Bayes分類設(shè)備在入侵檢測中的應(yīng)用

楊玉新

摘要 Bayes分類設(shè)備的algorithm是通過計算待辨識數(shù)據(jù)是哪個分類的概率值，這個概率最大值所從屬的類別來判別其所屬于的類別，這是利用了系統(tǒng)對未知行徑的判斷來設(shè)計的，構(gòu)建檢測功能時，采取“l(fā)eaky bucketalgorithm”突現(xiàn)了abnormal系統(tǒng)使用short sequences在時間上的部份相關(guān)性，省略了偶然出現(xiàn)的abnormal數(shù)據(jù)的影響，從而有效地對分類的結(jié)果進行了研究，使得intrusion detection系統(tǒng)能夠有較好的檢測功能。

【關(guān)鍵詞】分類識別 入侵檢測 概率值 leakybucketalgorithm

1 引言

Pattern mach就是系統(tǒng)把數(shù)據(jù)分門別類。然而由于網(wǎng)絡(luò)收集數(shù)據(jù)的量少，使得系統(tǒng)無法獲取足夠的normal行pattern數(shù)據(jù)集合，從而檢測系統(tǒng)會對其未知的系統(tǒng)normal partem ofbehavior報錯是入侵行徑，如此就會形成不少空警。這樣通過概率評測和設(shè)計設(shè)備學習的方法，提出采取Bayes分類algorithm對表現(xiàn)進程行徑的系統(tǒng)使用設(shè)計設(shè)備來分類的方法。Bayes分類algorithm通過評測一個待識別的數(shù)據(jù)屬于哪一類的概率最大化來確定其歸屬，這是事先判定，這就十分有利于系統(tǒng)對未知的系統(tǒng)normal行徑的正確判斷。

2 Bayesian定理與Bayes分類設(shè)備

2.1 Bayesian運算公式

假設(shè)事件V發(fā)生的概率P（V）>O，則當V事件發(fā)生的情況下，G事件發(fā)生的概率是：

在概率P （V）、P（G）發(fā)生的條件下。而P （V/G）是事件G發(fā)生時，事件V發(fā)生的概率。

2.2 把Bayes公式的分類學習方法應(yīng)用到了intrusion detection的范疇

若algorithm標識事件的屬性之間是在特定情況下相互獨立的。然而現(xiàn)實是，屬性間互不相關(guān)的條件確定不了是否獲得滿足，但是事實說明，此algorithm具有很好的分類事先判定性。條件是事件屬于各類的后驗概率計算出來后，這里取它之中的概率值最大的哪一分類，這樣在分類設(shè)備工作時，不需要很精確地評測首個事件分屬于哪一類別的后驗概率。如此，就能夠有效地化簡分類設(shè)備中后驗概率的計算法。

2.3 Bayes分類algorithm表達式

3 Bayes分類設(shè)備在檢測中的應(yīng)用

數(shù)據(jù)pattern集合添加一項關(guān)于pattem數(shù)目的評判項。這樣在滑動窗口的執(zhí)行procedure trace時，評判出任意一個normal與abnormalpattern在獲取數(shù)據(jù)中出現(xiàn)的頻率，收集數(shù)據(jù)中的pattem數(shù)目要取這些評測頻率值總和。由此值便能判別normal子數(shù)據(jù)和abnormal子數(shù)據(jù)在獲取數(shù)據(jù)集合中顯現(xiàn)的概率，同時也可根據(jù)每個系統(tǒng)使用shortsequences在收集數(shù)據(jù)中出現(xiàn)的頻率算出某個系統(tǒng)的數(shù)據(jù)在某個位置出現(xiàn)的條件概率。取得這些概率之后，再利用Bayes定理得出數(shù)據(jù)屬于那一類的概率，概率值較大的類別便是該數(shù)據(jù)的所屬類別。根據(jù)評判方法從收集數(shù)據(jù)集中得出兩種數(shù)據(jù)對應(yīng)的序列位置取值概率分布說明了樣本整體的評測特點，使得數(shù)據(jù)的類別預(yù)測是合理的。

4 進程行徑分類設(shè)備的intrusiondetecti on

通常，在系統(tǒng)遭遇入侵攻擊時，攻擊時刻對應(yīng)的系統(tǒng)使用short sequences大量呈現(xiàn)abnormal。即，表達入侵行徑的abnormal性會在時間上有局部集中的情況現(xiàn)實，因此可用系統(tǒng)使用short sequences判別進程是否遭攻擊的根據(jù)。

這里的分類設(shè)備不準確，所使用shortsequences的分類結(jié)果相應(yīng)的會出現(xiàn)報錯。這樣促使我們通過研究在某一時間范圍里，abnormal數(shù)據(jù)的比率是否到達預(yù)定的閥值并判別系統(tǒng)進程執(zhí)行trace是不是abnormal。而在我們的procedure識別設(shè)備中，則采取反映最近事件狀況的leaky bucket algorithm，用入侵引起的abnormal事件在時間順序上的局部集中性，對進程行是分類設(shè)備的識別結(jié)果做進一步的研究，來減少報錯的可能。它的思想是，從零開始，把進程執(zhí)行跡的short sequences分類設(shè)備的結(jié)果放入到該leaky bucket中，水的位置計數(shù)設(shè)備值的變化，出現(xiàn)下面的三類情況

（1）當使用short sequences判別是否abnormal時，水的位置提高。增量可是一不變量，也可是leaky bucket里水位置計數(shù)值的函數(shù)值。連續(xù)出現(xiàn)的abnormal行徑的數(shù)據(jù)段越多，進程abnormal的情形會越大，因而計數(shù)設(shè)備的增加值越大。

（2）當使用短系列看作nonual時，水的位置計數(shù)設(shè)備增加一個定值，或者把水的位置計數(shù)設(shè)備值清除。還有l(wèi)eaky bucket是leaky，leaky bucket里的水的位置也會逐漸降低，假設(shè)計數(shù)設(shè)備值均速減少，最后為零。那么，當分類設(shè)備連續(xù)輸出abnonnal數(shù)據(jù)情況時，leaky bucket中水的位置計數(shù)設(shè)備的數(shù)值就會快速變大;而當分類設(shè)備連續(xù)輸出normal數(shù)據(jù)結(jié)果時，leaky bucker中的水就會遂漸地減少，最后漏盡。

（3）若一個被監(jiān)控進程執(zhí)行時，對應(yīng)leaky bucket的水的位置計數(shù)設(shè)備的值超過了設(shè)定“閥值”，便肯定是被監(jiān)控的進程而不是procedure識別設(shè)備所代表系統(tǒng)procedure遭遇了入侵攻擊。

在這里leaky bucket研究法對于多數(shù)有時間部分情況的abnormal行作的表象非常突顯，這樣對于真正的入侵攻擊就可以有效地檢測出來。這里預(yù)設(shè)的檢測防御系統(tǒng)，可以通過調(diào)整leaky bucket水位計數(shù)設(shè)備的閥值和leakybucket中漏水的速率，來控制檢測系統(tǒng)的空警率。

上述論述表明了Bayes分類設(shè)備是通過評測研究一個要識別的數(shù)據(jù)屬于那個分類的概率取值最大來判別它到底是屬于那一類別，有一定的事先判定性，有利于系統(tǒng)對未知的系統(tǒng)normal行的正確判別。而且在設(shè)計intrusion detection系統(tǒng)時， 采取“l(fā)eakybucketalgorithm”強調(diào)了abnormal系統(tǒng)使用short sequences在時間上的部份相關(guān)性，沒有考慮到隨機分布、突然abnormal的子數(shù)據(jù)出現(xiàn)的情況，從而有效地對分類的結(jié)果進行了研究，這就使檢測系統(tǒng)有了較高的工作能力。實驗證明，該系統(tǒng)原來設(shè)計的intrusion detection系統(tǒng)，能夠有效地評測出那些發(fā)生改變的系統(tǒng)procedure的入侵攻擊。

參考文獻

[1]胡建偉，網(wǎng)絡(luò)對抗原理（第一版）[M]，西安：電子科技大學出版社，2010.

[2]楊義先.鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)（第一版）[M]，北京：人民郵電出版社，2003 （10）.

[3]張世永，網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京：科學出版社，2003.

[4]劉化君.網(wǎng)絡(luò)安全技術(shù)[M].北京：機械工業(yè)出版社，2010.