基于NB分类方法网络异常检测模型.docVIP

基于NB分类方法网络异常检测模型 　　摘要:在深入研究网络异常行为及异常检测系统相关现状的基础上，提出了基于NB分类方法的网络异常检测模型，并详细论述了该模型的工作原理。实验结果表明该方法是有效的。 　　关键词:网络异常检测;朴素贝叶斯网络;贝叶斯分类方法 　　中图分类号:TP393文献标志码:A 　　文章编号:1001－3695(2008)02－0569－03 　　 　　随着计算机网络技术的迅猛发展和广泛应用，网络技术正逐步影响着人们的生活和工作方式。社会信息化程度日益增加，对网络依赖性日益增强，目前网络互联领域的广度和深度不断扩展，开放特性不断深化，造成越来越多的网络系统面临威胁。然而要想完全避免异常的发生并不现实，网络管理人员所能做到的只能是尽力发现和察觉网络异常，以便采取有效的措施来修复系统。 　　网络异常检测问题被定义为[1，2]:当网络发生异常，其行为与正常状态时不同或失调，网络异常检测的任务就是要寻找引起这些异常征兆的可能原因。最早用于网络异常的方法是统计假设检验[3]，典型的有SPRT 和LR 检验。Wald 证明了有效SPRT 族中一定存在一个一致最有效的贯序检验，该方法的缺点是突发性异常会对系统当前检测任务的运行产生严重影响。LR 检验对于网络异常检测具有显著的适用性和良好的统计性，缺点是在有限样本的情况下，缺乏容错能力。Iserman[4]提出基于参数估计的异常监测方法，该方法的不足在于对不确定时变#65380;变结构#65380;变参数问题难以胜任。文献[5]提出一种基于专家系统的异常实时检测方法，该方法对于网络这种规模较大的系统，存在冲突消解和组合爆炸。Siraj 等人[6]在2001 年提出建立模糊知识图和模糊规则库来支持因果式知识推理过程，但是没有提出具体的检测方法和实验结论。 　　文献[7，8]首先提出了融合人工智能中的概率和符号方法来完成网络异常检测的思想。Forrest等人[9]将网络异常检测问题看做是区分自我(即正常)和非自我(即异常)的过程，提出了基于免疫模型的网络异常检测技术。Ghosh等人[10]利用神经络来提取特征和分类。Wenke Lee等人[11]从数据挖掘的角度探讨了异常检测的实现问题。 这些网络异常检测研究均集中在针对某个单一征兆，采用单一的检测技术，检测思路是将征兆特征与特征库中的特征相匹配，系统检测性能和自适应性较差。 　　网络异常检测可以看做是一个分类问题。针对给定的网络数据进行分类，什么样的数据是正常的，什么样的数据是异常的。利用贝叶斯网络进行建模，不仅可以解决在建立网络异常检测模型时因无法收集所有异常样本而导致的模型推广性能差的问题，而且可以提高检测率#65380;降低误报率，提高入侵检测系统的效率。 　　 　　1网络异常检测模型框架 　　 　　网络异常检测系统主要由四个组件组成:数据采集器#65380;数据分析器#65380;响应单元和知识库，如图1所示。 　　数据采集器是从网络环境中获得网络数据包，并提供给系统的其他单元;数据分析器分析网络数据并产生分析结果;响应单元对分析结果作出反应，如切断网络连接#65380;改变文件属性#65380;简单报警等应急响应;知识库存放异常检测模型及各种中间和最终数据，数据存放的形式可以是复杂的数据库。网络异常检测的具体实施过程如图2所示。 　　 　　2基于NB分类方法的网络异常检测算法 　　 　　2.1系统建模 　　网络数据是无结构的记录，需要将其转换成向量模型才能进行计算。 　　 　　2.2系统工作原理 　　基于NB分类方法的网络异常检测系统工作原理如图3所示。数据处理器用来对大量的网络记录进行处理或转换。贝叶斯分类器只能处理离散型数据，但网络数据中存在许多连续型数据，因此，笔者必须将原始数据转换成贝叶斯分类器能够识别的离散值向量。贝叶斯分类器对这些数字向量进行分类，产生判决结果。当然，这些判决结果可以直接作为整个异常检测系统的输出，但是为了进一步提高整个系统的正确率，可以设定一些判定准则，如发生数目#65380;百分比等来进行最终的判定。这个过程是由决策系统完成的。 　　整个系统的工作分为训练和检测两个阶段。在训练阶段，使用已知的正常和异常网络数据作为样本，贝叶斯网络学习引擎从样本数据中学习网络结构和参数，并存储在知识库中;在检测阶段，预处理器先将未知状态的网络数据形成离散型向量的形式，然后通过贝叶斯分类器对这些向量进行分类，将分类结果提交给决策系统作出判决。 　　 　　3仿真实验 　　 　　3.1数据来源 　　实验采用的数据来源于1998 年美国国防部研究局作IDS评测时获得的数据基础上恢复出来的网络连接信息。该数据集共包括七周的网络流量，大约五百万条连接记录，