貝葉斯網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用

陳亞奇

【摘要】 互聯(lián)網(wǎng)的高速發(fā)展給人們的生活帶來了非常大的方便，而同時(shí)也產(chǎn)生了許多安全方面的問題。因此，與入侵檢測(cè)相關(guān)的研究也越來越被人們所關(guān)注。入侵檢測(cè)技術(shù)作為保護(hù)網(wǎng)絡(luò)安全的重要技術(shù)手段，自第一次被提出至今已經(jīng)有了20多年的時(shí)間。它可以快速的判斷網(wǎng)絡(luò)數(shù)據(jù)中是否存在攻擊行為而得到了快速發(fā)展。貝葉斯分類算法因?yàn)槠渫评砗皖A(yù)測(cè)的高準(zhǔn)確性，成為數(shù)據(jù)分類中一種非常重要的方法。本文提出了一種基本貝葉斯網(wǎng)絡(luò)的入侵檢測(cè)算法，利用屬性間的依賴關(guān)系構(gòu)建貝葉斯網(wǎng)絡(luò)，對(duì)樣本進(jìn)行分類。

【關(guān)鍵字】 貝葉斯網(wǎng)絡(luò) 入侵檢測(cè) 算法

一、貝葉斯網(wǎng)絡(luò)介紹

貝葉斯網(wǎng)絡(luò)，在圖論里被解釋成一種有向無環(huán)圖。在圖里面每一個(gè)節(jié)點(diǎn)表示一個(gè)特征屬性變量或者類型屬性變量。當(dāng)節(jié)點(diǎn)之間不具備條件獨(dú)立關(guān)系時(shí)，他們之間將有一條有向邊將彼此連接起來。每個(gè)節(jié)點(diǎn)都為其保存一個(gè)相應(yīng)的聯(lián)合概率表。如果該節(jié)點(diǎn)為子節(jié)點(diǎn)，一定存在其父節(jié)點(diǎn)通過一條有向邊指向自己，表示子節(jié)點(diǎn)對(duì)父節(jié)點(diǎn)有依賴關(guān)系。該節(jié)點(diǎn)的所附的概率表則是已知父節(jié)點(diǎn)情況下，在屬性取值范圍內(nèi)各個(gè)屬性值發(fā)生的條件概率。如果該節(jié)點(diǎn)是根節(jié)點(diǎn)，他的概率表則表示此節(jié)點(diǎn)各個(gè)屬性值在屬性值取值范圍內(nèi)發(fā)生的概率。

四、算法實(shí)驗(yàn)

本文采用的是數(shù)據(jù)集是Kdd Cup 99數(shù)據(jù)集，這個(gè)數(shù)據(jù)集在入侵檢測(cè)研究領(lǐng)域是非常重要的實(shí)驗(yàn)數(shù)據(jù)，它一共包括將近500萬(wàn)個(gè)樣本，每個(gè)樣本對(duì)應(yīng)一個(gè)網(wǎng)絡(luò)連接記錄。其中，每個(gè)樣本包括四十一個(gè)網(wǎng)絡(luò)特征屬性，第四十二個(gè)屬性列是對(duì)類屬性的一種標(biāo)記。這個(gè)數(shù)據(jù)集包括的四大攻擊類型分別是：DOS，拒絕服務(wù)攻擊；R2L，來自遠(yuǎn)程電腦沒有權(quán)限的登陸；U2R，沒有權(quán)限的本機(jī)超級(jí)用戶訪問；Probing，表示對(duì)電腦某些端口的監(jiān)控。其中還有一種正常的類型被標(biāo)記為：Normal。

首先對(duì)數(shù)據(jù)進(jìn)行清理，設(shè)樣本數(shù)為n，將樣本分為k=1+3.32*log2（n）組，如果屬性值的取值l在下面的區(qū)間[min（（max min）/ ），min （1） （（max min）/ ）]lklk？？？范圍內(nèi)，那么l就是屬性值離散化后的結(jié)果。

通過計(jì)算得到的部分概率表：

五、結(jié)束語(yǔ)

本文提出了基于貝葉斯網(wǎng)絡(luò)的入侵檢測(cè)算法。貝葉斯作為一種強(qiáng)大的推理工具，在數(shù)據(jù)分類上有很多優(yōu)勢(shì)。通過實(shí)驗(yàn)得出，貝葉斯網(wǎng)絡(luò)在入侵檢測(cè)有較好的分類效率。

參 考 文 獻(xiàn)

[1] 劉完芳. 入侵檢測(cè)系統(tǒng)的特征提取方法研究及其完成[D].湖南：湖南大學(xué)，2007：1-24.

[2] 羅守山. 入侵檢測(cè)[M].北京：北京郵電大學(xué)出版社，2004：1-10.