专利名称:基于完全无向图的贝叶斯的网络入侵分类方法
技术领域:
本发明涉及一种网络入侵检测方法,尤其涉及一种基于贝叶斯分类器的网络A侵分 类方法。
背景技术:
入侵检测技术是近20年来出现的一种新型网络安全技术,它作为防火墙后的第二道 安全闸门,能够检测出多种形式的入侵行为,是现代计算机网络安全体系的一个重要组 成部分。在网络技术迅速发展、网络安全问题日益突出的环境下,传统的基于主机或基 于网络的入侵检测系统己经难以满足对越来越复杂的网络攻击的检测任务。将机器学习 与数据挖掘等技术应用到入侵检测系统,已经成为入侵检测系统研究的主要方向之一。
例如基于贝叶斯分类方法的、基于神经网络的和基于关联规则挖掘的入侵检测技术。 朴素贝叶斯分类器是众多贝叶斯分类器中最简单的一种,属性的条件独立性假设是 其区别与其它贝叶斯分类器的根本特征,即在给定类标的情况下其他属性的取值是相互 独立的。这一假设大大简化了分类器的复杂性。其虽然简单但是在很多场合取得了较其 它复杂分类器更优的性能,所以朴素贝叶斯分类器已经被引用到入侵检测系统中,如 斯坦福研究院的Valdes和Skinner等用朴素贝叶斯分类器对网络流量进行分析,并设计了 称为eBayes的入侵检测系统;Barbara等也提出了使用朴素贝叶斯分类器对事件进行分类 的入侵检测系统ADAM。然而,朴素贝叶斯的独立性假设在实际情况中不可能完全满足, 事件属性之间会存在着一定的依赖关系。
为了缓解朴素贝叶斯的条件独立性假设,许多研究工作就此展开,已经提出了很多 放宽独立性假设的改进的贝叶斯分类器,如TAN、 LBR、 AODE、 FBN等。但这些分类 器或者是由于事件复杂度高,或者是没有考虑到不同类标事件的属性独立性关系和不同 属性之间的依赖关系,从而无法应用到实时性要求高并且已追求预测精度为目的的入侵 检测系统中来。
发明内容
本发明所要解决的技术问题是提供一种基于完全无向图的贝叶斯的网络入侵分类 方法,以提高入侵检测系统的入侵检测性能。
为解决上述问题,本发明的基于完全无向图的贝叶斯的网络入侵分类方法包括如下 步骤
1训练阶段a收集已知是否为入侵的会话事件并进行特征提取作为训练集; b对训练集进行预处理; c训练出基于完全无向图的贝叶斯分类器; d结束; 2分类阶段
a预处理待检测的会话事件;
b使用步骤lc得到的分类器对处理后的会话事件进行分类; C返回分类结果; d结束。
其中
步骤lb所述的预处理为对训练集中的离散属性进行离散化。 步骤lc所述的训练出基于完全无向图的贝叶斯分类器的步骤是
1) 从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类标 的先验概率;
2) 从训练集中估计出每个类标下每个属性取值的条件概率;
3) 从训练集中估计出每个类标下每两个属性不同取值的联合条件概率;
4) 结束。
步骤2a所述的预处理为对会话事件进行格式化或离散化。
步骤2b所述的使用步骤lc得到的分类器对处理后的会话事件进行分类的步骤如
下
1) 令变量i为1;
2) 如果i小于等于类别个数Nc,即执行步骤3),否则执行步骤5);
3) 按照下式计算待分类样本在当前类标(i对应的类别)下的后验概率并将它存放 在临时数组Temp中,
va =f(c)(nnp("ic》
4) i自增l,执行步骤2);
5) 令v-O, s=0, i=l;
6) 如果i小于等于Nc,执行步骤7),否则执行10);
7) 如果s小于等于Temp[i],则执行步骤8),否则执行);
8) 令s-Temp[i], v=i;
9) i自增l,跳转步骤6);
10) v对应的类标即为待分类样本对应的类标;
11) 结束。
有益效果本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单 的前提下,提高了分类器的精度,尤其是针对小样本类标的异常事件,从而提高了入侵 检测系统的入侵检测性能,明显降低误报警率。
图l为入侵检测系统工作流程图。
图2为本发明的基于完全无向图的贝叶斯的网络入侵分类方法的流程图。
图3为生成基于完全无向图的贝叶斯分类器的流程图。
图4为利用基于完全无向图的贝叶斯分类器进行分类的流程图。
具体实施例方式
下面结合附图,对本发明作进一步说明。 实施例1:
如图1所示,入侵检测系统通过网络会话事件采集设备获取网络报文数据,经报文 数据格式化、特征提取等预处理,然后进行入侵识别,入侵识别的结果可以继续进行报 警关联、入侵跟踪等后续处理。
入侵识别是网络入侵检测系统的核心步骤,本发明的思路就是通过提高入侵识别中 分类器的分类精度,从而提高整个网络入侵检测系统的性能。入侵识别过程即本发明的 基于完全无向图的贝叶斯的网络入侵分类方法的流程图如图2所示。
步骤O为本发明的网络入侵分类方法的起始状态;
在训练阶段(步骤l-3),步骤l搜集网络中己知是否为入侵的历史会话事件,并使
用41个特征属性(特征属性详细描述见KDDCUP99入侵检测数据集描述说明文档)来刻
画这些事件,由这些已知是否为入侵事件的会话(即已知类标的记录)构成基于完全无
向图的贝叶斯分类器的训练集;
步骤2对训练集中离散属性使用其取值范围为10等分的方法离散化;
步骤3使用训练集训练出 一个基于完全无向图的贝叶斯分类器。
在分类阶段(步骤4-5),步骤4在实际入侵检测应用场景中通过网络会话事件采集
网络报文并进行格式化、离散化等预处理;
步骤5利用生成的基于完全无向图的贝叶斯分类器进行分类;
步骤6是本发明的基于完全无向图的贝叶斯的网络入侵分类方法的结束步骤。
图3是对图2中步骤3的详细描述。
步骤30为起始步骤。
步骤31从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类 标的先验概率,即用最大似然估计的方法,同时使用公式(1)进行LAPLACE修正
U)
其中,^是训练集的总样本个数,^k是类标属性值为c的样本个数,^是类的
水
步骤32使用最大似然估计的方法及LAPLACE修正利用公式(2)从训练集中估计每 个类标下每个属性取值的条件概率
4+1 (2)
其中,^是类标属性值为c的样本个数,^是类c中属性4的属性值为"'的样本 个数,"'是离散属性4的属性个数。
步骤33使用最大似然估计的方法及LAPLACE修正利用公式(3)从训练集中估计每 个类标下每2个属性不同取值的联合条件概率
<formula>formula see original document page 7</formula>
其中,^r是类标属性值为c的样本个数,^w是类c中满足属性4-"/且属性4-A
的样本个数,"'是离散属性4的属性个数,^是离散属性4的属性个数。 图4详述了图2中的步骤5。 步骤50为起始步骤。 步骤51输入待分类的样本。 步骤52令变量i为l。
步骤53如果i小于等于Nc,即i小于等于类别个数即执行步骤54,否则执行步骤56。
步骤54按照公式(4)计算待分类样本在当前类标(i对应的类别)下的后验概率 并将它存放在临时数组Temp中。
<formula>formula see original document page 7</formula>步骤55 i自增l,执行步骤53。
步骤52-55实际上是一个循环,目的是计算待分类样本在每个类标下的后验概率。步骤56令f0, s=0, i=l。
步骤57如果i小于等于Nc,执行步骤58,否则执行步骤61。 步骤58如果s小于等于Temp[i],则执行步骤59,否则执行步骤60。 步骤59令s-Temp[i], v=i。 步骤60 i自增l,跳转步骤57。
步骤56-60目的是遍历整个临时数组,找出最大值,该最大值的下标对应的类即 是待分类样本的类标。
步骤61 v对应的类标即为待分类样本对应的类标。 步骤62为图4的结束状态。
权利要求
1、一种基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于该方法包括如下步骤1)训练阶段a)收集已知是否为入侵的会话事件并进行特征提取作为训练集;b)对训练集进行预处理;c)训练出基于完全无向图的贝叶斯分类器;d)结束;2)分类阶段a)预处理待检测的会话事件;b)使用步骤1c)得到的分类器对处理后的会话事件进行分类;c)返回分类结果;d)结束。
2、 根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征 在于步骤lb)所述的预处理为对训练集中的离散属性进行离散化。
3、 根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征在于步骤1C)所述的训练出基于完全无向图的贝叶斯分类器的步骤是1) 从训练集中统计出每个不同类标出现的频率,并使用这些频率估计出每个类标的先验概率;2) 从训练集中估计出每个类标下每个属性取值的条件概率;3) 从训练集中估计出每个类标下每两个属性不同取值的联合条件概率;4) 结束。
4、 根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征 在于步骤2a)所述的预处理为对会话事件进行格式化或离散化。
5、 根据权利要求1所述的基于完全无向图的贝叶斯的网络入侵分类方法,其特征 在于步骤2b)所述的使用步骤lc)得到的分类器对处理后的会话事件进行分类的步骤 如下1) 令变量i为12) 如果i小于等于类别个数Nc,即执行步骤3),否则执行步骤5);3) 按照下式计算待分类样本在当前类标下的后验概率并将它存放在临时数组Temp中,<formula>formula see original document page 2</formula> 4) i自增l,执行步骤2);5) 令v-0, s=0, i=l;6) 如果i小于等于Nc,执行步骤7),否则执行10);7) 如果s小于等于Temp[i],则执行步骤8),否则执行);8) 令s-Temp[i〗,v=i;9) i自增l,跳转步骤6);10) v对应的类标即为待分类样本对应的类标;11) 结束。
全文摘要
本发明公开了一种基于完全无向图的贝叶斯的网络入侵分类方法,包括如下步骤1)训练阶段a)收集已知是否为入侵的会话事件并进行特征提取作为训练集;b)对训练集进行预处理;c)训练出基于完全无向图的贝叶斯分类器;d)结束;2)分类阶段a)预处理待检测的会话事件;b)使用步骤1c)得到的分类器对处理后的会话事件进行分类;c)返回分类结果;d)结束。本发明的基于完全无向图的贝叶斯的网络入侵分类方法在保持计算简单的前提下,提高了分类器的精度,尤其是针对小样本类标的异常事件,从而提高了入侵检测系统的入侵检测性能。
文档编号G06F17/30GK101394316SQ200810234948
公开日2009年3月25日 申请日期2008年11月11日 优先权日2008年11月11日
发明者焦从信, 王崇骏, 赵志宏, 斌 骆 申请人:南京大学