本發明公開了一種基于PCA與貝葉斯相結合的網絡入侵檢測方法。使用本發明能夠實現對普通、常規類型攻擊以及新類型攻擊的快速有效檢測，檢測時間短，且正確率高。本發明首先對訓練數據集與測試數據集應用PCA得到降維后的訓練數據與測試數據，降低了貝葉斯分類器的模型訓練時間以及檢測時間，然后采用檢測時間最快的貝葉斯分類器進行入侵檢測，實現快速檢測，同時，本發明還對PCA進行了改進，提高了檢測的正確率，從而使得本發明方法在檢測時間與檢測正確率上均表現高效。

技術領域

本發明涉及網絡入侵檢測技術領域，具體涉及一種基于PCA與貝葉斯相結合的網絡入侵檢測方法。

背景技術

互聯網在帶給人們方便的同時，也出現了很多安全問題。網絡攻擊無時無刻不在發生著，網絡入侵檢測研究有著重要的現實意義，也是當前網絡安全領域的重大挑戰。

Dorothy Denning在1987年對入侵檢測給出了定義：通過監測網絡數據信息，檢測出入侵行為，在入侵行為造成危害前，發出警報并進行響應(Denning,DE.1987.AnIntrusion-Detection Model[J].IEEE Transactions on Software Engineering,SE-13(2):222-232.)。可以發現入侵檢測的一個重要特征就是即時性，檢測方法需要快速對攻擊信息進行判斷，在危害發生之前能夠進行報警。傳統的入侵檢測方法主要有兩類。第一類是基于規則的入侵檢測，它依賴于前期分析特定攻擊類型的特征，然后將該攻擊特征記錄到規則文件，最后通過匹配規則文件來檢測。這類方法主要應用于一些商用的或者開源的入侵檢測系統(IDS)，例如Snort入侵檢測系統使用的就是這種方法(Park,W.,Ahn,S.2017.Performance Comparison and Detection Analysis in Snort and SuricataEnvironment[J].wireless personal communocations,94(2):241-252；Gaddam,R.,Nandhini,M.2017.An Analysis of Various Snort Based Techniques to Detect andPrevent Intrusions in Networks Proposal with Code Refactoring Snort Tool inKali Linux Environment[J].International Conference on Inventive Communicationand Computational Technologies(ICICCT):10-15)，因為基于規則的入侵檢測有著檢測速度快的特點。但該方法存在的一個重大問題是不能檢測出新的攻擊類型，只能檢測出規則庫中已有的攻擊類型。黑客的攻擊手段是不斷變化的，經常會有新的攻擊類型產生，而新的攻擊類型往往危害更大，而且這種方法還存在著誤報率高的問題。第二類方法是隨著近些年機器學習和數據挖掘的興起，數據挖掘方法被應用到了入侵檢測之中。數據挖掘方法通過已標記的數據集來訓練模型，然后通過訓練好的模型進行入侵檢測，能夠對未知的攻擊類型的檢測有著很好的效果，例如SVM(Dong S K,Park J S.2003.Network-BasedIntrusion Detection with Support Vector Machines[M].//InformationNetworking.Berlin:Springer:747-756；Yendrapalli,K.,Mukkamala,S.,Sung,AH.,Ribeiro,B.2007.World Congress on Engineering:321-325)、神經網絡(Ryan,J.,Lin,MJ.,Miikkulainen R.1997.Intrusion Detection with Neural Networks[J])等方法。數據挖掘應用到入侵檢測需要事先收集大量的數據集，這限制了在線的入侵檢測(Huang,C.-T.,Chang,R.K.C.,Huang,P.,2009.Editorial:signal processing applications innetwork intrusion detection systems.EURASIP J.Adv.Signal Process 2009,9:1–9:2)。