基于贝叶斯网络的未知攻击检测研究

2017-12-01 09:10刘东朝北方民族大学
数码世界 2017年10期
关键词:互信息贝叶斯正确率

刘东朝 北方民族大学

基于贝叶斯网络的未知攻击检测研究

刘东朝 北方民族大学

随着互联网的普及,网络流量与日俱增。人们在享受着网络带来的便利的同时,也面临着各种各样的网络安全问题。因此,网络安全技术的发展受到人们的空前关注。入侵检测技术作为一种保障网络安全的有效手段,可以快速检测出网络攻击并立即预警。贝叶斯算法以其坚实的数学基础和强大的推理能力,被广泛应用在信息分类领域。本文提出一种改进的贝叶斯网络算法,利用互信息理论构造贝叶斯网络,并对未知攻击进行检测。

入侵检测 贝叶斯网络 互信息

1.引言

随着科学技术的进步,网络以及智能终端设备的普及,人类已经离不开网络。网络的发展在给人们生活带来方便的同时,也带来了例如信息泄露,信息诈骗一类的安全问题。由于上个世纪互联网被发明的时候,并没有充分考虑到安全问题,所以入侵检测技术的发展成为了人们研究的重点。贝叶斯网络是一种优秀的推理工具,在入侵检测方面拥有先天的优势。但因过于依赖训练集,所以对未知入侵攻击无能为力。本文提出一种改进的算法,对未知攻击进行检测和分类。

2.贝叶斯网络

贝叶斯网络是一种有向无环图。图中每个圆圈代表一个节点,表示一个特征属性。当节点之间互相条件独立时,节点之间互不相连;当节点之间存在某种依赖关系时,通过单向箭头进行连接,被箭头所指的节点是子节点,另一个是父节点。每个节点都会保存一个概率表,子节点中概率表表示在父节点发生的情况下,子节点中各个属性发生的概率;根节点中的概率表则是表示自身各个属性发生的概率。

3.结构学习

本文采用信息论中的互信息理论,对各个节点之间的相关度进行计算,然后构造贝叶斯网络,具体步骤如下:

Step1:训练样本集N包含n个属性{X1,X2,……,Xn},设R为属性集合,C是决策集合。计算(Xi,Xj) R的情况下的互信息I(Xi,Xj)(i≠j)和在已知C的情况下的条件互信息I(Xi,Xj|C)。

Step2:取一个很小的实数常量e1,若I(Xi,Xj)>e1,则连接节点Xi和Xj,但不添加方向。遍历所有节点,得到无方向的贝叶斯网络草图P1。

Step3:取一个很小的实数常量e2,若I(Xi,Xj|C)<e2,说明两节点在条件属性C下条件独立,则删除两节点之间的连接。遍历所有节点,得到新的无方向的贝叶斯网络草图P2。

Step4:取一个很小的实数常量e3,当I(Xi,C)-I(Xj,C)≤e3,两个节点之间存在依赖关系。如果|I(Xi,C)-I(Xj,C)|>e3,且I(Xi,C)>I(Xj,C)则Xi→Xj;反之,则Xj→Xi。在此得到完整的贝叶斯网络结构图P3。

4.参数学习

本文采用最大似然估计进行参数学习并生成节点概率表。

5.算法实验

本文采用Kdd cpu 1999数据集,此数据集源于一个真实的网络环境,包含近500万条数据样本,每条数据样本包含一个网络连接。每个网络连接中包含四十二个属性,其中前四十一个属性是特征属性,表示每条数据的特征;第四十二个属性是标签属性,表示此网络连接的攻击类型。此数据集包含四大攻击类型,分别是:DOS攻击,R2L攻击,U2R攻击和Probe攻击。

本文选取4万条数据作为训练集M,2万条数据作为检测集N。首先对数据集进行预处理,接着将两个数据集中的标签属性进行更改,将四大攻击类型统一标记为攻击,以便于对未知攻击进行检测。然后利用训练集M构建贝叶斯网络,并对检测集N进行检测。对未知入侵攻击的分类正确率如下表所示:

类型 未知攻击正确率(%) 78.35

6.结束语

本文提出一种改进的贝叶斯网络入侵检测算法,依靠贝叶斯强大的推理理论,对未知入侵攻攻击进行检测,取得了不错的检测正确率。

[1]令狐红英,陈梅,王翰虎,等.基于互信息可信度的贝叶斯网络入侵检测研究[J].计算机工程与设计,2009,30(14):3288-3290.

[2]孙程,邢建春,杨启亮,等.基于改进朴素贝叶斯的入侵检测方法[J].微型机与应用,2017,36(1):8-10.

[3]唐淑珍.基于贝叶斯的入侵检测[J].软件导刊,2010,09(04):149-151.

猜你喜欢
互信息贝叶斯正确率
个性化护理干预对提高住院患者留取痰标本正确率的影响
基于贝叶斯定理的证据推理研究
基于贝叶斯解释回应被告人讲述的故事
基于两种LSTM结构的文本情感分析
租赁房地产的多主体贝叶斯博弈研究
租赁房地产的多主体贝叶斯博弈研究
基于改进互信息和邻接熵的微博新词发现方法
生意
生意
基于互信息的图像分割算法研究与设计