劉東朝 北方民族大學(xué)

基于貝葉斯網(wǎng)絡(luò)的未知攻擊檢測(cè)研究

劉東朝 北方民族大學(xué)

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)流量與日俱增。人們?cè)谙硎苤W(wǎng)絡(luò)帶來(lái)的便利的同時(shí)，也面臨著各種各樣的網(wǎng)絡(luò)安全問(wèn)題。因此，網(wǎng)絡(luò)安全技術(shù)的發(fā)展受到人們的空前關(guān)注。入侵檢測(cè)技術(shù)作為一種保障網(wǎng)絡(luò)安全的有效手段，可以快速檢測(cè)出網(wǎng)絡(luò)攻擊并立即預(yù)警。貝葉斯算法以其堅(jiān)實(shí)的數(shù)學(xué)基礎(chǔ)和強(qiáng)大的推理能力，被廣泛應(yīng)用在信息分類(lèi)領(lǐng)域。本文提出一種改進(jìn)的貝葉斯網(wǎng)絡(luò)算法，利用互信息理論構(gòu)造貝葉斯網(wǎng)絡(luò)，并對(duì)未知攻擊進(jìn)行檢測(cè)。

入侵檢測(cè) 貝葉斯網(wǎng)絡(luò) 互信息

1.引言

隨著科學(xué)技術(shù)的進(jìn)步，網(wǎng)絡(luò)以及智能終端設(shè)備的普及，人類(lèi)已經(jīng)離不開(kāi)網(wǎng)絡(luò)。網(wǎng)絡(luò)的發(fā)展在給人們生活帶來(lái)方便的同時(shí)，也帶來(lái)了例如信息泄露，信息詐騙一類(lèi)的安全問(wèn)題。由于上個(gè)世紀(jì)互聯(lián)網(wǎng)被發(fā)明的時(shí)候，并沒(méi)有充分考慮到安全問(wèn)題，所以入侵檢測(cè)技術(shù)的發(fā)展成為了人們研究的重點(diǎn)。貝葉斯網(wǎng)絡(luò)是一種優(yōu)秀的推理工具，在入侵檢測(cè)方面擁有先天的優(yōu)勢(shì)。但因過(guò)于依賴(lài)訓(xùn)練集，所以對(duì)未知入侵攻擊無(wú)能為力。本文提出一種改進(jìn)的算法，對(duì)未知攻擊進(jìn)行檢測(cè)和分類(lèi)。

2.貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)是一種有向無(wú)環(huán)圖。圖中每個(gè)圓圈代表一個(gè)節(jié)點(diǎn)，表示一個(gè)特征屬性。當(dāng)節(jié)點(diǎn)之間互相條件獨(dú)立時(shí)，節(jié)點(diǎn)之間互不相連；當(dāng)節(jié)點(diǎn)之間存在某種依賴(lài)關(guān)系時(shí)，通過(guò)單向箭頭進(jìn)行連接，被箭頭所指的節(jié)點(diǎn)是子節(jié)點(diǎn)，另一個(gè)是父節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)都會(huì)保存一個(gè)概率表，子節(jié)點(diǎn)中概率表表示在父節(jié)點(diǎn)發(fā)生的情況下，子節(jié)點(diǎn)中各個(gè)屬性發(fā)生的概率；根節(jié)點(diǎn)中的概率表則是表示自身各個(gè)屬性發(fā)生的概率。

3.結(jié)構(gòu)學(xué)習(xí)

本文采用信息論中的互信息理論，對(duì)各個(gè)節(jié)點(diǎn)之間的相關(guān)度進(jìn)行計(jì)算，然后構(gòu)造貝葉斯網(wǎng)絡(luò)，具體步驟如下：

Step1：訓(xùn)練樣本集N包含n個(gè)屬性{X1，X2,……,Xn}，設(shè)R為屬性集合，C是決策集合。計(jì)算（Xi,Xj） R的情況下的互信息I（Xi,Xj）（i≠j）和在已知C的情況下的條件互信息I（Xi,Xj|C）。

Step2：取一個(gè)很小的實(shí)數(shù)常量e1，若I（Xi,Xj）＞e1，則連接節(jié)點(diǎn)Xi和Xj，但不添加方向。遍歷所有節(jié)點(diǎn)，得到無(wú)方向的貝葉斯網(wǎng)絡(luò)草圖P1。

Step3：取一個(gè)很小的實(shí)數(shù)常量e2，若I（Xi,Xj|C）＜e2，說(shuō)明兩節(jié)點(diǎn)在條件屬性C下條件獨(dú)立，則刪除兩節(jié)點(diǎn)之間的連接。遍歷所有節(jié)點(diǎn)，得到新的無(wú)方向的貝葉斯網(wǎng)絡(luò)草圖P2。

Step4：取一個(gè)很小的實(shí)數(shù)常量e3，當(dāng)I（Xi,C）-I（Xj,C）≤e3，兩個(gè)節(jié)點(diǎn)之間存在依賴(lài)關(guān)系。如果|I（Xi,C）-I（Xj,C）|＞e3，且I（Xi,C）＞I（Xj,C）則Xi→Xj；反之，則Xj→Xi。在此得到完整的貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)圖P3。

4.參數(shù)學(xué)習(xí)

本文采用最大似然估計(jì)進(jìn)行參數(shù)學(xué)習(xí)并生成節(jié)點(diǎn)概率表。

5.算法實(shí)驗(yàn)

本文采用Kdd cpu 1999數(shù)據(jù)集，此數(shù)據(jù)集源于一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境，包含近500萬(wàn)條數(shù)據(jù)樣本，每條數(shù)據(jù)樣本包含一個(gè)網(wǎng)絡(luò)連接。每個(gè)網(wǎng)絡(luò)連接中包含四十二個(gè)屬性，其中前四十一個(gè)屬性是特征屬性，表示每條數(shù)據(jù)的特征；第四十二個(gè)屬性是標(biāo)簽屬性，表示此網(wǎng)絡(luò)連接的攻擊類(lèi)型。此數(shù)據(jù)集包含四大攻擊類(lèi)型，分別是：DOS攻擊，R2L攻擊，U2R攻擊和Probe攻擊。

本文選取4萬(wàn)條數(shù)據(jù)作為訓(xùn)練集M，2萬(wàn)條數(shù)據(jù)作為檢測(cè)集N。首先對(duì)數(shù)據(jù)集進(jìn)行預(yù)處理，接著將兩個(gè)數(shù)據(jù)集中的標(biāo)簽屬性進(jìn)行更改，將四大攻擊類(lèi)型統(tǒng)一標(biāo)記為攻擊，以便于對(duì)未知攻擊進(jìn)行檢測(cè)。然后利用訓(xùn)練集M構(gòu)建貝葉斯網(wǎng)絡(luò)，并對(duì)檢測(cè)集N進(jìn)行檢測(cè)。對(duì)未知入侵攻擊的分類(lèi)正確率如下表所示：

類(lèi)型 未知攻擊正確率（%） 78.35

6.結(jié)束語(yǔ)

本文提出一種改進(jìn)的貝葉斯網(wǎng)絡(luò)入侵檢測(cè)算法，依靠貝葉斯強(qiáng)大的推理理論，對(duì)未知入侵攻攻擊進(jìn)行檢測(cè)，取得了不錯(cuò)的檢測(cè)正確率。

[1]令狐紅英,陳梅,王翰虎,等.基于互信息可信度的貝葉斯網(wǎng)絡(luò)入侵檢測(cè)研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(14):3288-3290.

[2]孫程,邢建春,楊啟亮,等.基于改進(jìn)樸素貝葉斯的入侵檢測(cè)方法[J].微型機(jī)與應(yīng)用,2017,36(1):8-10.

[3]唐淑珍.基于貝葉斯的入侵檢測(cè)[J].軟件導(dǎo)刊,2010,09(04):149-151.