基于加权概率融合并行贝叶斯网络的异常行为检测方法技术

本发明专利技术提供一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，构建局部子贝叶斯网络并进行加权融合得到全局贝叶斯网络，利用训练后的全局贝叶斯网络对待检测数据集进行用户异常行为的检测；并通过一种增量评分函数定量的表示了单位时间内网络模型与数据之间适应程度的变化情况，采用对计算的得到的部分特定节点进行更新的措施，达到新旧数据在网络模型中的平衡；本发明专利技术方法达到了面对互联网用户行为数据时，提高学习贝叶斯网络模型的效率及准确性的效果，保证随着新增数据的增加贝叶斯网络模型对数据表达的精确度及稳定性。叶斯网络模型对数据表达的精确度及稳定性。叶斯网络模型对数据表达的精确度及稳定性。

【技术实现步骤摘要】
基于加权概率融合并行贝叶斯网络的异常行为检测方法


[0001]本专利技术属于数据处理
，具体涉及一种基于加权概率融合并行贝叶斯网络的异常行为检测方法。

技术介绍

[0002]近年来，网络安全问题深受国家和社会的关注，通过对互联网用户行为数据的分析，可以实现对用户异常行为的检测，及时发现问题，尽量避免网络攻击事件的发生。
[0003]UNSW
‑
NB15入侵检测数据集是2015年在新南威尔士大学(UNSW)网络安全实验室的合成环境下生成，其中包含9种类型的攻击。攻击类型分别有：analysis：通过电子邮件，Web脚本等渗透Web应用程序。Backdoor：绕过身份验证和未经授权的访问。DoS：试图耗尽目标的资源。Exploit：从漏洞和错误中获益的攻击。Fuzzers：发现漏洞。Generic：使用哈希函数针对分组密码的技术。Reconnaissance：收集有关目标的信息。Shellcode：使目标易受攻击的代码段。Worm：可传播的小型恶意程序。
[0004]贝叶斯网络已经成为在不确定性条件下进行建模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，包括：步骤1：采集包含N条记录的互联网用户行为数据集；步骤2：构建局部子贝叶斯网络并进行加权融合得到全局贝叶斯网络，利用用户行为数据集对全局贝叶斯网络进行训练；步骤3：利用训练后的全局贝叶斯网络对待检测数据集进行用户异常行为的检测。2.根据权利要求1所述的一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，所述步骤2包括：步骤2.1：构建子贝叶斯网络并进行子贝叶斯网络结构的学习；步骤2.2：对K个子贝叶斯网络进行加权概率融合，生成全局贝叶斯网络；步骤2.3：判断临时父节点和临时边，并将其删除实现全局贝叶斯网络的融合；步骤2.4：判断更新条件对生成的全局贝叶斯网络结构模型进行学习。3.根据权利要求2所述的一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，所述步骤2.1包括：步骤2.1.1：构建K个局部网络学习器，将互联网用户行为数据进行全局分块，平均分为个数据块，分别作为每个局部网络学习器的输入，输出为数据切片的结果；步骤2.1.2：根据公式(1)将每个数据块分为N
d
个数据切片；式中，ALS为数据切片尺寸；步骤2.1.3：根据划分后的数据切片对每个子贝叶斯网络进行学习。4.根据权利要求2所述的一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，所述步骤2.2包括：步骤2.2.1：利用公式(2)计算给定节点X在每个子贝叶斯网络中的条件概率：式中，P
i
(X＝x|π＝pa
j
)表示节点X在第i个子贝叶斯网络中的父节点集合属于所有父节点集合的条件概率，pa
j
表示所有的父节点集合；N(X＝x，π＝pa
j
)表示条件概率P
i
(X＝x|π＝pa
j
)与对应父节点集合中父节点总数乘积的累加和；N(π＝pa
j
)表示节点X在所有子贝叶斯网络中所有父节点集合的样本个数的总和，N(pa
i
)表示节点X在第i个子贝叶斯网络的父节点集合的样本个数；步骤2.2.2：利用公式(3)计算一个节点中每个子贝叶斯网络的权重ω(B
i
)：式中，BIC(B
i
,D)表示子贝叶斯网络B
i
利用样本数据集D进行学习时生成的BIC分值，M是指同一节点上符合融合条件的子贝叶斯网络个数；步骤2.2.3：利用公式(4)实现同一节点上子贝叶斯网络的合并：
式中，n
i
表示节点的第i个子贝叶斯网络的父节点的样本数。5.根据权利要求2所述的一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，所述步骤2.3包括：步骤2.3.1：计算节点X与父节点Y间的熵：步骤2.3.1：计算节点X与父节点Y间的熵：式中，P(X＝x
i
)表示节点X取第i个值的概率，H(X)表示节点X的信息熵，P(X
i
,Y
j
)表示节点X取x
i
、父节点Y取y
j
的联合概率分布，P(X
i
|Y
j
)表示在父节点Y取y
j
的条件下节点X取x
i
的条件概率分布X的数量，n表示节点的数量，m表示父节点Y的数量；步骤2.3.2：利用公式(7)计算出每个节点的信息增益值IG(X,Y)：IG(X,Y)＝H(X)
‑
H(X|Y)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(7)步骤2.3.3：判断信息增益值IG(X,Y)与设定阈值δ的大小，如果IG(X,Y)<δ，则说明该父结点为临时父节点，并删除该临时父节点及其对应的临时边，得到最终的全局贝叶斯网络结构模型。6.根据权利要求2所述的一种基于加权概率融合并行贝叶斯网络的异常行为检测方法，其特征在于，所述步骤2.4包括：步骤2.4.1：每个单位时间Δt内收集一次新的样本数据构成新的样本集D
″
；步骤2.4.2：从原始样本数据集D中随机抽取一定数量的样本数据构成样本集D
′
；步骤2.4.3：将D
′
和D
″
合并为新的数据集步骤2.4.4：计算全局贝叶斯网络的增量评分值步骤2.4.4：计算全局贝叶斯网络的增量评分值步骤2.4.4：计算全局贝叶斯网络的增...

【专利技术属性】
技术研发人员：冯永新，张文波，谭小波，吴宗霖，
申请(专利权)人：沈阳理工大学，
类型：发明
国别省市：