[发明专利]基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法

说明书

技术领域

本发明涉及一种网络入侵检测方法，尤其涉及一种基于贝叶斯分类器的网络入侵分类方法。

背景技术

在网络技术迅速发展、网络安全问题日益突出的环境下，传统的基于主机或基于网络的入侵检测系统已经难以满足对越来越复杂的网络攻击的检测任务。将机器学习和数据挖掘等技术引入到入侵检测系统，已经成为入侵检测系统研究的主要方向之一。例如：基于贝叶斯分类方法的入侵检测技术、基于神经网络的入侵检测技术和基于关联规则挖掘的入侵检测技术等。

朴素贝叶斯分类器以其简单性以及和其它复杂分类器相当的性能而在入侵检测领域得到了广泛的应用。但同时由于入侵检测中刻画入侵事件的属性特征往往无法做到彼此间独立并且各个类标下的属性独立关系也不尽相同，所以朴素贝叶斯的条件独立性假设始终束缚着其在这一领域中的更广泛的应用。

当然现在也存在着一些放宽这种条件独立性假设的改进的贝叶斯分类器，如TAN，LBR，AODE，FBN等。但是这些分类器或是由于时间复杂度高，或是由于没有考虑到不同类标事件的属性独立性关系不同，从而无法应用到实时性要求高并且已追求预测精度为目的的入侵检测系统中来。

发明内容

发明目的：本发明所要解决的技术问题是提供一种基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，以提高入侵检测系统的入侵检测性能。

技术方案：为解决上述技术问题，本发明的基于条件互信息的双层半懒惰贝叶斯的网络入侵分类方法，包括如下步骤：

1、训练阶段：

a、收集已知是否为入侵的会话事件并进行特征提取做为训练集；

b、对训练集进行预处理；

c、训练出基于条件互信息的双层半懒惰贝叶斯分类器；

d、结束；

2、分类阶段：

e、预处理待检测会话事件；

f、使用步骤1-c得到的分类器对处理后的会话事件进行分类；

g、返回分类结果；

h、结束。

其中步骤1-b中所述的预处理为对训练集中的离散属性进行离散化。

步骤2-e中所述的预处理为对会话事件进行格式化或离散化。

步骤1-c的具体过程如下：

1、从训练集中统计出每个不同类标出现的频率，并使用这些频率估计出每个类标的先验概率；

2、从训练样本中估计出每个类标下每个属性取值的条件概率；

3、从训练样本中估计出每个类标下每两个属性不同取值的联合条件概率；

4、结束。

步骤2-f的具体过程如下：

1、由用户输入参数β，取值可为30～60；

2、置j的值为1；

3、判断j是否小于等于不同的类标数L，是则执行步骤4，否则转步骤19；

4、根据公式

计算每个属性A_i相对于其它所有属性在类标w_j下的条件互信息和；

其中，a_i为待检测记录在属性A_i上的取值，B是除属性A_i外的其余所有属性的集合，a_k为待检测记录在属性A_k上的取值；

其中，I(a_i，a_k|w_j)使用公式