有可以继续分裂的属性时,则停止增枝,生成新的 叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比 重大则该叶子节点的类别设置为异常,反之设置为安全。
[0096] 步骤(6)中,本发明所述的决策树自修复的剪枝方法的具体实现流程如下:
[0097] (6. 1)计算叶子节点i的误判率£/二" = (.▼ + /^) / (/7? + 77? + ^),进入步骤 (6. 2);
[0098] (6. 2)当>/?时,将该叶子节点的父节点替换成一个叶子节点,从而得到一 棵简化决策树。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事 件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
[0099] (6. 3)计算简化决策树的误判率蔚^ %进入步骤(6. 4);
[0100] (6.4)比较斑t'与五/t的大小,若榻^<£7二,则进入步骤(6.5),否则结束;
[0101] (6. 5)将该子树替换成叶子节点,剪枝结束。
[0102] 下面结合具体实施例对本发明的一种基于决策树自修复的特征规则检测方法作 以下详细地说明。
[0103] 实施例1 :
[0104] 如图1和图2所示,整体漏检率(FPrate)为35%,漏检率的阈值α为30%,整体误 判率(EPMte)为20%,误判率的阈值β为30%,工作流程如下:
[0105] (1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤 (2);
[0106] (2)进行异常检测,并计算检测的整体漏检率(FPMte)和误判率(EPMte),进入步骤 (3);
[0107](3)整体漏检率FPrate大于30 %,进入步骤⑷;
[0108] (4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决 策树,进入步骤(5);
[0109](5)计算所有叶子节点的漏检率=F/丨Z(77^ +F/p,进入步骤(6);
[0110] (6)将所有漏检率大于30%的叶子节点作为待扩展节点,进入步骤(7);
[0111] (7)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属 性作为下一个扩展节点,进入步骤(8);
[0112] (8)计算扩展节点的漏检率进入步骤(9);
[0113] (9)对所有只匕/》的节点执行步骤(7)~(8),直到满足,将该 节点设置为叶子节点,进入步骤(10);
[0114] (10)生成新的特征规则,增枝过程结束。
[0115] 实施例2:
[0116] 如图1所示,整体漏检率(FPMte)为25 %,漏检率的阈值α为30%,整体误判率 (EPrate)为32%,误判率的阈值β为30%,工作流程如下:
[0117](1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤 (2);
[0118] (2)进行异常检测,并计算检测的整体漏检率(FPMte)和误判率(EPMte),进入步骤 (3);
[0119] (3)整体漏检率FPrate小于30%,则进入步骤(4);
[0120] (4)整体误判率EPrate大于30 %,进入步骤(5);
[0121] (5)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树, 进入步骤(6);
[0122] (6)计算所有叶子节点i的误判率+ + 进入步骤 (7);
[0123] (7)将所有大于30%的叶子节点的父节点替换成一个叶子节点,从而得到一 棵简化决策树,进入步骤(8);
[0124] (8)计算简化后的叶子节点的误判率比较与的大小,若 £/^/<1^二,则将该子树替换成叶子节点,进入步骤(9);
[0125] (9)生成新的特征规则,剪枝过程结束。
[0126] 本发明的有益效果体现在:
[0127] (1)本发明提出了一种决策树的增枝方法,能够将原本停止分枝或剪枝的叶子节 点进行分枝操作,使得决策树不必重构也能继续自修复。同时,通过增枝方法增加了特征规 贝 1J,从而减小系统漏检率。
[0128] (2)本发明提出了 一种决策树自修复检测方法,通过决策树算法构建特征规则,结 合增枝和剪枝两种方法;当检测的漏检率、误判率高于既定阈值时,分别采用增枝、剪枝的 方法实现决策树的自修复过程,避免频繁的决策树重构影响检测方法的效率。
【主权项】
1. 一种基于决策树自修复的特征规则检测方法,其特征在于,包括如下步骤: (1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2); ⑵进行异常检测,并计算检测的整体漏检率FPMte和误判率EPMte,进入步骤(3); (3) 如果彡α,α为漏检率的阈值,则进入步骤(4),否则进入步骤(5); (4) 采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策 树,进入步骤(7); (5) 判断误判率是否大于等于β,β为误判率的阈值,若EPMte>β进入步骤(6),否 则返回步骤(2),开始下一个检测周期; (6) 采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入 步骤(7); (7) 生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测周期; 其中步骤(4)中,决策树自修复的增枝方法的流程如下: (4. 1)计算叶子节点i的漏检率/^丨./(77; +f7_)),进入步骤(4. 2); (4. 2)如果α,则进入步骤(4. 3),否则进入步骤(4. 8); (4.3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4.4); (4. 4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性 作为下一个扩展节点,进入步骤(4.5); (4.5) 判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4. 8),若不满 足则进入步骤(4. 6); (4.6) 计算扩展节点的漏检率,|"' = ^/(77彳'+1^),进入步骤(4.7); (4. 7)比较待扩展节点的漏检率与的大小,若则对扩展后的 所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8); (4. 8)将该节点设置为叶子节点,增枝结束; 其中步骤(4. 5)中,叶子节点判定条件如下: (4.5. 1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,为节点 纯净度上限;计算待扩展节点的节点纯净度P,当P>PJ寸,即节点数据集中异常事件或安全 事件的占比率过高,则停止增枝,生成新的叶子节点;叶子节点的分类则根据集合中异常事 件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置 为安全; (4. 5. 2)设置节点占比率t,即节点数据集占整个样例集的比例,!"为设定的节点占比 率下限;计算待扩展节点的节点占比率t,当t〈T"^,即节点中数据量过小,则停止增枝,生 成叶子节点;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件 比重大则该叶子节点的类别设置为异常,反之设置为安全; (4. 5. 3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的叶子 节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大 则该叶子节点的类别设置为异常,反之设置为安全; 步骤(6)中,所述的决策树自修复的剪枝方法的流程如下: (6. 1)计算叶子节点i的误判率£/^.=(M+ /^)/(/^ + 77^+ATi?),进入步骤(6.2); (6. 2)当£匕..>/〗时,将该叶子节点的父节点替换成一个叶子节点,从而得到一棵简 化决策树;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比 重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3); (6.3)计算简化决策树的误判率£/:/,进入步骤(6.4); (6. 4)比较'与坪^的大小,若' <五匕,则进入步骤(6. 5),否则结束; (6. 5)将该子树替换成叶子节点,剪枝结束。
【专利摘要】本发明属于网络异常检测领域,具体是一种基于决策树自修复的特征规则检测方法。本发明包括:根据决策树算法,通过训练集构建一棵决策树;进行异常检测;采取决策树自修复的增枝方法,对每个叶子节点进行增枝;判断误判率是否大于等于β;采取决策树自修复的剪枝方法。本发明提出了一种决策树的增枝的方法,能够将原本停止分枝或剪枝的叶子节点进行分枝操作,利用增枝方法增加了特征规则,从而减小系统漏检率。
【IPC分类】H04L29/06
【公开号】CN105306439
【申请号】CN201510593980
【发明人】郭方方, 戴秀豪, 王慧强, 郝冠楠, 吕宏武, 林俊宇
【申请人】哈尔滨工程大学
【公开日】2016年2月3日
【申请日】2015年9月17日