利用卡方检验优化集成贝叶斯分类器用于数据流入侵检测的方法.pdfVIP

利用卡方检验优化集成贝叶斯分类器用

于数据流入侵检测的方法

摘要本文提出一种集成贝叶斯分类器的数据流入侵检测模型，目的是在适

应概念漂移的前提下，利用多个时间段的数据学习生成多个贝叶斯分类器，检测

入侵行为。为了提高分类器的构建速度和准确率，可以使用卡方检验先对数据进

行特征缩减等预处理，达到优化目的。

关键词入侵检测；贝叶斯分类器；数据流；卡方检验

1引言

当今社会已进入网络时代，网络安全和信息安全日益重要，如何保障计算机

系统的安全，防范网络入侵攻击受到各界的重视。入侵检测技术可以准确地在海

量的网络事件中将正常事件和异常事件区分出来，保护系统免受攻击，其本质上

是一个分类问题。

[1]

数据流环境下，数据的分布会随着时间的更迭而发生变化(即概念漂移)。

如何在海量的数据流中选择出充分的数据并训练出分类模型以进行有效地预测，

正是数据流入侵检测所要解决的难点。

本文提出一种集成贝叶斯分类器的数据流入侵检测模型,该模型首先使用卡

方检验对数据流中不同时间段的数据进行特征缩减等预处理，然后使用不同时间

段的训练样本构造多个贝叶斯分类器，利用集成分类器进行分类检测。

2入侵检测的性能评价

在入侵检测问题中，我们称攻击类为目标类，正常类为非目标类。评估标准

可使用召回率（）、精度（）。定义如下：

recallprecision

(1)(2)

其中，pos是检验数据集中目标类样本的总数，t_pos是检验数据集中被正

确分类的目标类样本的样本数，而f_pos是检验数据集中被错误地分类为目标样

本的样本数。通常我们使用-度量（），如式（3）。本文中此处λ

FF-measure

可设为0.5。

,（0≤λ≤1）(3)

3相关知识

3.1贝叶斯定理

设X为一个类别未知的数据样本，H为某个假设，那么分类问题就是决定

P(H|X)，即在获得数据样本X时,H假设成立的概率。

(公式3.1)

贝叶斯定理则描述了如何根据P(X),P(H)和P(X|H)计算获得后验概率P(H|X)

的方法,而P(X),P(H)和P(X|H)可以由给定的数据估计。

3.2朴素贝叶斯分类方法

朴素贝叶斯分类器假设一个指定类别中各属性的取值是相互独立的。它可以

帮助有效减少在构造贝叶斯分类器时所需要进行的计算量。

每个数据样本均是由一个n维特征向量X={x,x,……x}来描述其n个属性

12n

(A,A,……A)的具体取值；假设共有m个不同类别C,C……C,则样本X属于C

12n12mi

的后验概率为：

(公式2.2)

由条件独立性得

可以根据训练数据样本估算P(x|C),P(x|C)……P(x|C)值，得到具有最

1i2ini

大后验概率的C值,对数据样本实现分类。

i

在文献[3]中，作者提出了一种基于特征缩减的朴素贝叶斯算法，通过提取

特征识别影响较大的特征，构建贝叶斯模型，使得计算建模更加快速，并达到较

高的准确率。