羅斌

【摘 要】異常檢測(cè)是網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域的主要研究方向之一，論文提出了一種新的基于網(wǎng)絡(luò)特征和貝葉斯網(wǎng)的網(wǎng)絡(luò)異常檢測(cè)方法，首先對(duì)網(wǎng)絡(luò)特征進(jìn)行分析后確定一組特征作為變量集，然后用貝葉斯網(wǎng)的結(jié)構(gòu)學(xué)習(xí)算法和參數(shù)學(xué)習(xí)算法對(duì)網(wǎng)絡(luò)特征建模，最后使用學(xué)習(xí)樣本對(duì)模型進(jìn)行訓(xùn)練。

【Abstract】Anomaly detection is one of the main research directions in the field of network intrusion detection. This paper proposes a new network anomaly detection method based on network characteristics and Bayesian networks. Firstly， the network features are analyzed and a set of features are determined as a set of variables. Then the structural learning algorithm and parameter learning algorithm of Bayesian networks are used to model the network characteristics. Finally， the model is trained with the learning sample.

【關(guān)鍵詞】入侵檢測(cè);異常檢測(cè);網(wǎng)絡(luò)特征;貝葉斯網(wǎng)

【Keywords】 intrusion detection; anomaly detection;network features;Bayesian networks

【中圖分類號(hào)】TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2018）12-0166-02

1 引言

自1987年Denning[1]首次提出異常檢測(cè)的概念之后，異常檢測(cè)很快成為入侵檢測(cè)領(lǐng)域研究的熱點(diǎn)。已經(jīng)有很多學(xué)者使用不同方法（如數(shù)據(jù)挖掘，人工智能等）從不同方面（如系統(tǒng)日志，進(jìn)程調(diào)度順序，網(wǎng)絡(luò)流量等）對(duì)異常檢測(cè)進(jìn)行了研究，但是將貝葉斯網(wǎng)應(yīng)用到網(wǎng)絡(luò)異常檢測(cè)的卻很少。Sebyala等人[2]將貝葉斯網(wǎng)應(yīng)用到proxylet的異常檢測(cè)中，根據(jù)CPU和內(nèi)存利用率構(gòu)建了一個(gè)僅有3個(gè)變量的貝葉斯網(wǎng)作為proxylet分類模型，他們的貝葉斯網(wǎng)過(guò)于簡(jiǎn)單，而且沒(méi)有給出具體的檢測(cè)方法和檢測(cè)結(jié)果。張琨等人[3]用貝葉斯網(wǎng)作為分類器，并用這些分類器作為入侵檢測(cè)的分布式代理來(lái)構(gòu)造大型網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，但測(cè)試結(jié)果表明他們的方法并不理想。由于現(xiàn)有的貝葉斯網(wǎng)異常檢測(cè)模型和方法不理想，所以本文提出一種新的基于貝葉斯網(wǎng)的網(wǎng)絡(luò)異常檢測(cè)方法。

2 相關(guān)定義和引理

2.1 數(shù)據(jù)

定義1，隨機(jī)變量簡(jiǎn)稱變量，是定義在樣本空間上的函數(shù)，通常用大寫字母表示，

3 基于貝葉斯網(wǎng)的網(wǎng)絡(luò)異常檢測(cè)方法

4結(jié)語(yǔ)

本文提出了一種基于貝葉斯網(wǎng)的網(wǎng)絡(luò)異常檢測(cè)方法，能快速、有效的訓(xùn)練出網(wǎng)絡(luò)異常檢測(cè)的貝葉斯網(wǎng)絡(luò)，下一步將對(duì)該方法進(jìn)行實(shí)證研究

【注釋】

①表示笛卡爾積。

【參考文獻(xiàn)】

【1】D E Denning.An intrusion-detection model[J].IEEE Transaction on Software Engineering，1987，13（2）：222-232.

【2】A A Sebyala，T Olukemi，L Sacks.Active platform security through intrusion detection using navie Bayesian Network for anomaly detection[C].In：Proceedings of the London Communications Symposium，2002.

【3】張琨，徐永紅，王珩，等.用于入侵檢測(cè)的貝葉斯網(wǎng)絡(luò)[J].小型微型計(jì)算機(jī)系統(tǒng)，2003，24（5）：913-915.

【4】張連文，郭海鵬.貝葉斯網(wǎng)引論[M].北京：科學(xué)出版社，2006.