技術(shù)領(lǐng)域

?本發(fā)明涉及一種移動Ad?Hoc網(wǎng)絡(luò)攻擊檢測技術(shù)，尤其是一種可靠性高的攻擊檢測模塊，具體地說是一種基于決策樹的攻擊檢測模塊攻擊檢測模塊。

?

背景技術(shù)

目前，隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，入侵技術(shù)的多樣化，特別是移動Ad?Hoc網(wǎng)絡(luò)活動性高，結(jié)構(gòu)變化快，并且結(jié)構(gòu)多樣化等特點，傳統(tǒng)的攻擊檢測技術(shù)已經(jīng)不能滿足系統(tǒng)的需要。

移動Ad?Hoc網(wǎng)絡(luò)攻擊檢測技術(shù)目前還不成熟，到目前為止，還缺乏一個全面的，指導(dǎo)性的理論框架，大量的工作還需要進(jìn)行。當(dāng)前大部分移動Ad?Hoc網(wǎng)絡(luò)攻擊檢測模塊所面臨的嚴(yán)重問題是新攻擊類型檢測能力不足、誤報率高。

現(xiàn)有的攻擊檢測技術(shù)中,?大多是根據(jù)己定義好的入侵模式，通過判斷在計算機(jī)或網(wǎng)絡(luò)系統(tǒng)中是否出現(xiàn)這些入侵模式來完成攻擊檢測功能,沒有使用決策樹技術(shù),檢測能力和檢測對象范圍受已有知識的局限，無法檢測未知的和新型的攻擊類型。

?

發(fā)明內(nèi)容

本發(fā)明的目的是針對現(xiàn)有的網(wǎng)絡(luò)攻擊檢測模塊所存在的對于攻擊類型檢測能力不足、誤報率高的問題，提出一種基于決策樹的攻擊檢測系統(tǒng)。

本發(fā)明的技術(shù)方案是：

一種基于決策樹的攻擊檢測系統(tǒng)，它包括檢測數(shù)據(jù)采集器、檢測挖掘處理器和分類器即決策樹，所述的檢測數(shù)據(jù)采集器作為攻擊檢測系統(tǒng)的檢測信號輸入端采集待檢測數(shù)據(jù)，檢測數(shù)據(jù)采集器的輸出端連接檢測挖掘處理器的信號輸入端，檢測挖掘處理器的信號輸出端連接分類器的信號輸入端，分類器的信號輸出端作為基于決策樹的攻擊檢測系統(tǒng)的輸出，顯示檢測狀態(tài)。

本發(fā)明的檢測數(shù)據(jù)采集器與檢測挖掘處理器之間串接檢測預(yù)處理器。

本發(fā)明的分類器包括訓(xùn)練數(shù)據(jù)采集器、訓(xùn)練挖掘處理器和構(gòu)造器，所述的訓(xùn)練數(shù)據(jù)采集器作為分類器的訓(xùn)練信號輸入端采集待訓(xùn)練的包括攻擊數(shù)據(jù)的訓(xùn)練數(shù)據(jù)和不包含攻擊數(shù)據(jù)的訓(xùn)練數(shù)據(jù)，訓(xùn)練數(shù)據(jù)采集器的輸出端連接訓(xùn)練挖掘處理器的信號輸入端，訓(xùn)練挖掘處理器的信號輸出端連接構(gòu)造器的信號輸入端，構(gòu)造器的信號輸出端作為分類器的輸出，顯示分類狀態(tài)。

本發(fā)明的訓(xùn)練數(shù)據(jù)采集器與訓(xùn)練挖掘處理器之間串接訓(xùn)練預(yù)處理器。

本發(fā)明的有益效果：

本發(fā)明采用的分類器即決策樹是數(shù)據(jù)挖掘技術(shù)中的一種，用于對于數(shù)據(jù)的分類和預(yù)測，可以用于提取描述重要數(shù)據(jù)類的模型或預(yù)測未來的數(shù)據(jù)趨勢，實時訓(xùn)練，可以對新類型的攻擊進(jìn)行有效檢測。決策樹具有結(jié)構(gòu)簡單，生成的規(guī)則易于理解，分類精度高，檢測速率快，不需要人為參數(shù)設(shè)置等優(yōu)點，適合用在攻擊檢測上。

本發(fā)明基于決策樹的分類模型的優(yōu)點是：(1)決策樹結(jié)構(gòu)簡單，便于理解；(2)決策樹模型效率高，對訓(xùn)練數(shù)據(jù)量較大的情況較為合適；(3)相比較其他的數(shù)據(jù)挖掘分類技術(shù)，決策樹不需要訓(xùn)練數(shù)據(jù)外的知識；(4)決策樹具有較高的分類精確度。

?

附圖說明

圖1是本發(fā)明攻擊檢測系統(tǒng)的原理框圖。

圖2是本發(fā)明的分類器的原理框圖。

?

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的說明。

如圖1所示。一種基于決策樹的攻擊檢測系統(tǒng)，它包括檢測數(shù)據(jù)采集器（用于采集網(wǎng)絡(luò)、本地等輸入數(shù)據(jù)）、檢測挖掘處理器（用于提取攻擊數(shù)據(jù)）和分類器即決策樹（由多個對應(yīng)于分類的存儲器構(gòu)成），所述的檢測數(shù)據(jù)采集器作為攻擊檢測系統(tǒng)的檢測信號輸入端采集待檢測數(shù)據(jù)，檢測數(shù)據(jù)采集器的輸出端連接檢測挖掘處理器的信號輸入端，檢測挖掘處理器的信號輸出端連接分類器的信號輸入端，分類器的信號輸出端作為基于決策樹的攻擊檢測系統(tǒng)的輸出，顯示檢測狀態(tài)。

本發(fā)明的分類器包括訓(xùn)練數(shù)據(jù)采集器、訓(xùn)練挖掘處理器和構(gòu)造器，所述的訓(xùn)練數(shù)據(jù)采集器作為分類器的訓(xùn)練信號輸入端采集待訓(xùn)練的包括攻擊數(shù)據(jù)的訓(xùn)練數(shù)據(jù)和不包含攻擊數(shù)據(jù)的訓(xùn)練數(shù)據(jù)，訓(xùn)練數(shù)據(jù)采集器的輸出端連接訓(xùn)練挖掘處理器的信號輸入端，訓(xùn)練挖掘處理器的信號輸出端連接構(gòu)造器的信號輸入端，構(gòu)造器的信號輸出端作為分類器的輸出，顯示分類狀態(tài)。

在訓(xùn)練階段，首先，向預(yù)處理器輸入不包含攻擊的數(shù)據(jù)和包含攻擊的數(shù)據(jù)，得到待挖掘數(shù)據(jù)，將待挖掘數(shù)據(jù)經(jīng)過挖掘處理機(jī)處理后得到分類器的訓(xùn)練數(shù)據(jù)，經(jīng)過構(gòu)造器構(gòu)造得到完整的分類器。在檢測階段，首先，實驗數(shù)據(jù)通過預(yù)處理器處理后得到待挖掘數(shù)據(jù)，然后經(jīng)過挖掘處理器處理后輸出可疑規(guī)則，最后將可疑規(guī)則交給分類器判斷是否為攻擊以及攻擊類型。