廣泛。Quinlan提出的ID3(Interative?Dichotomizer?3)算法是決策樹的經典算法，之后的大部分算法都是由ID3算法改進而來.Quinlan提出的C4.5算法是對ID3算法的重大改進，提高了運行效率，針對連續屬性值進行了處理，彌補了ID3算法只能處理離散型數據的缺陷.目前，決策樹已被應用于眾多不同的領域，并且已有人將安全審計與數據挖掘相結合進行研究。現有的決策樹算法大多是基于ID3算法之上進行改進的，總體來說具有以下缺點：

(1)算法的復雜度高

在ID3算法中，計算某屬性值的信息期望和信息熵分別如式(1)和式(2)所示：

I=(A=aj)=-Σi=1kPijlog2pij---(1)]]>

Entropy(A)=Σj=1mPj*I(A=aj)---(2)]]>

這兩個公式需要進行對數運算和求和運算，而這兩種運算在計算機中是非常耗時的，因此建樹過程就會需要大量時間。

(2)屬性的取值過多

雖然處理的是離散數據，但是數據的可取值卻非常多。例如，端口號的取值范圍是[0，65535]，而ip地址理論上則有多達2³²個可能的取值。決策樹要求對每個屬性的取值覆蓋率為百分百，即任意屬性的任意可能取值在決策樹中都有對應的分支。

(3)正、反例集比例失調

網絡中不具有惡意行為的數據包被定義為正例集，反之那些有害的、可能造成破壞的數據包則被定義為反例集。在實際網絡環境下，大多數數據包都是安全的，正、反例集的比例嚴重失調。如果根據傳統規則建樹，則本發明使用的決策樹將是非常不平衡的。

(4)更新頻度要求高