[发明专利]基于模糊隐条件随机场模型的网络入侵检测方法及系统

权利要求书

1.基于模糊隐条件随机场模型的网络入侵检测方法，其特征在于：包括以下步骤：

步骤一：利用网络数据采集工具收集网络实例，随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集；

步骤二：对收集的网络实例进行预处理；

步骤三：将预处理后的网络实例进行特征选择；

步骤四：模糊隐条件随机场模型利用所选特征训练生成检测模型；

步骤五：利用步骤四中生成的检测模型对实际运行中的网络实例进行检测；

步骤六：对网络入侵检测做相应处理，当检测为异常网络实例时，阻止网络实例；当检测为正常网络实例时，允许网络实例运行。

2.根据权利要求书1所述的基于模糊隐条件随机场模型的网络入侵检测方法，其特征在于：所述网络实例预处理，在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对数据进行模糊化处理：

sigmf(x,[A,C])＝1/(1+EXP(-A×(x-C)))；

其中，sigmf()表示模糊化处理函数；A和C为模糊函数的控制参数；x表示训练数据中特征的实际数值。

3.根据权利要求书1所述的基于模糊隐条件随机场模型的网络入侵检测方法，其特征在于：步骤三中，针对网络攻击类型的特点，依据多次试验结果和理论分析，对每一类攻击进行特征选择；步骤四中，模糊隐条件随机场利用每种攻击所选择的特征进行训练，得到模糊隐条件随机场各参数的值，从而建立攻击类型所对应的检测模型。

4.根据权利要求书4所述的基于模糊隐条件随机场模型的网络入侵检测方法，其特征在于：在给定观察序列n的条件下，运用模糊隐条件随机场模型根据观察序列n及定义在其上的隐状态集合H和标签m建立如下联合概率模型：

P(m,H|n;θ)=exp(ψ(m,H,n;θ))Σm′,Hexp(ψ(m′,H,n;θ));]]>

其中，n表示所选特征组成的特征向量；

θ为模型的特征权重参数，需要从训练数据中估计得到；

H表示隐状态集合；

m表示某个标签，m'在累加计算中依次表示各个标签；

ψ(m,H,n；θ)为模糊势函数，表示如下：

ψ(m,H,n;θ)=Σi=1tΣr∈Svα(i,m,Hi,n)θr1+Σ(i,j)∈EΣr∈Seβ(i,j,m,Hi,Hj,n)θr2;]]>

其中，隐变量{H₁,…,H_t}属于图模型中的顶点，

E是图模型中边的集合，S_v为点的模糊特征集，S_e为边的模糊特征集；

α(i,m,H_i,n)和β(i,j,m,H_i,H_j,n)分别为顶点和边所对应的模糊特征函数；

和分别为模型的特征权重参数的分量；

i和j取值都是(1-t)；

t表示隐变量的个数；

所属标签m的概率P(m|n；θ)为：

P(m|n;θ)=ΣHP(m,H|n;θ)=ΣHexp(ψ(m,H,n;θ))Σm′,Hexp(ψ(m′,H,n;θ)).]]>