CN101394316A - 基于完全无向图的贝叶斯的网络入侵分类方法 - Google Patents

基于完全无向图的贝叶斯的网络入侵分类方法 Download PDF

Info

Publication number
CN101394316A
CN101394316A CNA2008102349488A CN200810234948A CN101394316A CN 101394316 A CN101394316 A CN 101394316A CN A2008102349488 A CNA2008102349488 A CN A2008102349488A CN 200810234948 A CN200810234948 A CN 200810234948A CN 101394316 A CN101394316 A CN 101394316A
Authority
CN
China
Prior art keywords
training set
class
classification method
network intrusion
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2008102349488A
Other languages
English (en)
Other versions
CN101394316B (zh
Inventor
王崇骏
焦从信
赵志宏
骆斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University
Original Assignee
Nanjing University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University filed Critical Nanjing University
Priority to CN2008102349488A priority Critical patent/CN101394316B/zh
Publication of CN101394316A publication Critical patent/CN101394316A/zh
Application granted granted Critical
Publication of CN101394316B publication Critical patent/CN101394316B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于完全无向图的贝叶斯的网络入侵分类方法,包括如下步骤:1)训练阶段:a)收集已知是否为入侵的会话事件并进行特征提取作为训练集;b)对训练集进行预处理;c)训练出基于完全无向图的贝叶斯分类器;d)结束;2)分类阶段:a)预处理待检测的会话事件;b)使用步骤1c)得到的分类器对处理后的会话事件进行分类;c)返回分类结果;d)结束。本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下,提高了分类器的精度,尤其是针对小样本类标的异常事件,从而提高了入侵检测系统的入侵检测性能。

Description

基于完全无向图的贝叶斯的网络入侵分类方法
技术领域
本发明涉及一种网络入侵检测方法,尤其涉及一种基于贝叶斯分类器的网络入侵分类方法。
背景技术
入侵检测技术是近20年来出现的一种新型网络安全技术,它作为防火墙后的第二道安全闸门,能够检测出多种形式的入侵行为,是现代计算机网络安全体系的一个重要组成部分。在网络技术迅速发展、网络安全问题日益突出的环境下,传统的基于主机或基于网络的入侵检测系统已经难以满足对越来越复杂的网络攻击的检测任务。将机器学习与数据挖掘等技术应用到入侵检测系统,已经成为入侵检测系统研究的主要方向之一。例如:基于贝叶斯分类方法的、基于神经网络的和基于关联规则挖掘的入侵检测技术。
朴素贝叶斯分类器是众多贝叶斯分类器中最简单的一种,属性的条件独立性假设是其区别与其它贝叶斯分类器的根本特征,即在给定类标的情况下其他属性的取值是相互独立的。这一假设大大简化了分类器的复杂性。其虽然简单但是在很多场合取得了较其它复杂分类器更优的性能,所以朴素贝叶斯分类器已经被引用到入侵检测系统中,如:斯坦福研究院的Valdes和Skinner等用朴素贝叶斯分类器对网络流量进行分析,并设计了称为eBayes的入侵检测系统;Barbara等也提出了使用朴素贝叶斯分类器对事件进行分类的入侵检测系统ADAM。然而,朴素贝叶斯的独立性假设在实际情况中不可能完全满足,事件属性之间会存在着一定的依赖关系。
为了缓解朴素贝叶斯的条件独立性假设,许多研究工作就此展开,已经提出了很多放宽独立性假设的改进的贝叶斯分类器,如TAN、LBR、AODE、FBN等。但这些分类器或者是由于事件复杂度高,或者是没有考虑到不同类标事件的属性独立性关系和不同属性之间的依赖关系,从而无法应用到实时性要求高并且已追求预测精度为目的的入侵检测系统中来。
发明内容
本发明所要解决的技术问题是提供一种基于完全无向图的贝叶斯的网络入侵分类方法,以提高入侵检测系统的入侵检测性能。
为解决上述问题,本发明的基于完全无向图的贝叶斯的网络入侵分类方法包括如下步骤:
1 训练阶段:
a 收集已知是否为入侵的会话事件并进行特征提取作为训练集;
b 对训练集进行预处理;
c 训练出基于完全无向图的贝叶斯分类器;
d 结束;
2 分类阶段:
a 预处理待检测的会话事件;
b 使用步骤1c得到的分类器对处理后的会话事件进行分类;
c 返回分类结果;
d 结束。
其中:
步骤1b所述的预处理为对训练集中的离散属性进行离散化。
步骤1c所述的训练出基于完全无向图的贝叶斯分类器的步骤是:
1)从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类标的先验概率;
2)从训练集中估计出每个类标下每个属性取值的条件概率;
3)从训练集中估计出每个类标下每两个属性不同取值的联合条件概率;
4)结束。
步骤2a所述的预处理为对会话事件进行格式化或离散化。
步骤2b所述的使用步骤1c得到的分类器对处理后的会话事件进行分类的步骤如下:
1)令变量i为1;
2)如果i小于等于类别个数Nc,即执行步骤3),否则执行步骤5);
3)按照下式计算待分类样本在当前类标(i对应的类别)下的后验概率并将它存放在临时数组Temp中,
v GAB = P ( C ) ( Π j = 1 Nc - 1 Π k = j + 1 Nc P ( A j , A k | C ) )
4)i自增1,执行步骤2);
5)令v=0,s=0,i=1;
6)如果i小于等于Nc,执行步骤7),否则执行10);
7)如果s小于等于Temp[i],则执行步骤8),否则执行);
8)令s=Temp[i],v=i;
9)i自增1,跳转步骤6);
10)v对应的类标即为待分类样本对应的类标;
11)结束。
有益效果:本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下,提高了分类器的精度,尤其是针对小样本类标的异常事件,从而提高了入侵检测系统的入侵检测性能,明显降低误报警率。
附图说明
图1为入侵检测系统工作流程图。
图2为本发明的基于完全无向图的贝叶斯的网络入侵分类方法的流程图。
图3为生成基于完全无向图的贝叶斯分类器的流程图。
图4为利用基于完全无向图的贝叶斯分类器进行分类的流程图。
具体实施方式:
下面结合附图,对本发明作进一步说明。
实施例1:
如图1所示,入侵检测系统通过网络会话事件采集设备获取网络报文数据,经报文数据格式化、特征提取等预处理,然后进行入侵识别,入侵识别的结果可以继续进行报警关联、入侵跟踪等后续处理。
入侵识别是网络入侵检测系统的核心步骤,本发明的思路就是通过提高入侵识别中分类器的分类精度,从而提高整个网络入侵检测系统的性能。入侵识别过程即本发明的基于完全无向图的贝叶斯的网络入侵分类方法的流程图如图2所示。
步骤0为本发明的网络入侵分类方法的起始状态;
在训练阶段(步骤1-3),步骤1搜集网络中已知是否为入侵的历史会话事件,并使用41个特征属性(特征属性详细描述见KDDCUP99入侵检测数据集描述说明文档)来刻画这些事件,由这些已知是否为入侵事件的会话(即已知类标的记录)构成基于完全无向图的贝叶斯分类器的训练集;
步骤2对训练集中离散属性使用其取值范围为10等分的方法离散化;
步骤3使用训练集训练出一个基于完全无向图的贝叶斯分类器。
在分类阶段(步骤4-5),步骤4在实际入侵检测应用场景中通过网络会话事件采集网络报文并进行格式化、离散化等预处理;
步骤5利用生成的基于完全无向图的贝叶斯分类器进行分类;
步骤6是本发明的基于完全无向图的贝叶斯的网络入侵分类方法的结束步骤。
图3是对图2中步骤3的详细描述。
步骤30为起始步骤。
步骤31从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类标的先验概率,即用最大似然估计的方法,同时使用公式(1)进行LAPLACE修正:
P ( c ) = N lc + 1 / N c N t + 1 - - - ( 1 )
其中,Nt是训练集的总样本个数,Nlc是类标属性值为c的样本个数,Nc是类的个数。
步骤32使用最大似然估计的方法及LAPLACE修正利用公式(2)从训练集中估计每个类标下每个属性取值的条件概率:
P ( a i | c ) = N ic + 1 / n i N lc + 1 - - - ( 2 )
其中,Nlc是类标属性值为c的样本个数,Nic是类c中属性Ai的属性值为ai的样本个数,ni是离散属性Ai的属性个数。
步骤33使用最大似然估计的方法及LAPLACE修正利用公式(3)从训练集中估计每个类标下每2个属性不同取值的联合条件概率:
P ( a i , a j | c ) = N ijc + 1 / ( n i * n j ) N lc + 1 - - - ( 3 )
其中,Nlc是类标属性值为c的样本个数,Nijc是类c中满足属性Ai=ai且属性Aj=aj的样本个数,ni是离散属性Ai的属性个数,nj是离散属性Aj的属性个数。
图4详述了图2中的步骤5。
步骤50为起始步骤。
步骤51 输入待分类的样本。
步骤52 令变量i为1。
步骤53 如果i小于等于Nc,即i小于等于类别个数即执行步骤54,否则执行步骤56。
步骤54 按照公式(4)计算待分类样本在当前类标(i对应的类别)下的后验概率并将它存放在临时数组Temp中。
v GAB = P ( C ) ( Π j = 1 Nc - 1 Π k = j + 1 Nc P ( A j , A k | C ) ) - - - ( 4 )
步骤55 i自增1,执行步骤53。
步骤52-55实际上是一个循环,目的是:计算待分类样本在每个类标下的后验概率。
步骤56 令v=0,s=0,i=1。
步骤57 如果i小于等于Nc,执行步骤58,否则执行步骤61。
步骤58 如果s小于等于Temp[i],则执行步骤59,否则执行步骤60。
步骤59 令s=Temp[i],v=i。
步骤60 i自增1,跳转步骤57。
步骤56-60目的是:遍历整个临时数组,找出最大值,该最大值的下标对应的类即是待分类样本的类标。
步骤61 v对应的类标即为待分类样本对应的类标。
步骤62 为图4的结束状态。

Claims (5)

1、一种基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于该方法包括如下步骤:
1)训练阶段:
a)收集已知是否为入侵的会话事件并进行特征提取作为训练集;
b)对训练集进行预处理;
c)训练出基于完全无向图的贝叶斯分类器;
d)结束;
2)分类阶段:
a)预处理待检测的会话事件;
b)使用步骤1c)得到的分类器对处理后的会话事件进行分类;
c)返回分类结果;
d)结束。
2、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于步骤1b)所述的预处理为对训练集中的离散属性进行离散化。
3、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于步骤1c)所述的训练出基于完全无向图的贝叶斯分类器的步骤是:
1)从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类标的先验概率;
2)从训练集中估计出每个类标下每个属性取值的条件概率;
3)从训练集中估计出每个类标下每两个属性不同取值的联合条件概率;
4)结束。
4、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于步骤2a)所述的预处理为对会话事件进行格式化或离散化。
5、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于步骤2b)所述的使用步骤1c)得到的分类器对处理后的会话事件进行分类的步骤如下:
1)令变量i为1
2)如果i小于等于类别个数Nc,即执行步骤3),否则执行步骤5);
3)按照下式计算待分类样本在当前类标下的后验概率并将它存放在临时数组Temp中,
v GAB = P ( C ) ( Π j = 1 Nc - 1 Π k = j + 1 Nc P ( A j , A k | C ) )
4)i自增1,执行步骤2);
5)令v=0,s=0,i=1;
6)如果i小于等于Nc,执行步骤7),否则执行10);
7)如果s小于等于Temp[i],则执行步骤8),否则执行);
8)令s=Temp[i],v=i;
9)i自增1,跳转步骤6);
10)v对应的类标即为待分类样本对应的类标;
11)结束。
CN2008102349488A 2008-11-11 2008-11-11 基于完全无向图的贝叶斯的网络入侵分类方法 Expired - Fee Related CN101394316B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008102349488A CN101394316B (zh) 2008-11-11 2008-11-11 基于完全无向图的贝叶斯的网络入侵分类方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102349488A CN101394316B (zh) 2008-11-11 2008-11-11 基于完全无向图的贝叶斯的网络入侵分类方法

Publications (2)

Publication Number Publication Date
CN101394316A true CN101394316A (zh) 2009-03-25
CN101394316B CN101394316B (zh) 2011-08-31

Family

ID=40494405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102349488A Expired - Fee Related CN101394316B (zh) 2008-11-11 2008-11-11 基于完全无向图的贝叶斯的网络入侵分类方法

Country Status (1)

Country Link
CN (1) CN101394316B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722719A (zh) * 2012-05-25 2012-10-10 西安电子科技大学 基于观察学习的入侵检测方法
CN102957691A (zh) * 2012-10-12 2013-03-06 哈尔滨工业大学深圳研究生院 云入侵统计检测方法
CN103237308A (zh) * 2013-05-15 2013-08-07 西华大学 一种车载自组织网络的分布式入侵检测方法
CN104750674A (zh) * 2015-02-17 2015-07-01 北京京东尚科信息技术有限公司 一种人机会话满意度预测方法及系统
CN104836781A (zh) * 2014-02-20 2015-08-12 腾讯科技(北京)有限公司 区分访问用户身份的方法及装置
CN106649479A (zh) * 2016-09-29 2017-05-10 国网山东省电力公司电力科学研究院 一种基于概率图的变压器状态关联规则挖掘方法
CN107506783A (zh) * 2017-07-07 2017-12-22 广东科学技术职业学院 一种复杂混合入侵检测算法
CN107888590A (zh) * 2017-11-10 2018-04-06 中孚信息股份有限公司 一种基于gpu与贝叶斯网络推理的未知木马的检测方法
CN108111539A (zh) * 2018-01-29 2018-06-01 华北电力大学 基于贝叶斯分类器的网络逃避行为检测算法
CN110580483A (zh) * 2018-05-21 2019-12-17 上海大唐移动通信设备有限公司 一种室内外用户区分方法及装置
CN111431849A (zh) * 2020-02-18 2020-07-17 北京邮电大学 一种网络入侵检测方法及装置

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722719A (zh) * 2012-05-25 2012-10-10 西安电子科技大学 基于观察学习的入侵检测方法
CN102722719B (zh) * 2012-05-25 2014-12-17 西安电子科技大学 基于观察学习的入侵检测方法
CN102957691A (zh) * 2012-10-12 2013-03-06 哈尔滨工业大学深圳研究生院 云入侵统计检测方法
CN103237308A (zh) * 2013-05-15 2013-08-07 西华大学 一种车载自组织网络的分布式入侵检测方法
CN103237308B (zh) * 2013-05-15 2015-05-06 西华大学 一种车载自组织网络的分布式入侵检测方法
CN104836781A (zh) * 2014-02-20 2015-08-12 腾讯科技(北京)有限公司 区分访问用户身份的方法及装置
CN104836781B (zh) * 2014-02-20 2018-11-09 腾讯科技(北京)有限公司 区分访问用户身份的方法及装置
CN104750674A (zh) * 2015-02-17 2015-07-01 北京京东尚科信息技术有限公司 一种人机会话满意度预测方法及系统
CN106649479A (zh) * 2016-09-29 2017-05-10 国网山东省电力公司电力科学研究院 一种基于概率图的变压器状态关联规则挖掘方法
CN107506783A (zh) * 2017-07-07 2017-12-22 广东科学技术职业学院 一种复杂混合入侵检测算法
CN107888590A (zh) * 2017-11-10 2018-04-06 中孚信息股份有限公司 一种基于gpu与贝叶斯网络推理的未知木马的检测方法
CN107888590B (zh) * 2017-11-10 2020-08-28 中孚信息股份有限公司 一种基于gpu与贝叶斯网络推理的未知木马的检测方法
CN108111539A (zh) * 2018-01-29 2018-06-01 华北电力大学 基于贝叶斯分类器的网络逃避行为检测算法
CN110580483A (zh) * 2018-05-21 2019-12-17 上海大唐移动通信设备有限公司 一种室内外用户区分方法及装置
CN111431849A (zh) * 2020-02-18 2020-07-17 北京邮电大学 一种网络入侵检测方法及装置

Also Published As

Publication number Publication date
CN101394316B (zh) 2011-08-31

Similar Documents

Publication Publication Date Title
CN101394316B (zh) 基于完全无向图的贝叶斯的网络入侵分类方法
WO2019068291A1 (de) - prüfen eines neuronalen netzes -
CN110575163B (zh) 一种检测驾驶员分心的方法及装置
CN110166484A (zh) 一种基于LSTM-Attention网络的工业控制系统入侵检测方法
CN100592692C (zh) 基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法
CN103345842B (zh) 一种道路车辆分型系统及方法
CN112765607B (zh) 一种神经网络模型后门攻击检测方法
CN109446936A (zh) 一种用于监控场景的身份识别方法及装置
CN110879881B (zh) 基于特征组分层和半监督随机森林的鼠标轨迹识别方法
EP3789926A1 (de) Verfahren zum erkennen einer adversarialen störung in eingangsdaten eines neuronalen netzes
CN116592993A (zh) 一种基于深度学习的机械振动故障诊断方法
CN110620760A (zh) 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置
CN110738080A (zh) 一种识别改装机动车的方法、装置和电子设备
Teoh et al. Analyst intuition based Hidden Markov Model on high speed, temporal cyber security big data
Onyema et al. Remote monitoring system using slow-fast deep convolution neural network model for identifying anti-social activities in surveillance applications
CN109615007B (zh) 基于粒子滤波的深度学习网络目标检测方法
CN109344705B (zh) 一种行人行为检测方法和系统
CN110796237B (zh) 一种深度神经网络对抗攻击的检测方法及装置
EP4248418A2 (de) Verfahren und system zur annotation von sensordaten
CN117058627B (zh) 一种公共场所人群安全距离监测方法、介质及系统
DE102018217310A1 (de) Verfahren zum Auswerten von Zeitseriensignalen
Nassuna et al. Feature selection for abnormal driving behavior recognition based on variance distribution of power spectral density
Nassereddine et al. Safety Estimation of Vehicle-Pedestrian Interactions Using Extreme Value Theory at Intersections with and without Right-Turn Flashing Yellow Arrow Indication
Huang et al. Automatic detection of vehicle activities based on particle filter tracking
Barua et al. Second-Order Learning with Grounding Alignment: A Multimodal Reasoning Approach to Handle Unlabelled Data.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110831

Termination date: 20131111