[发明专利]基于决策树的攻击检测系统

说明书

技术领域

 本发明涉及一种移动Ad Hoc网络攻击检测技术，尤其是一种可靠性高的攻击检测模块，具体地说是一种基于决策树的攻击检测模块攻击检测模块。

 

背景技术

目前，随着网络技术不断发展，入侵技术的多样化，特别是移动Ad Hoc网络活动性高，结构变化快，并且结构多样化等特点，传统的攻击检测技术已经不能满足系统的需要。

移动Ad Hoc网络攻击检测技术目前还不成熟，到目前为止，还缺乏一个全面的，指导性的理论框架，大量的工作还需要进行。当前大部分移动Ad Hoc网络攻击检测模块所面临的严重问题是新攻击类型检测能力不足、误报率高。

现有的攻击检测技术中, 大多是根据己定义好的入侵模式，通过判断在计算机或网络系统中是否出现这些入侵模式来完成攻击检测功能,没有使用决策树技术,检测能力和检测对象范围受已有知识的局限，无法检测未知的和新型的攻击类型。

 

发明内容

本发明的目的是针对现有的网络攻击检测模块所存在的对于攻击类型检测能力不足、误报率高的问题，提出一种基于决策树的攻击检测系统。

本发明的技术方案是：

一种基于决策树的攻击检测系统，它包括检测数据采集器、检测挖掘处理器和分类器即决策树，所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据，检测数据采集器的输出端连接检测挖掘处理器的信号输入端，检测挖掘处理器的信号输出端连接分类器的信号输入端，分类器的信号输出端作为基于决策树的攻击检测系统的输出，显示检测状态。

本发明的检测数据采集器与检测挖掘处理器之间串接检测预处理器。

本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器，所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据，训练数据采集器的输出端连接训练挖掘处理器的信号输入端，训练挖掘处理器的信号输出端连接构造器的信号输入端，构造器的信号输出端作为分类器的输出，显示分类状态。

本发明的训练数据采集器与训练挖掘处理器之间串接训练预处理器。

本发明的有益效果：

本发明采用的分类器即决策树是数据挖掘技术中的一种，用于对于数据的分类和预测，可以用于提取描述重要数据类的模型或预测未来的数据趋势，实时训练，可以对新类型的攻击进行有效检测。决策树具有结构简单，生成的规则易于理解，分类精度高，检测速率快，不需要人为参数设置等优点，适合用在攻击检测上。

本发明基于决策树的分类模型的优点是：(1)决策树结构简单，便于理解；(2)决策树模型效率高，对训练数据量较大的情况较为合适；(3)相比较其他的数据挖掘分类技术，决策树不需要训练数据外的知识；(4)决策树具有较高的分类精确度。

 

附图说明

图1是本发明攻击检测系统的原理框图。

图2是本发明的分类器的原理框图。

 

具体实施方式

下面结合附图和实施例对本发明作进一步的说明。

如图1所示。一种基于决策树的攻击检测系统，它包括检测数据采集器（用于采集网络、本地等输入数据）、检测挖掘处理器（用于提取攻击数据）和分类器即决策树（由多个对应于分类的存储器构成），所述的检测数据采集器作为攻击检测系统的检测信号输入端采集待检测数据，检测数据采集器的输出端连接检测挖掘处理器的信号输入端，检测挖掘处理器的信号输出端连接分类器的信号输入端，分类器的信号输出端作为基于决策树的攻击检测系统的输出，显示检测状态。

本发明的分类器包括训练数据采集器、训练挖掘处理器和构造器，所述的训练数据采集器作为分类器的训练信号输入端采集待训练的包括攻击数据的训练数据和不包含攻击数据的训练数据，训练数据采集器的输出端连接训练挖掘处理器的信号输入端，训练挖掘处理器的信号输出端连接构造器的信号输入端，构造器的信号输出端作为分类器的输出，显示分类状态。

在训练阶段，首先，向预处理器输入不包含攻击的数据和包含攻击的数据，得到待挖掘数据，将待挖掘数据经过挖掘处理机处理后得到分类器的训练数据，经过构造器构造得到完整的分类器。在检测阶段，首先，实验数据通过预处理器处理后得到待挖掘数据，然后经过挖掘处理器处理后输出可疑规则，最后将可疑规则交给分类器判断是否为攻击以及攻击类型。