因此需要扩展 叶子节点,进而增加特征规则,即采用决策树自修复的增枝方法;误判率EPMte= (NP+FP)/ (FP+TP+NP),误判率(EPrate)越大说明误报的异常数量越多,即发生分类错误的情况越多, 剪枝方法能够解决误判问题,因此需要对决策树进行节点缩减,进而减少特征规则,即采用 决策树自修复的剪枝方法。
[0046] 本发明的一种基于决策树自修复的特征规则检测方法流程如下:
[0047] (1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤 (2);
[0048](2)进行异常检测,并计算检测的整体漏检率(FPMte)和误判率(EPMte),进入步骤 (3);
[0049](3)如果FPrate>α(α为漏检率的阈值),则进入步骤(4),否则进入步骤(5);
[0050] (4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决 策树,进入步骤(7);
[0051] (5)判断误判率是否大于等于β(β为误判率的阈值),若EPrata彡β进入步骤 (6),否则返回步骤(2),开始下一个检测周期;
[0052] (6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树, 进入步骤(7);
[0053] (7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测 周期。
[0054] 其中步骤(4)中,本发明的决策树自修复的增枝方法的具体流程如下:
[0055] (4.1)计算叶子节点1的漏检率找^=/^/(77: + /^):,进入步骤(4.2);
[0056] (4. 2)如果F/二Sa,则进入步骤(4. 3),否则进入步骤(4. 8);
[0057] (4. 3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4. 4);
[0058] (4. 4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的 属性作为下一个扩展节点,进入步骤(4.5);
[0059] (4. 5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4. 8),若 不满足则进入步骤(4. 6);
[0060] (4.6)计算扩展节点的漏检率Ff=f7"/(77,-f7n,进入步骤(4.7);
[0061] (4. 7)比较待扩展节点的漏检率与尸/^的大小,若' <F/二,则对扩展 后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
[0062] (4. 8)将该节点设置为叶子节点,增枝结束。
[0063] 其中步骤(4. 5)中,叶子节点判定条件如下:
[0064] (4. 5. 1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,P"为 节点纯净度上限。计算待扩展节点的节点纯净度P,当pWm时,即节点数据集中异常事件或 安全事件的占比率过高,则停止增枝,生成新的叶子节点。叶子节点的分类则根据集合中异 常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之 设置为安全。
[0065](4. 5. 2)设置节点占比率t,即节点数据集占整个样例集的比例,!"为设定的节点 占比率下限。计算待扩展节点的节点占比率t,当t〈TJ寸,即节点中数据量过小,则停止增 枝,生成叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常 事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
[0066] (4. 5. 3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的 叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比 重大则该叶子节点的类别设置为异常,反之设置为安全。
[0067] 步骤(6)中,本发明所述的决策树自修复的剪枝方法的具体实现流程如下:
[0068] (6. 1)计算叶子节点i的误判率£7-;:,,,.=(/V/y/^)/(f'/+ 进入步骤 (6. 2);
[0069] (6. 2)当M.:.,,,. >冷时,将该叶子节点的父节点替换成一个叶子节点,从而得到一 棵简化决策树。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事 件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
[0070] (6. 3)计算简化决策树的误判率',进入步骤(6. 4);
[0071] (6.4)比较研:与的大小,若汾则进入步骤(6. 5),否则结束;
[0072] (6. 5)将该子树替换成叶子节点,剪枝结束。
[0073] 本发明是一种基于决策树自修复的特征规则检测方法,首先根据决策树算法构建 一棵决策树;然后,通过决策树生成的特征规则,对接收到的数据进行异常事件的检测,在 每个检测周期开始时,计算检测的整体漏检率和误判率;最后,根据漏检率与误判率的变 化,通过增枝方法和剪枝方法分别对决策树进行修剪,从而得到新的特征规则进入下一个 周期的检测。
[0074] 计算漏检率、误判率,每个节点需记录如下性能指标:异常事件判断为异常事件的 数量(TP)、异常事件误判为安全事件的数量(FP)、安全事件误判为异常事件的数量(NP)。 其中,漏检率FPMte=FPATP+FP),漏检率(FPMte)越大说明漏检的数量越多,代表当前的 规则数不足以检测所有的异常事件,属性划分的细致程度与检测率成正比,因此需要扩展 叶子节点,进而增加特征规则,即采用决策树自修复的增枝方法;误判率EPMte= (NP+FP)/ (FP+TP+NP),误判率(EPrate)越大说明误报的异常数量越多,即发生分类错误的情况越多, 剪枝方法能够解决误判问题,因此需要对决策树进行节点缩减,进而减少特征规则,即采用 决策树自修复的剪枝方法。
[0075] 本发明的一种基于决策树自修复的特征规则检测方法流程如下:
[0076] (1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤 (2);
[0077] (2)进行异常检测,并计算检测的整体漏检率(FPMte)和误判率(EPMte),进入步骤 (3);
[0078] (3)如果FPrate彡α(α为漏检率的阈值),则进入步骤(4),否则进入步骤(5);
[0079] (4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决 策树,进入步骤(7);
[0080] (5)判断误判率是否大于等于β(β为误判率的阈值),若EPrate彡β进入步骤 (6),否则返回步骤(2),开始下一个检测周期;
[0081] (6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树, 进入步骤(7);
[0082] (7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测 周期。
[0083] 其中步骤(4)中,本发明的决策树自修复的增枝方法的具体流程如下:
[0084] (4. 1)计算叶子节点i的漏检率F/二,.=Μ,(R+M),进入步骤(4. 2);
[0085](4. 2)如果F/二,α,则进入步骤(4. 3),否则进入步骤(4. 8);
[0086] (4. 3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4. 4);
[0087] (4. 4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的 属性作为下一个扩展节点,进入步骤(4.5);
[0088](4. 5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4. 8),若 不满足则进入步骤(4. 6);
[0089] (4. 6)计算扩展节点的漏检率,进入步骤(4. 7);
[0090] (4. 7)比较待扩展节点的漏检率/与/7:的大小,若'<F/:,则对扩展 后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
[0091] (4. 8)将该节点设置为叶子节点,增枝结束。
[0092] 其中步骤(4. 5)中,叶子节点判定条件如下:
[0093] (4. 5. 1)设置节点纯净度ρ,即节点数据集中异常事件或安全事件的占比率,P"为 节点纯净度上限。计算待扩展节点的节点纯净度P,当pWm时,即节点数据集中异常事件或 安全事件的占比率过高,则停止增枝,生成新的叶子节点。叶子节点的分类则根据集合中异 常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之 设置为安全。
[0094] (4. 5. 2)设置节点占比率t,即节点数据集占整个样例集的比例,!"为设定的节点 占比率下限。计算待扩展节点的节点占比率t,当t〈TJ寸,即节点中数据量过小,则停止增 枝,生成叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常 事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
[0095] (4. 5. 3)属性分裂过程中,当没