基于隐条件随机场的入侵事件检测方法与流程

技术特征：
1.一种基于隐条件随机场的入侵事件检测方法，包括如下步骤：(1)将DARPA公布的KDD99数据集中的原始数据进行降维处理，从该数据集原有的41个特征中筛选出26个特征，作为特征属性集合D；(2)对特征属性集合D进行最大值归一化处理，以消除属性度量差异带来的影响，得到规范化的特征属性集ε＝{s1,s2,…,s26}，其中，s1,s2,…,s26表示26种特征属性；(3)定义类别标签集：3a)定义入侵事件检测的隐条件随机场模型的类别标签集为：α1＝{0,1}，其中，0表示入侵事件检测的隐条件随机场模型的输入是安全的会话，1表示入侵事件检测的隐条件随机场模型的输入是含有攻击的会话；3b)定义入侵检测攻击分类的隐条件随机场模型的类别标签集为：α2＝{0,1,2,3}，其中，0表示攻击类型为DoS攻击，即拒绝服务攻击，1表示攻击类型为Probe攻击，即网络探针攻击，2表示攻击类型为R2L攻击，即非法远程闯入攻击，3表示攻击类型为U2R攻击，即非法提升权限攻击；(4)在数据集合ε中选取N1个训练会话样本和N2个测试会话样本，得到第d个训练会话样本的特征属性序列Od和第e个测试会话样本的特征属性序列Ze，其中，d∈{1,2,…,N1}，e∈{1,2,…,N2}；(5)对第d个训练会话样本，判断是否包含入侵事件，得到第d个训练会话样本的类别标签λd，λd∈α1；(6)将N1个训练会话样本的特征序列和N1个训练会话样本的类别标签作为训练数据集将N2个测试会话样本的特征序列作为测试数据集(7)根据训练数据集O中的N1个特征序列和对应的N1个类别标签调用Matlab工具包HCRF2.0b中的trainHCRF函数，计算入侵事件检测的隐条件随机场的兼容性度量参数θ；(8)根据已计算出的入侵事件检测的隐条件随机场的兼容性度量参数θ和测试数据集Z，调用Matlab工具包HCRF2.0b中testHCRF函数，计算测试数据集Z中第e个测试会话样本的特征序列Ze对应于类别标签为0的概率βe,0，以及该特征序列Ze对应于类别标签为1的概率βe,1；(9)根据类别标签为0的概率βe,0和类别标签为1的概率βe,1，判断第e个测试会话样本的特征序列Ze的类别标签：若βe,0>βe,1，则第e个测试会话样本的特征序列Ze的类别标签为0，即该测试会话数据不包含入侵事件；若βe,0<βe,1，则第e个测试会话样本的特征序列Ze的类别标签为1，即该测试会话数据包含入侵事件；若βe,0＝βe,1，则无法判断第e个测试会话样本的特征序列Ze是否包含入侵事件；(10)在特征属性集ε中选取全部的攻击会话，得到攻击特征集合A，从攻击特征集合A中选取N3个训练会话样本和N4个测试会话样本，得到第f个训练会话样本的特征属性序列Of'和第g个测试会话样本的特征属性序列Zg'，其中，f∈{1,2,…,N3}，g∈{1,2,…,N4}；(11)对第f个训练会话样本，判断各种攻击行为的类型，得到第f个训练会话样本的类别标签λf'，λf'∈α2；(12)将N3个训练会话样本的特征序列和N3个训练会话样本的类别标签作为训练数据集将N4个测试会话样本的特征序列作为测试数据集(13)根据训练数据集O'中的N3个特征序列和对应的N3个类别标签调用Matlab工具包HCRF2.0b中的trainHCRF函数，计算攻击行为分类的隐条件随机场的兼容性度量参数θ'；(14)根据步骤(12)和步骤(13)已计算出的攻击行为分类的隐条件随机场的兼容性度量参数θ'和测试数据集Z'，调用Matlab工具包HCRF2.0b中testHCRF函数，计算测试数据集Z'中第g个测试会话样本的特征序列Zg'中分别对应于类别标签为0的概率γf,0、对应于类别标签为1的概率γf,1、对应于类别标签为2的γf,2、对应于类别标签为3的概率γf,3；(15)根据类别标签为0的概率γf,0、类别标签为1的概率γf,1、类别标签为2的概率γf,2和类别标签为3的概率γf,3，判断第g个测试会话样本的特征序列Zg'的类别标签：若则第g个测试会话样本的特征序列Zg'的类别标签为0，即该包含入侵事件的测试会话的攻击为DoS攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为1，即该包含入侵事件的测试会话的攻击为Probe攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为2，即该包含入侵事件的测试会话的攻击为R2L攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为3，即该包含入侵事件的测试会话的攻击为U2R攻击。2.根据权利要求1所述的入侵事件检测方法，其中步骤(2)所述的对特征属性集合D进行最大值归一化处理，按如下公式进行：其中，sij表示经过最大值归一化处理前的第i条会话记录的第j个特征属性，sij'表示经过最大值归一化处理后的第i条会话记录的第j个特征属性，sjmax表示所有会话记录的第j个特征属性的最大值，sj表示所有会话记录的第j个特征属性。3.根据权利要求1所述的入侵事件检测方法，其中所述步骤(7)中调用Matlab工具包HCRF2.0b中的trainHCRF函数，其格式如下：θ＝trainHCRF(trainseqs,trainlabels,params)，其中，θ为入侵事件的隐条件随机场的兼容性度量参数，trainHCRF为计算入侵事件的隐条件随机场的兼容性度量参数θ的函数，trainseqs为训练数据集中的N1个特征序列trainlabels为对应的N1个类别标签params为trainHCRF函数计算兼容性度量参数θ时，用来设定trainHCRF函数的隐状态数params.nbHiddenStates和窗长度params.windowsize的参数，其中，params.nbHiddenStates为隐状态个数N，取值为5，params.windowsize为窗长度ω，取值为2。4.根据权利要求1所述的入侵事件检测方法，其中所述步骤(13)中调用Matlab工具包HCRF2.0b中的trainHCRF函数，其格式如下：θ'＝trainHCRF(trainseqs,trainlabels,params)，其中，θ'为攻击行为分类的隐条件随机场的兼容性度量参数，trainHCRF为计算攻击行为分类的隐条件随机场的兼容性度量参数θ'的函数，trainseqs为训练数据集中的N3个特征序列trainlabels为对应的N3个类别标签params为trainHCRF函数计算兼容性度量参数θ'时，用来设定trainHCRF函数的隐状态数params.nbHiddenStates和窗长度params.windowsize的参数，其中，params.nbHiddenStates为隐状态个数N，取值为6，params.windowsize为窗长度ω，取值为2。