您的当前位置：首页决策树算法在入侵检测中的应用学期论文

决策树算法在入侵检测中的应用学期论文

来源：化拓教育网

学期论文

题目：决策树算法在入侵检测中的应用

决策树算法在入侵检测中的应用

Application of Decision Tree Algorithm

in Intrusion Detection

毕业设计（论文）原创性声明和使用授权说明

原创性声明

本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。

作者签名：日期：指导教师签名：日期：

使用授权说明

本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。

作者签名：日期：

学位论文原创性声明

本人郑重声明：所呈交的论文是本人在导师的指导下进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。

作者签名：日期：年月日

学位论文版权使用授权书

本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

涉密论文按学校规定处理。

作者签名：日期：年月日

导师签名：日期：年月日

指导教师评阅书

指导教师评价：一、撰写（设计）过程 1、学生在论文（设计）过程中的治学态度、工作精神 □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、学生掌握专业知识、技能的扎实程度 □ 优 □ 良 □ 中 □ 及格 □ 不及格 3、学生综合运用所学知识和专业技能分析和解决问题的能力 □ 优 □ 良 □ 中 □ 及格 □ 不及格 4、研究方法的科学性；技术线路的可行性；设计方案的合理性 □ 优 □ 良 □ 中 □ 及格 □ 不及格 5、完成毕业论文（设计）期间的出勤情况 □ 优 □ 良 □ 中 □ 及格 □ 不及格二、论文（设计）质量 1、论文（设计）的整体结构是否符合撰写规范？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、是否完成指定的论文（设计）任务（包括装订及附件）？ □ 优 □ 良 □ 中 □ 及格 □ 不及格三、论文（设计）水平 1、论文（设计）的理论意义或对解决实际问题的指导意义 □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、论文的观念是否有新意？设计是否有创意？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 3、论文（设计说明书）所体现的整体水平 □ 优 □ 良 □ 中 □ 及格 □ 不及格建议成绩：□ 优 □ 良 □ 中 □ 及格 □ 不及格（在所选等级前的□内画“√”）指导教师：（签名）单位：（盖章）年月日

评阅教师评阅书

评阅教师评价：一、论文（设计）质量 1、论文（设计）的整体结构是否符合撰写规范？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、是否完成指定的论文（设计）任务（包括装订及附件）？ □ 优 □ 良 □ 中 □ 及格 □ 不及格二、论文（设计）水平 1、论文（设计）的理论意义或对解决实际问题的指导意义 □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、论文的观念是否有新意？设计是否有创意？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 3、论文（设计说明书）所体现的整体水平 □ 优 □ 良 □ 中 □ 及格 □ 不及格建议成绩：□ 优 □ 良 □ 中 □ 及格 □ 不及格（在所选等级前的□内画“√”）评阅教师：（签名）单位：（盖章）年月日

教研室（或答辩小组）及教学系意见

教研室（或答辩小组）评价：一、答辩过程 1、毕业论文（设计）的基本要点和见解的叙述情况 □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、对答辩问题的反应、理解、表达情况 □ 优 □ 良 □ 中 □ 及格 □ 不及格 3、学生答辩过程中的精神状态 □ 优 □ 良 □ 中 □ 及格 □ 不及格二、论文（设计）质量 1、论文（设计）的整体结构是否符合撰写规范？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、是否完成指定的论文（设计）任务（包括装订及附件）？ □ 优 □ 良 □ 中 □ 及格 □ 不及格三、论文（设计）水平 1、论文（设计）的理论意义或对解决实际问题的指导意义 □ 优 □ 良 □ 中 □ 及格 □ 不及格 2、论文的观念是否有新意？设计是否有创意？ □ 优 □ 良 □ 中 □ 及格 □ 不及格 3、论文（设计说明书）所体现的整体水平 □ 优 □ 良 □ 中 □ 及格 □ 不及格评定成绩：□ 优 □ 良 □ 中 □ 及格 □ 不及格（在所选等级前的□内画“√”）教研室主任（或答辩小组组长）：（签名）年月日教学系意见：系主任：（签名）年月日

摘要

随着网络的不断发展，安全问题越来越多，原有的防火墙已经难以单独保障网络的安全，入侵检测系统(Intrusion Detection System)开始发挥出很大的作用。当前大多数入侵检测产品使用的多是基于规则的简单模式匹配技术，它们存在着资源消耗量大，误报率高以及随着网速的提高而出现丢包等问题。为了提高检测效率和降低误报率，本论文提出了一种基于决策树的协议分析入侵检测系统。应用了协议分析技术，根据协议的高度规则性，将检测空间降低为单个的域以减少搜索空间提高检测效率；同时利用决策树能生成模型并具有预测能力的特点，用决策树算法进行检测模型的构建；将决策树算法和协议分析技术有机地结合起来，用于入侵检测。本文研究了协议分析中比较前沿的应用层协议分析方法，利用决策树构建入侵检测决策树模型，并通过将捕获的网络数据在入侵检测决策树上进行遍历来实现入侵检测。最后通过实验证明系统具有较高的检测率和可用性。

关键词：入侵检测系统，协议分析，决策树，网络安全

Abstract

As the network continues to develop, more and more security issues, the original has been difficult to separate the firewall to protect network security, intrusion detection system (Intrusion Detection System) started to play an irreplaceable role。At present the majority of intrusion detection products are used in a simple rule-based pattern matching technology, the existence of their consumption of resources, In order to improve efficiency and reduce the false positive detection rate, this paper proposes a decision tree-based intrusion detection system protocol analysis。Application of the protocol analysis technology, in accordance with the rules of a high degree of agreement will be reduced to a single detection of the space domain in order to reduce the search space to improve detection efficiency；At the same time, the use of decision tree model can be generated with the characteristics of predictive capability, using decision tree algorithm to detect model Construction； the decision tree algorithm and protocol analysis techniques combine for intrusion detection。In this paper, the more cutting-edge protocol analysis of the application layer protocol analysis, intrusion detection using decision trees to build the decision tree model, as well as through the capture of network intrusion detection data to traverse the decision tree to achieve intrusion detection。 Experiments prove that the system has a higher detection rate and availability。.

Keywords: Intrusion detection systems, protocol analysis, decision tree, network security

III

第一章引言 .............................................................................................................. 1

1.1 选题的背景和意义 ........................................................................................ 1 1.2 研究现状 ........................................................................................................ 1 1.3 论文要完成的主要内容 ................................................................................ 2 第二章入侵检测系统 ................................................................................................ 3

2.1 入侵检测 ........................................................................................................ 3

2.1.1 误用检测 ............................................................................................. 3 2.1.2 异常检测 ............................................................................................. 3 2.2 入侵检测系统的主要功能 ............................................................................ 4 2.3 入侵检测系统主要采用的几种检测机制 .................................................... 4 第三章决策树算法 .................................................................................................... 6

3.1 决策树算法及思想 ........................................................................................ 6

3.1.1 决策树算法思想及算法选择 ............................................................. 6 3.1.2 决策树算法分类 ................................................................................. 7 3.1.3 属性选择标准 ..................................................................................... 8 3.2 决策树剪枝算法 ............................................................................................ 9 第四章决策树算法在入侵检测中的应用 .............................................................. 10

4.1 决策树的生成过程 ...................................................................................... 10 4.2 用决策树进行入侵检测 .............................................................................. 11 4.3 决策树入侵检测系统结构 .......................................................................... 12 4.4 系统运行流程 .............................................................................................. 12 第五章结束语 .......................................................................................................... 14 参考文献 .................................................................................................................... 16 致谢 .................................................................................................................... 17

三联学院计算机系本科论文

第一章引言

1.1 选题的背景和意义

随着信息技术的迅速发展，计算机网络的重要性和对会的影响也越来越大，同时也成为许多恶意者的攻击目网络安全是网络信息技术发展的基石，已成为计算机领域重要研究课题之一。网络入侵者所能采用的攻击技术与段也在不断的发展变化，其功能更强、更具隐蔽性，规模也不断的扩大。各种网络入侵事件也促进了网络安全技术发展，目前主要的网络安全技术有防火墙技术、数据加密术、授权和认证以及入侵检测和漏洞检测技术等。其中入检测技术能提供实时的入侵检测及采取相应的防护手段，以探测与控制技术为本质，起着主动防御的作用，是网络全中极其重要的部分。

1.2 研究现状

网络技术的发展和应用范围的不断扩大，特别是互联网的兴起，我们越来越依赖于网络进行信息访问和信息处理，信息作为一种无形的资源也越来越得到人们的共识。由此也带来了信息安全问题。网络被入侵的事件逐年急剧增多，黑客攻击的案例也已经屡见不鲜。入侵(Intrusion)是指任何企图危及资源的完整性、机密性、和可用性的活动。入侵检测就是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点信息的采集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件或硬件的组合便是入侵检测系统(简称IDS)。IDS一般分为基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。NIDS利用专用的网络通讯监测系统，监测网络上的网络通讯包，由此作出入侵检测的分析和响应。HIDS采用实时监控手段，对主机系统的安全记录进行跟踪分析，以确认可疑的非法活动。上述两种入侵检测系统(IDs)采用的方法和技术通常是误用检测和异常检测。误用检测是通过建立己知的攻击行为的特征库，与当前进行模式匹配，如匹配成功，则发现入侵。它的优点是误报率很低，缺点是不能检测未知攻击。异常检测是将正常用户行为特征轮廓和实际用户行为进行比较，并标识出正常和非正常的偏离。它的优点是可以检测到未知入侵，但是误报率高。鉴于此，本文将

第 1 页

三联学院计算机系本科论文

误用检测和异常检测融为一体，采用协议分析技术，构成基于网络的入侵检测系统。弥补了使用单一入侵检测方法的缺陷。

1.3 论文要完成的主要内容

1 首先由数据采集器对网络数据流进行处理，产生特定格式的数据记录。 2 利用决策树方法对特定格式的数据记录进行分析学习，找出其中存在的正常规则或异常规则。

3 利用决策树方法对训练数据和入侵数据进行处理，产生参考规则集送入规则库存储。

第 2 页

三联学院计算机系本科论文

第二章入侵检测系统

2.1 入侵检测

入侵是指试图破坏资源的完整性、机密性及可用性的动集合。入侵检测就是检测入侵行为，并采取相应的防护施。随着网络已经成为企业制胜的必由之路，越来越多的企业将自己的关键业务置于网络之上，并取得了卓越的成绩。然而，越来越多的网络黑客(或者称之为网络盗贼)也以企业为目标，通过网络盗取重要资料，或者破坏企业网络，使其陷入瘫痪，给企业造成巨大的损失。随着敏感信息的在线存储和操作网络安全变得越来越重要，能否成功阻止网络黑客的入侵，保障计算机和网络系统的安全和正常运行，已经成为各机构和单位能否正常运作的关键性问题。入侵检测系统就成为帮助保护这些系统的重要技术。入侵检测系统IDS是近年出现的新型网络安全技术，是一套软件和硬件的结合体。IDS能弥补防火墙的不足，为受保护网络提供有效的入侵检测及采取相应的防护手段。入侵检测是一个全新的、迅速发展的领域，并且已成为网络安全中极为重要的一个课题。入侵检测的方法和产品也在不断的研究和开发之中，并且已经在网络攻防实例中初步展现出其重要价值。

入侵检测技术可以分为误用检测(misuse detection)和异常检测(anomaly detection)。

2.1.1 误用检测

误用检测是将入侵者活动用一种模式来表示，入侵检测系统的目标是检测主体活动是否符合这些模式。由于与攻击相对应的模式也叫特征，误用检测也叫做特征检测。在目前的商业产品中误用检测最通常的形式是将每一个攻击事件的模式定义为一个的特征，这样建立入侵特征库。它可以将已有的入侵方法检查出来，但对新的入侵方法为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2.1.2 异常检测

异常检测是假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常(normal)“模式”，将当前主体的活动状况与这些”模式”相比较，当违

第 3 页

三联学院计算机系本科论文

反其规律时，认为该活动可能是“入侵”行为。异常检测首先要收集一段时期正常操作活动的历史数据，建立代表用户主机或网络连接的正常行为的轮廓，即正常模式。异常检测的难题在于如何建立这种正常“模式”以及如何设计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。本文讨论如何将数据挖掘技术应用于入侵检测，从大量的审计数据中提取入侵或正常的行为模式，将这些模式应用于误用检测和异常检测。

2.2 入侵检测系统的主要功能

a 检测并分析用户和系统的活动； b 检查系统配置和漏洞；

c 评估系统关键资源和数据文件的完整性； d 识别已知的攻击行为； e 统计分析日常行为；

f 操作系统日志管理，识别违反安全策略的用户活动

2.3 入侵检测系统主要采用的几种检测机制

1 模式匹配

模式匹配就是将收集到的信息与已知的网络入侵进行比较，来发现违背安全策略的入侵行为。这种检测方法只需收集相关的数据集合就能进行判，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。

2 异常检测

异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和时延等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，入侵检测系统就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。

3 协议分析

协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟

第 4 页

三联学院计算机系本科论文

应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。

以上各种方法各有优劣，随着技术的发展与应用，现在越来越倾向于将各种技术结合起来，从而有效地完成对入侵行为的检测。

第 5 页

三联学院计算机系本科论文

第三章决策树算法

3.1 决策树算法及思想

决策树方法是数据挖掘中分类方法的一种。其核心思想是选择某种决策树算法利用样本数据生成决策树模型，然后用生成的决策树对未知数据进行分类预测。决策树模型的生成过程也就是分类模型的生成过程，用生成的决策树对未知数据进行分类的过程就是分类模型的预测过程。入侵检测可以被看做是对网络数据是正常还是入侵的预测，即通过一个分类模型将网络数据分为入侵和正常两类。由于决策树有创建优化的分类模型和高效的分类预测的作用，将它应用到入侵检测问题中有着非常重要的意义和实际应用价值。它通过对给定训练数据进行分析，生成可以用于分类预测的决策树模型。决策树模型中的每个内部节点描述了对样本的某个属性的测试，每个内部节点有一个或多个分枝，每一个后继分支对应于该属性的一个可能值。决策树的每个叶节点描述的是沿着路径匹配到这个里的样本所属的分类。生成决策树后可以通过遍历决策树来进行分类预测。也可以将决策树转换为规则，然后通过规则匹配来进行分类预测。

3.1.1 决策树算法思想及算法选择

决策树算法基本思想为：要为训练数据集R构造决策树必须首先选择一种属性选择标准。按属性选择标准选出当前检测属性，并按当前属性的n个值将R为n个子集。若第i个子集含有的所有记录的分类标签一致，该节点就成为决策树的叶节点，停止并以所属分类标记这个叶节点；对不满足此条件的R的其他子集按照上述方法继续，直到所有子集所含记录都属于一个类为止。用生成的决策树进行分类预测过程是把样本从根节点开始根据当前检测属性的属性值指向分枝逐一往下匹配直到到达叶子节点为止，叶节点标记的分类便是对此样本的预测分类结果。

假设，R为训练样本集，每一个样本均有若干个属性。从样本集根节点出发，根据对属性值的测试结果逐渐产生分支节点，直到产生一棵完整的树。要为R构造决策树必须首先确定属性测试选择标准，选出当前检测属性。常用的属性选择标准有信息增益、信息增益率等。按属性选择标准并按当前属性的n个值

第 6 页

三联学院计算机系本科论文

将R为n个子集。若第i个子集含有的所有记录的类别标签一致，该节点就成为决策树的叶节点，停止并以所属分类标记这个叶节点；而对不满足此条件其他子集按照上述方法继续，直到所有子集所含记录均属于一个类为止。

决策树方法的起源是概念学习系统CLS，发展到ID3算法为高潮，后来又演化为能处理连续属性的算法。有名的决策树算法还有CART和SLIQ等。ID3算法选择具有最高信息增益的属性作为测试属性，只能处理离散属性。连续属性算法对ID3算法作了改进，选择具有最高信息增益率的属性作为测试属性，能处理连续属性。CART算法可以处理高度倾斜或多态的数值型数据，也可以处理顺序或无序的类属性数据。对于协议分析问题时将协议字段作为属性，它们中既有离散型的又有连续型的，因此不能用ID3算法。又由于网络数据仅有两个分类，并不复杂，也无高度倾斜或多态等问题。如果用太复杂的算法，反而会影响效率。

决策树算法能够通过训练数据自动生成分类模型——决策树，并且可以利用生成的决策树对未知分类的数据进行预测。如果将检测入侵的过程看成是对数据包是否为入侵以及哪种入侵的预测过程，则入侵检测系统可以利用决策树算法来创建检测模型和利用决策树模型进行入侵预测。因为决策树的预测过程是从决策树根到叶节点一条路径的匹配过程，无需对整个决策树进行遍历，匹配次数降低，减少了运算量，所以将决策树算法运用到入侵检测中将提高检测效率。又因为决策树方法不仅有效率较高的优势，还发扬了数据挖掘的减少人工消耗的特点自动挖掘入侵特征设立入侵模型，十分适合性能要求高、处理数据量庞大的入侵检测，因此本入侵检测系统的便是用决策树方法来生成检测模型和进行入侵检测的。

3.1.2 决策树算法分类

决策树方法的起源是概念学习系统CLS，然后发展到ID3方法成为高潮，后来又演化为能处理连续属性的算法。有名的决策树方法还有CART和ASSIS加MT等决策树算法的分类及各自的特点如下：

(1)ID3算法：早期的决策树算法是1986年由Qullna提出的ID3算法，它是一个从上到下、分而治之的归纳过程。ID3算法的属性选择标准是最高信息增益。但是DI3算法有不能处理连续属性和构造的决策树过度适合适数据的问题。

(2)决策树连续属性算法：算法挑选具有最高信息增益率的属性作为测试属性，继承了ID3算法的优点，并在以下几方面对ID3算法进行了改进：

①用信息增益率来选择属性，克服了用信息增益选择属性时偏向选择取值

第 7 页

三联学院计算机系本科论文

多的属性的不足。

②能够完成对连续属性的离散化处理。 ③能够对不完整数据进行处理。

此外，决策树连续属性算法只适合于能够驻留于内存的数据集，当训练集大到内存无法容纳时此C4.5算法便不能处理了。

(3)EC算法：为了减少决策树连续性算法为连续型测试属性线性搜索域值而付出的代价，EC算法采用二分搜索取代线性搜索。EC还提出3种不同的计算信息增益与域值的改进策略，可以根据实际情况采取其中最佳的一种。但EC.45占用内存比决策树算法多。

(4)EART算法：可以处理高度倾斜或多态的数值型数据，也可处理顺序或无序的类属型数据。CART选择具有最小gini系数值的属性作为测试属性，gini值越小，样本的“纯净度”越高，划分效果越好。

(5)SUQ算法：上述算法由于要求训练样本驻留内存，因此不适合处理大规模数据。为此，BIM研究人员提出了一种快速的、可伸缩的、适合处理较大规模数据的决策树分类算法。

3.1.3 属性选择标准

属性选择是决策树算法的关键。决策树创建过程中，在树的每个节点上使用一种属性选择标准来度量和选择测试属性，这种度量称为属性选择度量或的优良性度量。通过度量选择后得到的属性对样本分类所需的信息量最小，并且反映了划分的最小随机性。这种方法使得对一个样本进行分类时所需的期望测试数目达到最小，并确保找到一颗简单的(但不必是最简单的)树。常用的属性选择标准有信息增益，信息增益比等，通常是选择最高信息增益或信息增益率的属性作为当前节点的测试属性。属性选择中用到的概念如下。

嫡是信息和通信理论中一个非常重要的概念，它用于衡量一个随机变量取值的不确定性程度。在决策树算法中，嫡值越小，子集划分的纯度越高。信息增益也是信息论中的一个重要概念，广泛应用于机器学习中。信息增益是特征属性对集合进行分类后所取得的嫡的减少量。一些决策树算法使用信息增益来评价属性在分类过程中所体现的信息量的程度，选择具有最高信息增益的属性作为当前节点的分类属性。若属性的信息增益越大，则在分类过程中对类的划分将起到的作用也越大。因此，在决策树算法进行属性选取的过程中，通常选取信息增益值大的属性作为分类的依据。

第 8 页

三联学院计算机系本科论文

3.2 决策树剪枝算法

一棵完全决策树能非常准确地反映训练集中数据的特征，但是由于完全决策树对训练样本的特征描述得“过于精确”，有时候反而因失去了一般代表性而无法实现对新样本的合理分析，所以完全决策树不一定是一棵能对新数据进行合理预测的最佳决策树。这种现象一般称为“过适应”。解决过适应问题的主要方法是对决策树进行剪枝，即剪去影响预测精度的分枝。

修剪树有多种算法，一般人们将其分为五大类。其中最常用的是直接控制树大小的一类方法，它通过预修剪(在树扩展过程中强行增加一个停止规则)或后修剪(在树生成后剪掉子树)来完成。第二类方法是扩展测试集，首先按特征构成是数据驱动还是假设驱动(即借助于以前建立的树预测构件特征)，将建立的特征进行组合或分割，然后在此基础上引进多变量测试集。第三类方法是选择不同的测试集评价函数，它通过改善连续特征的描述或修改搜索算法本身来实现决策树的修剪。第四类是数据库约束，即通过削减数据库或事例描述特征集来简化树。第五类，将树转换成另一种数据结构(如决策表或决策图)。这些方法通常可以在同一种算法中相互结合，进而增强各自的功能。例如，经常在搜索测试或搜索空间测试中引入控制树大小的方法。后期修剪是人们普遍关注的树简化方法，后期修剪算法输入一个未修剪的树T，输出修剪了T中一个或多个子树后获得的树T，。算法并非搜索每个可能的T’，而是借助于启发式搜索。修剪将子树转化为叶，进而用叶节点替代内部节点。后期修剪方法借助于多种评价函数，用以确定修剪一个节点是削弱还是增强了事例集的精确度。恰当的修剪可以提高分类的精确度，尤其是当训练集噪声级别比较高时相当有效。

目前主要的后剪枝方法悲观错误剪枝，最小错误剪枝，代价复杂度剪枝，基于错误的剪枝这四种。Espositoetal的研究表明大多数情况下剪枝并不会使预测精度降低，只有个别邻域可能较难控制。而对于所生成的剪枝树的复杂程度来说，MEP，CCP和EBP容易产生“欠剪枝”。PEP和EBP除了计算公式不同外，本质上没有区别，在这些算法里它们相对来说有较高的预测精确度。EBP可认为是PEP的改进，它除了删除子树之外，还将此子树嫁接至被删除子树根结点的父结点上。

第 9 页

三联学院计算机系本科论文

第四章决策树算法在入侵检测中的应用

4.1 决策树的生成过程

入侵检测决策树由节点和将节点连接起来的分支组成。节点分为普通节点和叶节点。其中每个普通节点表示对某个协议字段属性的检测。它由一个数据结构表示。该数据结构记载了此节点的测试属性、属性类别、默认最佳分类、指向分支列表的指针，以及当此属性为连续型时的一些域值数据。每个普通节点会有一个或多个分支。每个分支代表协议字段属性的一个值。该值可能是固定离散的，如网络服务属性可能的值为FTP、Telnet等；也可能是连续的，如持续时间，连续值由“阈”来表示。每个分支引向另一个节点。决策树的叶节点则标记了匹配到该节点处的记录所属的分类，而其他部分为空。描述节点的数据结构如下：

{Attribute Tested；节点测试属性（通过计算最高增益率得来） Int Node Type；树节点的类型（离散型或连续型）

Int Leaf Class；节点默认最佳分类（在检测过程中出现异常或未知属

性值时，以此分类标记）

Int Item Number；匹配到此节点处训练数据记录的数量（用于计算此节

点的默认最佳分类）

Int Class Number；指向每个分类含训练数据记录的数量标的指针（用于

计算此节点的默认最佳分类）

Int Forks；此节点处分支数量（属型可能值的个数） Float Cut；连续属性的阈（用于处理连续属性） Float Lower；阈的下限（用于处理连续属性） Float Upper；阈的上限（用于处理连续属性） Float Mid； 50%点（用于处理连续属性） Tree * Branch； Branch[x]=属性值为x的子树 }TreeRec；

为了简单直观地表示入侵检测决策树，将决策树模型的一部分作出一个示例图，其中service、URL、FTP command和content分别是决策树中标记节点的属性。Service属性的值有FTP、HTTP、Telnet等分别标记服务属性的分支。

第 10 页

三联学院计算机系本科论文

决策树算法利用由一个个连接记录组成的训练数据出发，在生长树的每一步中通过计算，选择信息增益率最高的属性作为当前节点的测试属性，最后得出可用于判断连接记录所属类型的决策树。决策树的生成过程如下：

1 建立数据分类和属性文件

数据分类包含intrusion和normal两类。属性文件用于存放属性名、属性类型以及离散型属性的所有可能取值。其中属性类型根据每个属性对应的协议字段的特点而标记为离散型或连续型。

2 准备训练数据

由于决策树检测模型的生成是以训练数据为基础的，训练数据必须是正常数据与涵盖各种入侵类型的入侵数据的混合。它们可以是由专家构建的专门用于训练的数据，也可以是长期积累下来捕获得到的网络数据的集合，并且不断补充新的网络数据样本。一般训练数据源是以tcpdump格式存储的。训练数据源经过协议分析预处理生成决策树可以处理的属性—值的二维表形式。表中每一列代表一个属性，每一行代表一个连接信息。

3 由信息增益率选择测试属性创建决策树

对目前的二维表，建立一个节点N。如果数据表中的数据均属于同一类，N就是叶节点，在该叶节点上标上所属的那一个类。如果数据表中没有其他属性可以考虑，N也是叶节点，按照少数服从多数的原则在叶节点上标上匹配至此节点处的训练数据子集中大多数记录所属的类别；否则，根据信息增益比选出一个最佳属性作为节点N的测试属性。节点属性选定以后，对于该测试属性的每一个取值从N生出一个分支，并将数据表中与该分支有关的数据收集起来形成分支节点的数据表。以此类推，重复以上过程为该节点建立子树。

4.2 用决策树进行入侵检测

检测引擎就是通过遍历入侵检测决策树来实现检测工作的。网络数据经过处理后，转换成与训练数据相同的格式。将属性—值型记录中与根节点测试属性对应的属性值提取出来，将此值与该节点发出的分支值（即该测试属性的可能值）比较。如果找不到匹配的分支，则该记录检测结束，此记录的分类为该节点的默认最佳分类。如果默认分类为入侵，则立即报警。如果此属性值与某个分支值匹配，该分支将此记录指向下一个节点，再对下一个节点属性进行比较。依此往复，直到到达叶节点为止。叶节点所标记的分类变为该记录的分类。

由此可见，对一条记录进行检测，它所走过的路程就是决策树中的一条从

第 11 页

三联学院计算机系本科论文

根节点到叶节点的路径。与必须一条条进行匹配的基于规则的简单模式匹配方法相比较而言，节省了很多冗余的比较次数。又由于属性选择算法保证了构建的决策树的简单优化，减少了对大量网络数据进行检测过程中总的比较次数，提高了检测效率。

4.3 决策树入侵检测系统结构

为验证决策树算法的效果，笔者构建了用于对网络协议分析的入侵检测试验系统。该系统主要由离线检测模型生成部分和在线检测两部分构成，如图2所示。

1 离线检测模型

生成部分负责入侵检测决策树的生成。入侵检测决策树也就是检测模型。它在系统中的作用相当于基于规则的入侵检测系统中的规则集，而入侵检测决策树以更有效、更优化的组织方式将入侵特征以树的结构组织起来。离线检测模型生成部分包含决策树生成器、协议分析器、训练数据库和训练数据源四个部分。决策树生成器是其核心部分，它接收来自训练数据库的数据，利用C4．5算法构建决策树；协议分析器用于将以tcpdump格式的训练数据源或捕获的网络数据包经过一系列处理，形成属性—值形式的数据；处理过程包括IP分片合并、TCP会话重组和一些常用的应用层协议分析；训练数据库中的数据则是训练数据源经过协议分析处理后形成的属性—值结果。

2 在线检测部分

负责对实时网络数据包进行在线检测。它包含数据接收器、协议分析器、检测引擎及用户界面。协议分析器用于对捕获的网络数据包进行处理，形成以属性—值形式表示的数据，此数据格式与生成决策树的训练数据格式相同；检测引擎以协议分析器输出的属性—值序列作为输入，通过对决策树进行遍历来实现检测功能；用户界面用于检测控制、报警和响应。

4.4 系统运行流程

基于决策树的入侵检测系统运行流程包括训练数据的生成过程、入侵检测模型的生成过程和在线检测过程三个步骤：

1 训练数据生成

构造决策树需要提供一个训练数据集，训练数据集是由一组记录构成的。

第 12 页

三联学院计算机系本科论文

每条记录是一个由关键字段组成的属性—值向量；另外在每条记录的末尾还有一个类别标记。

由于网络数据包是连续的二进制流，不满足训练数据的格式要求，为此，要将网络数据包还原成基于传输层的连接记录，有一些记录还需要进行高层的协议分析。经过重组还原和协议分析后，按照协议的格式提取出需要的特征字段，生成属性—值形式的二维表。其中：每行表示一个网络连接；每列表示一个协议的字段或经过协议分析后提取的属性。在每一行的末尾明确标记为N和I。其中，属性通常有由IP协议分析得来的字段sip、dip、sport、dport、ttl、tos、fragid、ipoption、dsize、ip_proto，由TCP协议分析得来的字段flags、seq、ack、window，由ICMP协议分析得来的字段itype、icode、icmp_id、icmp_seq外；还有由应用层协议分析得来的字段，如针对HTTP协议的request method、URL、state code，针对Telnet协议的Start Time、Username、Logged in、command等。

2 决策树生成

以前面得到的二维表形式的训练数据作为输入，用C4．5算法生成决策树。 3 在线检测

协议分析和基于决策树模型进行检测是在线检测中最重要的两个部分。在线检测中的协议分析部分与生成训练数据时用到的协议分析技术一样。检测的过程就是对决策树中一条分支遍历的过程。

第 13 页

三联学院计算机系本科论文

第五章结束语

决策树算法在入侵检测系统应用中的优点：自适应性好

传统入侵检测系统规则库的建立需要一个特别的专家小组根据现有的攻击去发现它的特征并继而开发出它的检测工具，然而当一种攻击是复杂的或者是跨越很长一段时间的话，要一个系统总能很快地跟踪入侵技术的发展是不可能的。而且针对每一种新的攻击去更换系统的代价是很大的。由于应用数据挖掘技术的异常检测不基于信号匹配模式，它并不就每一个特别的信号迸行检测，所以就不存在这个问题，表现出一定程度的实时性。例如一个改进的远程呼叫程序可能很容易迷惑基于信号匹配的系统，但是如果采用异常检测的话，它就很容易地被检测出来，因为系统会发现以前从未有来自这个地址的RPC连接。

减轻数据过载

对于传统的入侵检测系统，另外一个需要考虑的问题是不在于我们能否准确有效地检测出来自各个方面的攻击，而是我们需要多少的数据才能准确地发现一个攻击。现在网络上的数据流量越来越大，如果一个大的公司的整个网络需要一个入侵检测系统的话，它的网络流量及每天产生的各种网络记录是非常庞大的。应用数据挖掘技术可以很好地解决这个问题，现有的数据挖掘算法通过发掘数据之间的关系，可以为我们的分析提供各个不同侧面的数据特征。特别是我们可以将以前的结果和最新的数据加以综合，这样可以大大减少不必要的数据。

经过深入分析发现，尽管基于数据挖掘的入侵检测模型在检测性能和通用性方面具有优势，但在实现和采用此类系统时仍然存在一定困难。本文采用决策树连续性算法实现了基于决策树的协议分析网络入侵检测，将协议分析技术与决策树方法有机地结合起来，在提高检测效率和降低误报率方面均取得了较好的效果。

高性能

由于本系统采用了协议分析技术，依托网络协议的高度规则性，引导检测引擎只搜索数据包明确特定的部分，有效地减少了搜索空间，大大提高了检测效率。用决策树模型对未知数据的预测过程即是对决策树中某一分支的遍历过程。该过程相对于简单规则匹配技术对每一条规则均要逐一进行匹配而言，计

第 14 页

三联学院计算机系本科论文

算量小、搜索速度快。

减少正误判

将搜索空间降低为单个的域，确保特征串的实际意义被正确理解，降低了正误判。

只给定训练数据和属性选择标准

程序就能自动生成决策树，因而减少了数据挖掘方法从大量数据中发掘入侵特征的人力和人工编写特征编码的主观性和低效率。这并不代表一旦通过训练数据生成决策树模型后就一劳永逸了。因为基于决策树的入侵检测系统很难准确检测训练数据中不包含的新的入侵种类，所以训练数据的质量也是决策树模型是否有效的一个重要因素。训练数据要尽可能全面地包含各种入侵类型，在一定的时间内要对训练数据进行补充更新，以便将新的入侵特征更新到决策树模型中。对于数据库中庞杂的数据，人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。偏差包括很多潜在的知识，如分类中的反常实例、不满足规则的特例、观测结果与模型预测值的偏差、量值随时间的变化等。

第 15 页

三联学院计算机系本科论文

参考文献

[1]连洁,王杰.入侵检测系统在涉密计算机中的应用研究[J]微计算机信息 2005(30). [2] 杨瑞伟,闫怀志,李雨飞.从入侵检测到入侵防护——信息安全保障主动防御的必然选择[J];计算机安全;2005年01期.

[3] 杨学兵,张俊.决策树算法及核心技术[J].计算机应用与发展,2007,17(1)：43-45. [4]夏尊背.入侵检测技术发展趋势研究[J].宜春学院学报;2005年04期. [5] 段丹青;入侵检测算法及关键技术研究[D].中南大学;2007年.

[6] 赵俊忠,游林,徐茂智,孙善利黄厚宽.入侵检测系统中检测技术的研究[J].计算机工程与应用;2005年02期.

[7] 安德智,汪洋.网络入侵检测技术分析[J].天中学刊;2004年05期.

[8] 王德强,姜万波,姚立红.入侵检测技术研究现状与未来发展[J].中兴通讯技术;2004年04期.

[9] 蒋继洪,黄月江.计算机系统;数据库系统和通信网络的安全与保密[M].成都:电子科技大学出版社,1995.9-12.

[10] 杨学兵,张俊.决策树算法及核心技术[J].计算机应用与发展,2007.

[11] 徐德鹏.入侵检测技术研究[J].安徽电子信息职业技术学院学报; 2004年Z1期. [12] 吴礼发.网络入侵检测系统的研究[A];中国电子学会第七届学术年会论文集[C];2001年.

[13] LEE W A data mining framework for constructing features and mo－deals for intrusion detection systems[D] New York: Columbia University,1999:22-26. [14] FIELDING R, GETTYS J, MOGUL J, et al.HTTP/1.1 RFC 2616 Hypertext transfer protocol[S].2006.

[15] 陈旭升.基于网络入侵检测的网络安全监测系统[J];中国科技信息; 2005年12期. [16] 谢宁协.同入侵检测技术的研究[D];西安理工大学;2007年.

[17] 谭建龙.串匹配算法及其在网络内容分析中的应用[D];中国科学院研究生院（计算技术研究所）2003年.

第 16 页

三联学院计算机系本科论文

致谢

本学位论文是在我的导师仇德成老师的亲切关怀和悉心指导下完成的。他严肃的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和激励着我。从课题的选择到论文的最终完成，仇老师都始终给予我细心的指导和不懈的支持。几年多来，仇老师不仅在学业上给我以精心指导，同时还在思想、生活上给我以无微不至的关怀，在此谨向仇老师致以诚挚的谢意和崇高的敬意。

在此，我还要感谢在一起愉快的度过大学生生活的计算机系各位同学，正是由于你们的帮助和支持，我才能克服一个一个的困难和疑惑，直至本文的顺利完成。特别感谢我的舍友邓海元同学，他对本论文的完成做了不少工作，给予我不少的帮助。

在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意!

第 17 页

三联学院计算机系本科论文

学位论文原创性声明

本人郑重声明：所呈交的学位论文，是本人在导师的指导下进行的研究工作所取得的成果。尽我所知，除文中已经特别注明引用的内容和致谢的地方外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式注明并表示感谢。本人完全意识到本声明的法律结果由本人承担。

学位论文作者（本人签名）：年月日

学位论文出版授权书

本人及导师完全同意《中国博士学位论文全文数据库出版章程》、《中国优秀硕士学位论文全文数据库出版章程》(以下简称“章程”)，愿意将本人的学位论文提交“中国学术期刊（光盘版）电子杂志社”在《中国博士学位论文全文数据库》、《中国优秀硕士学位论文全文数据库》中全文发表和以电子、网络形式公开出版，并同意编入CNKI《中国知识资源总库》，在《中国博硕士学位论文评价数据库》中使用和在互联网上传播，同意按“章程”规定享受相关权益。

论文密级：

□公开 □保密（___年__月至__年__月）(保密的学位论文在解密后应遵守此协议)

作者签名：_______ 导师签名：_______ _______年_____月_____日 _______年_____月_____

日

第 18 页

三联学院计算机系本科论文

独创声明

本人郑重声明：所呈交的毕业设计(论文)，是本人在指导老师的指导下，进行研究工作所取得的成果，成果不存在知识产权争议。尽我所知，除文中已经注明引用的内容外，本设计（论文）不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体均已在文中以明确方式标明。

本声明的法律后果由本人承担。

作者签名: 二〇一〇年九月二十日

毕业设计（论文）使用授权声明

本人完全了解滨州学院关于收集、保存、使用毕业设计（论文）的规定。

本人愿意按照学校要求提交学位论文的印刷本和电子版，同意学校保存学位论文的印刷本和电子版，或采用影印、数字化或其它复制手段保存设计（论文）；同意学校在不以营利为目的的前提下，建立目录检索与阅览服务系统，公布设计（论文）的部分或全部内容，允许他人依法合理使用。

（保密论文在解密后遵守此规定）

作者签名:

二〇一〇年九月二十日

第 19 页

三联学院计算机系本科论文

致谢

时间飞逝，大学的学习生活很快就要过去，在这四年的学习生活中，收获了很多，而这些成绩的取得是和一直关心帮助我的人分不开的。

首先非常感谢学校开设这个课题，为本人日后从事计算机方面的工作提供了经验，奠定了基础。本次毕业设计大概持续了半年，现在终于到结尾了。本次毕业设计是对我大学四年学习下来最好的检验。经过这次毕业设计，我的能力有了很大的提高，比如操作能力、分析问题的能力、合作精神、严谨的工作作风等方方面面都有很大的进步。这期间凝聚了很多人的心血，在此我表示由衷的感谢。没有他们的帮助，我将无法顺利完成这次设计。

首先，我要特别感谢我的知道郭谦功老师对我的悉心指导，在我的论文书写及设计过程中给了我大量的帮助和指导，为我理清了设计思路和操作方法，并对我所做的课题提出了有效的改进方案。郭谦功老师渊博的知识、严谨的作风和诲人不倦的态度给我留下了深刻的印象。从他身上，我学到了许多能受益终生的东西。再次对周巍老师表示衷心的感谢。

其次，我要感谢大学四年中所有的任课老师和辅导员在学习期间对我的严格要求，感谢他们对我学习上和生活上的帮助，使我了解了许多专业知识和为人的道理，能够在今后的生活道路上有继续奋斗的力量。

另外，我还要感谢大学四年和我一起走过的同学朋友对我的关心与支持，与他们一起学习、生活，让我在大学期间生活的很充实，给我留下了很多难忘的回忆。

最后，我要感谢我的父母对我的关系和理解，如果没有他们在我的学习生涯中的无私奉献和默默支持，我将无法顺利完成今天的学业。

四年的大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。

回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师四年来对我孜孜不倦的教诲，对我成长的关心和爱护。

学友情深，情同兄妹。四年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。

在我的十几年求学历程里，离不开父母的鼓励和支持，是他们辛勤的劳作，无私的付出，为我创造良好的学习条件，我才能顺利完成完成学业，感激他们一直以来对我的抚养与培育。

第 20 页

三联学院计算机系本科论文

最后，我要特别感谢我的导师赵达睿老师、和研究生助教熊伟丽老师。是他们在我毕业的最后关头给了我们巨大的帮助与鼓励，给了我很多解决问题的思路，在此表示衷心的感激。老师们认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅。他无论在理论上还是在实践中，都给与我很大的帮助，使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助，感谢他耐心的辅导。在论文的撰写过程中老师们给予我很大的帮助，帮助解决了不少的难点，使得论文能够及时完成，这里一并表示真诚的感谢。

第 21 页

三联学院计算机系本科论文

毕业设计（论文）原创性声明和使用授权说明

原创性声明

作者签名：日期：指导教师签名：日期：

使用授权说明

作者签名：日期：

第 22 页

三联学院计算机系本科论文

学位论文原创性声明

作者签名：日期：年月日

学位论文版权使用授权书

涉密论文按学校规定处理。

作者签名：日期：年月日

导师签名：日期：年月日

第 23 页

三联学院计算机系本科论文

独创声明

本声明的法律后果由本人承担。

作者签名: 二〇一〇年九月二十日

毕业设计（论文）使用授权声明

本人完全了解**学院关于收集、保存、使用毕业设计（论文）的规定。

（保密论文在解密后遵守此规定）

作者签名:

二〇一〇年九月二十日

第 24 页

三联学院计算机系本科论文

基本要求：写毕业论文主要目的是培养学生综合运用所学知识和技能，理论联系实际，分析，解决实际问题的能力，使学生得到从事本专业工作和进行相关的基本训练。毕业论文应反映出作者能够准确地掌握所学的专业基础知识，基本学会综合运用所学知识进行科学研究的方法，对所研究的题目有一定的心得体会，论文题目的范围不宜过宽，一般选择本学科某一重要问题的一个侧面。

毕业论文的基本教学要求是： 1、培养学生综合运用、巩固与扩展所学的基础理论和专业知识，培养学生分析、解决实际问题能力、培养学生处理数据和信息的能力。2、培养学生正确的理论联系实际的工作作风，严肃认真的科学态度。3、培养学生进行社会调查研究；文献资料收集、阅读和整理、使用；提出论点、综合论证、总结写作等基本技能。

毕业论文是毕业生总结性的作业，是学生运用在校学习的基本知识和基础理论，去分析、解决一两个实际问题的实践锻炼过程，也是学生在校学习期间学习成果的综合性总结，是整个教学活动中不可缺少的重要环节。撰写毕业论文对于培养学生初步的科学研究能力，提高其综合运用所学知识分析问题、解决问题能力有着重要意义。

毕业论文在进行编写的过程中，需要经过开题报告、论文编写、论文上交评定、论文答辩以及论文评分五个过程，其中开题报告是论文进行的最重要的一个过程，也是论文能否进行的一个重要指标。

撰写意义：1.撰写毕业论文是检验学生在校学习成果的重要措施，也是提高教学质量的重要环节。大学生在毕业前都必须完成毕业论文的撰写任务。申请学位必须提交相应的学位论文，经答辩通过后，方可取得学位。可以这么说，毕业论文是结束大学学习生活走向社会的一个中介和桥梁。毕业论文是大学生才华的第一次显露，是向祖国和人民所交的一份有份量的答卷，是投身社会主义现代化建设事业的报到书。一篇毕业论文虽然不能全面地反映出一个人的才华，也不一定能对社会直接带来巨大的效益，对专业产生开拓性的影响。但是，实践证明，撰写毕业论文是提高教学质量的重要环节，是保证出好人才的重要措施。

2.通过撰写毕业论文，提高写作水平是干伍“四化”建设的需要。党要求，为了适应现代化建设的需要，领导班子成员应当逐步实现“化、年轻化、知识化、专业化”。这个“四化”的要求，也

第 25 页

三联学院计算机系本科论文

包含了对干部写作能力和写作水平的要求。

3.提高大学生的写作水平是社会主义物质文明和精神文明建设的需要。在新的历史时期，无论是提高全族的科学文化水平，掌握现代科技知识和科学管理方法，还是培养社会主义新人，都要求我们的干部具有较高的写作能力。在经济建设中，作为领导人员和机关的办事人员，要写指示、通知、总结、调查报告等应用文；要写说明书、广告、解说词等说明文；还要写科学论文、经济评论等议论文。在当今信息社会中，信息对于加快经济发展速度，取得良好的经济效益发挥着愈来愈大的作用。写作是以语言文字为信号，是传达信息的方式。信息的来源、信息的收集、信息的储存、整理、传播等等都离不开写作。

论文种类：毕业论文是学术论文的一种形式，为了进一步探讨和掌握毕业论文的写作规律和特点，需要对毕业论文进行分类。由于毕业论文本身的内容和性质不同，研究领域、对象、方法、表现方式不同，因此，毕业论文就有不同的分类方法。

按内容性质和研究方法的不同可以把毕业论文分为理论性论文、实验性论文、描述性论文和设计性论文。后三种论文主要是理工科大学生可以选择的论文形式，这里不作介绍。文科大学生一般写的是理论性论文。理论性论文具体又可分成两种：一种是以纯粹的抽象理论为研究对象，研究方法是严密的理论推导和数算，有的也涉及实验与观测，用以验证论点的正确性。另一种是以对客观事物和现象的调查、考察所得观测资料以及有关文献资料数据为研究对象，研究方法是对有关资料进行分析、综合、概括、抽象，通过归纳、演绎、类比，提出某种新的理论和新的见解。

按议论的性质不同可以把毕业论文分为立论文和驳论文。立论性的毕业论文是指从正面阐述论证自己的观点和主张。一篇论文侧重于以立论为主，就属于立论性论文。立论文要求论点鲜明，论据充分，论证严密，以理和事实服人。驳论性毕业论文是指通过反驳别人的论点来树立自己的论点和主张。如果毕业论文侧重于以驳论为主，批驳某些错误的观点、见解、理论，就属于驳论性毕业论文。驳论文除按立论文对论点、论据、论证的要求以外，还要求针锋相对，据理力争。

按研究问题的大小不同可以把毕业论文分为宏观论文和微观论文。凡届国家全局性、带有普遍性并对局部工作有一定指导意义的论

第 26 页

三联学院计算机系本科论文

文，称为宏观论文。它研究的面比较宽广，具有较大范围的影响。反之，研究局部性、具体问题的论文，是微观论文。它对具体工作有指导意义，影响的面窄一些。

另外还有一种综合型的分类方法，即把毕业论文分为专题型、论辩型、综述型和综合型四大类：

1．专题型论文。这是分析前人研究成果的基础上，以直接论述的形式发表见解，从正面提出某学科中某一学术问题的一种论文。如本书第十二章例文中的《浅析领导者突出工作重点的方法与艺术》一文，从正面论述了突出重点的工作方法的意义、方法和原则，它表明了作者对突出工作重点方法的肯定和理解。2．论辩型论文。这是针对他人在某学科中某一学术问题的见解，凭借充分的论据，着重揭露其不足或错误之处，通过论辩形式来发表见解的一种论文。3．综述型论文。这是在归纳、总结前人或今人对某学科中某一学术问题已有研究成果的基础上，加以介绍或评论，从而发表自己见解的一种论文。4．综合型论文。这是一种将综述型和论辩型两种形式有机结合起来写成的一种论文。如《关于中国民族关系史上的几个问题》一文既介绍了研究民族关系史的现状，又提出了几个值得研究的问题。因此，它是一篇综合型的论文。

写作步骤：毕业论文是高等教育自学考试本科专业应考者完成本科阶段学业的最后一个环节，它是应考者的总结性作业，目的在于总结学习专业的成果，培养综合运用所学知识解决实际问题的能力。从文体而言，它也是对某一专业领域的现实问题或理论问题进行科学研究探索的具有一定意义的论说文。完成毕业论文的撰写可以分两个步骤，即选择课题和研究课题。

首先是选择课题。选题是论文撰写成败的关键。因为，选题是毕业论文撰写的第一步，它实际上就是确定“写什么”的问题，亦即确定科学研究的方向。如果“写什么”不明确，“怎么写”就无从谈起。

教育部自学考试办公室有关对毕业论文选题的途径和要求是“为鼓励理论与工作实践结合，应考者可结合本单位或本人从事的工作提出论文题目，报主考学校审查同意后确立。也可由主考学校公布论文题目，由应考者选择。毕业论文的总体要求应与普通全日制高等学校相一致，做到通过论文写作和答辩考核，检验应考者综合运用专业知识的能力”。但不管考生是自己任意选择课题，还是在主考院校公布

第 27 页

三联学院计算机系本科论文

的指定课题中选择课题，都要坚持选择有科学价值和现实意义的、切实可行的课题。选好课题是毕业论文成功的一半。

第一、要坚持选择有科学价值和现实意义的课题。科学研究的目的是为了更好地认识世界、改造世界，以推动社会的不断进步和发展。因此，毕业论文的选题，必须紧密结合社会主义物质文明和精神文明建设的需要，以促进科学事业发展和解决现实存在问题作为出发点和落脚点。选题要符合科学研究的正确方向，要具有新颖性，有创新、有理论价值和现实的指导意义或推动作用，一项毫无意义的研究，即使花很大的精力，表达再完善，也将没有丝毫价值。具体地说，考生可从以下三个方面来选题。首先，要从现实的弊端中选题，学习了专业知识，不能仅停留在书本上和理论上，还要下一番功夫，理论联系实际，用已掌握的专业知识，去寻找和解决工作实践中急待解决的问题。其次，要从寻找科学研究的空白处和边缘领域中选题，科学研究。还有许多没有被开垦的处女地，还有许多缺陷和空白，这些都需要填补。应考者应有独特的眼光和超前的意识去思索，去发现，去研究。最后，要从寻找前人研究的不足处和错误处选题，在前人已提出来的研究课题中，许多虽已有初步的研究成果，但随着社会的不断发展，还有待于丰富、完整和发展，这种补充性或纠正性的研究课题，也是有科学价值和现实指导意义的。

第二、要根据自己的能力选择切实可行的课题。毕业论文的写作是一种创造性劳动，不但要有考生个人的见解和主张，同时还需要具备一定的客观条件。由于考生个人的主观、客观条件都是各不相同的，因此在选题时，还应结合自己的特长、兴趣及所具备的客观条件来选题。具体地说，考生可从以下三个方面来综合考虑。首先，要有充足的资料来源。“巧妇难为无米之炊”，在缺少资料的情况下，是很难写出高质量的论文的。选择一个具有丰富资料来源的课题，对课题深入研究与开展很有帮助。其次，要有浓厚的研究兴趣，选择自己感兴趣的课题，可以激发自己研究的热情，调动自己的主动性和积极性，能够以专心、细心、恒心和耐心的积极心态去完成。最后，要能结合发挥自己的业务专长，每个考生无论能力水平高低，工作岗位如何，都有自己的业务专长，选择那些能结合自己工作、发挥自己业务专长的课题，对顺利完成课题的研究大有益处。

第 28 页

三联学院计算机系本科论文

致谢

这次论文的完成，不止是我自己的努力，同时也有老师的指导，同学的帮助，以及那些无私奉献的前辈，正所谓你知道的越多的时候你才发现你知道的越少，通过这次论文，我想我成长了很多，不只是磨练了我的知识厚度，也使我更加确定了我今后的目标：为今后的计算机事业奋斗。在此我要感谢我的指导老师——***老师，感谢您的指导，才让我有了今天这篇论文，您不仅是我的论文导师，也是我人生的导师，谢谢您！我还要感谢我的同学，四年的相处，虽然我未必记得住每分每秒，但是我记得每一个有你们的精彩瞬间，我相信通过大学的历练，我们都已经长大，变成一个有担当，有能力的新时代青年，感谢你们的陪伴，感谢有你们，这篇论文也有你们的功劳，我想毕业不是我们的相处的结束，它是我们更好相处的开头，祝福你们！我也要感谢父母，这是他们给我的，所有的一切；感谢母校，尽管您不以我为荣，但我一直会以我是一名农大人为荣。

通过这次毕业设计，我学习了很多新知识，也对很多以前的东西有了更深的记忆与理解。漫漫求学路，过程很快乐。我要感谢信息与管理科学学院的老师，我从他们那里学到了许多珍贵的知识和做人处事的道理，以及科学严谨的学术态度，令我受益良多。同时还要感谢学院给了我一个可以认真学习，天天向上的学习环境和机会。

即将结束*大学习生活，我感谢****大学提供了一次在**大接受教育的机会，感谢院校老师的无私教导。感谢各位老师审阅我的论文。

第 29 页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文