[发明专利]基于隐条件随机场的入侵事件检测方法

摘要

本发明公开了一种隐条件随机场的入侵事件检测方法，主要解决传统安全防御技术对网络攻击防护能力不足的问题。首先对KDD99数据集中原始训练集和测试集进行特征筛选，对筛选出的特征分别建立训练特征属性序列和测试特征属性序列；利用训练特征属性序列和对应的类别标签组成训练数据集，将测试特征属性序列组成测试数据集；根据训练数据计算模型参数构建HCRF的入侵事件检测模型；最后利用已建立的HCRF模型计算测试数据对应不同类别标签的概率，用最大概率对应的标签作为测试数据的预测标签，完成入侵事件检测。本发明能够准确检测网络数据中的攻击行为，具有较高检测性能，可用于移动互联网、局域网等需要对网络入侵行为的实时监测。

主权项

一种基于隐条件随机场的入侵事件检测方法，包括如下步骤：(1)将DARPA公布的KDD99数据集中的原始数据进行降维处理，从该数据集原有的41个特征中筛选出26个特征，作为特征属性集合D；(2)对特征属性集合D进行最大值归一化处理，以消除属性度量差异带来的影响，得到规范化的特征属性集ε＝{s1,s2,…,s26}，其中，s1,s2,…,s26表示26种特征属性；(3)定义类别标签集：3a)定义入侵事件检测的隐条件随机场模型的类别标签集为：α1＝{0,1}，其中，0表示入侵事件检测的隐条件随机场模型的输入是安全的会话，1表示入侵事件检测的隐条件随机场模型的输入是含有攻击的会话；3b)定义入侵检测攻击分类的隐条件随机场模型的类别标签集为：α2＝{0,1,2,3}，其中，0表示攻击类型为DoS攻击，即拒绝服务攻击，1表示攻击类型为Probe攻击，即网络探针攻击，2表示攻击类型为R2L攻击，即非法远程闯入攻击，3表示攻击类型为U2R攻击，即非法提升权限攻击；(4)在数据集合ε中选取N1个训练会话样本和N2个测试会话样本，得到第d个训练会话样本的特征属性序列Od和第e个测试会话样本的特征属性序列Ze，其中，d∈{1,2,…,N1}，e∈{1,2,…,N2}；(5)对第d个训练会话样本，判断是否包含入侵事件，得到第d个训练会话样本的类别标签λd，λd∈α1；(6)将N1个训练会话样本的特征序列和N1个训练会话样本的类别标签作为训练数据集将N2个测试会话样本的特征序列作为测试数据集(7)根据训练数据集O中的N1个特征序列和对应的N1个类别标签调用Matlab工具包HCRF2.0b中的trainHCRF函数，计算入侵事件检测的隐条件随机场的兼容性度量参数θ；(8)根据已计算出的入侵事件检测的隐条件随机场的兼容性度量参数θ和测试数据集Z，调用Matlab工具包HCRF2.0b中testHCRF函数，计算测试数据集Z中第e个测试会话样本的特征序列Ze对应于类别标签为0的概率βe,0，以及该特征序列Ze对应于类别标签为1的概率βe,1；(9)根据类别标签为0的概率βe,0和类别标签为1的概率βe,1，判断第e个测试会话样本的特征序列Ze的类别标签：若βe,0>βe,1，则第e个测试会话样本的特征序列Ze的类别标签为0，即该测试会话数据不包含入侵事件；若βe,0<βe,1，则第e个测试会话样本的特征序列Ze的类别标签为1，即该测试会话数据包含入侵事件；若βe,0＝βe,1，则无法判断第e个测试会话样本的特征序列Ze是否包含入侵事件；(10)在特征属性集ε中选取全部的攻击会话，得到攻击特征集合A，从攻击特征集合A中选取N3个训练会话样本和N4个测试会话样本，得到第f个训练会话样本的特征属性序列Of'和第g个测试会话样本的特征属性序列Zg'，其中，f∈{1,2,…,N3}，g∈{1,2,…,N4}；(11)对第f个训练会话样本，判断各种攻击行为的类型，得到第f个训练会话样本的类别标签λf'，λf'∈α2；(12)将N3个训练会话样本的特征序列和N3个训练会话样本的类别标签作为训练数据集将N4个测试会话样本的特征序列作为测试数据集(13)根据训练数据集O'中的N3个特征序列和对应的N3个类别标签调用Matlab工具包HCRF2.0b中的trainHCRF函数，计算攻击行为分类 的隐条件随机场的兼容性度量参数θ'；(14)根据步骤(12)和步骤(13)已计算出的攻击行为分类的隐条件随机场的兼容性度量参数θ'和测试数据集Z'，调用Matlab工具包HCRF2.0b中testHCRF函数，计算测试数据集Z'中第g个测试会话样本的特征序列Zg'中分别对应于类别标签为0的概率γf,0、对应于类别标签为1的概率γf,1、对应于类别标签为2的γf,2、对应于类别标签为3的概率γf,3；(15)根据类别标签为0的概率γf,0、类别标签为1的概率γf,1、类别标签为2的概率γf,2和类别标签为3的概率γf,3，判断第g个测试会话样本的特征序列Zg'的类别标签：若则第g个测试会话样本的特征序列Zg'的类别标签为0，即该包含入侵事件的测试会话的攻击为DoS攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为1，即该包含入侵事件的测试会话的攻击为Probe攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为2，即该包含入侵事件的测试会话的攻击为R2L攻击；若则第g个测试会话样本的特征序列Zg'的类别标签为3，即该包含入侵事件的测试会话的攻击为U2R攻击。