技術(shù)領(lǐng)域

本發(fā)明一般涉及基于計算機入侵檢測領(lǐng)域，具體涉及基于K-均值算法、樸素貝葉斯分類算法和反向傳播神經(jīng)網(wǎng)絡(luò)的復(fù)雜混合入侵檢測方法。

背景技術(shù)

近基于人工神經(jīng)網(wǎng)絡(luò)的模糊聚類方法是采用模糊聚類生成不同的訓(xùn)練子集，人工神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練后制定不同的基礎(chǔ)模型。基于人工神經(jīng)網(wǎng)絡(luò)的異常檢測使用DARPA入侵檢測評估數(shù)據(jù)集，能檢測出88%已知的和未知的入侵。基于改進的反向傳播人工神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用多層感知器訓(xùn)練增強彈性反向傳播訓(xùn)練算法來檢測入侵。實驗結(jié)果表明系統(tǒng)的準(zhǔn)確率、存儲和時間都比較好。已經(jīng)實現(xiàn)的系統(tǒng)具備檢測率高達94.7%的分類記錄。

基于神經(jīng)網(wǎng)絡(luò)集成方法的計算機網(wǎng)絡(luò)檢測攻擊方法中，提出了一種基于利用神經(jīng)網(wǎng)絡(luò)集成的新的計算機網(wǎng)絡(luò)入侵檢測方法。在分布式入侵檢測系統(tǒng)中，這種方法可以很容易實現(xiàn)。結(jié)合遺傳算法和反向傳播神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法闡述了五類用于入侵檢測系統(tǒng)的神經(jīng)網(wǎng)絡(luò)技術(shù)。結(jié)合遺傳算法和反向傳播的入侵檢測系統(tǒng)精心設(shè)計了每個模塊的功能。

基于異常入侵檢測系統(tǒng)的神經(jīng)網(wǎng)絡(luò)方法，可以對不同的攻擊進行檢測和分類。基于異常的入侵檢測系統(tǒng)需要學(xué)習(xí)不斷變化的用戶或系統(tǒng)的行為。該方法提出的入侵檢測系統(tǒng)采用了人工反向神經(jīng)網(wǎng)絡(luò)來學(xué)習(xí)系統(tǒng)的行為。作者已經(jīng)對KDD99數(shù)據(jù)集做了實驗，實驗結(jié)果可以滿足研究的目的。為了找出入侵檢測的結(jié)果，用于入侵檢測的蟻群優(yōu)化和分類算法采用檢測率和假警報率與樸素貝葉斯方法和支持向量機的結(jié)果做了比較。為了提高準(zhǔn)確率更好的用于檢測，還采用了樸素貝葉斯方法和蟻群優(yōu)化算法。基準(zhǔn)入侵檢測系統(tǒng)測試了數(shù)據(jù)集KDD99，結(jié)果顯示它可以顯著的減少假陽性的數(shù)量和比例，并能夠擴大平衡檢測率的規(guī)模用于不同類型的網(wǎng)絡(luò)入侵。采用遺傳算法并基于規(guī)則的網(wǎng)絡(luò)入侵檢測方法，提供了一個研究基于規(guī)則的分類技術(shù)。在本文中，入侵檢測是針對計算機系統(tǒng)檢測攻擊（侵入體）。依賴于C45和RF算法的網(wǎng)絡(luò)攻擊檢測，也給出了KDD99數(shù)據(jù)集的實驗結(jié)果。算法采用主成分分析法對數(shù)據(jù)集降維，并通過監(jiān)督數(shù)據(jù)挖掘技術(shù)給出了正常的和被檢測的異常之間的差異。

發(fā)明內(nèi)容

本發(fā)明提供一種基于K-均值算法、樸素貝葉斯分類算法和反向傳播神經(jīng)網(wǎng)絡(luò)的復(fù)雜混合入侵檢測方法，采用基于劃分的、無監(jiān)督式聚類分析的K-均值方法進行數(shù)據(jù)的聚類處理。同時，為了獲取必要的數(shù)據(jù)屬性，將聚類處理后的數(shù)據(jù)輸入到貝葉斯分類器進行分類。由于反向神經(jīng)傳播網(wǎng)絡(luò)的學(xué)習(xí)模式具有較短的訓(xùn)練周期，過濾數(shù)據(jù)的學(xué)習(xí)由反向神經(jīng)傳播網(wǎng)絡(luò)操作和執(zhí)行。具體技術(shù)方案如下。

（a）監(jiān)督分類器-K-均值算法進行聚類處理;

（b）貝葉斯分類器過濾；

（c）BPN算法訓(xùn)練人工神經(jīng)網(wǎng)絡(luò)。

上述方案中，步驟（a）中根據(jù)種類的數(shù)量使輸入數(shù)據(jù)集聚類。

上述方案中，在步驟（b）中采用貝葉斯作為分類器，其余屬性屬于能夠很容易被反向傳播算法進一步過濾的屬性。

上述方案中，在步驟（c）中使用過濾后的數(shù)據(jù)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，其能夠很好的對相似的模式進行分類。與現(xiàn)有技術(shù)相比，本發(fā)明具有如下優(yōu)點和技術(shù)效果：

本發(fā)明基于支持向量機和蟻群算法的網(wǎng)絡(luò)入侵檢測技術(shù)，比單一的SVM無論在最高的平均檢測率還是假陽性和假陰性的低錯誤率都要更好，比起單一的CSOACN相比較檢測率和假警報率好，且訓(xùn)練時間更短。

附圖說明

圖1為實施方式中復(fù)雜混合入侵檢測算法的流程圖。

具體實施方式

以下結(jié)合附圖對本發(fā)明的實施方式作進一步說明，但本發(fā)明的實施不限于此。

一種復(fù)雜混合入侵檢測算法，如圖1所示，主要包括以下步驟：

（a）監(jiān)督分類器-K-均值算法進行聚類處理;其根據(jù)種類的數(shù)量使輸入數(shù)據(jù)集聚類。

（b）貝葉斯分類器過濾；在步驟（b）中采用貝葉斯作為分類器，其余屬性屬于能夠很容易被反向傳播算法進一步過濾的屬性。

（c）BPN算法訓(xùn)練人工神經(jīng)網(wǎng)絡(luò)；在步驟（c）中使用過濾后的數(shù)據(jù)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，其，能夠很好的對相似的模式進行分類。