[发明专利]基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法

权利要求书

1.一种基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于该方法包括如下步骤：

(1)训练阶段：

(a)收集已知是否为入侵的会话事件并进行特征提取做为训练集；

(b)对训练集进行预处理；

(c)训练出基于条件互信息的双层半懒惰贝叶斯分类器；

(d)结束；

(2)分类阶段：

(e)预处理待检测会话事件；

(f)使用步骤1(c)得到的分类器对处理后的会话事件进行分类；

(g)返回分类结果；

(h)结束。

2.根据权利要求1所述的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于步骤(1)(b)中所述的预处理为对训练集中的离散属性进行离散化。

3.根据权利要求1所述的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于步骤(1)(c)中所述的训练出基于条件互信息的双层半懒惰贝叶斯分类器的步骤是：

(1)从训练集中统计出每个不同类标出现的频率，并使用这些频率估计出每个类标的先验概率；

(2)从训练样本中估计出每个类标下每个属性取值的条件概率；

(3)从训练样本中估计出每个类标下每两个属性不同取值的联合条件概率；

(4)结束。

4.根据权利要求1所述的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于步骤(2)(e)中所述的预处理为对会话事件进行格式化或离散化。

5.根据权利要求1所述的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于步骤(2)(f)中所述的使用步骤1(c)得到的分类器对处理后的会话事件进行分类的步骤如下：

(1)由用户输入参数β；

(2)置j的值为1；

(3)判断j是否小于等于不同的类标数L，是则执行步骤(4)，否则转步骤(19)；

(4)根据公式

SImod(ai;B|wj)=Σk=1,ak≠ainI(ai,ak|wj)(1-I(ai,ak|wj)Σp=1,ap≠ainI(ai,ap|wj))]]>

计算每个属性A_i相对于其它所有属性在类标w_j下的条件互信息和；

其中，a_i为待检测记录在属性A_i上的取值，B是除属性A_i外的其余所有属性的集合，a_k为待检测记录在属性A_k上的取值；

其中，I(a_i，a_k|w_j)使用公式

I(ai,ak|wj)=|log2P(ai,ak|wj)P(ai|wj)P(ak|wj)|]]>

进行计算；

(5)对属性的条件互信息和进行降序排列，并将与之对应的属性下标存储在数组I中；

(6)新建空数据集D，并用训练阶段的训练集样本初始化D；

(7)置属性集V₂为空；

(8)置k为1；

(9)判断k是否小于等于所有属性的个数n，是则执行步骤(10)，否则转步骤(15)；

(10)计算数据集D中与待检测记录在属性A_I(k)上有取相同值的样本数量N′；

(11)判断N′是否大于β，是则执行(12)，否则转步骤(15)；

(12)删除数据集D中与待测记录具有不同属性A_I(k)取值的样本；

(13)将属性A_I(k)加入到V₂；

(14)使k加1，转步骤(9)；

(15)将不在V₂中的所有其它属性加入到属性集V₁中；

(16)根据公式

P(V1|V2,wj)=Πi=1mP(ai|V2,wj)]]>

计算子样本集中的类标似然度P(V₁|V₂，w_j)；

其中，m为属性集V₁中的属性个数；

(17)根据公式

P(w_j|e)＝P(V₁|V₂，w_j)P(w_j|V₂)P(V₂)

计算类标w_j的后验概率；

其中，e为待检测记录，其由属性集由A来刻画；

(18)使j加1并转至步骤(3)；

(19)找出具有最大后验概率的类标；

(20)将具有最大后验概率的类标作为检测结果返回；

(21)结束。

6.根据权利要求5所述的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，其特征在于步骤(1)中所述的参数β的数值为30～60。