基于朴素贝叶斯的入侵检测优化设计

2017-11-09姜巍云南大学

数码世界 2017年9期

关键词：贝叶斯朴素类别

姜巍云南大学

基于朴素贝叶斯的入侵检测优化设计

姜巍云南大学

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。入侵检测就是根据网络流的数据属性区分出正常流量和攻击流量。

入侵检测系统朴素叶贝叶斯

1 绪论

防火墙是最常见的保护网络安全的方法，它的作用是可以对外来攻击进行有效的拦截，然而对内部入侵却毫无办法，所以在一定程度上，防火墙的作用是有局限性的，而入侵检测可以说是有效地弥补了防火墙的不足和缺陷。入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

2 数据挖掘

数据挖掘的原理很简单，就是可以在已有的数据集中，识别相关的信息，可以找到之前没有的并且是新的信息类型。数据挖掘覆盖面相当广泛，尤其是当前的新兴技术，渗透到我们的生活当中，也广泛的应用到我们的生活当中。其中，数据挖掘的应用方面占主导地位的方法之一就是分类（Classification）。数据分析中最为重要的一个过程也就是分类。一般有以下步骤：

(1)数据的收集：对所需数据的收集有很多方式，如制作网络爬虫从网站爬取数据、设备发送的实测数据等。

(2)输入数据的准备：搜集到数据要提前变换为符合要求的格式。

(3)输入数据的分析：在这其中不免有一些异常值的数据，要提前预处理这些数据。

(4)训练算法：在算法中输入得到的数据，并汲取有用信息，得到规律。

(5)算法的测试：通过已经得到的测试集，来检测算法；来观察算法测试后的结果，进而发现其效果。

(6)算法的使用：通过完成的算法去在新的工作中进行验证，观察其可否在具体的现实工作环境中进行应用。

3 朴素贝叶斯

朴素贝叶斯方法即在已知一些概率的情况下，基于这些概率选择最佳的类别标签，所以它非常便于应用，是一个基于概率论的算法。

贝叶斯分类器的方法和原理：首先要知道其中对象的先验概率，其后验概率可以通过贝叶斯公式计算出来，最后得到的结果就是该对象属于某一类别标签的概率，通过结果的比较，后验概率最大类别标签就是该对象的类别标签。

设数据集中的元组为X,分类标签集合为C,任意Ci属于C,求任意元组X的分类标签即求P(C|X)．由概率公式可知：

我们的分类问题：已知特征向量求其标签，转化为概率问题就是在已知特征的条件下，求属于每个类别的概率，哪个类别的概率最大就分类到那个类别。即求p(C|X)。而求这个概率需要求向量X与类别的联合概率，由于x的维度较高，这是一个非常难求的概率。因此使用贝叶斯准则，将其展开为一个先验概率与另一个条件概率的乘积除以X的先验概率。由于我们求概率的目的是为了比较大小，因此可以将分母看作一个归一化因子不去计算。而另一个条件概率仍涉及联合概率的问题。这里作了一个条件独立性假设，即属性之间相互独立，因此该条件概率就可以转化为每个属性取值下条件概率的乘积，这就是朴素贝叶斯算法的朴素之处。

4 入侵检测优化

实现入侵检测的方法从根本意义上讲就是设计一个事件分类器来将数据流中的正常与异常数据区分出来，从而实现对攻击行为的报警功能。

图4 -1 入侵检测流程

通过入侵检测流程图可以看到，整个系统需要两个数据集一个是训练集即样本数据，另一个是测试集即待测数据。首先通过数据挖掘对数据集作预处理，因为不管是训练集还是测试集中的数据都是复杂且冗余的，我们需要划分数据集中的属性，划分属性特征。当测试集输入后，还是需要先进行预处理，将测试集中的网络流量进行分类，然后通过映射关系函数匹配未知事件与样本标记事件，进而得出网络流量所属类别的概率。相比较于其他类型的入侵检测系统，使用朴素贝叶斯的优势在于准确度更高，配合数据挖掘对现在海量的网络流量更具有针对性，并且将流量属性复杂度大大降低，系统处理速度更快，误警率大大降低。