nifer数据的分类学习.PDF

维普资讯 基于sniffer数据的分类学习算法的研究 张 莉 - 叶晓风 (南京大学计算机科学与技术系软件新技术 国家重点实验室，南京 210093) (南京大学计算中心，南京 210093) E-mail：zhl@nju．edu．cn 摘 要 入侵检测技术是信息安全主动防御技术的关键技术之一，在介绍了利用决策树算法C4．5对于KDDCUP1999 提供的sniffer数据进行处理的可行性分析后。详细分析了C4．5算法的两种扩展算法：袋装保持算法和泛化训练算法，并 给 出了大量 的实验结果。 关键词 入侵检测 C4．5算法 袋装 保持 泛化训练 文章编号 1002—8331一(2006)16—0146—04 文献标识码 A 中图分类号 TP393．08 Research on Intrusion Detection UsingSnifferData ZhangLi· YeXiaofeng (StateKeyLaboratoryforNovelSoftwareTechnology，Dept．ofComputerScience Technology， NanjingUniversity，Nanjing210093) (CenterofComputer，NanjingUniversity，Nanjing210093) Abstract： Intrusion Detection technology is the key component of imformation security active technologies．After analysingthefeasibility using C4．5 algorithm aboutthesnifferdata set，two extended algorithm ：baggingholdoutand GT havebeenadvanced．Alsotherearemuchrichexperimentresults． Keywords：intrusiondetection，C4．5algorithm，bagging，holdout，GeneralTraining(GT) l 引言 行为的判断；异常检测将观察到的数据行为与事先建立的对象 随着 Intemet的快速发展 。越来越丰富的网络服务如 正常模型作比较 ，然后决定在何种程度上将一个行为标记为 WWW、电子邮件 、电子商务等都极大地改变 了人们传统 的生 “异常”并作出具体决策。 活方式。但是人们在得益于网络带来 的巨大便利时，也不得不 在进行入侵检测时．首先需要确定检测数据的来源 。然后 面对 日益严峻的网络安全问题 。 根据数据来源建立不同的描述模型，最后再使用各种不同的方 传统的静态安全技术主要包括El令认证技术 ．加密解密技 法进行对数据的处理、判断。本文使用的数据源来 自第三届国 术 。存取控制技术 以及防火墙技术等 ，但是这些安全技术就像 际知识发现和数据挖掘工具大赛，即为KDD Cup1999数据 是阵地一样 ，只有在 已经被突破 的情况下才知道 已经遭到了攻 集 。这个大赛 的任务是对这些数据建立一个能够区分 b“ad(某 击 ，而不能主动地预先或及时地发现攻击与破坏 。如果被攻击 种攻击)”连接和 n“ormal”连接的网络入侵检测器和一个预测 者突破或者因为合法用户的误操作而造成了信息安全的破坏． 模型。KDDCup 1999数据集基于sniffer(嗅探器)