陳亞奇

【摘要】 互聯(lián)網(wǎng)的高速發(fā)展給人們的生活帶來了非常大的方便，而同時也產(chǎn)生了許多安全方面的問題。因此，與入侵檢測相關的研究也越來越被人們所關注。入侵檢測技術作為保護網(wǎng)絡安全的重要技術手段，自第一次被提出至今已經(jīng)有了20多年的時間。它可以快速的判斷網(wǎng)絡數(shù)據(jù)中是否存在攻擊行為而得到了快速發(fā)展。貝葉斯分類算法因為其推理和預測的高準確性，成為數(shù)據(jù)分類中一種非常重要的方法。本文提出了一種基本貝葉斯網(wǎng)絡的入侵檢測算法，利用屬性間的依賴關系構建貝葉斯網(wǎng)絡，對樣本進行分類。

【關鍵字】 貝葉斯網(wǎng)絡 入侵檢測 算法

一、貝葉斯網(wǎng)絡介紹

貝葉斯網(wǎng)絡，在圖論里被解釋成一種有向無環(huán)圖。在圖里面每一個節(jié)點表示一個特征屬性變量或者類型屬性變量。當節(jié)點之間不具備條件獨立關系時，他們之間將有一條有向邊將彼此連接起來。每個節(jié)點都為其保存一個相應的聯(lián)合概率表。如果該節(jié)點為子節(jié)點，一定存在其父節(jié)點通過一條有向邊指向自己，表示子節(jié)點對父節(jié)點有依賴關系。該節(jié)點的所附的概率表則是已知父節(jié)點情況下，在屬性取值范圍內(nèi)各個屬性值發(fā)生的條件概率。如果該節(jié)點是根節(jié)點，他的概率表則表示此節(jié)點各個屬性值在屬性值取值范圍內(nèi)發(fā)生的概率。

四、算法實驗

本文采用的是數(shù)據(jù)集是Kdd Cup 99數(shù)據(jù)集，這個數(shù)據(jù)集在入侵檢測研究領域是非常重要的實驗數(shù)據(jù)，它一共包括將近500萬個樣本，每個樣本對應一個網(wǎng)絡連接記錄。其中，每個樣本包括四十一個網(wǎng)絡特征屬性，第四十二個屬性列是對類屬性的一種標記。這個數(shù)據(jù)集包括的四大攻擊類型分別是：DOS，拒絕服務攻擊；R2L，來自遠程電腦沒有權限的登陸；U2R，沒有權限的本機超級用戶訪問；Probing，表示對電腦某些端口的監(jiān)控。其中還有一種正常的類型被標記為：Normal。

首先對數(shù)據(jù)進行清理，設樣本數(shù)為n，將樣本分為k=1+3.32*log2（n）組，如果屬性值的取值l在下面的區(qū)間[min（（max min）/ ），min （1） （（max min）/ ）]lklk？？？范圍內(nèi)，那么l就是屬性值離散化后的結果。

通過計算得到的部分概率表：

五、結束語

本文提出了基于貝葉斯網(wǎng)絡的入侵檢測算法。貝葉斯作為一種強大的推理工具，在數(shù)據(jù)分類上有很多優(yōu)勢。通過實驗得出，貝葉斯網(wǎng)絡在入侵檢測有較好的分類效率。

參 考 文 獻

[1] 劉完芳. 入侵檢測系統(tǒng)的特征提取方法研究及其完成[D].湖南：湖南大學，2007：1-24.

[2] 羅守山. 入侵檢測[M].北京：北京郵電大學出版社，2004：1-10.