本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域,涉及網(wǎng)絡(luò)入侵類型的識別分析,可用于對網(wǎng)絡(luò)數(shù)據(jù)流的行為識別檢測中,以準(zhǔn)確、全面的區(qū)分網(wǎng)絡(luò)行為提高網(wǎng)絡(luò)的安全性。
背景技術(shù):隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用的日益普及,計(jì)算機(jī)網(wǎng)絡(luò)安全越來越受到人們的重視。近年來,互聯(lián)網(wǎng)的主干網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用、TCP/IP網(wǎng)絡(luò)協(xié)議三個(gè)層次都受到了各種各樣的安全威脅或攻擊,信息安全特別是網(wǎng)絡(luò)安全問題越來越凸顯出來了,入侵檢測作為網(wǎng)絡(luò)安全研究的重要內(nèi)容,更是引起了國內(nèi)外學(xué)者的廣泛關(guān)注?,F(xiàn)有的入侵檢測方法主要有:1.國際商業(yè)機(jī)器公司在其專利申請“計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)和方法”(申請?zhí)枺?00680016585.X,公開號:CN101176331)中提出了一種用于標(biāo)識試圖入侵基于TCP/IP協(xié)議的網(wǎng)絡(luò)的設(shè)備的方法。該方法允許在兩個(gè)獨(dú)立的信息級別,一方面是TCP/IP棧信息而另一方面是Windows安全事件日志信息之間創(chuàng)建鏈接。允許在存儲于所述安全事件日志中的攻擊者設(shè)備的計(jì)算機(jī)名稱與涉及該計(jì)算機(jī)名稱的TCP/IP信息之間建立關(guān)系。該方法的缺點(diǎn)是:過多依賴于TCP/IP協(xié)議棧的信息和操作系統(tǒng)的安全日志,系統(tǒng)普適性不強(qiáng)。2.饒鮮,董春曦,楊紹全.基于支持向量機(jī)的入侵檢測系統(tǒng)[J].軟件學(xué)報(bào),2003,14(4):798-803.這種方法將支持向量機(jī)應(yīng)用到入侵檢測中,利用在先驗(yàn)知識不足的情況下,支持向量機(jī)分類器仍有較好的分類正確率的特性,使得整個(gè)入侵檢測系統(tǒng)具有較好的檢測性能。該方法的缺點(diǎn)是:只能對當(dāng)前網(wǎng)路是否收到入侵進(jìn)行判決,而不能對數(shù)據(jù)的入侵類型進(jìn)行標(biāo)記。3.俞研,郭山清,黃皓.基于數(shù)據(jù)流的異常入侵檢測[J].計(jì)算機(jī)科學(xué),2007,34(5):66-71.這種方法首先在線生成網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)計(jì)信息,并利用最能反映當(dāng)前網(wǎng)絡(luò)行為的統(tǒng)計(jì)信息檢測入侵行為。實(shí)驗(yàn)結(jié)果表明,其DoS攻擊檢測準(zhǔn)確率達(dá)到97.86%,Probe攻擊準(zhǔn)確率達(dá)到77.64%,R2L和U2R攻擊準(zhǔn)確率達(dá)到55.52%,并克服了內(nèi)存等系統(tǒng)資源不足的問題,增加了系統(tǒng)的靈活性與并行性。但是該方法僅僅通過建立聚類特征矢量,得到基于距離的聚類分析模型,并沒有對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行更深層次的數(shù)據(jù)建模來挖掘其潛在的規(guī)律,限制了檢測準(zhǔn)確率的提高。
技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的在于針對上述已有技術(shù)的不足,提出一種基于隱條件隨機(jī)場的入侵檢測方法,以利用少量的特征,簡化復(fù)雜模型構(gòu)建過程,提高入侵檢測的準(zhǔn)確率。為實(shí)現(xiàn)上述目的,本發(fā)明的技術(shù)方案包括如下步驟:(1)將DARPA公布的KDD99數(shù)據(jù)集中的原始數(shù)據(jù)進(jìn)行降維處理,從該數(shù)據(jù)庫原有的41個(gè)特征中篩選出26個(gè)特征,作為特征屬性集合D;(2)對特征屬性集合D進(jìn)行最大值歸一化處理,以消除屬性度量差異帶來的影響,得到規(guī)范化的特征屬性集ε={s1,s2,…,s26},其中,s1,s2,…,s26表示26種特征屬性;(3)定義類別標(biāo)簽集:3a)定義入侵事件檢測的隱條件隨機(jī)場模型的類別標(biāo)簽集為:α1={0,1},其中,0表示入侵事件檢測的隱條件隨機(jī)場模型的輸入是安全的會(huì)話,1表示入侵事件檢測的隱條件隨機(jī)場模型的輸入是含有攻擊的會(huì)話;3b)定義入侵檢測攻擊分類的隱條件隨機(jī)場模型的類別標(biāo)簽集為:α2={0,1,2,3},其中,0表示攻擊類型為DoS攻擊,即拒絕服務(wù)攻擊,1表示攻擊類型為Probe攻擊,即網(wǎng)絡(luò)探針攻擊,2表示攻擊類型為R2L攻擊,即非法遠(yuǎn)程闖入攻擊,3表示攻擊類型為U2R攻擊,即非法提升權(quán)限攻擊;(4)在數(shù)據(jù)集合ε中選取N1個(gè)訓(xùn)練會(huì)話樣本和N2個(gè)測試會(huì)話樣本,得到第d個(gè)訓(xùn)練會(huì)話樣本的特征屬性序列Od和第e個(gè)測試會(huì)話樣本的特征屬性序列Ze,其中,d∈{1,2,…,N1},e∈{1,2,…,N2};(5)對第d個(gè)訓(xùn)練會(huì)話樣本,人工判斷是否包含入侵事件,得到第d個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λd,λd∈α1;(6)將N1個(gè)訓(xùn)練會(huì)話樣本的特征序列O1,O2,和N1個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λ1,λ2,作為訓(xùn)練數(shù)據(jù)集將N2個(gè)測試會(huì)話樣本的特征序列Z1,Z2,作為測試數(shù)據(jù)集(7)根據(jù)訓(xùn)練數(shù)據(jù)集O中的N1個(gè)特征序列O1,O2,和對應(yīng)的N1個(gè)類別標(biāo)簽λ1,λ2,調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù),計(jì)算入侵事件的隱條件隨機(jī)場的兼容性度量參數(shù)θ;(8)根據(jù)已計(jì)算出的兼容性度量參數(shù)θ和測試數(shù)據(jù)集Z,調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù),計(jì)算測試數(shù)據(jù)集Z中第e個(gè)測試會(huì)話樣本的特征序列Ze對應(yīng)于類別標(biāo)簽為0的概率βe,0,以及該特征序列Ze對應(yīng)于類別標(biāo)簽為1的概率βe,1;(9)根據(jù)類別標(biāo)簽為0的概率βe,0和類別標(biāo)簽為1的概率βe,1,判斷第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽:若βe,0>βe,1,則第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽為0,即該測試會(huì)話數(shù)據(jù)不包含入侵事件;若βe,0<βe,1,則第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽為1,即該測試會(huì)話數(shù)據(jù)包含入侵事件;若βe,0=βe,1,則無法判斷第e個(gè)測試會(huì)話樣本的特征序列Ze是否包含入侵事件;(10)在特征屬性集ε中選取全部的攻擊會(huì)話,得到攻擊特征集合A,從攻擊特征集合A中選取N3個(gè)訓(xùn)練會(huì)話樣本和N4個(gè)測試會(huì)話樣本,得到第f個(gè)訓(xùn)練會(huì)話樣本的特征屬性序列Of'和第g個(gè)測試會(huì)話樣本的特征屬性序列Zg',其中,f∈{1,2,…,N3},g∈{1,2,…,N4};(11)對第f個(gè)訓(xùn)練會(huì)話樣本,人工判斷各種攻擊行為的類型,得到第f個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λf',λf'∈α2;(12)將N3個(gè)訓(xùn)練會(huì)話樣本的特征序列O1',O2',和N3個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λ1',λ2',作為訓(xùn)練數(shù)據(jù)集將N4個(gè)測試會(huì)話樣本的特征序列Z1',Z2',作為測試數(shù)據(jù)集(13)根據(jù)訓(xùn)練數(shù)據(jù)集O'中的N3個(gè)特征序列O1',O2',和對應(yīng)的N3個(gè)類別標(biāo)簽λ1',λ2',調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù),計(jì)算攻擊行為分類的隱條件隨機(jī)場的兼容性度量參數(shù)θ';(14)根據(jù)步驟(12)和步驟(13)已計(jì)算出的兼容性度量參數(shù)θ'和測試數(shù)據(jù)集Z',調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù),計(jì)算測試數(shù)據(jù)集Z'中第g個(gè)測試會(huì)話樣本的特征序列Zg'中分別對應(yīng)于類別標(biāo)簽為0的概率γf,0、對應(yīng)于類別標(biāo)簽為1的概率γf,1、對應(yīng)于類別標(biāo)簽為2的γf,2、對應(yīng)于類別標(biāo)簽為3的概率γf,3;(15)根據(jù)類別標(biāo)簽為0的概率γf,0、類別標(biāo)簽為1的概率γf,1、類別標(biāo)簽為2的概率γf,2和類別標(biāo)簽為3的概率γf,3,判斷第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽:若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為0,即該包含入侵事件的測試會(huì)話的攻擊為DoS攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為1,即該包含入侵事件的測試會(huì)話的攻擊為Probe攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為2,即該包含入侵事件的測試會(huì)話的攻擊為R2L攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為3,即該包含入侵事件的測試會(huì)話的攻擊為U2R攻擊。本發(fā)明與現(xiàn)有技術(shù)相比具有以下優(yōu)點(diǎn):第一,本發(fā)明在處理高維數(shù)樣本時(shí),不需要復(fù)雜的訓(xùn)練,就能達(dá)到較高的檢測率,有效降低了誤報(bào)的可能,克服了現(xiàn)有技術(shù)特征選擇過多,特征計(jì)算過于復(fù)雜的缺點(diǎn),保證在小樣本訓(xùn)練的情況下,仍有較好的分類檢測效果。第二,本發(fā)明利用隱條件隨機(jī)場分別構(gòu)建了入侵事件檢測模型和攻擊行為分類模型,在檢測出入侵事件發(fā)生的同時(shí),可以明確攻擊行為的類型,實(shí)現(xiàn)了入侵檢測的準(zhǔn)確性。附圖說明圖1是現(xiàn)有隱條件隨機(jī)場模型示意圖;圖2是本發(fā)明的實(shí)現(xiàn)流程圖。具體實(shí)施方式一、基礎(chǔ)理論介紹隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已成為現(xiàn)代社會(huì)生活重要的組成部分,信息網(wǎng)絡(luò)的開放性和共享性在給人們帶來便利的同時(shí)也帶來了更多的安全隱患。入侵檢測技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)保護(hù)措施后新一代的網(wǎng)絡(luò)安全保障技術(shù),它從系統(tǒng)內(nèi)部和網(wǎng)絡(luò)中收集信息,判斷系統(tǒng)是否存在安全問題,并采取相應(yīng)的措施,作為對防火墻的有益的補(bǔ)充,入侵檢測系統(tǒng)擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?!半[條件隨機(jī)場”是一種具有隱狀態(tài)變量的無向圖概率模型。對于給定的一個(gè)觀察值序列,在隱條件隨機(jī)場模型中就存在一個(gè)對應(yīng)的隱狀態(tài)序列。當(dāng)前時(shí)刻的隱狀態(tài)既可根據(jù)當(dāng)前時(shí)刻的觀察值元素預(yù)測產(chǎn)生,也可根據(jù)當(dāng)前時(shí)刻的觀察值元素和相鄰觀察值元素共同預(yù)測產(chǎn)生。隱條件隨機(jī)場的具體定義為:假設(shè)需要對一個(gè)輸入序列x′預(yù)測標(biāo)簽β0,其中,β0為標(biāo)簽集Γ中的一個(gè)元素,輸入序列x′也稱為觀察序列,其是一個(gè)觀察值集合在不同的輸入序列中,觀察值集合的元素?cái)?shù)目a′是可變的。每個(gè)觀察值元素由一個(gè)特征向量表示,其中,c∈{1,2,…,a′},m為維數(shù)。訓(xùn)練數(shù)據(jù)集由觀察序列-類別標(biāo)簽數(shù)據(jù)對(xj,βj)組成,其中,βj∈Γ,j=1,2,…,N,aj為第j個(gè)觀察序列中元素的個(gè)數(shù),N為訓(xùn)練數(shù)據(jù)集中觀察序列-類別標(biāo)簽數(shù)據(jù)對的數(shù)目。測試數(shù)據(jù)集由觀察序列組成。圖1是隱條件隨機(jī)場模型示意圖,其中,u={u1,u2,…,uγ,…,ut}為隱條件隨機(jī)場模型的輸入觀察序列;ρ={ρ1,ρ2,…,ργ,…,ρt}為輸入觀察序列u對應(yīng)的隱狀態(tài)序列,它根據(jù)觀察序列u產(chǎn)生,并且在訓(xùn)練數(shù)據(jù)集中是無法被觀察的,ργ∈Ω,γ∈{1,2,…,t},隱狀態(tài)序列的元素?cái)?shù)目t是可變的,Ω為隱條件隨機(jī)場的隱狀態(tài)集合;隱狀態(tài)ργ對應(yīng)于觀察序列u中的觀察值元素uγ,ργ在窗長ω=0時(shí),根據(jù)單個(gè)觀察值元素uγ預(yù)測產(chǎn)生,ργ在窗長ω≥1時(shí),根據(jù)觀察值元素uγ和其它觀察值元素共同預(yù)測產(chǎn)生,類別標(biāo)簽z根據(jù)隱藏狀態(tài)之間的分布概率最大值確定。在給定輸入序列x′和隱條件隨機(jī)場模型的兼容性度量參數(shù)θ的條件下,通過下式計(jì)算輸入序列x′對應(yīng)標(biāo)簽β′的概率:其中,θ為隱條件隨機(jī)場模型的兼容性度量參數(shù),τ為輸入序列x′可能對應(yīng)的標(biāo)簽的集合,τ∈Γ,ρ={ρ1,ρ2,…,ρa(bǔ)′}為輸入序列x′對應(yīng)的隱狀態(tài)序列,是以θ為參數(shù)的勢函數(shù),計(jì)算公式如下:其中,為輸入序列x′中第c個(gè)觀察值元素的特征向量表示,ρc∈Ω,θ(ρc)為對應(yīng)于第c個(gè)隱狀態(tài)ρc的參數(shù)矢量,矢量維數(shù)為m維,內(nèi)積為觀察值元素與隱狀態(tài)ρc的兼容性度量,為隱狀態(tài)ρc與類別標(biāo)簽β′的兼容性度量,為隱狀態(tài)ρc和隱狀態(tài)ρc′的聯(lián)合與類別標(biāo)簽β′的兼容性度量,E為隱條件隨機(jī)場模型的無向圖,c′∈{1,2,…,a′},隱狀態(tài)表示無向圖的節(jié)點(diǎn),若某個(gè)觀察值元素同時(shí)與第c個(gè)觀察值元素xc對應(yīng)的隱狀態(tài)ρc和第c'個(gè)觀察值元素對應(yīng)的隱狀態(tài)ρc′有關(guān),則在無向圖E中存在邊(c,c′)。根據(jù)輸入序列x′具有標(biāo)簽β′的概率P(β′|x′;θ),計(jì)算輸入序列x′的預(yù)測標(biāo)簽β0:β0=argmaxβ′∈ΓP(β′|x′;θ)。二、入侵事件的檢測參照圖2,本發(fā)明基于隱條件隨機(jī)場的入侵事件檢測方法,其實(shí)現(xiàn)步驟如下:步驟1,對原始數(shù)據(jù)集合進(jìn)行降維處理。本實(shí)例采用的入侵檢測數(shù)據(jù)集合是DARPA公布的KDD99數(shù)據(jù)集,從該數(shù)據(jù)庫原有的41個(gè)特征中篩選出26個(gè)特征,作為特征屬性集合D,這26個(gè)特征為:duration,src_bytes,dst_bytes,hot,num_compromised,num_root,num_file_creations,count,srv_count,serror_rate,srv_serror_rate,rerror_rate,srv_rerror_rate,same_srv_rate,diff_srv_rate,srv_diff_host_rate,dst_host_coun,dst_host_srv_count,dst_host_same_srv_rate,dst_host_diff_srv_rate,dst_host_same_src_port_rate,dst_host_srv_diff_host_rate,dst_host_serror_rate,dst_host_srv_serror_rate,dst_host_rerror_rate,dst_host_srv_rerror_rate。步驟2,對特征屬性集合D進(jìn)行最大值歸一化處理,以消除屬性度量差異帶來的影響,得到規(guī)范化的特征屬性集ε={s1,s2,…s26},其中,s1,s2,…,s26表示經(jīng)過最大值歸一化處理后的特征屬性序列,最大值歸一化計(jì)算公式如下:其中,sij表示經(jīng)過最大值歸一化處理前的第i條會(huì)話記錄的第j個(gè)特征屬性,表示經(jīng)過最大值歸一化處理后的第i條會(huì)話記錄的第j個(gè)特征屬性,sjmax表示所有會(huì)話記錄的第j個(gè)特征屬性的最大值,sj表示所有會(huì)話記錄的第j個(gè)特征屬性。步驟3,定義類別標(biāo)簽集。(3.1)定義入侵事件檢測的隱條件隨機(jī)場模型的類別標(biāo)簽集為:α1={0,1},其中,0表示入侵事件檢測的隱條件隨機(jī)場模型的輸入是安全的會(huì)話,1表示入侵事件檢測的隱條件隨機(jī)場模型的輸入是含有攻擊的會(huì)話;(3.2)定義入侵攻擊分類的隱條件隨機(jī)場模型的類別標(biāo)簽集為:α2={0,1,2,3},其中,0表示攻擊類型為DoS攻擊,即拒絕服務(wù)攻擊,1表示攻擊類型為Probe攻擊,即網(wǎng)絡(luò)探針攻擊,2表示攻擊類型為R2L攻擊,即非法遠(yuǎn)程闖入攻擊,3表示攻擊類型為U2R攻擊,即非法提升權(quán)限攻擊。步驟4,在特征屬性集ε中選取N1個(gè)訓(xùn)練會(huì)話樣本和N2個(gè)測試會(huì)話樣本,得到第d個(gè)訓(xùn)練會(huì)話樣本的屬性序列Od和第e個(gè)測試會(huì)話樣本的屬性序列Ze,其中,d∈{1,2,…,N1},e∈{1,2,…,N2},N1>2,N2>2。步驟5,對第d個(gè)訓(xùn)練會(huì)話樣本,根據(jù)其在KDD99數(shù)據(jù)集中標(biāo)注的會(huì)話類別,得到第d個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λd,λd∈α1。步驟6,確定訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。將N1個(gè)訓(xùn)練會(huì)話樣本的特征序列O1,O2,和N1個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λ1,λ2,作為訓(xùn)練數(shù)據(jù)集:將N2個(gè)測試會(huì)話樣本的特征序列Z1,Z2,作為測試數(shù)據(jù)集:步驟7,根據(jù)訓(xùn)練數(shù)據(jù)集O中的N1個(gè)特征序列O1,O2,和對應(yīng)的N1個(gè)類別標(biāo)簽λ1,λ2,,按照θ=trainHCRF(trainseqs,trainlabels,params)的格式,調(diào)用Matlab工具包HCRF2.0b中trainHCRF函數(shù),計(jì)算入侵事件檢測的隱條件隨機(jī)場的兼容性度量參數(shù)θ,其中,trainseqs為訓(xùn)練數(shù)據(jù)集中的N1個(gè)特征序列O1,O2,trainlabels為對應(yīng)的N1個(gè)類別標(biāo)簽λ1,λ2,params為trainHCRF函數(shù)計(jì)算兼容性度量參數(shù)θ時(shí),用來設(shè)定trainHCRF函數(shù)的隱狀態(tài)數(shù)params.nbHiddenStates、窗長度params.windowsize、優(yōu)化算法params.optimizer、最大迭代次數(shù)params.maxIterations的參數(shù),其中,params.nbHiddenStates為隱狀態(tài)個(gè)數(shù)N,取值為5,params.windowsize為窗長度ω,取值為2,params.optimizer為優(yōu)化算法,選擇bgfs算法,params.maxIterations為最大迭代次數(shù),取值為300。步驟8,根據(jù)已計(jì)算出的入侵事件檢測的隱條件隨機(jī)場的兼容性度量參數(shù)θ和測試數(shù)據(jù)集Z,調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù),計(jì)算測試數(shù)據(jù)集Z中第e個(gè)測試會(huì)話樣本的特征序列Ze對應(yīng)于類別標(biāo)簽0的概率βe,0,以及該特征序列對應(yīng)于類別標(biāo)簽1的概率βe,1。步驟9,根據(jù)類別標(biāo)簽為0的概率βe,0和類別標(biāo)簽為1的概率βe,1,判斷第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽:若βe,0>βe,1,則第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽為0,即該測試會(huì)話數(shù)據(jù)不包含入侵事件;若βe,0<βe,1,則第e個(gè)測試會(huì)話樣本的特征序列Ze的類別標(biāo)簽為1,即該測試會(huì)話數(shù)據(jù)包含入侵事件;若βe,0=βe,1,則無法判斷第e個(gè)測試會(huì)話樣本的特征序列Ze是否包含入侵事件。步驟10,獲取訓(xùn)練會(huì)話樣本的屬性序列和測試會(huì)話樣本的屬性序列。在數(shù)據(jù)集合ε中選取全部的攻擊會(huì)話,得到攻擊特征集合A;從攻擊特征集合A中選取N3個(gè)訓(xùn)練會(huì)話樣本,得到第f個(gè)訓(xùn)練會(huì)話樣本的屬性序列Of';從攻擊特征集合A中選取N4個(gè)測試會(huì)話樣本,得到第g個(gè)測試會(huì)話樣本的屬性序列Zg',其中,f∈{1,2,…,N3},g∈{1,2,…,N4},N3>4,N4>4。步驟11,對第f個(gè)訓(xùn)練會(huì)話樣本,根據(jù)其在KDD99數(shù)據(jù)集中標(biāo)注的會(huì)話類別,得到第f個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λf',λf'∈α2。步驟12,確定訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。將N3個(gè)訓(xùn)練會(huì)話樣本的特征序列O1',O2',和N3個(gè)訓(xùn)練會(huì)話樣本的類別標(biāo)簽λ1',λ2',作為訓(xùn)練數(shù)據(jù)集:將N4個(gè)測試會(huì)話樣本的特征序列Z1',Z2',作為測試數(shù)據(jù)集:步驟13,根據(jù)訓(xùn)練數(shù)據(jù)集O'中的N3個(gè)特征序列O1',O2',和對應(yīng)的N3個(gè)類別標(biāo)簽λ1',λ2',按照θ'=trainHCRF(trainseqs,trainlabels,params)的格式,調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù),計(jì)算攻擊行為分類的隱條件隨機(jī)場的兼容性度量參數(shù)θ',其中,trainseqs為訓(xùn)練數(shù)據(jù)集中的N3個(gè)特征序列O1',O2',trainlabels為對應(yīng)的N3個(gè)類別標(biāo)簽λ1',λ2',params為trainHCRF函數(shù)計(jì)算兼容性度量參數(shù)θ'時(shí),用來設(shè)定trainHCRF函數(shù)的隱狀態(tài)數(shù)params.nbHiddenStates、窗長度params.windowsize、優(yōu)化算法params.optimizer、最大迭代次數(shù)params.maxIterations的參數(shù),其中,params.nbHiddenStates為隱狀態(tài)個(gè)數(shù)N,取值為6,params.windowsize為窗長度ω,取值為2,params.optimizer為優(yōu)化算法,選擇bgfs算法,params.maxIterations為最大迭代次數(shù),取值為300。步驟14,根據(jù)已計(jì)算出的攻擊行為分類的隱條件隨機(jī)場的兼容性度量參數(shù)θ'和測試數(shù)據(jù)集Z',調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù),計(jì)算測試數(shù)據(jù)集Z'中第g個(gè)測試會(huì)話樣本的特征序列Zg'對應(yīng)于類別標(biāo)簽0的概率γf,0、對應(yīng)于類別標(biāo)簽1的概率γf,1、對應(yīng)于類別標(biāo)簽2的γf,2、對應(yīng)于類別標(biāo)簽3的概率γf,3。步驟15,根據(jù)類別標(biāo)簽為0的概率γf,0、類別標(biāo)簽為1的概率γf,1、類別標(biāo)簽為2的概率γf,2和類別標(biāo)簽為3的概率γf,3,判斷第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽:若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為0,該包含入侵事件的測試會(huì)話的攻擊為DoS攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為1,該包含入侵事件的測試會(huì)話的攻擊為Probe攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為2,該包含入侵事件的測試會(huì)話的攻擊為R2L攻擊;若則第g個(gè)測試會(huì)話樣本的特征序列Zg'的類別標(biāo)簽為3,該包含入侵事件的測試會(huì)話的攻擊為U2R攻擊。本發(fā)明的效果可通過以下仿真做進(jìn)一步說明:1)仿真條件本實(shí)驗(yàn)采用的數(shù)據(jù)是DARPA公布的KDD99數(shù)據(jù)集,該數(shù)據(jù)集是從一個(gè)模擬的局域網(wǎng)上采集來的9周的網(wǎng)絡(luò)連接數(shù)據(jù),分為7周時(shí)間的訓(xùn)練數(shù)據(jù)集和2周時(shí)間的測試數(shù)據(jù)集兩部分,實(shí)驗(yàn)選用該數(shù)據(jù)集提供一個(gè)10%的訓(xùn)練子集和測試子集,實(shí)驗(yàn)軟件環(huán)境為MatlabR2008b。2)仿真內(nèi)容及結(jié)果仿真一:根據(jù)建立的入侵事件的隱條件隨機(jī)場模型,對測試會(huì)話數(shù)據(jù)分別計(jì)算每個(gè)測試會(huì)話數(shù)據(jù)具有類別標(biāo)簽0的概率和類別標(biāo)簽1的概率,選擇較大概率對應(yīng)的類別標(biāo)簽作為該測試會(huì)話數(shù)據(jù)的預(yù)測標(biāo)簽,從而判斷該會(huì)話數(shù)據(jù)是否含有入侵事件。將檢測為含有入侵攻擊的會(huì)話數(shù)據(jù)取出組成攻擊會(huì)話集,針對該攻擊會(huì)話集建立隱條件隨機(jī)場模型,對攻擊會(huì)話數(shù)據(jù)分別計(jì)算每個(gè)攻擊會(huì)話數(shù)據(jù)具有類別標(biāo)簽0的概率、類別標(biāo)簽1的概率、類別標(biāo)簽2的概率、類別標(biāo)簽3的概率,選擇較大概率對應(yīng)的類別標(biāo)簽作為該測試攻擊會(huì)話數(shù)據(jù)的預(yù)測標(biāo)簽,從而判斷該攻擊會(huì)話數(shù)據(jù)屬于DoS,Probe,R2L,U2R中的哪一類攻擊。實(shí)驗(yàn)結(jié)果如表1和表2所示。表1入侵事件檢測的實(shí)驗(yàn)結(jié)果表2入侵攻擊行為分類的實(shí)驗(yàn)結(jié)果在表1和表2中,ω=0表示預(yù)測當(dāng)前時(shí)刻的隱狀態(tài)時(shí)只考慮當(dāng)前時(shí)刻的觀察值,ω=1表示預(yù)測當(dāng)前時(shí)刻的隱狀態(tài)時(shí)既考慮當(dāng)前時(shí)刻的觀察值同時(shí)也考慮前一時(shí)刻和后一時(shí)刻的觀察值,ω=2表示預(yù)測當(dāng)前時(shí)刻的隱狀態(tài)時(shí)既考慮當(dāng)前時(shí)刻的觀察值同時(shí)也考慮前兩個(gè)時(shí)刻和后兩個(gè)時(shí)刻的觀察值,ω=3表示預(yù)測當(dāng)前時(shí)刻的隱狀態(tài)時(shí)既考慮當(dāng)前時(shí)刻的觀察值同時(shí)也考慮前三個(gè)時(shí)刻和后三個(gè)時(shí)刻的觀察值。從表1可以看出,本發(fā)明對于入侵事件的最佳檢測率為99.97%。從表2可以看出,本發(fā)明對標(biāo)簽為DoS的攻擊會(huì)話數(shù)據(jù)最佳檢測率為99.13%,對標(biāo)簽為Probe的攻擊會(huì)話數(shù)據(jù)最佳檢測率為99.15%,對標(biāo)簽為R2L的攻擊會(huì)話數(shù)據(jù)最佳檢測率為98.00%,對標(biāo)簽為U2R的攻擊會(huì)話數(shù)據(jù)最佳檢測率為100%,其中,窗長ω=2時(shí)的查準(zhǔn)率比ω=1的查準(zhǔn)率有所提高,這是因?yàn)槔糜行Ь嚯x內(nèi)的觀察值之間的依賴關(guān)系,可以提高入侵事件檢測的隱條件隨機(jī)場模型的檢測性能,而ω=3時(shí)的查準(zhǔn)率比ω=2的查準(zhǔn)率降低,這是因?yàn)榭紤]過長距離內(nèi)的觀察值之間的依賴關(guān)系,會(huì)增加模型的復(fù)雜度,降低入侵事件檢測的隱條件隨機(jī)場模型的性能。以上仿真結(jié)果表明,本發(fā)明提出的基于隱條件隨機(jī)場的入侵事件檢測方法,能夠準(zhǔn)確、全面地實(shí)現(xiàn)入侵事件的檢測。