Bayes分類設備在入侵檢測中的應用

楊玉新

摘要 Bayes分類設備的algorithm是通過計算待辨識數據是哪個分類的概率值，這個概率最大值所從屬的類別來判別其所屬于的類別，這是利用了系統對未知行徑的判斷來設計的，構建檢測功能時，采取“leaky bucketalgorithm”突現了abnormal系統使用short sequences在時間上的部份相關性，省略了偶然出現的abnormal數據的影響，從而有效地對分類的結果進行了研究，使得intrusion detection系統能夠有較好的檢測功能。

【關鍵詞】分類識別 入侵檢測 概率值 leakybucketalgorithm

1 引言

Pattern mach就是系統把數據分門別類。然而由于網絡收集數據的量少，使得系統無法獲取足夠的normal行pattern數據集合，從而檢測系統會對其未知的系統normal partem ofbehavior報錯是入侵行徑，如此就會形成不少空警。這樣通過概率評測和設計設備學習的方法，提出采取Bayes分類algorithm對表現進程行徑的系統使用設計設備來分類的方法。Bayes分類algorithm通過評測一個待識別的數據屬于哪一類的概率最大化來確定其歸屬，這是事先判定，這就十分有利于系統對未知的系統normal行徑的正確判斷。

2 Bayesian定理與Bayes分類設備

2.1 Bayesian運算公式

假設事件V發生的概率P（V）>O，則當V事件發生的情況下，G事件發生的概率是：

在概率P （V）、P（G）發生的條件下。而P （V/G）是事件G發生時，事件V發生的概率。

2.2 把Bayes公式的分類學習方法應用到了intrusion detection的范疇

若algorithm標識事件的屬性之間是在特定情況下相互獨立的。然而現實是，屬性間互不相關的條件確定不了是否獲得滿足，但是事實說明，此algorithm具有很好的分類事先判定性。條件是事件屬于各類的后驗概率計算出來后，這里取它之中的概率值最大的哪一分類，這樣在分類設備工作時，不需要很精確地評測首個事件分屬于哪一類別的后驗概率。如此，就能夠有效地化簡分類設備中后驗概率的計算法。

2.3 Bayes分類algorithm表達式

3 Bayes分類設備在檢測中的應用

數據pattern集合添加一項關于pattem數目的評判項。這樣在滑動窗口的執行procedure trace時，評判出任意一個normal與abnormalpattern在獲取數據中出現的頻率，收集數據中的pattem數目要取這些評測頻率值總和。由此值便能判別normal子數據和abnormal子數據在獲取數據集合中顯現的概率，同時也可根據每個系統使用shortsequences在收集數據中出現的頻率算出某個系統的數據在某個位置出現的條件概率。取得這些概率之后，再利用Bayes定理得出數據屬于那一類的概率，概率值較大的類別便是該數據的所屬類別。根據評判方法從收集數據集中得出兩種數據對應的序列位置取值概率分布說明了樣本整體的評測特點，使得數據的類別預測是合理的。

4 進程行徑分類設備的intrusiondetecti on

通常，在系統遭遇入侵攻擊時，攻擊時刻對應的系統使用short sequences大量呈現abnormal。即，表達入侵行徑的abnormal性會在時間上有局部集中的情況現實，因此可用系統使用short sequences判別進程是否遭攻擊的根據。

這里的分類設備不準確，所使用shortsequences的分類結果相應的會出現報錯。這樣促使我們通過研究在某一時間范圍里，abnormal數據的比率是否到達預定的閥值并判別系統進程執行trace是不是abnormal。而在我們的procedure識別設備中，則采取反映最近事件狀況的leaky bucket algorithm，用入侵引起的abnormal事件在時間順序上的局部集中性，對進程行是分類設備的識別結果做進一步的研究，來減少報錯的可能。它的思想是，從零開始，把進程執行跡的short sequences分類設備的結果放入到該leaky bucket中，水的位置計數設備值的變化，出現下面的三類情況

（1）當使用short sequences判別是否abnormal時，水的位置提高。增量可是一不變量，也可是leaky bucket里水位置計數值的函數值。連續出現的abnormal行徑的數據段越多，進程abnormal的情形會越大，因而計數設備的增加值越大。

（2）當使用短系列看作nonual時，水的位置計數設備增加一個定值，或者把水的位置計數設備值清除。還有leaky bucket是leaky，leaky bucket里的水的位置也會逐漸降低，假設計數設備值均速減少，最后為零。那么，當分類設備連續輸出abnonnal數據情況時，leaky bucket中水的位置計數設備的數值就會快速變大;而當分類設備連續輸出normal數據結果時，leaky bucker中的水就會遂漸地減少，最后漏盡。

（3）若一個被監控進程執行時，對應leaky bucket的水的位置計數設備的值超過了設定“閥值”，便肯定是被監控的進程而不是procedure識別設備所代表系統procedure遭遇了入侵攻擊。

在這里leaky bucket研究法對于多數有時間部分情況的abnormal行作的表象非常突顯，這樣對于真正的入侵攻擊就可以有效地檢測出來。這里預設的檢測防御系統，可以通過調整leaky bucket水位計數設備的閥值和leakybucket中漏水的速率，來控制檢測系統的空警率。

上述論述表明了Bayes分類設備是通過評測研究一個要識別的數據屬于那個分類的概率取值最大來判別它到底是屬于那一類別，有一定的事先判定性，有利于系統對未知的系統normal行的正確判別。而且在設計intrusion detection系統時， 采取“leakybucketalgorithm”強調了abnormal系統使用short sequences在時間上的部份相關性，沒有考慮到隨機分布、突然abnormal的子數據出現的情況，從而有效地對分類的結果進行了研究，這就使檢測系統有了較高的工作能力。實驗證明，該系統原來設計的intrusion detection系統，能夠有效地評測出那些發生改變的系統procedure的入侵攻擊。

參考文獻

[1]胡建偉，網絡對抗原理（第一版）[M]，西安：電子科技大學出版社，2010.

[2]楊義先.鈕心忻.網絡安全理論與技術（第一版）[M]，北京：人民郵電出版社，2003 （10）.

[3]張世永，網絡安全原理與應用[M].北京：科學出版社，2003.

[4]劉化君.網絡安全技術[M].北京：機械工業出版社，2010.