[发明专利]一种基于加权隐朴素贝叶斯模型大数据入侵检测方法

说明书

本发明公开了一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，该检测方法包括如下步骤：在线收集：将大数据中网络入侵病毒数据传输至加权隐朴素贝叶斯模型数据库中，对入侵病毒属性进行数据转换，得到入侵属性信息表；离线构建：通过mitmproxy抓包软件收集获取并预处理设备中的离线数据包，获得离线数据包属性集合。本发明通过强大的数据库来将病毒属性进行多级分类，将分类整合形成属性矩阵，并且通过贝叶斯模型综合访问属性矩阵，相比传统WAF技术对网站入侵更加准确全面，能够减少漏检、误检的概率，降低隐藏属性和未知属性病毒的通过率；通过抓取数据包来进行模型学习，减小了服务器的性能开销并且可以识别多种入侵攻击手段。

技术领域

本发明涉及大数据入侵检测技术领域，更具体为一种基于加权隐朴素贝叶斯模型大数据入侵检测方法。

背景技术

随着大数据时代的到来，实际采集到的数据类型越来越多样化，这些数据中往往会存在和研究无关或者冗余的属性，这就会对分类结果产生一些负面的影响。为了解决以上的问题，本课题以朴素贝叶斯模型为基础，对其进行研究后提出改进方案，提出对属性选择算法(CFS)的改进以及改进加权隐朴素贝叶斯模型，并把该模型应用到大数据入侵检测问题中。

朴素贝叶斯法是基于贝叶斯定理与特征条件独立假设的分类方法[1]。最为广泛的两种分类模型是决策树模型(Decision Tree Model)和朴素贝叶斯模型(NaiveBayesian Model，NBM)。和决策树模型相比，朴素贝叶斯分类器(Naive Bayes Classifier或NBC)发源于古典数学理论，有着坚实的数学基础，以及稳定的分类效率。同时，NBC模型所需估计的参数很少，对缺失数据不太敏感，算法也比较简单。理论上，NBC模型与其他分类方法相比具有最小的误差率。但是实际上并非总是如此，这是因为NBC模型假设属性之间相互独立，这个假设在实际应用中往往是不成立的，这给NBC模型的正确分类带来了一定影响。

在当前互联网模式不断改革创新、网民规模处于持续增长而产生海量应用信息的“大数据”时代下，构建安全的网络空间成为亟待解决的社会热点问题。目前入侵检测技术存在的对未知类型的病毒攻击检测能力较低以及对多属性入侵病毒的检测速度过慢的问题。

发明内容

本发明的目的在于提供一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，解决了入侵检测技术存在的对未知类型的病毒攻击检测能力较低以及对多属性入侵病毒的检测速度过慢的问题的问题，满足实际使用需求。

为实现上述目的，本发明提供如下技术方案：一种基于加权隐朴素贝叶斯模型大数据入侵检测方法，其特征在于：该检测方法包括如下步骤：

步骤一，收集病毒入侵属性数据

在线收集：将大数据中网络入侵病毒数据传输至加权隐朴素贝叶斯模型数据库中，对入侵病毒属性进行数据转换，得到入侵属性信息表；

离线构建：通过mitmproxy抓包软件收集获取并预处理设备中的离线数据包，获得离线数据包属性集合；训练样本集包括网络已知属性数据和入侵抓包属性数据，所述网络已知属性数据包括网络样本正常数据和网络样本入侵类别数据；

步骤二，对数据库中入侵数据属性进行排列

将数据库中属性进行多级排列，一类为单独属性C、A1、A2、A3、A4、…，二类为双层属性A1A2、A2A3、A3A4、…,三类为三层属性A1A2A3、A2A3A4、A3A4A5、…，对分类属性进行数值统计，并形成数据库集，并对数据库集中的数据进行排列，形成属性数据矩阵；

步骤三，构建一个加权隐朴素贝叶斯模型

基于步骤一和步骤二的数据构建能同时挖掘单独入侵属性和多项入侵属性信息的加权隐朴素贝叶斯模型；

步骤四，训练加权隐朴素贝叶斯模型