CN101394316A - 基于完全无向图的贝叶斯的网络入侵分类方法 - Google Patents

Abstract

本发明公开了一种基于完全无向图的贝叶斯的网络入侵分类方法，包括如下步骤：1)训练阶段：a)收集已知是否为入侵的会话事件并进行特征提取作为训练集；b)对训练集进行预处理；c)训练出基于完全无向图的贝叶斯分类器；d)结束；2)分类阶段：a)预处理待检测的会话事件；b)使用步骤1c)得到的分类器对处理后的会话事件进行分类；c)返回分类结果；d)结束。本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下，提高了分类器的精度，尤其是针对小样本类标的异常事件，从而提高了入侵检测系统的入侵检测性能。

Description

基于完全无向图的贝叶斯的网络入侵分类方法

技术领域

本发明涉及一种网络入侵检测方法，尤其涉及一种基于贝叶斯分类器的网络入侵分类方法。

背景技术

入侵检测技术是近20年来出现的一种新型网络安全技术，它作为防火墙后的第二道安全闸门，能够检测出多种形式的入侵行为，是现代计算机网络安全体系的一个重要组成部分。在网络技术迅速发展、网络安全问题日益突出的环境下，传统的基于主机或基于网络的入侵检测系统已经难以满足对越来越复杂的网络攻击的检测任务。将机器学习与数据挖掘等技术应用到入侵检测系统，已经成为入侵检测系统研究的主要方向之一。例如：基于贝叶斯分类方法的、基于神经网络的和基于关联规则挖掘的入侵检测技术。

朴素贝叶斯分类器是众多贝叶斯分类器中最简单的一种，属性的条件独立性假设是其区别与其它贝叶斯分类器的根本特征，即在给定类标的情况下其他属性的取值是相互独立的。这一假设大大简化了分类器的复杂性。其虽然简单但是在很多场合取得了较其它复杂分类器更优的性能，所以朴素贝叶斯分类器已经被引用到入侵检测系统中，如：斯坦福研究院的Valdes和Skinner等用朴素贝叶斯分类器对网络流量进行分析，并设计了称为eBayes的入侵检测系统；Barbara等也提出了使用朴素贝叶斯分类器对事件进行分类的入侵检测系统ADAM。然而，朴素贝叶斯的独立性假设在实际情况中不可能完全满足，事件属性之间会存在着一定的依赖关系。

为了缓解朴素贝叶斯的条件独立性假设，许多研究工作就此展开，已经提出了很多放宽独立性假设的改进的贝叶斯分类器，如TAN、LBR、AODE、FBN等。但这些分类器或者是由于事件复杂度高，或者是没有考虑到不同类标事件的属性独立性关系和不同属性之间的依赖关系，从而无法应用到实时性要求高并且已追求预测精度为目的的入侵检测系统中来。

发明内容

本发明所要解决的技术问题是提供一种基于完全无向图的贝叶斯的网络入侵分类方法，以提高入侵检测系统的入侵检测性能。

为解决上述问题，本发明的基于完全无向图的贝叶斯的网络入侵分类方法包括如下步骤：

1 训练阶段：

a 收集已知是否为入侵的会话事件并进行特征提取作为训练集；

b 对训练集进行预处理；

c 训练出基于完全无向图的贝叶斯分类器；

d 结束；

2 分类阶段：

a 预处理待检测的会话事件；

b 使用步骤1c得到的分类器对处理后的会话事件进行分类；

c 返回分类结果；

d 结束。

其中：

步骤1b所述的预处理为对训练集中的离散属性进行离散化。

步骤1c所述的训练出基于完全无向图的贝叶斯分类器的步骤是：

1)从训练集中统计出每个不同类标出现的频率，并使用这些频率估计出每个类标的先验概率；

2)从训练集中估计出每个类标下每个属性取值的条件概率；

3)从训练集中估计出每个类标下每两个属性不同取值的联合条件概率；

4)结束。

步骤2a所述的预处理为对会话事件进行格式化或离散化。

步骤2b所述的使用步骤1c得到的分类器对处理后的会话事件进行分类的步骤如下：

1)令变量i为1；

2)如果i小于等于类别个数Nc，即执行步骤3)，否则执行步骤5)；

3)按照下式计算待分类样本在当前类标(i对应的类别)下的后验概率并将它存放在临时数组Temp中，

$v_{\mathrm{GAB}}=P\left(C\right)\left(\underset{j=1}{\overset{\mathrm{Nc}-1}{\mathrm{\Π}}}\underset{k=j+1}{\overset{\mathrm{Nc}}{\mathrm{\Π}}}P(A_j,A_k|C)\right)$

4)i自增1，执行步骤2)；

5)令v＝0，s＝0，i＝1；

6)如果i小于等于Nc，执行步骤7)，否则执行10)；

7)如果s小于等于Temp[i]，则执行步骤8)，否则执行)；

8)令s＝Temp[i]，v＝i；

9)i自增1，跳转步骤6)；

10)v对应的类标即为待分类样本对应的类标；

11)结束。

有益效果：本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下，提高了分类器的精度，尤其是针对小样本类标的异常事件，从而提高了入侵检测系统的入侵检测性能，明显降低误报警率。

附图说明

图1为入侵检测系统工作流程图。

图2为本发明的基于完全无向图的贝叶斯的网络入侵分类方法的流程图。

图3为生成基于完全无向图的贝叶斯分类器的流程图。

图4为利用基于完全无向图的贝叶斯分类器进行分类的流程图。

具体实施方式：

下面结合附图，对本发明作进一步说明。

实施例1：

如图1所示，入侵检测系统通过网络会话事件采集设备获取网络报文数据，经报文数据格式化、特征提取等预处理，然后进行入侵识别，入侵识别的结果可以继续进行报警关联、入侵跟踪等后续处理。

入侵识别是网络入侵检测系统的核心步骤，本发明的思路就是通过提高入侵识别中分类器的分类精度，从而提高整个网络入侵检测系统的性能。入侵识别过程即本发明的基于完全无向图的贝叶斯的网络入侵分类方法的流程图如图2所示。

步骤0为本发明的网络入侵分类方法的起始状态；

在训练阶段(步骤1-3)，步骤1搜集网络中已知是否为入侵的历史会话事件，并使用41个特征属性(特征属性详细描述见KDDCUP99入侵检测数据集描述说明文档)来刻画这些事件，由这些已知是否为入侵事件的会话(即已知类标的记录)构成基于完全无向图的贝叶斯分类器的训练集；

步骤2对训练集中离散属性使用其取值范围为10等分的方法离散化；

步骤3使用训练集训练出一个基于完全无向图的贝叶斯分类器。

在分类阶段(步骤4-5)，步骤4在实际入侵检测应用场景中通过网络会话事件采集网络报文并进行格式化、离散化等预处理；

步骤5利用生成的基于完全无向图的贝叶斯分类器进行分类；

步骤6是本发明的基于完全无向图的贝叶斯的网络入侵分类方法的结束步骤。

图3是对图2中步骤3的详细描述。

步骤30为起始步骤。

步骤31从训练集中统计出每个不同类标出现的频率，并使用这些频率估计出每个类标的先验概率，即用最大似然估计的方法，同时使用公式(1)进行LAPLACE修正：

$P\left(c\right)=\frac{N_{\mathrm{lc}}+1/N_c}{N_t+1}---\left(1\right)$

其中，N_t是训练集的总样本个数，Nl_c是类标属性值为c的样本个数，N_c是类的个数。

步骤32使用最大似然估计的方法及LAPLACE修正利用公式(2)从训练集中估计每个类标下每个属性取值的条件概率：

$P\left(a_i\right|c)=\frac{N_{\mathrm{ic}}+1/n_i}{N_{\mathrm{lc}}+1}---\left(2\right)$

其中，N_lc是类标属性值为c的样本个数，N_ic是类c中属性A_i的属性值为a_i的样本个数，n_i是离散属性A_i的属性个数。

步骤33使用最大似然估计的方法及LAPLACE修正利用公式(3)从训练集中估计每个类标下每2个属性不同取值的联合条件概率：

$P(a_i,a_j|c)=\frac{N_{\mathrm{ijc}}+1/(n_i*n_j)}{N_{\mathrm{lc}}+1}---\left(3\right)$

其中，N_lc是类标属性值为c的样本个数，N_ijc是类c中满足属性A_i＝a_i且属性A_j＝a_j的样本个数，n_i是离散属性A_i的属性个数，n_j是离散属性A_j的属性个数。

图4详述了图2中的步骤5。

步骤50为起始步骤。

步骤51 输入待分类的样本。

步骤52 令变量i为1。

步骤53 如果i小于等于Nc，即i小于等于类别个数即执行步骤54，否则执行步骤56。

步骤54 按照公式(4)计算待分类样本在当前类标(i对应的类别)下的后验概率并将它存放在临时数组Temp中。

$v_{\mathrm{GAB}}=P\left(C\right)\left(\underset{j=1}{\overset{\mathrm{Nc}-1}{\mathrm{\Π}}}\underset{k=j+1}{\overset{\mathrm{Nc}}{\mathrm{\Π}}}P(A_j,A_k|C)\right)---\left(4\right)$

步骤55 i自增1，执行步骤53。

步骤52-55实际上是一个循环，目的是：计算待分类样本在每个类标下的后验概率。

步骤56 令v＝0，s＝0，i＝1。

步骤57 如果i小于等于Nc，执行步骤58，否则执行步骤61。

步骤58 如果s小于等于Temp[i]，则执行步骤59，否则执行步骤60。

步骤59 令s＝Temp[i]，v＝i。

步骤60 i自增1，跳转步骤57。

步骤56-60目的是：遍历整个临时数组，找出最大值，该最大值的下标对应的类即是待分类样本的类标。

步骤61 v对应的类标即为待分类样本对应的类标。

步骤62 为图4的结束状态。

Claims (5)

1、一种基于完全无向图的贝叶斯的网络入侵分类方法，其特征在于该方法包括如下步骤：

1)训练阶段：

a)收集已知是否为入侵的会话事件并进行特征提取作为训练集；

b)对训练集进行预处理；

c)训练出基于完全无向图的贝叶斯分类器；

d)结束；

2)分类阶段：

a)预处理待检测的会话事件；

b)使用步骤1c)得到的分类器对处理后的会话事件进行分类；

c)返回分类结果；

d)结束。

2、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法，其特征在于步骤1b)所述的预处理为对训练集中的离散属性进行离散化。

3、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法，其特征在于步骤1c)所述的训练出基于完全无向图的贝叶斯分类器的步骤是：

1)从训练集中统计出每个不同类标出现的频率，并使用这些频率估计出每个类标的先验概率；

2)从训练集中估计出每个类标下每个属性取值的条件概率；

3)从训练集中估计出每个类标下每两个属性不同取值的联合条件概率；

4)结束。

4、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法，其特征在于步骤2a)所述的预处理为对会话事件进行格式化或离散化。

5、根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法，其特征在于步骤2b)所述的使用步骤1c)得到的分类器对处理后的会话事件进行分类的步骤如下：

1)令变量i为1

2)如果i小于等于类别个数Nc，即执行步骤3)，否则执行步骤5)；

3)按照下式计算待分类样本在当前类标下的后验概率并将它存放在临时数组Temp中，

$v_{\mathrm{GAB}}=P\left(C\right)\left(\underset{j=1}{\overset{\mathrm{Nc}-1}{\mathrm{\Π}}}\underset{k=j+1}{\overset{\mathrm{Nc}}{\mathrm{\Π}}}P(A_j,A_k|C)\right)$

4)i自增1，执行步骤2)；

5)令v＝0，s＝0，i＝1；

6)如果i小于等于Nc，执行步骤7)，否则执行10)；

7)如果s小于等于Temp[i]，则执行步骤8)，否则执行)；

8)令s＝Temp[i]，v＝i；

9)i自增1，跳转步骤6)；

10)v对应的类标即为待分类样本对应的类标；

11)结束。

Images