基于改进朴素贝叶斯算法的入侵检测系统

随着互联网连通性的不断增强以及网络流量的日益增大,最近频繁发生的入侵事件再度凸显了入侵检测系统的重要性。针对朴素贝叶斯算法的缺陷,提出了一种改进后的朴素贝叶斯算法。该算法在原有的朴素贝叶斯模型基础上巧妙地引入属性加值算法,通过对分类参数的调控来实现简化分类数据复杂度的作用,并以计算出的最佳参数值来优化分类精确度。最后结合实验结果证明,在入侵检测框架中引入改进算法能够大幅度地降低入侵检测系统的误警率,从而提高系统的检测效率,减少网络攻击所带来的经济损失。     

分布式计算环境下的入侵检测数据分类研究

为了有效处理迅速增长的海量信息数据安全问题,在Hadoop云计算平台上,应用朴素贝叶斯算法和Logistic回归算法对入侵检测大数据进行并行计算分析。实验在伪分布模式和分布模式下进行计算,结果表明2种算法分类准确率均超过90%,Logistic回归算法比朴素贝叶斯算法运行时间更长;集群环境下运行的朴素贝叶斯算法可以有效降低运行时间。综合算法运行时间和分类准确率等因素,朴素贝叶斯算法比Logistic回归算法更能有效处理入侵检测大数据;并行计算下朴素贝叶斯算法可以有效分析入侵检测大数据。     

基于改进属性加权的朴素贝叶斯入侵取证研究

针对传统朴素贝叶斯分类模型在入侵取证中存在的特征项冗余问题,以及没有考虑入侵行为所涉及的数据属性间的差别问题,提出一种基于改进的属性加权朴素贝叶斯分类方法。用一种改进的基于特征冗余度的信息增益算法对特征项集进行优化,并在此优化结果的基础上,提取出其中的特征冗余度判别函数作为权值引入贝叶斯分类算法中,对不同的条件属性赋予不同的权值。经实验验证,该算法能有效地选择特征向量,降低分类干扰,提高检测精度。     

基于粒子群的加权朴素贝叶斯入侵检测模型

针对传统朴素贝叶斯算法对高维复杂的入侵行为检测效率低下的状况,提出一种基于粒子群的加权朴素贝叶斯入侵检测模型。模型首先用粗糙集理论对样本属性特征集进行约简,再利用改进的粒子群算法优化加权朴素贝叶斯算法的属性权值,获得属性权值的最优解,用获得的最优解构造贝叶斯分类器完成检测。其中,改进的粒子群是采用权衡因子方法更新其速度和位置公式,避免产生局部最优。两种算法的结合,既能解决传统朴素贝叶斯算法的特征项冗余问题,同时也可以优化特征项间的强独立性问题。通过实验证实了该模型的实效性,提高了检测率。     

一种改进的朴素贝叶斯算法在入侵检测中的应用

讨论了传统的朴素贝叶斯算法在入侵检测中的应用,指出了其存在的问题;针对该算法存在的问题,将遗传算法引入到该算法中,提出了一种改进的朴素贝叶斯算法。并对改进后的算法在KDD CUP 1999数据集上进行了实验。实验证明,改进后的算法能有效提高分类性能和效率。     

一种应用ODM的入侵检测原型系统

入侵检测系统是网络安全体系的重要组成部分, 本文针对当前入侵检测系统普遍存在的误报、漏报和缺乏自适应性问题,采用ODM的分类算法中的--决策树分类算法、支持向量机分类算法、朴素贝叶斯算法和二元变量逻辑回归算法等4种重点技术对其实验数据进行模型建立和测试,通过对实验的总结分析,在通用的入侵检测模型的基础上建立了一个以数据库为核心的入侵检测模型,并阐述了模型的构成和工作流程.     

改进贝叶斯分类算法在入侵检测中的研究

把朴素贝叶斯分类算法引入到入侵检测中，可以简单方便地区别出入侵事件。但是由于该算法在学习中存在一定的不足和缺陷，主要是属性值之间要求相互条件独立和训练集数据不完备这两个缺陷，导致了它的检测效果并不是很理想。文中针对该算法这两个最主要的缺陷，提出增量学习概念，引入损失幅度参数，改进和完善朴素贝叶斯分类算法。并对改进后的新学习策略进行了分析和研究，给出了其基本实现思想和算法描述，并指出它实现的可能性。     

基于树加权朴素贝叶斯算法的入侵检测技术研究

针对朴素贝叶斯(NB)算法在现实情况中所存在的缺陷,提出一种改进后的朴素贝叶斯算法——树加权朴素贝叶斯(TW-NB)算法。该算法通过引入决策树归纳法(DTI)在属性之间条件独立的集合中选择出相对更为重要的子属性集,并利用权重参数弱化了NB算法的条件独立假设性,从而降低了分类数据的维度,提高了算法的分类准确率。结合实验结果证明,在使用有限的计算资源下,基于TW-NB算法的入侵检测技术对于不同的网络入侵类型皆能表现出较高的检测率(DR)和较低的误检率(FR)。     

基于互信息可信度的贝叶斯网络入侵检测研究

传统贝叶斯入侵检测算法没有考虑不同属性和属性权值对入侵检测结果的影响,因此分类准确率不够高.针对传统贝叶斯入侵检测算法存在的不足,提出基于互信息可信度的贝叶斯网络入侵检测算法.在综合考虑网络入侵检测数据特点和传统贝叶斯分类算法优点的基础上,用互信息相对可信度进行特征选择,删除一些冗余属性,把互信息相对可信度作为权值引进贝叶斯分类算法中,得到优化的贝叶斯网络入侵检测算法(MI-NB).实验结果表明,MI-NB算法能大大降低分类数据的维数,比传统贝叶斯入侵检测算法及改进算法有更高的分类准确率.     

一种混合入侵检测模型

为了提高入侵检测模型的准确率,提出一种基于K-均值算法、朴素贝叶斯分类算法和反向传播神经网络的混合入侵检测模型。首先,采用基于分区、无监督式聚类分析的K-均值算法进行数据的聚类处理,得到易于被机器处理和学习的数据集。为了进一步获取必要的数据属性,将聚类处理的结果输入到贝叶斯分类器进行分类。然后,具有较短学习周期的反向传播神经网络负责训练数据分类样本。最后,基于KDD CUP99数据集,对混合入侵检测模型进行了仿真实验,实验结果表明,通过混合入侵检测模型,DoS、U2R、R2L和Probe等入侵数据被精准地检测出。相比其它入侵检测模型,混合入侵检测模型取得了较高的准确率和召回率,以及较低的误报率,具有一定的实用价值。     

贝叶斯分类在入侵检测中的应用研究

根据分类技术建立入侵检测模型的思路,构造了一个基于贝叶斯分类的入侵检测原型系统。为了解决该方法存在的训练数据集问题,本文改进了现有的贝叶斯分类算法,提出了利用未标记数据提高贝叶斯分类器性能的方法。实验表明,这种方法取得了很好的效果。     

基于NBSR模型的入侵检测技术

为了更好地解决入侵检测技术中误用检测造成未知入侵行为误检率升高的问题,提出了一种基于NBSR模型的入侵检测技术。首先,为了弥补ReliefF特征选择算法对特征之间的相关性分析的不足,引入Pearson相关系数,提出Relieff-P算法。其次,利用Relieff-P算法对UNSW-NB15数据集进行处理,去除无关特征,得到新的特征子集。最后,将朴素贝叶斯分类器和Softmax回归分类器级联构成NBSR分类器,建立了NBSR模型。在UNSW-NB15测试集上的实验结果表明,NBSR模型较其他检测模型有较低的误检率。     

An intrusion detection and alert correlation approach based on revising probabilistic classifiers using expert knowledge

Bayesian networks are important knowledge representation tools for handling uncertain pieces of information. The success of these models is strongly related to their capacity to represent and handle dependence relations. Some forms of Bayesian networks have been successfully applied in many classification tasks. In particular, naive Bayes classifiers have been used for intrusion detection and alerts correlation. This paper analyses the advantage of adding expert knowledge to probabilistic classifiers in the context of intrusion detection and alerts correlation. As examples of probabilistic classifiers, we will consider the well-known Naive Bayes, Tree Augmented Naïve Bayes (TAN), Hidden Naive Bayes (HNB) and decision tree classifiers. Our approach can be applied for any classifier where the outcome is a probability distribution over a set of classes (or decisions). In particular, we study how additional expert knowledge such as “it is expected that 80 % of traffic will be normal” can be integrated in classification tasks. Our aim is to revise probabilistic classifiers’ outputs in order to fit expert knowledge. Experimental results show that our approach improves existing results on different benchmarks from intrusion detection and alert correlation areas.     

RP-NBSR: A Novel Network Attack Detection Model Based on Machine Learning

The rapid progress of the Internet has exposed networks to an increased number of threats. Intrusion detection technology can effectively protect network security against malicious attacks. In this paper, we propose a ReliefF-P-Naive Bayes and softmax regression (RP-NBSR) model based on machine learning for network attack detection to improve the false detection rate and F1 score of unknown intrusion behavior. In the proposed model, the Pearson correlation coefficient is introduced to compensate for deficiencies in correlation analysis between features by the ReliefF feature selection algorithm, and a ReliefF-Pearson correlation coefficient (ReliefF-P) algorithm is proposed. Then, the Relief-P algorithm is used to preprocess the UNSW-NB15 dataset to remove irrelevant features and obtain a new feature subset. Finally, naïve Bayes and softmax regression (NBSR) classifier is constructed by cascading the naïve Bayes classifier and softmax regression classifier, and an attack detection model based on RP-NBSR is established. The experimental results on the UNSW-NB15 dataset show that the attack detection model based on RP-NBSR has a lower false detection rate and higher F1 score than other detection models.     

BIC评分贝叶斯网络模型及其应用

针对入侵检测系统漏报率、误报率高的缺点,以贝叶斯信息标准(BIC)评分函数为尺度,结合爬山搜索算法,降低朴素贝叶斯网络模型的强独立性假设,提出更符合实际情形的BIC评分贝叶斯网络模型。对模型进行验证和性能分析,实验结果表明,基于BIC评分函数的贝叶斯网络模型对行为特征渐变的DoS攻击和刺探攻击具有较高识别率。     

一种限定性的双层贝叶斯分类模型

朴素贝叶斯分类模型是一种简单而有效的分类方法,但它的属性独立性假设使其无法表达属性变量间存在的依赖关系,影响了它的分类性能.通过分析贝叶斯分类模型的分类原则以及贝叶斯定理的变异形式,提出了一种基于贝叶斯定理的新的分类模型DLBAN(double-level Bayesian network augmented naive Bayes).该模型通过选择关键属性建立属性之间的依赖关系.将该分类方法与朴素贝叶斯分类器和TAN(tree augmented naive Bayes)分类器进行实验比较.实验结果表明,在大多数数据集上,DLBAN分类方法具有较高的分类正确率.     

基于LZW算法和贝叶斯MARS的入侵检测研究

提出了一种基于LZW算法的入侵检测算法。使用系统调用序列作为特征数据,采用LZW算法对系统调用序列数据进行变长短序列划分,同时对短序列进行压缩,并在应用的过程中对LZW算法进行适当调整以适应序列的划分。通过贝叶斯多元自适应回归样条(贝叶斯MARS)模型,对正常和异常序列进行分类并标识入侵。实验结果表明,基于LZW变长序列划分方法符合系统调用序列的内在规律,在较高压缩比的情况下,获得了很好的检测性能。LZW算法与贝叶斯MARS相结合的入侵检测算法,对各种数据表现稳定,具有一定可行性和实用性。     

特征和分类器联合优化的网络入侵检测算法

为了提高网络入侵检测正确率,利用特征选择和检测分类器参数间的相互联系,提出一种特征和分类器联合优化的网络入侵检测算法。联合优化方法将网络状态特征和分类器参数作为遗传算法的个体,网络入侵检测正确率作为个体适应度函数,通过选择、交叉和变异等遗传操作获得最优特征和分类器参数,利用KDD 1999数据集对联合优化算法进行验证性测试。实验结果表明,相对于其他入侵检测算法,联合优化算法既解决了特征与分类器不匹配带来的入检测检测能力下降,又提高了网络入侵检测正确率和效率,为网络入侵检测提供了一种新的研究思路。