專利名稱:基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測方法,尤其涉及一種基于貝葉斯分類器的網(wǎng)絡(luò)A侵分 類方法。
背景技術(shù):
入侵檢測技術(shù)是近20年來出現(xiàn)的一種新型網(wǎng)絡(luò)安全技術(shù),它作為防火墻后的第二道 安全閘門,能夠檢測出多種形式的入侵行為,是現(xiàn)代計算機網(wǎng)絡(luò)安全體系的一個重要組 成部分。在網(wǎng)絡(luò)技術(shù)迅速發(fā)展、網(wǎng)絡(luò)安全問題日益突出的環(huán)境下,傳統(tǒng)的基于主機或基 于網(wǎng)絡(luò)的入侵檢測系統(tǒng)己經(jīng)難以滿足對越來越復(fù)雜的網(wǎng)絡(luò)攻擊的檢測任務(wù)。將機器學(xué)習(xí) 與數(shù)據(jù)挖掘等技術(shù)應(yīng)用到入侵檢測系統(tǒng),已經(jīng)成為入侵檢測系統(tǒng)研究的主要方向之一。
例如基于貝葉斯分類方法的、基于神經(jīng)網(wǎng)絡(luò)的和基于關(guān)聯(lián)規(guī)則挖掘的入侵檢測技術(shù)。 樸素貝葉斯分類器是眾多貝葉斯分類器中最簡單的一種,屬性的條件獨立性假設(shè)是 其區(qū)別與其它貝葉斯分類器的根本特征,即在給定類標(biāo)的情況下其他屬性的取值是相互 獨立的。這一假設(shè)大大簡化了分類器的復(fù)雜性。其雖然簡單但是在很多場合取得了較其 它復(fù)雜分類器更優(yōu)的性能,所以樸素貝葉斯分類器已經(jīng)被引用到入侵檢測系統(tǒng)中,如 斯坦福研究院的Valdes和Skinner等用樸素貝葉斯分類器對網(wǎng)絡(luò)流量進行分析,并設(shè)計了 稱為eBayes的入侵檢測系統(tǒng);Barbara等也提出了使用樸素貝葉斯分類器對事件進行分類 的入侵檢測系統(tǒng)ADAM。然而,樸素貝葉斯的獨立性假設(shè)在實際情況中不可能完全滿足, 事件屬性之間會存在著一定的依賴關(guān)系。
為了緩解樸素貝葉斯的條件獨立性假設(shè),許多研究工作就此展開,已經(jīng)提出了很多 放寬獨立性假設(shè)的改進的貝葉斯分類器,如TAN、 LBR、 AODE、 FBN等。但這些分類 器或者是由于事件復(fù)雜度高,或者是沒有考慮到不同類標(biāo)事件的屬性獨立性關(guān)系和不同 屬性之間的依賴關(guān)系,從而無法應(yīng)用到實時性要求高并且已追求預(yù)測精度為目的的入侵 檢測系統(tǒng)中來。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類 方法,以提高入侵檢測系統(tǒng)的入侵檢測性能。
為解決上述問題,本發(fā)明的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法包括如下 步驟
1訓(xùn)練階段a收集已知是否為入侵的會話事件并進行特征提取作為訓(xùn)練集; b對訓(xùn)練集進行預(yù)處理; c訓(xùn)練出基于完全無向圖的貝葉斯分類器; d結(jié)束; 2分類階段
a預(yù)處理待檢測的會話事件;
b使用步驟lc得到的分類器對處理后的會話事件進行分類; C返回分類結(jié)果; d結(jié)束。
其中
步驟lb所述的預(yù)處理為對訓(xùn)練集中的離散屬性進行離散化。 步驟lc所述的訓(xùn)練出基于完全無向圖的貝葉斯分類器的步驟是
1) 從訓(xùn)練集中統(tǒng)計出每個不同類標(biāo)出現(xiàn)的頻率,并使用這些頻率估計出每個類標(biāo) 的先驗概率;
2) 從訓(xùn)練集中估計出每個類標(biāo)下每個屬性取值的條件概率;
3) 從訓(xùn)練集中估計出每個類標(biāo)下每兩個屬性不同取值的聯(lián)合條件概率;
4) 結(jié)束。
步驟2a所述的預(yù)處理為對會話事件進行格式化或離散化。
步驟2b所述的使用步驟lc得到的分類器對處理后的會話事件進行分類的步驟如
下
1) 令變量i為1;
2) 如果i小于等于類別個數(shù)Nc,即執(zhí)行步驟3),否則執(zhí)行步驟5);
3) 按照下式計算待分類樣本在當(dāng)前類標(biāo)(i對應(yīng)的類別)下的后驗概率并將它存放 在臨時數(shù)組Temp中,
va =f(c)(nnp("ic》
4) i自增l,執(zhí)行步驟2);
5) 令v-O, s=0, i=l;
6) 如果i小于等于Nc,執(zhí)行步驟7),否則執(zhí)行10);
7) 如果s小于等于Temp[i],則執(zhí)行步驟8),否則執(zhí)行);
8) 令s-Temp[i], v=i;
9) i自增l,跳轉(zhuǎn)步驟6);
10) v對應(yīng)的類標(biāo)即為待分類樣本對應(yīng)的類標(biāo);
11) 結(jié)束。
有益效果本發(fā)明的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法在保持計算簡單 的前提下,提高了分類器的精度,尤其是針對小樣本類標(biāo)的異常事件,從而提高了入侵 檢測系統(tǒng)的入侵檢測性能,明顯降低誤報警率。
圖l為入侵檢測系統(tǒng)工作流程圖。
圖2為本發(fā)明的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法的流程圖。
圖3為生成基于完全無向圖的貝葉斯分類器的流程圖。
圖4為利用基于完全無向圖的貝葉斯分類器進行分類的流程圖。
具體實施例方式
下面結(jié)合附圖,對本發(fā)明作進一步說明。 實施例1:
如圖1所示,入侵檢測系統(tǒng)通過網(wǎng)絡(luò)會話事件采集設(shè)備獲取網(wǎng)絡(luò)報文數(shù)據(jù),經(jīng)報文 數(shù)據(jù)格式化、特征提取等預(yù)處理,然后進行入侵識別,入侵識別的結(jié)果可以繼續(xù)進行報 警關(guān)聯(lián)、入侵跟蹤等后續(xù)處理。
入侵識別是網(wǎng)絡(luò)入侵檢測系統(tǒng)的核心步驟,本發(fā)明的思路就是通過提高入侵識別中 分類器的分類精度,從而提高整個網(wǎng)絡(luò)入侵檢測系統(tǒng)的性能。入侵識別過程即本發(fā)明的 基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法的流程圖如圖2所示。
步驟O為本發(fā)明的網(wǎng)絡(luò)入侵分類方法的起始狀態(tài);
在訓(xùn)練階段(步驟l-3),步驟l搜集網(wǎng)絡(luò)中己知是否為入侵的歷史會話事件,并使
用41個特征屬性(特征屬性詳細描述見KDDCUP99入侵檢測數(shù)據(jù)集描述說明文檔)來刻
畫這些事件,由這些已知是否為入侵事件的會話(即已知類標(biāo)的記錄)構(gòu)成基于完全無
向圖的貝葉斯分類器的訓(xùn)練集;
步驟2對訓(xùn)練集中離散屬性使用其取值范圍為10等分的方法離散化;
步驟3使用訓(xùn)練集訓(xùn)練出 一個基于完全無向圖的貝葉斯分類器。
在分類階段(步驟4-5),步驟4在實際入侵檢測應(yīng)用場景中通過網(wǎng)絡(luò)會話事件采集
網(wǎng)絡(luò)報文并進行格式化、離散化等預(yù)處理;
步驟5利用生成的基于完全無向圖的貝葉斯分類器進行分類;
步驟6是本發(fā)明的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法的結(jié)束步驟。
圖3是對圖2中步驟3的詳細描述。
步驟30為起始步驟。
步驟31從訓(xùn)練集中統(tǒng)計出每個不同類標(biāo)出現(xiàn)的頻率,并使用這些頻率估計出每個類 標(biāo)的先驗概率,即用最大似然估計的方法,同時使用公式(1)進行LAPLACE修正
U)
其中,^是訓(xùn)練集的總樣本個數(shù),^k是類標(biāo)屬性值為c的樣本個數(shù),^是類的
水
步驟32使用最大似然估計的方法及LAPLACE修正利用公式(2)從訓(xùn)練集中估計每 個類標(biāo)下每個屬性取值的條件概率
4+1 (2)
其中,^是類標(biāo)屬性值為c的樣本個數(shù),^是類c中屬性4的屬性值為"'的樣本 個數(shù),"'是離散屬性4的屬性個數(shù)。
步驟33使用最大似然估計的方法及LAPLACE修正利用公式(3)從訓(xùn)練集中估計每 個類標(biāo)下每2個屬性不同取值的聯(lián)合條件概率
<formula>formula see original document page 7</formula>
其中,^r是類標(biāo)屬性值為c的樣本個數(shù),^w是類c中滿足屬性4-"/且屬性4-A
的樣本個數(shù),"'是離散屬性4的屬性個數(shù),^是離散屬性4的屬性個數(shù)。 圖4詳述了圖2中的步驟5。 步驟50為起始步驟。 步驟51輸入待分類的樣本。 步驟52令變量i為l。
步驟53如果i小于等于Nc,即i小于等于類別個數(shù)即執(zhí)行步驟54,否則執(zhí)行步驟56。
步驟54按照公式(4)計算待分類樣本在當(dāng)前類標(biāo)(i對應(yīng)的類別)下的后驗概率 并將它存放在臨時數(shù)組Temp中。
<formula>formula see original document page 7</formula>步驟55 i自增l,執(zhí)行步驟53。
步驟52-55實際上是一個循環(huán),目的是計算待分類樣本在每個類標(biāo)下的后驗概率。步驟56令f0, s=0, i=l。
步驟57如果i小于等于Nc,執(zhí)行步驟58,否則執(zhí)行步驟61。 步驟58如果s小于等于Temp[i],則執(zhí)行步驟59,否則執(zhí)行步驟60。 步驟59令s-Temp[i], v=i。 步驟60 i自增l,跳轉(zhuǎn)步驟57。
步驟56-60目的是遍歷整個臨時數(shù)組,找出最大值,該最大值的下標(biāo)對應(yīng)的類即 是待分類樣本的類標(biāo)。
步驟61 v對應(yīng)的類標(biāo)即為待分類樣本對應(yīng)的類標(biāo)。 步驟62為圖4的結(jié)束狀態(tài)。
權(quán)利要求
1、一種基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,其特征在于該方法包括如下步驟1)訓(xùn)練階段a)收集已知是否為入侵的會話事件并進行特征提取作為訓(xùn)練集;b)對訓(xùn)練集進行預(yù)處理;c)訓(xùn)練出基于完全無向圖的貝葉斯分類器;d)結(jié)束;2)分類階段a)預(yù)處理待檢測的會話事件;b)使用步驟1c)得到的分類器對處理后的會話事件進行分類;c)返回分類結(jié)果;d)結(jié)束。
2、 根據(jù)權(quán)利要求1所述的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,其特征 在于步驟lb)所述的預(yù)處理為對訓(xùn)練集中的離散屬性進行離散化。
3、 根據(jù)權(quán)利要求1所述的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,其特征在于步驟1C)所述的訓(xùn)練出基于完全無向圖的貝葉斯分類器的步驟是1) 從訓(xùn)練集中統(tǒng)計出每個不同類標(biāo)出現(xiàn)的頻率,并使用這些頻率估計出每個類標(biāo)的先驗概率;2) 從訓(xùn)練集中估計出每個類標(biāo)下每個屬性取值的條件概率;3) 從訓(xùn)練集中估計出每個類標(biāo)下每兩個屬性不同取值的聯(lián)合條件概率;4) 結(jié)束。
4、 根據(jù)權(quán)利要求1所述的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,其特征 在于步驟2a)所述的預(yù)處理為對會話事件進行格式化或離散化。
5、 根據(jù)權(quán)利要求1所述的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,其特征 在于步驟2b)所述的使用步驟lc)得到的分類器對處理后的會話事件進行分類的步驟 如下1) 令變量i為12) 如果i小于等于類別個數(shù)Nc,即執(zhí)行步驟3),否則執(zhí)行步驟5);3) 按照下式計算待分類樣本在當(dāng)前類標(biāo)下的后驗概率并將它存放在臨時數(shù)組Temp中,<formula>formula see original document page 2</formula> 4) i自增l,執(zhí)行步驟2);5) 令v-0, s=0, i=l;6) 如果i小于等于Nc,執(zhí)行步驟7),否則執(zhí)行10);7) 如果s小于等于Temp[i],則執(zhí)行步驟8),否則執(zhí)行);8) 令s-Temp[i〗,v=i;9) i自增l,跳轉(zhuǎn)步驟6);10) v對應(yīng)的類標(biāo)即為待分類樣本對應(yīng)的類標(biāo);11) 結(jié)束。
全文摘要
本發(fā)明公開了一種基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法,包括如下步驟1)訓(xùn)練階段a)收集已知是否為入侵的會話事件并進行特征提取作為訓(xùn)練集;b)對訓(xùn)練集進行預(yù)處理;c)訓(xùn)練出基于完全無向圖的貝葉斯分類器;d)結(jié)束;2)分類階段a)預(yù)處理待檢測的會話事件;b)使用步驟1c)得到的分類器對處理后的會話事件進行分類;c)返回分類結(jié)果;d)結(jié)束。本發(fā)明的基于完全無向圖的貝葉斯的網(wǎng)絡(luò)入侵分類方法在保持計算簡單的前提下,提高了分類器的精度,尤其是針對小樣本類標(biāo)的異常事件,從而提高了入侵檢測系統(tǒng)的入侵檢測性能。
文檔編號G06F17/30GK101394316SQ200810234948
公開日2009年3月25日 申請日期2008年11月11日 優(yōu)先權(quán)日2008年11月11日
發(fā)明者焦從信, 王崇駿, 趙志宏, 斌 駱 申請人:南京大學(xué)