[发明专利]一种基于PCA与贝叶斯相结合的网络入侵检测方法

说明书

本发明公开了一种基于PCA与贝叶斯相结合的网络入侵检测方法。使用本发明能够实现对普通、常规类型攻击以及新类型攻击的快速有效检测，检测时间短，且正确率高。本发明首先对训练数据集与测试数据集应用PCA得到降维后的训练数据与测试数据，降低了贝叶斯分类器的模型训练时间以及检测时间，然后采用检测时间最快的贝叶斯分类器进行入侵检测，实现快速检测，同时，本发明还对PCA进行了改进，提高了检测的正确率，从而使得本发明方法在检测时间与检测正确率上均表现高效。

技术领域

本发明涉及网络入侵检测技术领域，具体涉及一种基于PCA与贝叶斯相结合的网络入侵检测方法。

背景技术

互联网在带给人们方便的同时，也出现了很多安全问题。网络攻击无时无刻不在发生着，网络入侵检测研究有着重要的现实意义，也是当前网络安全领域的重大挑战。

Dorothy Denning在1987年对入侵检测给出了定义：通过监测网络数据信息，检测出入侵行为，在入侵行为造成危害前，发出警报并进行响应(Denning,DE.1987.AnIntrusion-Detection Model[J].IEEE Transactions on Software Engineering,SE-13(2):222-232.)。可以发现入侵检测的一个重要特征就是即时性，检测方法需要快速对攻击信息进行判断，在危害发生之前能够进行报警。传统的入侵检测方法主要有两类。第一类是基于规则的入侵检测，它依赖于前期分析特定攻击类型的特征，然后将该攻击特征记录到规则文件，最后通过匹配规则文件来检测。这类方法主要应用于一些商用的或者开源的入侵检测系统(IDS)，例如Snort入侵检测系统使用的就是这种方法(Park,W.,Ahn,S.2017.Performance Comparison and Detection Analysis in Snort and SuricataEnvironment[J].wireless personal communocations,94(2):241-252；Gaddam,R.,Nandhini,M.2017.An Analysis of Various Snort Based Techniques to Detect andPrevent Intrusions in Networks Proposal with Code Refactoring Snort Tool inKali Linux Environment[J].International Conference on Inventive Communicationand Computational Technologies(ICICCT):10-15)，因为基于规则的入侵检测有着检测速度快的特点。但该方法存在的一个重大问题是不能检测出新的攻击类型，只能检测出规则库中已有的攻击类型。黑客的攻击手段是不断变化的，经常会有新的攻击类型产生，而新的攻击类型往往危害更大，而且这种方法还存在着误报率高的问题。第二类方法是随着近些年机器学习和数据挖掘的兴起，数据挖掘方法被应用到了入侵检测之中。数据挖掘方法通过已标记的数据集来训练模型，然后通过训练好的模型进行入侵检测，能够对未知的攻击类型的检测有着很好的效果，例如SVM(Dong S K,Park J S.2003.Network-BasedIntrusion Detection with Support Vector Machines[M].//InformationNetworking.Berlin:Springer:747-756；Yendrapalli,K.,Mukkamala,S.,Sung,AH.,Ribeiro,B.2007.World Congress on Engineering:321-325)、神经网络(Ryan,J.,Lin,MJ.,Miikkulainen R.1997.Intrusion Detection with Neural Networks[J])等方法。数据挖掘应用到入侵检测需要事先收集大量的数据集，这限制了在线的入侵检测(Huang,C.-T.,Chang,R.K.C.,Huang,P.,2009.Editorial:signal processing applications innetwork intrusion detection systems.EURASIP J.Adv.Signal Process 2009,9:1–9:2)。