王　輝　陳泓予　楊?yuàn)檴?/p>

(河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院　河南 焦作 454000)

?

基于樹加權(quán)樸素貝葉斯算法的入侵檢測技術(shù)研究

王輝陳泓予楊?yuàn)檴?/p>

(河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院河南 焦作 454000)

摘要針對樸素貝葉斯(NB)算法在現(xiàn)實(shí)情況中所存在的缺陷，提出一種改進(jìn)后的樸素貝葉斯算法——樹加權(quán)樸素貝葉斯(TW-NB)算法。該算法通過引入決策樹歸納法(DTI)在屬性之間條件獨(dú)立的集合中選擇出相對更為重要的子屬性集，并利用權(quán)重參數(shù)弱化了NB算法的條件獨(dú)立假設(shè)性，從而降低了分類數(shù)據(jù)的維度，提高了算法的分類準(zhǔn)確率。結(jié)合實(shí)驗(yàn)結(jié)果證明，在使用有限的計(jì)算資源下，基于TW-NB算法的入侵檢測技術(shù)對于不同的網(wǎng)絡(luò)入侵類型皆能表現(xiàn)出較高的檢測率(DR)和較低的誤檢率(FR)。

關(guān)鍵詞樸素貝葉斯決策樹歸納法入侵檢測準(zhǔn)確率

INTRUSION DETECTION TECHNOLOGY BASED ON TREE-WEIGHTING NAIVE BAYESIAN ALGORITHM

Wang HuiChen HongyuYang Shanshan

(School of Computer Science and Technology,Henan Polytechnic University,Jiaozuo 454000,Henan,China)

AbstractAiming at the deficiency of naive Bayesian (NB) algorithm in the reality, this paper proposes an improved NB algorithm which is called tree-weighting naive Bayesian (TW-NB) algorithm. This algorithm, by introducing the decision tree induction (DTI), selects a comparatively more important subset of attributes from the set of conditional independence assumption, and uses weighting parameter to weaken the conditional independence assumption of naive Bayesian and thus reduces the dimensionality of the classification data, as well as improves the classification accuracy of the algorithm. It is verified by combining the experimental results that the intrusion detection technology based on the TW-NB algorithm can achieve higher detection rates (DR) and lower false rates (FR) for different network intrusion types when the computational resources used are limited.

KeywordsNaive BayesianDTIIntrusion detectionAccuracy

0引言

隨著網(wǎng)絡(luò)信息量的不斷增大以及網(wǎng)絡(luò)服務(wù)規(guī)模的日益擴(kuò)大，保障網(wǎng)絡(luò)數(shù)據(jù)安全性的網(wǎng)絡(luò)信息安全技術(shù)開始受到各界領(lǐng)域的關(guān)注與重視。入侵檢測技術(shù)(IDT)在網(wǎng)絡(luò)環(huán)境中作為防火墻技術(shù)(FT)的有效補(bǔ)充可被分為異常檢測(AD)和誤用檢測(MD)兩大類，它能夠通過審計(jì)、檢測、識(shí)別和響應(yīng)的方式實(shí)時(shí)地對網(wǎng)絡(luò)行為進(jìn)行監(jiān)控并過濾信息數(shù)據(jù)，形成一種內(nèi)外呼應(yīng)的智能保護(hù)體系[1]。

由于網(wǎng)絡(luò)技術(shù)的不斷更新，網(wǎng)絡(luò)入侵行為也演變的更加復(fù)雜多變，海量數(shù)據(jù)情況下的網(wǎng)絡(luò)環(huán)境也使得入侵檢測技術(shù)不斷面臨著巨大的挑戰(zhàn)。因此，將針對大數(shù)據(jù)環(huán)境的數(shù)據(jù)挖掘(DM)算法如：KNN[2]、樸素貝葉斯(NB)[3]、支持向量機(jī)(SVM)[4]、K-means[5]等應(yīng)用在入侵檢測技術(shù)當(dāng)中逐漸成為研究熱點(diǎn)。其中，樸素貝葉斯(NB)算法作為最優(yōu)秀的分類模型之一被廣泛應(yīng)用于各信息領(lǐng)域。但由于NB的“獨(dú)立性假設(shè)”要求，這樣會(huì)忽略屬性與屬性之間的依賴關(guān)系，使得屬性所具有的關(guān)系性得不到體現(xiàn)，這與網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)之間的復(fù)雜聯(lián)系情況相違背，對于入侵檢測技術(shù)中的網(wǎng)絡(luò)行為分類就會(huì)表現(xiàn)出較低的準(zhǔn)確率。因此，針對這一算法缺陷，研究人員運(yùn)用各種方法技術(shù)對樸素貝葉斯(NB)算法進(jìn)行改進(jìn)，以提升其分類的性能。

文獻(xiàn)[6]中首次引入了隱樸素貝葉斯(HNB)模型的概念，該算法在NB模型的基礎(chǔ)上通過為每個(gè)屬性節(jié)點(diǎn)增加一個(gè)隱藏父節(jié)點(diǎn)來記錄該節(jié)點(diǎn)與其他節(jié)點(diǎn)間的依賴關(guān)系，弱化了屬性間的獨(dú)立性條件，從而提高了分類精度，但該模型對于多重屬性的關(guān)系網(wǎng)絡(luò)卻顯得效率較低。在文獻(xiàn)[7]中，針對HNB算法改進(jìn)的雙隱樸素貝葉斯(DHNB)模型被提出。該模型通過再度為每個(gè)屬性節(jié)點(diǎn)增加一個(gè)新的隱藏父節(jié)點(diǎn)，該節(jié)點(diǎn)用來記錄每個(gè)屬性依賴關(guān)系的加權(quán)總和，從而更加充分地表示每個(gè)節(jié)點(diǎn)之間的關(guān)系情況，通過權(quán)重(Weight)屬性進(jìn)一步提升了NB算法的性能。文獻(xiàn)[8]介紹了一種隨機(jī)選擇樸素貝葉斯(RSNB)，該算法是在包裝器(Wrapper)屬性特征子集選擇方法(FSS)的基礎(chǔ)之上，在整個(gè)屬性空間中裝載隨機(jī)搜索，使得NB算法的預(yù)測性和分辨性增強(qiáng)，但在一定程度上也增加了算法本身的時(shí)間和空間復(fù)雜度O(n)。Flores等人[9]采用了在連續(xù)和離散域AODE (Aggregating One-dependence Estimators)模型中自動(dòng)建立基于復(fù)雜屬性值的半樸素貝葉斯(SNB)，該算法能夠?qū)⒁蕾囆暂^強(qiáng)的基本屬性特征組合成集合，因此SNB在某種程度上簡化了屬性集的復(fù)雜度，去除冗余屬性，從而避免了分類干擾因素。在文獻(xiàn)[10]中，一種動(dòng)態(tài)完全樸素貝葉斯(DCNB)分類模型被建立，該算法通過使用多元高斯核函數(shù)估計(jì)屬性條件聯(lián)合密度與平滑參數(shù)優(yōu)化的方法，有效地利用了屬性之間的條件依賴信息，從而提升了NB算法的分類準(zhǔn)確性，但該改進(jìn)算法針對大數(shù)據(jù)環(huán)境卻顯得效率有所降低。文獻(xiàn)[11,12]分別引入屬性加權(quán)的思想對NB算法進(jìn)行了改進(jìn)，通過對不同的條件屬性賦予不同的權(quán)值來降低分類干擾，提高檢測精度。

本文在前人的研究基礎(chǔ)之上，針對上述改進(jìn)方法的優(yōu)缺點(diǎn)，提出了一種改進(jìn)的NB算法——樹加權(quán)樸素貝葉斯(TW-NB)算法，并將該算法引入到入侵檢測技術(shù)當(dāng)中。該算法通過使用決策樹歸納法(DTI)過濾出重要的屬性子集，首先通過決策樹估計(jì)出被選擇的屬性權(quán)重，然后只有這些由決策樹根據(jù)它們相關(guān)權(quán)重所選擇出的最重要的屬性才能被用于“類條件獨(dú)立性假設(shè)”的計(jì)算。本文將結(jié)合使用KDD’99入侵檢測數(shù)據(jù)集測試并驗(yàn)證TW-NB算法在入侵檢測技術(shù)中的性能，并與NB算法進(jìn)行分類準(zhǔn)確度的比較。實(shí)驗(yàn)結(jié)果證明，TW-NB算法在網(wǎng)絡(luò)入侵行為的檢測率與誤檢率方面較NB算法都有顯著的改善，針對復(fù)雜多級的集合環(huán)境也能表現(xiàn)出較高的分類效率。

1改進(jìn)算法相關(guān)研究

1.1NB分類算法

給定一個(gè)N維訓(xùn)練樣本集T={D1,D2,…,Dn}，其中Di={d1,d2,…,dn}表示集合中每個(gè)數(shù)據(jù)記錄。訓(xùn)練集T包含屬性集合A={A1,A2,…,An}，而每個(gè)屬性Ai擁有屬性值集合{a1,a2,…,an}，屬性值可以是離散值或者連續(xù)值。訓(xùn)練數(shù)據(jù)集T還包含類集合C={C1,C2,…,Cm|(m≤n)}，每個(gè)訓(xùn)練樣本實(shí)例D(D∈T)均擁有一個(gè)特定的類別標(biāo)記Cj。對于一個(gè)測試樣本集E={e1,e2,…,en}，測試實(shí)例ei可根據(jù)貝葉斯定理計(jì)算的后驗(yàn)概率P(Cj|Ai)得出其所屬類別。先驗(yàn)概率P(Cj)可由拉普拉斯校正方程統(tǒng)計(jì)每個(gè)類別Cj(j≤m)在訓(xùn)練集T中所出現(xiàn)的頻率估算所得，條件概率P(Ai|Cj)可相應(yīng)地根據(jù)屬性值ai(i≤n)在訓(xùn)練集T中對應(yīng)的所屬類別Cj中出現(xiàn)的頻率計(jì)算得出。因此，樸素貝葉斯(NB)算法可通過先驗(yàn)概率和條件概率進(jìn)行預(yù)測，從而得出待分類樣本實(shí)例的所屬類別，達(dá)到不同數(shù)據(jù)歸類的目的。

(1)

根據(jù)式(1)可分別計(jì)算出測試樣本屬性ei所屬類別的后驗(yàn)概率，NB分類算法找出最大后驗(yàn)概率MAP最終劃分屬性的歸屬類別，根據(jù)式(2)計(jì)算所得，即在訓(xùn)練集中僅當(dāng)P(Ci|ei)>P(Cj|ei)(i≠j,1≤j≤m)，則ei的類別標(biāo)簽為Ci，概率P(Ci|ei)即為最大后驗(yàn)假設(shè)。

(2)

樸素貝葉斯分類器(NBC)是一個(gè)基于概率的算法，可以預(yù)測樣本所屬類成員的概率。該算法有以下優(yōu)點(diǎn)：(1) 算法構(gòu)造簡單，時(shí)間復(fù)雜度低；(2) 概率生成僅需單次遍歷訓(xùn)練集合；(3) 模型結(jié)構(gòu)清晰嚴(yán)謹(jǐn)，具備較好的魯棒性和可擴(kuò)展性。NBC需要條件獨(dú)立性假設(shè)的前提，即屬性在給定類的影響?yīng)毩⒂谄渌麑傩浴?/p>

1.2決策樹歸納法

決策樹歸納法(DTI)是一組規(guī)則集合，使用遞歸的方式將訓(xùn)練樣本集(TS)劃分成更小的子集合(Sub-TS)，直到每一個(gè)子集合擁有獨(dú)有的所屬類別標(biāo)簽。DTI算法通常采用信息論(IT)作為屬性選擇方法，根節(jié)點(diǎn)TS的選擇是基于計(jì)算出的所具有最高信息增益的屬性。給定一個(gè)N維訓(xùn)練樣本集T={t1,t2,…,tn}，pj表示樣本實(shí)例ti(i≤n)屬于類別Cj(j≤m)的先驗(yàn)概率，可根據(jù)式(3)得出對給定的樣本實(shí)例進(jìn)行分類所需要的期望信息Info(T)。

(3)

相應(yīng)地，訓(xùn)練樣本集T根據(jù)屬性A={a1,a2,…,an}迭代地被劃分成N個(gè)不同的子集合{T1,T2,…,Tn}，其中Ti為樣本集合T中屬性A=ai時(shí)的樣本子集合?？筛鶕?jù)權(quán)重值|Ti|/|T|計(jì)算出屬性A劃分T的期望信息，從而根據(jù)原始信息要求Info(T)和新的信息要求的偏移量計(jì)算得出信息增益InfoGain(A)。根據(jù)樣本集T中的屬性值，逐一地計(jì)算出每個(gè)屬性值對T進(jìn)行劃分的信息增益，從中選擇出具有最高信息增益的屬性Am作為最佳屬性來劃分子集合，遞歸整個(gè)過程直到所有集合都被正確歸類。

(4)

DTI用于分析構(gòu)建模型的可行性與可信度，相應(yīng)地根據(jù)觀察推出其邏輯表達(dá)式及結(jié)構(gòu)，通過其簡單清晰的邏輯推理和分割信息值，能夠快捷地對大數(shù)據(jù)集進(jìn)行高效的數(shù)據(jù)劃分。但針對連續(xù)型數(shù)據(jù)和多類別集合，劃分效率就會(huì)隨復(fù)雜度的升高而降低。

1.3TW-NB算法

樹加權(quán)樸素貝葉斯(TW-NB)算法是通過引入決策樹歸納法(DTI)來增強(qiáng)樸素貝葉斯(NB)算法的預(yù)測性與可行性，增加權(quán)重參數(shù)使樣本屬性之間的獨(dú)立性得到弱化，運(yùn)用信息增益比迭代地將集合逐步精確細(xì)分，從而使得每個(gè)樣本實(shí)例都能正確的被歸類。

在一個(gè)給定的N維訓(xùn)練樣本集合U中，其每一個(gè)訓(xùn)練樣本實(shí)例Si(Si∈U)都擁有一組屬性{A1,A2,…,An}，且每個(gè)屬性都有不同的取值{a1,a2,…,an}。同時(shí)，樣本集中的類集合C={C1,C2,…,Cm}用于標(biāo)記樣本實(shí)例Si(i≤n)。首先，根據(jù)決策樹歸納法則，將訓(xùn)練集U構(gòu)建成未修剪的決策樹Tr，集合中每個(gè)樣本擁有屬性值，Tr作為屬性選擇及計(jì)算影響樣本屬性Ai歸類的權(quán)重值φ的決策方法。構(gòu)建完Tr后，使用決策樹分類器從集合U(U≠?)中分出最影響分類的子集合Us(Us?U)，為訓(xùn)練集U中每一個(gè)屬性Ai初始化權(quán)重值φ(i≤n,φ≥0)。如果Ai∈U但Ai?Tr，則設(shè)初值φ=0。計(jì)算出Tr中測試屬性Ai∈Tr的最小深度D，并將屬性的權(quán)重值初始化為1/D。根據(jù)式(5)，將選擇屬性的權(quán)重值設(shè)為樸素貝葉斯(NB)后驗(yàn)概率計(jì)算定理的指數(shù)時(shí)，能夠影響分類的條件概率估算。最終，通過Laplace定理估計(jì)出Tr中類先驗(yàn)概率P(Cj)(j≤m)和屬性條件概率P(Ai|Cj)，屬性通過φ≠0而被選擇出作為影響樣本的最終歸類，從而計(jì)算出后驗(yàn)概率而得出正確分類，而φ=0的屬性樣本將不會(huì)出現(xiàn)在分類集合中。

(5)

其中，權(quán)重值φ是屬性值類條件概率計(jì)算及樣本之間關(guān)系的影響因子，得出樣本屬性的所屬類別需要根據(jù)決策樹Tr確定其影響最終分類的屬性關(guān)系。并根據(jù)先驗(yàn)概率和條件概率估計(jì)出最大后驗(yàn)概率MAP，通過遞歸的原則逐步重復(fù)劃分子集合的過程，將錯(cuò)分的子集合再次重組繼續(xù)劃分歸類，最終確定每個(gè)樣本的分類集合。TW-NB算法的具體實(shí)現(xiàn)過程如下：

輸入訓(xùn)練樣本集U={S1,S2,…,Sn}。

1) 在集合U中去除冗余樣本數(shù)據(jù)，選擇出最佳分裂屬性并逐步地建立未修剪的決策樹Tr。

2) for (確定Tr中的每個(gè)節(jié)點(diǎn)Ni和分割路徑Path)。

3) if (該條Path終止)，將該子集合Ue確定為葉節(jié)點(diǎn)Ne并將其合理的分類。

4) else 將子集合Us≠?根據(jù)Path繼續(xù)劃分，建立決策子樹Tr-s并為每個(gè)節(jié)點(diǎn)添加標(biāo)記Li(i≤n))。

5) for (遍歷每個(gè)屬性Ai(Ai∈U))。

6) if (Ai∈U但Ai?Tr)，設(shè)初權(quán)重值φ=0。

7) else 作為Tr中屬性Ai(i≤n)的最小深度D，初始化權(quán)重值φ=1/D。

8) for (分別遍歷U中的類別標(biāo)記Cj(j≤m)和屬性Ai(φ≠0))。

10) for (遍歷每一個(gè)求出的后驗(yàn)概率P(Cj|Ai))。

11) 訓(xùn)練集U中比較每一個(gè)后驗(yàn)概率的值，當(dāng)且僅當(dāng)P(Cx|Ai)>P(Cj|Ai)(x≠j≤m)，即P(Cx|Ai)為最大后驗(yàn)概率MAP，選取Cx作為Ai的所屬類別，直到所有的子集合Us分類完畢。

輸出訓(xùn)練集中所有樣本均正確歸類的分類集合UC，其中映射函數(shù)f:Cj→Ai(j≤i≤n)。

2入侵檢測實(shí)驗(yàn)與分析

2.1KDD’99入侵檢測數(shù)據(jù)集

入侵檢測技術(shù)即為一種概率性預(yù)測及網(wǎng)絡(luò)數(shù)據(jù)分類技術(shù)，將TW-NB分類器運(yùn)用在該技術(shù)中來檢測網(wǎng)絡(luò)異常行為及事件數(shù)據(jù)歸類達(dá)到預(yù)警功能是合理有效的。

本文實(shí)驗(yàn)使用KDD Cup 1999 (KDD’99)入侵檢測數(shù)據(jù)集，通過實(shí)驗(yàn)數(shù)據(jù)來驗(yàn)證基于TW-NB算法的入侵檢測技術(shù)的檢測效率。在KDD’99數(shù)據(jù)集中，每個(gè)樣本表示網(wǎng)絡(luò)數(shù)據(jù)流中類Class的屬性值A(chǔ):{A1A2,…,An}，每個(gè)類Class都被標(biāo)記著正常Normal或攻擊Attack。這些類在數(shù)據(jù)集中可被分為{Normal,DOS,U2R,R2L,Probe}五大類，其中四大入侵類又可被細(xì)分成22種攻擊類型如表1所示。

表1　KDD’99數(shù)據(jù)集中的入侵類型

KDD’99數(shù)據(jù)集是由DARPA98數(shù)據(jù)集轉(zhuǎn)化來的，它是對DARPA98數(shù)據(jù)進(jìn)一步過濾處理后產(chǎn)生的。由于原始數(shù)據(jù)集的龐大以及包含過多的冗余和缺失數(shù)據(jù)，因此KDD’99數(shù)據(jù)集提供了一個(gè)500萬條數(shù)據(jù)記錄其中的10%的樣本數(shù)據(jù)作為子集來方便數(shù)據(jù)的實(shí)驗(yàn)。通過實(shí)驗(yàn)數(shù)據(jù)的需求，本文選取了這個(gè)10% KDD’99數(shù)據(jù)子集中的樣本分別作訓(xùn)練集Train和測試集Test數(shù)據(jù)如表2所示，同時(shí)數(shù)據(jù)集中為每次的網(wǎng)絡(luò)連接使用的41種輸入屬性特征如表3所示。

表2　KDD’99數(shù)據(jù)集中訓(xùn)練及測試樣本的數(shù)量(10%)

表3　KDD’99數(shù)據(jù)集中41種屬性

2.2影響因素的分析與預(yù)處理

在實(shí)際的網(wǎng)絡(luò)環(huán)境中，海量的網(wǎng)絡(luò)訪問數(shù)據(jù)由于類型和結(jié)構(gòu)的不同會(huì)造成普遍的數(shù)據(jù)冗余以及一定程度的數(shù)據(jù)缺失，這些現(xiàn)實(shí)因素會(huì)直接影響到TW-NB算法的分類性能和預(yù)測效果。因此，數(shù)據(jù)的預(yù)處理為解決干擾問題對于驗(yàn)證算法的性能和健壯性是非常必要的。所關(guān)注并處理的實(shí)際影響因素主要有以下幾項(xiàng)：

(1) 冗余數(shù)據(jù)

實(shí)際環(huán)境中數(shù)據(jù)的冗余現(xiàn)象是必然存在的，它直接影響著數(shù)據(jù)的質(zhì)量。因此，增加數(shù)據(jù)的獨(dú)立性和剔除冗余數(shù)據(jù)是測試大規(guī)模數(shù)據(jù)系統(tǒng)成功的前提條件。

(2) 缺失數(shù)據(jù)

數(shù)據(jù)的缺失造成了系統(tǒng)丟失了大量的有用信息，使系統(tǒng)表現(xiàn)出更加顯著的不確定性，包含空值的數(shù)據(jù)會(huì)使分類過程陷入混亂并導(dǎo)致不可靠地輸出。

處理以上影響TW-NB算法的分類預(yù)測因素，本文采用基于特征相似度的屬性選擇方法。主要步驟如下：

1) 根據(jù)式(6)，在數(shù)據(jù)集合U中計(jì)算與屬性Aj之間的相似度ρij。其中1≤j≤n，且Aj∈U。

2) 選擇相似度ρij最大的完整屬性Ai(1≤i≤n)作為缺失數(shù)據(jù)的彌補(bǔ)對象，用于填補(bǔ)數(shù)據(jù)的完整性。

3) 計(jì)算數(shù)據(jù)集合U中屬性之間的方差值COV(i,j)，選擇方差小的屬性值，方差相同的屬性任選其一，從而剔除了不必要的冗余數(shù)據(jù)，提高了數(shù)據(jù)質(zhì)量。

4) 輸出一個(gè)完整的、低冗余度的屬性集合D。

(6)

2.3實(shí)驗(yàn)結(jié)果分析

實(shí)驗(yàn)仿真環(huán)境采用Windows 7操作系統(tǒng)、2.8 GHz雙核CPU、4 GB DDR3內(nèi)存以及Weka智能分析環(huán)境，實(shí)驗(yàn)數(shù)據(jù)使用KDD’99入侵檢測數(shù)據(jù)集中10%訓(xùn)練及測試樣本數(shù)據(jù)。根據(jù)入侵檢測仿真實(shí)驗(yàn)結(jié)果，基于TW-NB算法的入侵檢測技術(shù)的檢測效率分析以及改進(jìn)前后算法性能的比較結(jié)果分別如圖1所示。

圖1　改進(jìn)前后算法的入侵檢測率(DR)比較

從圖1和圖2中的實(shí)驗(yàn)結(jié)果可以看出，TW-NB算法在檢測不同入侵?jǐn)?shù)據(jù)時(shí)較NB算法在DR和FR方面都有了明顯的性能提升，尤其對于DOS攻擊和R2L攻擊在檢測率和誤檢率上分別有大幅度改善。由圖3所示，在設(shè)置了閾值(θ=98.5%)的情況下，TW-NB算法對入侵檢測數(shù)據(jù)集中的攻擊數(shù)據(jù)的檢測準(zhǔn)確度Accuracy的連續(xù)值較NB算法有了普遍的提高，整體連續(xù)屬性取值均高于閾值θ，最高準(zhǔn)確值A(chǔ)m可達(dá)99.76%。而NB算法的檢測準(zhǔn)確度值趨于或低于閾值，最低取值降到98.12%，遠(yuǎn)遠(yuǎn)低于閾值。當(dāng)準(zhǔn)確度取值A(chǔ)<θ時(shí)，則值A(chǔ)為不期望值。

圖2　改進(jìn)前后算法的入侵誤檢率(FR)比較

圖3　算法在入侵檢測數(shù)據(jù)集中的準(zhǔn)確度

結(jié)合實(shí)驗(yàn)結(jié)果與數(shù)據(jù)分析，本文將TW-NB算法分別與網(wǎng)絡(luò)入侵檢測領(lǐng)域中的其他流行的數(shù)據(jù)挖掘算法(C4.5、SVM、K-means)以及改進(jìn)的NB算法(HNB、RSNB、AODE)進(jìn)行檢測性能的比較，比較結(jié)果分別如表4和表5所示。

表4　TW-NB算法與相關(guān)算法檢測率(DR)的比較

表5　相關(guān)算法入侵檢測準(zhǔn)確度(Accuracy)的比較

根據(jù)表4、表5的數(shù)據(jù)比較結(jié)果，本文的改進(jìn)算法TW-NB在檢測率(DR)和分類準(zhǔn)確度(Accuracy)方面較其他流行的數(shù)據(jù)挖掘算法以及改進(jìn)算法均有明顯的提升和改善。從其他實(shí)驗(yàn)結(jié)果可分析，TW-NB算法的平均入侵檢測率可達(dá)99.49%，平均準(zhǔn)確度較其他算法可提升到99.162%，平均錯(cuò)誤分類率較其他算法可降到0.838%，檢測性能具有比較顯著的改進(jìn)。

3結(jié)語

針對現(xiàn)代網(wǎng)絡(luò)環(huán)境中復(fù)雜多變的網(wǎng)絡(luò)入侵行為，本文借鑒樸素貝葉斯理論，提出了改進(jìn)的NB算法——TW-NB算法，并運(yùn)用在入侵檢測技術(shù)當(dāng)中，將攻擊數(shù)據(jù)從海量數(shù)據(jù)中劃分出來并進(jìn)行攻擊預(yù)測。TW-NB算法通過引入決策歸納法(DTI)，設(shè)計(jì)權(quán)重參數(shù)φ以及決策準(zhǔn)則來進(jìn)一步控制樸素貝葉斯(NB)的分類，從而更加提高了NB算法的分類準(zhǔn)確度。實(shí)驗(yàn)中，首先運(yùn)用Weka智能分析環(huán)境和KDD’99入侵檢測數(shù)據(jù)集中的大量數(shù)據(jù)驗(yàn)證了算法的可行性，并分析實(shí)驗(yàn)結(jié)果得到不同效果的實(shí)驗(yàn)圖和表。在今后的研究工作中，將進(jìn)一步深入優(yōu)化并提升TW-NB算法的分類性能。由于該算法對冗余數(shù)據(jù)復(fù)雜度及計(jì)算資源狀況較為敏感，因此在下一步的計(jì)劃當(dāng)中，將引入數(shù)據(jù)預(yù)處理的相關(guān)方法再度提高TW-NB算法的魯棒性和適用性。

參考文獻(xiàn)

[1] 史志才,夏永祥.高速網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2010,27(5):1606-1610.

[2] Yang Li,Li Guo.An active learning based TCM-KNN algorithm for supervised network intrusion detection[J].Computers & Security,2007,26(7):459-467.

[3] Levent Koc,Thomas A Mazzuchi,Shahram Sarkani.A network intrusion detection system based on a Hidden Na?ve Bayes multiclass classifier[J].Expert Systems with Applications,2012,39(18):13492-13500.

[4] 譚愛平,陳浩,吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測集成學(xué)習(xí)算法[J].計(jì)算機(jī)科學(xué),2014,41(2):197-200.

[5] Reda M Elbasiony,Elsayed A Sallam.A hybrid network intrusion detection framework based on random forests and weighted k-means[J].Ain Shams Engineering Journal,2013,4(4):753-762.

[6] Jiang Liangxiao,Zhang H,Cai Zhihua.A novel Bayes model: hidden naive Bayes[J].IEEE Transactions on Knowledge and Data Engineering,2009,21(10):1361-1371.

[7] 李晶輝,張小剛.一種改進(jìn)隱樸素貝葉斯算法的研究[J].小型微型計(jì)算機(jī)系統(tǒng),2013,34(7):1654-1658.

[8] Liangxiao Jiang,Zhihua Cai,Harry Zhang.Not so greedy:Randomly Selected Naive Bayes[J].Expert Systems with Applications,2012,39(12):11022-11028.

[9] M Julia Flores,José A Gámez,Ana M Martínez.Domains of competence of the semi-naive Bayesian network classifiers[J].2014,260(1):120-148.

[10] 王雙成,杜瑞杰,劉穎.連續(xù)屬性完全貝葉斯分類器的學(xué)習(xí)與優(yōu)化[J].計(jì)算機(jī)學(xué)報(bào),2012,35(10):2129-2138.

[11] 李方,劉瓊蓀.基于改進(jìn)屬性加權(quán)的樸素貝葉斯分類模型[J].計(jì)算機(jī)工程與應(yīng)用,2010,46(4):132-141.

[12] 賈嫻,劉培玉,公偉.基于改進(jìn)屬性加權(quán)的樸素貝葉斯入侵取證研究[J].計(jì)算機(jī)工程與應(yīng)用,2013,49(7):81-84.

中圖分類號(hào)TP311

文獻(xiàn)標(biāo)識(shí)碼A

DOI:10.3969/j.issn.1000-386x.2016.02.068

收稿日期：2014-06-20。國家自然科學(xué)基金項(xiàng)目(51174263)；教育部博士點(diǎn)基金項(xiàng)目(20124116120004)；河南省教育廳科學(xué)技術(shù)研究重點(diǎn)項(xiàng)目(13A510325)。王輝，副教授，主研領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全，無線傳感器網(wǎng)絡(luò)。陳泓予，碩士生。楊?yuàn)檴?，碩士生。