改进贝叶斯分类算法在入侵检测中的研究.doc

收稿日期:2006-04-14 基金项目:国防科工委国防基础科研项目(S0500B003 作者简介:张 铮(1982-,男,江苏人,硕士研究生,主要研究方向为计算机网络、网络安全;李 俊,教授,硕士生导师,主要研究方向为计算机网络、网络安全、数据库。 改进贝叶斯分类算法在入侵检测中的研究 张 铮,高志森,李 俊 (南京航空航天大学信息科学与技术学院,江苏南京210016 摘 要:把朴素贝叶斯分类算法引入到入侵检测中,可以简单方便地区别出入侵事件。但是由于该算法在学习中存在一定的不足和缺陷,主要是属性值之间要求相互条件独立和训练集数据不完备这两个缺陷,导致了它的检测效果并不是很理想。文中针对该算法这两个最主要的缺陷,提出增量学习概念,引入损失幅度参数,改进和完善朴素贝叶斯分类算法。并对改进后的新学习策略进行了分析和研究,给出了其基本实现思想和算法描述,并指出它实现的可能性。关键词:贝叶斯分类;增量学习;损失幅度参数;类别标签 中图分类号:T P393 08 文献标识码:A 文章编号:1673-629X(200701-0174-03 Research of Improved Bayesian Classification Arithmetic in Intrusion Detection ZHANG Zheng,GAO Zhi sen,LI Jun (Co llege of Info.Sci.T ech.,N anjing U niversit y of A ero nautics and Astronautics,Nanjing 210016,China Abstract:Native Bayesian Classificati on Arithmeti c distinguishes intrusion inci dents from all incidents con ven i ently in i ntrusion detection.But this arithm eti c has some lack and limitation,two important factors of which are conditi on indepen dency among property val ues and non -maturity training-data collection,s o its intrusion effect is not good.T hen in all usion to these two important factors,a concept of incre mental learning and a loss extent parameter are put forward in this paper,and Native Bayesian Classification Arithmetic is also perfected.Furthermore,the paper analyses the new learning strategy,and introduces th e basic realizing thought about new arithmetic and a descrip tion about it,and points out its reali z i ng possibility. Key words:Bayesian classi fication;i ncremental learning;loss extent param eter;classification l abel 0 引 言 在入侵检测系统中,为了提高系统的性能,包括降低误报率和漏报率,缩短反应时间等,学者们引入了许多方法,如专家系统、神经网络、遗传算法和数据挖掘中的聚类、分类等各种算法[1]。其中,朴素贝叶斯分类算法由于简单实用、计算高效,在入侵检测中可以建立良好的用户模型,并具有坚实的数学理论基础和丰富的概率表达能力[2],所以被广泛地应用到入侵检测系统中[3]。但是由于该算法比较简单,所以它不可避免地有一些限制和不足。文中首先介绍朴素贝叶斯分类算法,分析了它存在的主要限制和不足,提出增量学习策略来弥补它的不足之处。对算法实现过程进行了细致描述。并通过算法分析来说明该策略的可行性。另外它也起到了弱化限制条件的作用。该策略全面提高了朴素贝叶斯分类算法性能。 1 朴素贝叶斯分类算法 每个数据样本用n 维向量X ={X 1,X 2, ,X n }表示,X 1,X 2, ,X n 是n 个属性A 1,A 2, ,A n 的具体取值[4]。在入侵检测系统中,是从审计记录或网络数据流中提取的参数,包