基于朴素贝叶斯分类的异常入侵.pptVIP

基于朴素贝叶斯分类的异常入侵检测技术研究 通信0604 邹宏 指导老师：胡钋 刘岚 Contents 绪 论 计算机网络应用的不断发展和普及，使得信息安全成为当前学术研究的热点，而入侵检测技术更是备受人们关注的研究领域之一。 现有的网络安全策略主要有数据加密、信息隐蔽、防火墙、身份识别和入侵检测等，其中入侵检测技术作为其他安全技术的重要补充，日益受到各界的重视 。 异常检测是指根据非正常行为(系统或用户)和非正常使用计算机资源检测出入侵行为，其主要思想是:任何一种入侵行为都会由于其偏离了正常或者所期望的系统与用户的活动规律而被检测出来 。 绪 论 贝叶斯定理 绪 论 朴素贝叶斯分类原理 设x∈Ω是一个类别未知的数据样本，cj为某个类别，在获得数据样本x时，确定x的最佳分类。所谓最佳分类，这里把它定义为在给定数据集D中不同类别cj先验概率的条件下最可能（most probable）分类。贝叶斯理论提供了计算这种可能性的一种直接方法。更精确地讲，贝叶斯法则基于假设的先验概率、给定假设下观察到不同数据的概率，提供了一种计算假设概率的方法。 方案设计 程序通过发出系统调用与内核通信来完成工作，任意一个完成一定工作的程序的运行都离不开系统调用，因此对程序行为的分析就自然地落在对系统调用的分析上 。 在对系统调用序列分析时我们只需监视系统中的特权进程，因为特权进程的行为范围比用户行为更有限，而且特权进程的行为相对于用户行为来说更稳定，更容易进行分析。 而任何进程归根到底都是一段程序，如果没有选择语句和循环语句，该程序运行时产生的系统调用就一定是固定的，如果程序受到攻击而出现了异常，其所产生的系统调用必定和原来的不一样 ，这就是系统调用的局部稳定性。 方案设计 由于程序特权进程的代表性和系统调用序列具有局部稳定性，我们就可以选择表征特权进程的系统调用短序列作为我们的观察对象。 采用系统调用短序列串来分析程序行为就得考虑系统调用短序列串的长度选定问题。对系统调用短序列的长度选定有定长和变长两种方式，实验证明定长模式抽取方法更简单，无需模式压缩，得的模式易于模式匹配，而且两者的检测性能并无很大的区别，因此采用滑动窗口机制的方法取定长抽取模式。 抽取的模式长度直接影响模式库的尺寸和检测时的效率。 方案设计 如果我们要以检测短序列与模式库中短序列的匹配为准则来判断序列是否异常的话，就要保证模式库中一定有短序列与之匹配，否则无法判断其类型，那么就需要建立较为完整的模式库，这就给建立模式库带来的难度，它不仅需要很大的训练样本集进行高强度的训练，而且很大模式库又会加大检测短序列与样本短序列匹配的工作量，这些都严重影响了系统的适应性和实时性。 因此我们考虑用数据分类的手段来判断检测短序列的类型，具体的采用贝叶斯分类的原理建立适合系统调用短序列的贝叶斯分类器对短序列进行分类，这样就能有效得解决在保证检测精度的前提下建立模式库的问题。 方案设计 对于不同的程序检测，要根据其模式库的大小以及检测的精确性，有针对性地选择不同的系统调用短序列长度。为了便于系统的分析，我们将对这些短序列进行适当的编排，若编排后的短序列串的长度为n，其代表的意义如下： ①前n-1个元素代表程序特征进程的具体的系统调用，将这些系统调用进行编号，这些元素的取值就为系统调用的编号，看做数据的特征属性； ②最后1个元素代表该数据所属的类，如正常、第一类入侵、第二类入侵、第三类入侵等等，相应的编号可以为1、2、3、4等等，看做该数据的决策属性。 然后对这样的序列进行分类。 方案设计 测试仿真 测试仿真 测试仿真 测试仿真 测试仿真 结 论 Company Logo LOGO 1. 绪论 2. 方案设计 3. 测试仿真 4. 结论 研究背景 P( cj|x) = P(x|cj)P(cj) P(x) 先验概率P(cj) 联合概率P(x|cj) 后验概率P(cj|x) 朴素贝叶斯分类器的“学习”就是指预先计算出先验概率P(cj)和联合概率P(x|cj)，分类的依据就是后验概率P(cj|x)，指派后验概率最大的类为样本的类。 基于程序行为的异常入侵检测 基于程序行为的异常入侵检测 系统调用短序列的分类 系统调用短序列的分类 学习 预处理 分类 响应 工作流程 截获系统调用 抽取调用短序列 进行适当的编排 先验概率P(