貝葉斯網絡在入侵檢測中的應用

陳亞奇

【摘要】 互聯網的高速發展給人們的生活帶來了非常大的方便，而同時也產生了許多安全方面的問題。因此，與入侵檢測相關的研究也越來越被人們所關注。入侵檢測技術作為保護網絡安全的重要技術手段，自第一次被提出至今已經有了20多年的時間。它可以快速的判斷網絡數據中是否存在攻擊行為而得到了快速發展。貝葉斯分類算法因為其推理和預測的高準確性，成為數據分類中一種非常重要的方法。本文提出了一種基本貝葉斯網絡的入侵檢測算法，利用屬性間的依賴關系構建貝葉斯網絡，對樣本進行分類。

【關鍵字】 貝葉斯網絡 入侵檢測 算法

一、貝葉斯網絡介紹

貝葉斯網絡，在圖論里被解釋成一種有向無環圖。在圖里面每一個節點表示一個特征屬性變量或者類型屬性變量。當節點之間不具備條件獨立關系時，他們之間將有一條有向邊將彼此連接起來。每個節點都為其保存一個相應的聯合概率表。如果該節點為子節點，一定存在其父節點通過一條有向邊指向自己，表示子節點對父節點有依賴關系。該節點的所附的概率表則是已知父節點情況下，在屬性取值范圍內各個屬性值發生的條件概率。如果該節點是根節點，他的概率表則表示此節點各個屬性值在屬性值取值范圍內發生的概率。

四、算法實驗

本文采用的是數據集是Kdd Cup 99數據集，這個數據集在入侵檢測研究領域是非常重要的實驗數據，它一共包括將近500萬個樣本，每個樣本對應一個網絡連接記錄。其中，每個樣本包括四十一個網絡特征屬性，第四十二個屬性列是對類屬性的一種標記。這個數據集包括的四大攻擊類型分別是：DOS，拒絕服務攻擊；R2L，來自遠程電腦沒有權限的登陸；U2R，沒有權限的本機超級用戶訪問；Probing，表示對電腦某些端口的監控。其中還有一種正常的類型被標記為：Normal。

首先對數據進行清理，設樣本數為n，將樣本分為k=1+3.32*log2（n）組，如果屬性值的取值l在下面的區間[min（（max min）/ ），min （1） （（max min）/ ）]lklk？？？范圍內，那么l就是屬性值離散化后的結果。

通過計算得到的部分概率表：

五、結束語

本文提出了基于貝葉斯網絡的入侵檢測算法。貝葉斯作為一種強大的推理工具，在數據分類上有很多優勢。通過實驗得出，貝葉斯網絡在入侵檢測有較好的分類效率。

參 考 文 獻

[1] 劉完芳. 入侵檢測系統的特征提取方法研究及其完成[D].湖南：湖南大學，2007：1-24.

[2] 羅守山. 入侵檢測[M].北京：北京郵電大學出版社，2004：1-10.