[发明专利]一种基于加权隐朴素贝叶斯模型大数据入侵检测方法

权利要求书

1.一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：该检测方法包括如下步骤：

步骤一，收集病毒入侵属性数据

在线收集：将大数据中网络入侵病毒数据传输至加权隐朴素贝叶斯模型数据库中，对入侵病毒属性进行数据转换，得到入侵属性信息表；

离线构建：通过mitmproxy抓包软件收集获取并预处理设备中的离线数据包，获得离线数据包属性集合；训练样本集包括网络已知属性数据和入侵抓包属性数据，所述网络已知属性数据包括网络样本正常数据和网络样本入侵类别数据；

步骤二，对数据库中入侵数据属性进行排列

将数据库中属性进行多级排列，一类为单独属性C、A1、A2、A3、A4、…，二类为双层属性A1A2、A2A3、A3A4、…,三类为三层属性A1A2A3、A2A3A4、A3A4A5、…，对分类属性进行数值统计，并形成数据库集，并对数据库集中的数据进行排列，形成属性数据矩阵；

步骤三，构建一个加权隐朴素贝叶斯模型

基于步骤一和步骤二的数据构建能同时挖掘单独入侵属性和多项入侵属性信息的加权隐朴素贝叶斯模型；

步骤四，训练加权隐朴素贝叶斯模型

通过已给定的数据库集，以属性词之间独立作为前提假设，学习从输入到输出的联合概率分布，再基于学习系统模型将属性矩阵作为检测模型训练的输入，训练加权的隐朴素贝叶斯模型，得到训练好的加权的朴素贝叶斯检测模型；

步骤五，验证加权隐朴素贝叶斯模型

通过mitmproxy抓包软件进行数据包抓取，抓包完成后对数据包整合并重现，加权隐朴素贝叶斯模型对重现数据进行检验，调取数据矩阵，如果得到的属性是数据矩阵中的属性，并对入侵数据进行分类，将其分入对应的属性分类中，说明检测到了网络入侵，输出入侵报警信息。

2.根据权利要求1所述的一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：步骤二中，C为类属性节点，是所有属性节点的父亲节点，也是数据的基本属性。

3.根据权利要求1所述的一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：步骤二中，二类节点内属性为两个相邻一类属性组合形成，三类节点内属性为三个相邻一类节点属性组合形成，四类节点内属性为三组随机的一类节点属性组合形成。

4.根据权利要求1所述的一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：步骤三中，通过加入新型入侵病毒来训练模型的学习能力，在入侵病毒中加入数据库中未存在的特有属性或者是更多中属性的集合。

5.根据权利要求1所述的一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：步骤五中，将其分入对应的属性分类中的同时调取网络数据，根据属性匹配病毒名称，存储病毒名称、入侵时间和入侵次数。