[发明专利]基于隐条件随机场的入侵事件检测方法

说明书

技术领域

本发明属于网络信息安全领域，涉及网络入侵类型的识别分析，可用于对网络数据流的行为识别检测中，以准确、全面的区分网络行为提高网络的安全性。

背景技术

随着计算机和网络技术应用的日益普及，计算机网络安全越来越受到人们的重视。近年来，互联网的主干网络、网络应用、TCP/IP网络协议三个层次都受到了各种各样的安全威胁或攻击，信息安全特别是网络安全问题越来越凸显出来了，入侵检测作为网络安全研究的重要内容，更是引起了国内外学者的广泛关注。

现有的入侵检测方法主要有：

1.国际商业机器公司在其专利申请“计算机网络入侵检测系统和方法”（申请号：200680016585.X，公开号：CN101176331）中提出了一种用于标识试图入侵基于TCP/IP协议的网络的设备的方法。该方法允许在两个独立的信息级别，一方面是TCP/IP栈信息而另一方面是Windows安全事件日志信息之间创建链接。允许在存储于所述安全事件日志中的攻击者设备的计算机名称与涉及该计算机名称的TCP/IP信息之间建立关系。该方法的缺点是：过多依赖于TCP/IP协议栈的信息和操作系统的安全日志，系统普适性不强。

2.饶鲜，董春曦，杨绍全.基于支持向量机的入侵检测系统[J].软件学报,2003,14(4):798-803.这种方法将支持向量机应用到入侵检测中，利用在先验知识不足的情况下，支持向量机分类器仍有较好的分类正确率的特性，使得整个入侵检测系统具有较好的检测性能。该方法的缺点是：只能对当前网路是否收到入侵进行判决，而不能对数据的入侵类型进行标记。

3.俞研，郭山清，黄皓.基于数据流的异常入侵检测[J].计算机科学,2007,34(5):66-71.这种方法首先在线生成网络数据的统计信息，并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明，其DoS攻击检测准确率达到97.86%，Probe攻击准确率达到77.64%，R2L和U2R攻击准确率达到55.52%，并克服了内存等系统资源不足的问题，增加了系统的灵活性与并行性。但是该方法仅仅通过建立聚类特征矢量，得到基于距离的聚类分析模型，并没有对网络数据进行更深层次的数据建模来挖掘其潜在的规律，限制了检测准确率的提高。

发明内容

本发明的目的在于针对上述已有技术的不足，提出一种基于隐条件随机场的入侵检测方法，以利用少量的特征，简化复杂模型构建过程，提高入侵检测的准确率。

为实现上述目的，本发明的技术方案包括如下步骤：

（1）将DARPA公布的KDD99数据集中的原始数据进行降维处理，从该数据库原有的41个特征中筛选出26个特征，作为特征属性集合D；

（2）对特征属性集合D进行最大值归一化处理，以消除属性度量差异带来的影响，得到规范化的特征属性集ε＝{s₁,s₂,…,s₂₆}，

其中，s₁,s₂,…,s₂₆表示26种特征属性；

（3）定义类别标签集：

3a)定义入侵事件检测的隐条件随机场模型的类别标签集为：α₁＝{0,1}，其中，0表示入侵事件检测的隐条件随机场模型的输入是安全的会话，1表示入侵事件检测的隐条件随机场模型的输入是含有攻击的会话；

3b)定义入侵检测攻击分类的隐条件随机场模型的类别标签集为：α₂＝{0,1,2,3}，其中，0表示攻击类型为DoS攻击，即拒绝服务攻击，

1表示攻击类型为Probe攻击，即网络探针攻击，

2表示攻击类型为R2L攻击，即非法远程闯入攻击，

3表示攻击类型为U2R攻击，即非法提升权限攻击；

（4）在数据集合ε中选取N₁个训练会话样本和N₂个测试会话样本，得到第d个训练会话样本的特征属性序列O_d和第e个测试会话样本的特征属性序列Z_e，其中，d∈{1,2,…,N₁}，e∈{1,2,…,N₂}；

（5）对第d个训练会话样本，人工判断是否包含入侵事件，得到第d个训练会话样本的类别标签λ_d，λ_d∈α₁；