[发明专利]一种基于贝叶斯神经网络的入侵检测系统的设计方法

说明书

本发明提供一种基于贝叶斯神经网络的入侵检测系统的设计方法，入侵检测系统通过对数据进行ETL、特征工程等相关初步预处理后，建立、训练、验证和测试贝叶斯神经网络模型，并进行相关的参数调优工作。该入侵检测系统采用无监督学习模型，不仅无需标签数据，还可以检测未知网络攻击，在网络攻击防御体系中起到尤为重要的作用。

技术领域

本发明属于入侵检测技术领域，尤其是涉及一种基于贝叶斯神经网络的入侵检测系统的设计方法。

背景技术

车联网、物联网数据中攻击事件占整体比重很小，体现出明显的数据非均衡性，并且一些攻击数据前后存在关联，即可能是短期的也可能是长期的，同时实际攻击方式多种多样，缺乏标签数据，所以对该类数据的入侵检测、分类预测是一个难点。

入侵检测，顾名恩义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。根据入侵检测系统的作用对象的不同，侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统。

一、基于主机大入侵检测系统在受保护的机器上安装了主机入侵检测模块，专门收集受保护机器上的信息。其信息来源可以是系统日志和特定应用程序日志，也可以是捕获特定的进程和系统调用等等。通过对信息的分析，确定一个行为是否是入侵行为。基于主机的入侵检测系统保护的一般是入侵检测系统所在的主机。基于主机的入侵检测系统的缺点是：依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。由于一个网络中有多种不同的操作系统，很难保证每个操作系统都有对应的主机入侵检测模块，而一个主机入侵检测模块只能保护本机，所以在使用上有很大的局限性。此外，它要求在每个机器上安装，如果装机数量大时，对用户来说，是一笔很大的投入。但是这种入侵检测系统的不受网络结构的限制，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。

二、基于网络的入侵检测系统的数据源则是网络上的数据包。入侵检测系统通过检测网络中的报文来达到获得信息的目的。一般来说，检测方式只能够检测到本机的报文，为了监视其他机器的报文，需要把网卡设置为混杂模式，监听本网段内的所有数据包并进行判断。通过在网络中放置一块入侵检测模块，我们可以监视受保护机器的数据报文。在受保护的机器将要受到攻击之前，入侵检测模块可最先发现它。一般基于网络的入侵检测系统担负着保护整个网段的任务。基于网络的入侵检测系统的优点是：简便，一个网段上只需要安装一个或几个这样的系统就可以监测整个网段的情况，同时我们可以分配专用计算机作为基于网络的入侵检测系统的运行承载机器，从而不会给运行关键业务的主机带来负载上的增加。

从机器学习角度，处理时间序列数据使用隐马尔可夫(HMM)模型或长短期记忆（LSTM）模型较多，但隐马尔可夫模型是基于齐次马尔可夫性假设的模型，其任意时刻的状态只依赖前一时刻的状态，所以其在处理和预测时间序列中间隔和延迟较长的重要事件时并不是很好，而LSTM模型主要用于间隔和延迟较长的时序数据，但一般为有监督学习模型。

发明内容

本发明旨在解决上述技术问题，提供一种基于贝叶斯神经网络的入侵检测系统的设计方法。

为了达到上述目的，本发明采用如下技术方案：

一种基于贝叶斯神经网络的入侵检测系统的设计方法，包括以下步骤：

S1.读取无网络攻击情况下正常的网络流量解析数据；

S2.对数据进行预处理；

S3.编写编码层模块；

S4.编写Lambda单元模块，Lambda单元模块采用Lambda 架构，它为预处理后的数据提供计算，同时将最新数据的计算结果初步展示出来，获取的数据经过编码层后相关统计特征；