杨玉新

摘要 Bayes分类设备的algorithm是通过计算待辨识数据是哪个分类的概率值，这个概率最大值所从属的类别来判别其所属于的类别，这是利用了系统对未知行径的判断来设计的，构建检测功能时，采取“leaky bucketalgorithm”突现了abnormal系统使用short sequences在时间上的部份相关性，省略了偶然出现的abnormal数据的影响，从而有效地对分类的结果进行了研究，使得intrusion detection系统能够有较好的检测功能。

【关键词】分类识别 入侵检测 概率值 leakybucketalgorithm

1 引言

Pattern mach就是系统把数据分门别类。然而由于网络收集数据的量少，使得系统无法获取足够的normal行pattern数据集合，从而检测系统会对其未知的系统normal partem ofbehavior报错是入侵行径，如此就会形成不少空警。这样通过概率评测和设计设备学习的方法，提出采取Bayes分类algorithm对表现进程行径的系统使用设计设备来分类的方法。Bayes分类algorithm通过评测一个待识别的数据属于哪一类的概率最大化来确定其归属，这是事先判定，这就十分有利于系统对未知的系统normal行径的正确判断。

2 Bayesian定理与Bayes分类设备

2.1 Bayesian运算公式

假设事件V发生的概率P（V）>O，则当V事件发生的情况下，G事件发生的概率是：

在概率P （V）、P（G）发生的条件下。而P （V/G）是事件G发生时，事件V发生的概率。

2.2 把Bayes公式的分类学习方法应用到了intrusion detection的范畴

若algorithm标识事件的属性之间是在特定情况下相互独立的。然而现实是，属性间互不相关的条件确定不了是否获得满足，但是事实说明，此algorithm具有很好的分类事先判定性。条件是事件属于各类的后验概率计算出来后，这里取它之中的概率值最大的哪一分类，这样在分类设备工作时，不需要很精确地评测首个事件分属于哪一类别的后验概率。如此，就能够有效地化简分类设备中后验概率的计算法。

2.3 Bayes分类algorithm表达式

3 Bayes分类设备在检测中的应用

数据pattern集合添加一项关于pattem数目的评判项。这样在滑动窗口的执行procedure trace时，评判出任意一个normal与abnormalpattern在获取数据中出现的频率，收集数据中的pattem数目要取这些评测频率值总和。由此值便能判别normal子数据和abnormal子数据在获取数据集合中显现的概率，同时也可根据每个系统使用shortsequences在收集数据中出现的频率算出某个系统的数据在某个位置出现的条件概率。取得这些概率之后，再利用Bayes定理得出数据属于那一类的概率，概率值较大的类别便是该数据的所属类别。根据评判方法从收集数据集中得出两种数据对应的序列位置取值概率分布说明了样本整体的评测特点，使得数据的类别预测是合理的。

4 进程行径分类设备的intrusiondetecti on

通常，在系统遭遇入侵攻击时，攻击时刻对应的系统使用short sequences大量呈现abnormal。即，表达入侵行径的abnormal性会在时间上有局部集中的情况现实，因此可用系统使用short sequences判别进程是否遭攻击的根据。

这里的分类设备不准确，所使用shortsequences的分类结果相应的会出现报错。这样促使我们通过研究在某一时间范围里，abnormal数据的比率是否到达预定的阀值并判别系统进程执行trace是不是abnormal。而在我们的procedure识别设备中，则采取反映最近事件状况的leaky bucket algorithm，用入侵引起的abnormal事件在时间顺序上的局部集中性，对进程行是分类设备的识别结果做进一步的研究，来减少报错的可能。它的思想是，从零开始，把进程执行迹的short sequences分类设备的结果放入到该leaky bucket中，水的位置计数设备值的变化，出现下面的三类情况

（1）当使用short sequences判别是否abnormal时，水的位置提高。增量可是一不變量，也可是leaky bucket里水位置计数值的函数值。连续出现的abnormal行径的数据段越多，进程abnormal的情形会越大，因而计数设备的增加值越大。

（2）当使用短系列看作nonual时，水的位置计数设备增加一个定值，或者把水的位置计数设备值清除。还有leaky bucket是leaky，leaky bucket里的水的位置也会逐渐降低，假设计数设备值均速减少，最后为零。那么，当分类设备连续输出abnonnal数据情况时，leaky bucket中水的位置计数设备的数值就会快速变大;而当分类设备连续输出normal数据结果时，leaky bucker中的水就会遂渐地减少，最后漏尽。

（3）若一个被监控进程执行时，对应leaky bucket的水的位置计数设备的值超过了设定“阀值”，便肯定是被监控的进程而不是procedure识别设备所代表系统procedure遭遇了入侵攻击。

在这里leaky bucket研究法对于多数有时间部分情况的abnormal行作的表象非常突显，这样对于真正的入侵攻击就可以有效地检测出来。这里预设的检测防御系统，可以通过调整leaky bucket水位计数设备的阀值和leakybucket中漏水的速率，来控制检测系统的空警率。

上述论述表明了Bayes分类设备是通过评测研究一个要识别的数据属于那个分类的概率取值最大来判别它到底是属于那一类别，有一定的事先判定性，有利于系统对未知的系统normal行的正确判别。而且在设计intrusion detection系统时， 采取“leakybucketalgorithm”强调了abnormal系统使用short sequences在时间上的部份相关性，没有考虑到随机分布、突然abnormal的子数据出现的情况，从而有效地对分类的结果进行了研究，这就使检测系统有了较高的工作能力。实验证明，该系统原来设计的intrusion detection系统，能够有效地评测出那些发生改变的系统procedure的入侵攻击。

参考文献

[1]胡建伟，网络对抗原理（第一版）[M]，西安：电子科技大学出版社，2010.

[2]杨义先.钮心忻.网络安全理论与技术（第一版）[M]，北京：人民邮电出版社，2003 （10）.

[3]张世永，网络安全原理与应用[M].北京：科学出版社，2003.

[4]刘化君.网络安全技术[M].北京：机械工业出版社，2010.