楊玉新

摘要 Bayes分類設(shè)備的algorithm是通過計(jì)算待辨識(shí)數(shù)據(jù)是哪個(gè)分類的概率值，這個(gè)概率最大值所從屬的類別來判別其所屬于的類別，這是利用了系統(tǒng)對(duì)未知行徑的判斷來設(shè)計(jì)的，構(gòu)建檢測(cè)功能時(shí)，采取“l(fā)eaky bucketalgorithm”突現(xiàn)了abnormal系統(tǒng)使用short sequences在時(shí)間上的部份相關(guān)性，省略了偶然出現(xiàn)的abnormal數(shù)據(jù)的影響，從而有效地對(duì)分類的結(jié)果進(jìn)行了研究，使得intrusion detection系統(tǒng)能夠有較好的檢測(cè)功能。

【關(guān)鍵詞】分類識(shí)別 入侵檢測(cè) 概率值 leakybucketalgorithm

1 引言

Pattern mach就是系統(tǒng)把數(shù)據(jù)分門別類。然而由于網(wǎng)絡(luò)收集數(shù)據(jù)的量少，使得系統(tǒng)無法獲取足夠的normal行pattern數(shù)據(jù)集合，從而檢測(cè)系統(tǒng)會(huì)對(duì)其未知的系統(tǒng)normal partem ofbehavior報(bào)錯(cuò)是入侵行徑，如此就會(huì)形成不少空警。這樣通過概率評(píng)測(cè)和設(shè)計(jì)設(shè)備學(xué)習(xí)的方法，提出采取Bayes分類algorithm對(duì)表現(xiàn)進(jìn)程行徑的系統(tǒng)使用設(shè)計(jì)設(shè)備來分類的方法。Bayes分類algorithm通過評(píng)測(cè)一個(gè)待識(shí)別的數(shù)據(jù)屬于哪一類的概率最大化來確定其歸屬，這是事先判定，這就十分有利于系統(tǒng)對(duì)未知的系統(tǒng)normal行徑的正確判斷。

2 Bayesian定理與Bayes分類設(shè)備

2.1 Bayesian運(yùn)算公式

假設(shè)事件V發(fā)生的概率P（V）>O，則當(dāng)V事件發(fā)生的情況下，G事件發(fā)生的概率是：

在概率P （V）、P（G）發(fā)生的條件下。而P （V/G）是事件G發(fā)生時(shí)，事件V發(fā)生的概率。

2.2 把Bayes公式的分類學(xué)習(xí)方法應(yīng)用到了intrusion detection的范疇

若algorithm標(biāo)識(shí)事件的屬性之間是在特定情況下相互獨(dú)立的。然而現(xiàn)實(shí)是，屬性間互不相關(guān)的條件確定不了是否獲得滿足，但是事實(shí)說明，此algorithm具有很好的分類事先判定性。條件是事件屬于各類的后驗(yàn)概率計(jì)算出來后，這里取它之中的概率值最大的哪一分類，這樣在分類設(shè)備工作時(shí)，不需要很精確地評(píng)測(cè)首個(gè)事件分屬于哪一類別的后驗(yàn)概率。如此，就能夠有效地化簡(jiǎn)分類設(shè)備中后驗(yàn)概率的計(jì)算法。

2.3 Bayes分類algorithm表達(dá)式

3 Bayes分類設(shè)備在檢測(cè)中的應(yīng)用

數(shù)據(jù)pattern集合添加一項(xiàng)關(guān)于pattem數(shù)目的評(píng)判項(xiàng)。這樣在滑動(dòng)窗口的執(zhí)行procedure trace時(shí)，評(píng)判出任意一個(gè)normal與abnormalpattern在獲取數(shù)據(jù)中出現(xiàn)的頻率，收集數(shù)據(jù)中的pattem數(shù)目要取這些評(píng)測(cè)頻率值總和。由此值便能判別normal子數(shù)據(jù)和abnormal子數(shù)據(jù)在獲取數(shù)據(jù)集合中顯現(xiàn)的概率，同時(shí)也可根據(jù)每個(gè)系統(tǒng)使用shortsequences在收集數(shù)據(jù)中出現(xiàn)的頻率算出某個(gè)系統(tǒng)的數(shù)據(jù)在某個(gè)位置出現(xiàn)的條件概率。取得這些概率之后，再利用Bayes定理得出數(shù)據(jù)屬于那一類的概率，概率值較大的類別便是該數(shù)據(jù)的所屬類別。根據(jù)評(píng)判方法從收集數(shù)據(jù)集中得出兩種數(shù)據(jù)對(duì)應(yīng)的序列位置取值概率分布說明了樣本整體的評(píng)測(cè)特點(diǎn)，使得數(shù)據(jù)的類別預(yù)測(cè)是合理的。

4 進(jìn)程行徑分類設(shè)備的intrusiondetecti on

通常，在系統(tǒng)遭遇入侵攻擊時(shí)，攻擊時(shí)刻對(duì)應(yīng)的系統(tǒng)使用short sequences大量呈現(xiàn)abnormal。即，表達(dá)入侵行徑的abnormal性會(huì)在時(shí)間上有局部集中的情況現(xiàn)實(shí)，因此可用系統(tǒng)使用short sequences判別進(jìn)程是否遭攻擊的根據(jù)。

這里的分類設(shè)備不準(zhǔn)確，所使用shortsequences的分類結(jié)果相應(yīng)的會(huì)出現(xiàn)報(bào)錯(cuò)。這樣促使我們通過研究在某一時(shí)間范圍里，abnormal數(shù)據(jù)的比率是否到達(dá)預(yù)定的閥值并判別系統(tǒng)進(jìn)程執(zhí)行trace是不是abnormal。而在我們的procedure識(shí)別設(shè)備中，則采取反映最近事件狀況的leaky bucket algorithm，用入侵引起的abnormal事件在時(shí)間順序上的局部集中性，對(duì)進(jìn)程行是分類設(shè)備的識(shí)別結(jié)果做進(jìn)一步的研究，來減少報(bào)錯(cuò)的可能。它的思想是，從零開始，把進(jìn)程執(zhí)行跡的short sequences分類設(shè)備的結(jié)果放入到該leaky bucket中，水的位置計(jì)數(shù)設(shè)備值的變化，出現(xiàn)下面的三類情況

（1）當(dāng)使用short sequences判別是否abnormal時(shí)，水的位置提高。增量可是一不變量，也可是leaky bucket里水位置計(jì)數(shù)值的函數(shù)值。連續(xù)出現(xiàn)的abnormal行徑的數(shù)據(jù)段越多，進(jìn)程abnormal的情形會(huì)越大，因而計(jì)數(shù)設(shè)備的增加值越大。

（2）當(dāng)使用短系列看作nonual時(shí)，水的位置計(jì)數(shù)設(shè)備增加一個(gè)定值，或者把水的位置計(jì)數(shù)設(shè)備值清除。還有l(wèi)eaky bucket是leaky，leaky bucket里的水的位置也會(huì)逐漸降低，假設(shè)計(jì)數(shù)設(shè)備值均速減少，最后為零。那么，當(dāng)分類設(shè)備連續(xù)輸出abnonnal數(shù)據(jù)情況時(shí)，leaky bucket中水的位置計(jì)數(shù)設(shè)備的數(shù)值就會(huì)快速變大;而當(dāng)分類設(shè)備連續(xù)輸出normal數(shù)據(jù)結(jié)果時(shí)，leaky bucker中的水就會(huì)遂漸地減少，最后漏盡。

（3）若一個(gè)被監(jiān)控進(jìn)程執(zhí)行時(shí)，對(duì)應(yīng)leaky bucket的水的位置計(jì)數(shù)設(shè)備的值超過了設(shè)定“閥值”，便肯定是被監(jiān)控的進(jìn)程而不是procedure識(shí)別設(shè)備所代表系統(tǒng)procedure遭遇了入侵攻擊。

在這里leaky bucket研究法對(duì)于多數(shù)有時(shí)間部分情況的abnormal行作的表象非常突顯，這樣對(duì)于真正的入侵攻擊就可以有效地檢測(cè)出來。這里預(yù)設(shè)的檢測(cè)防御系統(tǒng)，可以通過調(diào)整leaky bucket水位計(jì)數(shù)設(shè)備的閥值和leakybucket中漏水的速率，來控制檢測(cè)系統(tǒng)的空警率。

上述論述表明了Bayes分類設(shè)備是通過評(píng)測(cè)研究一個(gè)要識(shí)別的數(shù)據(jù)屬于那個(gè)分類的概率取值最大來判別它到底是屬于那一類別，有一定的事先判定性，有利于系統(tǒng)對(duì)未知的系統(tǒng)normal行的正確判別。而且在設(shè)計(jì)intrusion detection系統(tǒng)時(shí)， 采取“l(fā)eakybucketalgorithm”強(qiáng)調(diào)了abnormal系統(tǒng)使用short sequences在時(shí)間上的部份相關(guān)性，沒有考慮到隨機(jī)分布、突然abnormal的子數(shù)據(jù)出現(xiàn)的情況，從而有效地對(duì)分類的結(jié)果進(jìn)行了研究，這就使檢測(cè)系統(tǒng)有了較高的工作能力。實(shí)驗(yàn)證明，該系統(tǒng)原來設(shè)計(jì)的intrusion detection系統(tǒng)，能夠有效地評(píng)測(cè)出那些發(fā)生改變的系統(tǒng)procedure的入侵攻擊。

參考文獻(xiàn)

[1]胡建偉，網(wǎng)絡(luò)對(duì)抗原理（第一版）[M]，西安：電子科技大學(xué)出版社，2010.

[2]楊義先.鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)（第一版）[M]，北京：人民郵電出版社，2003 （10）.

[3]張世永，網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京：科學(xué)出版社，2003.

[4]劉化君.網(wǎng)絡(luò)安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2010.