[发明专利]一种基于决策树自修复的特征规则检测方法

摘要

本发明属于网络异常检测领域，具体是一种基于决策树自修复的特征规则检测方法。本发明包括：根据决策树算法，通过训练集构建一棵决策树；进行异常检测；采取决策树自修复的增枝方法，对每个叶子节点进行增枝；判断误判率是否大于等于β；采取决策树自修复的剪枝方法。本发明提出了一种决策树的增枝的方法，能够将原本停止分枝或剪枝的叶子节点进行分枝操作，利用增枝方法增加了特征规则，从而减小系统漏检率。

主权项

1.一种基于决策树自修复的特征规则检测方法，其特征在于，包括如下步骤：(1)根据决策树算法，通过训练集构建一棵决策树，生成初始特征规则进入步骤(2)；(2)进行异常检测，并计算检测的整体漏检率FP_rate和误判率EP_rate，进入步骤(3)；(3)如果FP_rate≥α，α为漏检率的阈值，则进入步骤(4)，否则进入步骤(5)；(4)采取决策树自修复的增枝方法，对每个叶子节点进行增枝，从而进一步完善决策树，进入步骤(7)；(5)判断误判率是否大于等于β，β为误判率的阈值，若EP_rate≥β进入步骤(6)，否则返回步骤(2)，开始下一个检测周期；(6)采取决策树自修复的剪枝方法，对每个叶子节点进行剪枝，从而修剪决策树，进入步骤(7)；(7)生成新的特征规则，作为下一次检测的依据，返回步骤(2)，开始下一个检测周期；其中步骤(4)中，决策树自修复的增枝方法的流程如下：(4.1)计算叶子节点i的漏检率其中，FP_i为叶子节点i的异常事件误判为安全事件的数量，TP_i为叶子节点i的异常事件判断为异常事件的数量，进入步骤(4.2)；(4.2)如果则进入步骤(4.3)，否则进入步骤(4.8)；(4.3)尝试将叶子节点作为待扩展节点重新进行分枝，进入步骤(4.4)；(4.4)根据检测后更新的数据集，通过决策树算法，选取当前数据集中比例最大的属性作为下一个扩展节点，进入步骤(4.5)；(4.5)判断待扩展节点是否满足叶子节点判定条件，若满足则进入步骤(4.8)，若不满足则进入步骤(4.6)；(4.6)计算扩展节点的漏检率其中，FP_i'为叶子节点i的拓展节点的异常事件判断为安全事件的数量，TP_i'为叶子节点i的拓展节点的异常事件判断为异常事件的数量，进入步骤(4.7)；(4.7)比较待扩展节点的漏检率与的大小，若则对扩展后的所有叶子节点进行增枝，进入步骤(4.3)；否则进入步骤(4.8)；(4.8)将该节点设置为叶子节点，增枝结束；其中步骤(4.5)中，叶子节点判定条件如下：(4.5.1)设置节点纯净度p，即节点数据集中异常事件或安全事件的占比率，P_m为节点纯净度上限；计算待扩展节点的节点纯净度p，当p>P_m时，即节点数据集中异常事件或安全事件的占比率过高，则停止增枝，生成新的叶子节点；叶子节点的分类则根据集合中异常事件与安全事件的比重决定，若异常事件比重大则该叶子节点的类别设置为异常，反之设置为安全；(4.5.2)设置节点占比率t，即节点数据集占整个样例集的比例，T_m为设定的节点占比率下限；计算待扩展节点的节点占比率t，当t<T_m时，即节点中数据量过小，则停止增枝，生成叶子节点；叶子节点的分类则根据集合中异常事件与安全事件的比重决定，若异常事件比重大则该叶子节点的类别设置为异常，反之设置为安全；(4.5.3)属性分裂过程中，当没有可以继续分裂的属性时，则停止增枝，生成新的叶子节点，叶子节点的分类则根据集合中异常事件与安全事件的比重决定，若异常事件比重大则该叶子节点的类别设置为异常，反之设置为安全；步骤(6)中，所述的决策树自修复的剪枝方法的流程如下：(6.1)计算叶子节点i的误判率其中，NP_i为叶子节点i安全事件误判为异常事件的数量，进入步骤(6.2)；(6.2)当时，将该叶子节点的父节点替换成一个叶子节点，从而得到一棵简化决策树；叶子节点的分类则根据集合中异常事件与安全事件的比重决定，若异常事件比重大则该叶子节点的类别设置为异常，反之设置为安全，进入步骤(6.3)；(6.3)计算简化决策树的误判率EP_rate′，进入步骤(6.4)；(6.4)比较EP_rate′与的大小，若则进入步骤(6.5)，否则结束；(6.5)将该简化决策树替换成叶子节点，剪枝结束。