本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域，涉及網(wǎng)絡(luò)入侵類型的識別分析，可用于對網(wǎng)絡(luò)數(shù)據(jù)流的行為識別檢測中，以準(zhǔn)確、全面的區(qū)分網(wǎng)絡(luò)行為提高網(wǎng)絡(luò)的安全性。

背景技術(shù)：
隨著計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用的日益普及，計算機網(wǎng)絡(luò)安全越來越受到人們的重視。近年來，互聯(lián)網(wǎng)的主干網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用、TCP/IP網(wǎng)絡(luò)協(xié)議三個層次都受到了各種各樣的安全威脅或攻擊，信息安全特別是網(wǎng)絡(luò)安全問題越來越凸顯出來了，入侵檢測作為網(wǎng)絡(luò)安全研究的重要內(nèi)容，更是引起了國內(nèi)外學(xué)者的廣泛關(guān)注?，F(xiàn)有的入侵檢測方法主要有：1.國際商業(yè)機器公司在其專利申請“計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)和方法”（申請?zhí)枺?00680016585.X，公開號：CN101176331）中提出了一種用于標(biāo)識試圖入侵基于TCP/IP協(xié)議的網(wǎng)絡(luò)的設(shè)備的方法。該方法允許在兩個獨立的信息級別，一方面是TCP/IP棧信息而另一方面是Windows安全事件日志信息之間創(chuàng)建鏈接。允許在存儲于所述安全事件日志中的攻擊者設(shè)備的計算機名稱與涉及該計算機名稱的TCP/IP信息之間建立關(guān)系。該方法的缺點是：過多依賴于TCP/IP協(xié)議棧的信息和操作系統(tǒng)的安全日志，系統(tǒng)普適性不強。2.饒鮮，董春曦，楊紹全.基于支持向量機的入侵檢測系統(tǒng)[J].軟件學(xué)報,2003,14(4):798-803.這種方法將支持向量機應(yīng)用到入侵檢測中，利用在先驗知識不足的情況下，支持向量機分類器仍有較好的分類正確率的特性，使得整個入侵檢測系統(tǒng)具有較好的檢測性能。該方法的缺點是：只能對當(dāng)前網(wǎng)路是否收到入侵進行判決，而不能對數(shù)據(jù)的入侵類型進行標(biāo)記。3.俞研，郭山清，黃皓.基于數(shù)據(jù)流的異常入侵檢測[J].計算機科學(xué),2007,34(5):66-71.這種方法首先在線生成網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)計信息，并利用最能反映當(dāng)前網(wǎng)絡(luò)行為的統(tǒng)計信息檢測入侵行為。實驗結(jié)果表明，其DoS攻擊檢測準(zhǔn)確率達到97.86%，Probe攻擊準(zhǔn)確率達到77.64%，R2L和U2R攻擊準(zhǔn)確率達到55.52%，并克服了內(nèi)存等系統(tǒng)資源不足的問題，增加了系統(tǒng)的靈活性與并行性。但是該方法僅僅通過建立聚類特征矢量，得到基于距離的聚類分析模型，并沒有對網(wǎng)絡(luò)數(shù)據(jù)進行更深層次的數(shù)據(jù)建模來挖掘其潛在的規(guī)律，限制了檢測準(zhǔn)確率的提高。

技術(shù)實現(xiàn)要素：
本發(fā)明的目的在于針對上述已有技術(shù)的不足，提出一種基于隱條件隨機場的入侵檢測方法，以利用少量的特征，簡化復(fù)雜模型構(gòu)建過程，提高入侵檢測的準(zhǔn)確率。為實現(xiàn)上述目的，本發(fā)明的技術(shù)方案包括如下步驟：（1）將DARPA公布的KDD99數(shù)據(jù)集中的原始數(shù)據(jù)進行降維處理，從該數(shù)據(jù)庫原有的41個特征中篩選出26個特征，作為特征屬性集合D；（2）對特征屬性集合D進行最大值歸一化處理，以消除屬性度量差異帶來的影響，得到規(guī)范化的特征屬性集ε＝{s1,s2,…,s26}，其中，s1,s2,…,s26表示26種特征屬性；（3）定義類別標(biāo)簽集：3a)定義入侵事件檢測的隱條件隨機場模型的類別標(biāo)簽集為：α1＝{0,1}，其中，0表示入侵事件檢測的隱條件隨機場模型的輸入是安全的會話，1表示入侵事件檢測的隱條件隨機場模型的輸入是含有攻擊的會話；3b)定義入侵檢測攻擊分類的隱條件隨機場模型的類別標(biāo)簽集為：α2＝{0,1,2,3}，其中，0表示攻擊類型為DoS攻擊，即拒絕服務(wù)攻擊，1表示攻擊類型為Probe攻擊，即網(wǎng)絡(luò)探針攻擊，2表示攻擊類型為R2L攻擊，即非法遠程闖入攻擊，3表示攻擊類型為U2R攻擊，即非法提升權(quán)限攻擊；（4）在數(shù)據(jù)集合ε中選取N1個訓(xùn)練會話樣本和N2個測試會話樣本，得到第d個訓(xùn)練會話樣本的特征屬性序列Od和第e個測試會話樣本的特征屬性序列Ze，其中，d∈{1,2,…,N1}，e∈{1,2,…,N2}；（5）對第d個訓(xùn)練會話樣本，人工判斷是否包含入侵事件，得到第d個訓(xùn)練會話樣本的類別標(biāo)簽λd，λd∈α1；（6）將N1個訓(xùn)練會話樣本的特征序列O1,O2,和N1個訓(xùn)練會話樣本的類別標(biāo)簽λ1,λ2,作為訓(xùn)練數(shù)據(jù)集將N2個測試會話樣本的特征序列Z1,Z2,作為測試數(shù)據(jù)集（7）根據(jù)訓(xùn)練數(shù)據(jù)集O中的N1個特征序列O1,O2,和對應(yīng)的N1個類別標(biāo)簽λ1,λ2,調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù)，計算入侵事件的隱條件隨機場的兼容性度量參數(shù)θ；（8）根據(jù)已計算出的兼容性度量參數(shù)θ和測試數(shù)據(jù)集Z，調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù)，計算測試數(shù)據(jù)集Z中第e個測試會話樣本的特征序列Ze對應(yīng)于類別標(biāo)簽為0的概率βe,0，以及該特征序列Ze對應(yīng)于類別標(biāo)簽為1的概率βe,1；（9）根據(jù)類別標(biāo)簽為0的概率βe,0和類別標(biāo)簽為1的概率βe,1，判斷第e個測試會話樣本的特征序列Ze的類別標(biāo)簽：若βe,0＞βe,1，則第e個測試會話樣本的特征序列Ze的類別標(biāo)簽為0，即該測試會話數(shù)據(jù)不包含入侵事件；若βe,0＜βe,1，則第e個測試會話樣本的特征序列Ze的類別標(biāo)簽為1，即該測試會話數(shù)據(jù)包含入侵事件；若βe,0＝βe,1，則無法判斷第e個測試會話樣本的特征序列Ze是否包含入侵事件；（10）在特征屬性集ε中選取全部的攻擊會話，得到攻擊特征集合A，從攻擊特征集合A中選取N3個訓(xùn)練會話樣本和N4個測試會話樣本，得到第f個訓(xùn)練會話樣本的特征屬性序列Of'和第g個測試會話樣本的特征屬性序列Zg'，其中，f∈{1,2,…,N3}，g∈{1,2,…,N4}；（11）對第f個訓(xùn)練會話樣本，人工判斷各種攻擊行為的類型，得到第f個訓(xùn)練會話樣本的類別標(biāo)簽λf'，λf'∈α2；（12）將N3個訓(xùn)練會話樣本的特征序列O1',O2',和N3個訓(xùn)練會話樣本的類別標(biāo)簽λ1',λ2',作為訓(xùn)練數(shù)據(jù)集將N4個測試會話樣本的特征序列Z1',Z2',作為測試數(shù)據(jù)集（13）根據(jù)訓(xùn)練數(shù)據(jù)集O'中的N3個特征序列O1',O2',和對應(yīng)的N3個類別標(biāo)簽λ1',λ2',調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù)，計算攻擊行為分類的隱條件隨機場的兼容性度量參數(shù)θ'；（14）根據(jù)步驟（12）和步驟（13）已計算出的兼容性度量參數(shù)θ'和測試數(shù)據(jù)集Z'，調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù)，計算測試數(shù)據(jù)集Z'中第g個測試會話樣本的特征序列Zg'中分別對應(yīng)于類別標(biāo)簽為0的概率γf,0、對應(yīng)于類別標(biāo)簽為1的概率γf,1、對應(yīng)于類別標(biāo)簽為2的γf,2、對應(yīng)于類別標(biāo)簽為3的概率γf,3；（15）根據(jù)類別標(biāo)簽為0的概率γf,0、類別標(biāo)簽為1的概率γf,1、類別標(biāo)簽為2的概率γf,2和類別標(biāo)簽為3的概率γf,3，判斷第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽：若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為0，即該包含入侵事件的測試會話的攻擊為DoS攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為1，即該包含入侵事件的測試會話的攻擊為Probe攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為2，即該包含入侵事件的測試會話的攻擊為R2L攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為3，即該包含入侵事件的測試會話的攻擊為U2R攻擊。本發(fā)明與現(xiàn)有技術(shù)相比具有以下優(yōu)點：第一，本發(fā)明在處理高維數(shù)樣本時，不需要復(fù)雜的訓(xùn)練，就能達到較高的檢測率，有效降低了誤報的可能，克服了現(xiàn)有技術(shù)特征選擇過多，特征計算過于復(fù)雜的缺點，保證在小樣本訓(xùn)練的情況下，仍有較好的分類檢測效果。第二，本發(fā)明利用隱條件隨機場分別構(gòu)建了入侵事件檢測模型和攻擊行為分類模型，在檢測出入侵事件發(fā)生的同時，可以明確攻擊行為的類型，實現(xiàn)了入侵檢測的準(zhǔn)確性。附圖說明圖1是現(xiàn)有隱條件隨機場模型示意圖；圖2是本發(fā)明的實現(xiàn)流程圖。具體實施方式一、基礎(chǔ)理論介紹隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機網(wǎng)絡(luò)已成為現(xiàn)代社會生活重要的組成部分，信息網(wǎng)絡(luò)的開放性和共享性在給人們帶來便利的同時也帶來了更多的安全隱患。入侵檢測技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)保護措施后新一代的網(wǎng)絡(luò)安全保障技術(shù)，它從系統(tǒng)內(nèi)部和網(wǎng)絡(luò)中收集信息，判斷系統(tǒng)是否存在安全問題，并采取相應(yīng)的措施，作為對防火墻的有益的補充，入侵檢測系統(tǒng)擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?！半[條件隨機場”是一種具有隱狀態(tài)變量的無向圖概率模型。對于給定的一個觀察值序列，在隱條件隨機場模型中就存在一個對應(yīng)的隱狀態(tài)序列。當(dāng)前時刻的隱狀態(tài)既可根據(jù)當(dāng)前時刻的觀察值元素預(yù)測產(chǎn)生，也可根據(jù)當(dāng)前時刻的觀察值元素和相鄰觀察值元素共同預(yù)測產(chǎn)生。隱條件隨機場的具體定義為：假設(shè)需要對一個輸入序列x′預(yù)測標(biāo)簽β0，其中，β0為標(biāo)簽集Γ中的一個元素，輸入序列x′也稱為觀察序列，其是一個觀察值集合在不同的輸入序列中，觀察值集合的元素數(shù)目a′是可變的。每個觀察值元素由一個特征向量表示，其中，c∈{1,2,…,a′}，m為維數(shù)。訓(xùn)練數(shù)據(jù)集由觀察序列-類別標(biāo)簽數(shù)據(jù)對(xj,βj)組成，其中，βj∈Γ，j＝1,2,…,N，aj為第j個觀察序列中元素的個數(shù)，N為訓(xùn)練數(shù)據(jù)集中觀察序列-類別標(biāo)簽數(shù)據(jù)對的數(shù)目。測試數(shù)據(jù)集由觀察序列組成。圖1是隱條件隨機場模型示意圖，其中，u＝{u1,u2,…,uγ,…,ut}為隱條件隨機場模型的輸入觀察序列；ρ＝{ρ1,ρ2,…,ργ,…,ρt}為輸入觀察序列u對應(yīng)的隱狀態(tài)序列，它根據(jù)觀察序列u產(chǎn)生，并且在訓(xùn)練數(shù)據(jù)集中是無法被觀察的，ργ∈Ω,γ∈{1,2,…,t}，隱狀態(tài)序列的元素數(shù)目t是可變的，Ω為隱條件隨機場的隱狀態(tài)集合；隱狀態(tài)ργ對應(yīng)于觀察序列u中的觀察值元素uγ，ργ在窗長ω＝0時，根據(jù)單個觀察值元素uγ預(yù)測產(chǎn)生，ργ在窗長ω≥1時，根據(jù)觀察值元素uγ和其它觀察值元素共同預(yù)測產(chǎn)生，類別標(biāo)簽z根據(jù)隱藏狀態(tài)之間的分布概率最大值確定。在給定輸入序列x′和隱條件隨機場模型的兼容性度量參數(shù)θ的條件下，通過下式計算輸入序列x′對應(yīng)標(biāo)簽β′的概率：其中，θ為隱條件隨機場模型的兼容性度量參數(shù)，τ為輸入序列x′可能對應(yīng)的標(biāo)簽的集合，τ∈Γ，ρ＝{ρ1,ρ2,…,ρa′}為輸入序列x′對應(yīng)的隱狀態(tài)序列，是以θ為參數(shù)的勢函數(shù)，計算公式如下：其中，為輸入序列x′中第c個觀察值元素的特征向量表示，ρc∈Ω，θ(ρc)為對應(yīng)于第c個隱狀態(tài)ρc的參數(shù)矢量，矢量維數(shù)為m維，內(nèi)積為觀察值元素與隱狀態(tài)ρc的兼容性度量，為隱狀態(tài)ρc與類別標(biāo)簽β′的兼容性度量，為隱狀態(tài)ρc和隱狀態(tài)ρc′的聯(lián)合與類別標(biāo)簽β′的兼容性度量，E為隱條件隨機場模型的無向圖，c′∈{1,2,…,a′}，隱狀態(tài)表示無向圖的節(jié)點，若某個觀察值元素同時與第c個觀察值元素xc對應(yīng)的隱狀態(tài)ρc和第c'個觀察值元素對應(yīng)的隱狀態(tài)ρc′有關(guān)，則在無向圖E中存在邊(c,c′)。根據(jù)輸入序列x′具有標(biāo)簽β′的概率P(β′|x′;θ)，計算輸入序列x′的預(yù)測標(biāo)簽β0：β0＝argmaxβ′∈ΓP(β′|x′;θ)。二、入侵事件的檢測參照圖2，本發(fā)明基于隱條件隨機場的入侵事件檢測方法，其實現(xiàn)步驟如下：步驟1，對原始數(shù)據(jù)集合進行降維處理。本實例采用的入侵檢測數(shù)據(jù)集合是DARPA公布的KDD99數(shù)據(jù)集，從該數(shù)據(jù)庫原有的41個特征中篩選出26個特征，作為特征屬性集合D，這26個特征為：duration，src_bytes，dst_bytes，hot，num_compromised，num_root，num_file_creations，count，srv_count，serror_rate，srv_serror_rate，rerror_rate，srv_rerror_rate，same_srv_rate，diff_srv_rate，srv_diff_host_rate，dst_host_coun，dst_host_srv_count，dst_host_same_srv_rate，dst_host_diff_srv_rate，dst_host_same_src_port_rate，dst_host_srv_diff_host_rate，dst_host_serror_rate，dst_host_srv_serror_rate，dst_host_rerror_rate，dst_host_srv_rerror_rate。步驟2，對特征屬性集合D進行最大值歸一化處理，以消除屬性度量差異帶來的影響，得到規(guī)范化的特征屬性集ε＝{s1,s2,…s26}，其中，s1,s2,…,s26表示經(jīng)過最大值歸一化處理后的特征屬性序列，最大值歸一化計算公式如下：其中，sij表示經(jīng)過最大值歸一化處理前的第i條會話記錄的第j個特征屬性，表示經(jīng)過最大值歸一化處理后的第i條會話記錄的第j個特征屬性，sjmax表示所有會話記錄的第j個特征屬性的最大值，sj表示所有會話記錄的第j個特征屬性。步驟3，定義類別標(biāo)簽集。(3.1)定義入侵事件檢測的隱條件隨機場模型的類別標(biāo)簽集為：α1＝{0,1}，其中，0表示入侵事件檢測的隱條件隨機場模型的輸入是安全的會話，1表示入侵事件檢測的隱條件隨機場模型的輸入是含有攻擊的會話；(3.2)定義入侵攻擊分類的隱條件隨機場模型的類別標(biāo)簽集為：α2＝{0,1,2,3}，其中，0表示攻擊類型為DoS攻擊，即拒絕服務(wù)攻擊，1表示攻擊類型為Probe攻擊，即網(wǎng)絡(luò)探針攻擊，2表示攻擊類型為R2L攻擊，即非法遠程闖入攻擊，3表示攻擊類型為U2R攻擊，即非法提升權(quán)限攻擊。步驟4，在特征屬性集ε中選取N1個訓(xùn)練會話樣本和N2個測試會話樣本，得到第d個訓(xùn)練會話樣本的屬性序列Od和第e個測試會話樣本的屬性序列Ze，其中，d∈{1,2,…,N1}，e∈{1,2,…,N2}，N1＞2，N2＞2。步驟5，對第d個訓(xùn)練會話樣本，根據(jù)其在KDD99數(shù)據(jù)集中標(biāo)注的會話類別，得到第d個訓(xùn)練會話樣本的類別標(biāo)簽λd，λd∈α1。步驟6，確定訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。將N1個訓(xùn)練會話樣本的特征序列O1,O2,和N1個訓(xùn)練會話樣本的類別標(biāo)簽λ1,λ2,作為訓(xùn)練數(shù)據(jù)集：將N2個測試會話樣本的特征序列Z1,Z2,作為測試數(shù)據(jù)集：步驟7，根據(jù)訓(xùn)練數(shù)據(jù)集O中的N1個特征序列O1,O2,和對應(yīng)的N1個類別標(biāo)簽λ1,λ2,，按照θ=trainHCRF(trainseqs,trainlabels,params)的格式，調(diào)用Matlab工具包HCRF2.0b中trainHCRF函數(shù)，計算入侵事件檢測的隱條件隨機場的兼容性度量參數(shù)θ，其中，trainseqs為訓(xùn)練數(shù)據(jù)集中的N1個特征序列O1,O2,trainlabels為對應(yīng)的N1個類別標(biāo)簽λ1,λ2,params為trainHCRF函數(shù)計算兼容性度量參數(shù)θ時，用來設(shè)定trainHCRF函數(shù)的隱狀態(tài)數(shù)params.nbHiddenStates、窗長度params.windowsize、優(yōu)化算法params.optimizer、最大迭代次數(shù)params.maxIterations的參數(shù)，其中，params.nbHiddenStates為隱狀態(tài)個數(shù)N，取值為5，params.windowsize為窗長度ω，取值為2，params.optimizer為優(yōu)化算法，選擇bgfs算法，params.maxIterations為最大迭代次數(shù)，取值為300。步驟8，根據(jù)已計算出的入侵事件檢測的隱條件隨機場的兼容性度量參數(shù)θ和測試數(shù)據(jù)集Z，調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù)，計算測試數(shù)據(jù)集Z中第e個測試會話樣本的特征序列Ze對應(yīng)于類別標(biāo)簽0的概率βe,0，以及該特征序列對應(yīng)于類別標(biāo)簽1的概率βe,1。步驟9，根據(jù)類別標(biāo)簽為0的概率βe,0和類別標(biāo)簽為1的概率βe,1，判斷第e個測試會話樣本的特征序列Ze的類別標(biāo)簽：若βe,0＞βe,1，則第e個測試會話樣本的特征序列Ze的類別標(biāo)簽為0，即該測試會話數(shù)據(jù)不包含入侵事件；若βe,0＜βe,1，則第e個測試會話樣本的特征序列Ze的類別標(biāo)簽為1，即該測試會話數(shù)據(jù)包含入侵事件；若βe,0＝βe,1，則無法判斷第e個測試會話樣本的特征序列Ze是否包含入侵事件。步驟10，獲取訓(xùn)練會話樣本的屬性序列和測試會話樣本的屬性序列。在數(shù)據(jù)集合ε中選取全部的攻擊會話，得到攻擊特征集合A；從攻擊特征集合A中選取N3個訓(xùn)練會話樣本，得到第f個訓(xùn)練會話樣本的屬性序列Of'；從攻擊特征集合A中選取N4個測試會話樣本，得到第g個測試會話樣本的屬性序列Zg'，其中，f∈{1,2,…,N3}，g∈{1,2,…,N4}，N3＞4，N4＞4。步驟11，對第f個訓(xùn)練會話樣本，根據(jù)其在KDD99數(shù)據(jù)集中標(biāo)注的會話類別，得到第f個訓(xùn)練會話樣本的類別標(biāo)簽λf'，λf'∈α2。步驟12，確定訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。將N3個訓(xùn)練會話樣本的特征序列O1',O2',和N3個訓(xùn)練會話樣本的類別標(biāo)簽λ1',λ2',作為訓(xùn)練數(shù)據(jù)集：將N4個測試會話樣本的特征序列Z1',Z2',作為測試數(shù)據(jù)集：步驟13，根據(jù)訓(xùn)練數(shù)據(jù)集O'中的N3個特征序列O1',O2',和對應(yīng)的N3個類別標(biāo)簽λ1',λ2',按照θ'=trainHCRF(trainseqs,trainlabels,params)的格式，調(diào)用Matlab工具包HCRF2.0b中的trainHCRF函數(shù)，計算攻擊行為分類的隱條件隨機場的兼容性度量參數(shù)θ'，其中，trainseqs為訓(xùn)練數(shù)據(jù)集中的N3個特征序列O1',O2',trainlabels為對應(yīng)的N3個類別標(biāo)簽λ1',λ2',params為trainHCRF函數(shù)計算兼容性度量參數(shù)θ'時，用來設(shè)定trainHCRF函數(shù)的隱狀態(tài)數(shù)params.nbHiddenStates、窗長度params.windowsize、優(yōu)化算法params.optimizer、最大迭代次數(shù)params.maxIterations的參數(shù)，其中，params.nbHiddenStates為隱狀態(tài)個數(shù)N，取值為6，params.windowsize為窗長度ω，取值為2，params.optimizer為優(yōu)化算法，選擇bgfs算法，params.maxIterations為最大迭代次數(shù)，取值為300。步驟14，根據(jù)已計算出的攻擊行為分類的隱條件隨機場的兼容性度量參數(shù)θ'和測試數(shù)據(jù)集Z'，調(diào)用Matlab工具包HCRF2.0b中testHCRF函數(shù)，計算測試數(shù)據(jù)集Z'中第g個測試會話樣本的特征序列Zg'對應(yīng)于類別標(biāo)簽0的概率γf,0、對應(yīng)于類別標(biāo)簽1的概率γf,1、對應(yīng)于類別標(biāo)簽2的γf,2、對應(yīng)于類別標(biāo)簽3的概率γf,3。步驟15，根據(jù)類別標(biāo)簽為0的概率γf,0、類別標(biāo)簽為1的概率γf,1、類別標(biāo)簽為2的概率γf,2和類別標(biāo)簽為3的概率γf,3，判斷第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽：若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為0，該包含入侵事件的測試會話的攻擊為DoS攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為1，該包含入侵事件的測試會話的攻擊為Probe攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為2，該包含入侵事件的測試會話的攻擊為R2L攻擊；若則第g個測試會話樣本的特征序列Zg'的類別標(biāo)簽為3，該包含入侵事件的測試會話的攻擊為U2R攻擊。本發(fā)明的效果可通過以下仿真做進一步說明：1）仿真條件本實驗采用的數(shù)據(jù)是DARPA公布的KDD99數(shù)據(jù)集，該數(shù)據(jù)集是從一個模擬的局域網(wǎng)上采集來的9周的網(wǎng)絡(luò)連接數(shù)據(jù)，分為7周時間的訓(xùn)練數(shù)據(jù)集和2周時間的測試數(shù)據(jù)集兩部分，實驗選用該數(shù)據(jù)集提供一個10%的訓(xùn)練子集和測試子集，實驗軟件環(huán)境為MatlabR2008b。2）仿真內(nèi)容及結(jié)果仿真一：根據(jù)建立的入侵事件的隱條件隨機場模型，對測試會話數(shù)據(jù)分別計算每個測試會話數(shù)據(jù)具有類別標(biāo)簽0的概率和類別標(biāo)簽1的概率，選擇較大概率對應(yīng)的類別標(biāo)簽作為該測試會話數(shù)據(jù)的預(yù)測標(biāo)簽，從而判斷該會話數(shù)據(jù)是否含有入侵事件。將檢測為含有入侵攻擊的會話數(shù)據(jù)取出組成攻擊會話集，針對該攻擊會話集建立隱條件隨機場模型，對攻擊會話數(shù)據(jù)分別計算每個攻擊會話數(shù)據(jù)具有類別標(biāo)簽0的概率、類別標(biāo)簽1的概率、類別標(biāo)簽2的概率、類別標(biāo)簽3的概率，選擇較大概率對應(yīng)的類別標(biāo)簽作為該測試攻擊會話數(shù)據(jù)的預(yù)測標(biāo)簽，從而判斷該攻擊會話數(shù)據(jù)屬于DoS，Probe，R2L，U2R中的哪一類攻擊。實驗結(jié)果如表1和表2所示。表1入侵事件檢測的實驗結(jié)果表2入侵攻擊行為分類的實驗結(jié)果在表1和表2中，ω＝0表示預(yù)測當(dāng)前時刻的隱狀態(tài)時只考慮當(dāng)前時刻的觀察值，ω＝1表示預(yù)測當(dāng)前時刻的隱狀態(tài)時既考慮當(dāng)前時刻的觀察值同時也考慮前一時刻和后一時刻的觀察值，ω＝2表示預(yù)測當(dāng)前時刻的隱狀態(tài)時既考慮當(dāng)前時刻的觀察值同時也考慮前兩個時刻和后兩個時刻的觀察值，ω＝3表示預(yù)測當(dāng)前時刻的隱狀態(tài)時既考慮當(dāng)前時刻的觀察值同時也考慮前三個時刻和后三個時刻的觀察值。從表1可以看出，本發(fā)明對于入侵事件的最佳檢測率為99.97%。從表2可以看出，本發(fā)明對標(biāo)簽為DoS的攻擊會話數(shù)據(jù)最佳檢測率為99.13%，對標(biāo)簽為Probe的攻擊會話數(shù)據(jù)最佳檢測率為99.15%，對標(biāo)簽為R2L的攻擊會話數(shù)據(jù)最佳檢測率為98.00%，對標(biāo)簽為U2R的攻擊會話數(shù)據(jù)最佳檢測率為100%，其中，窗長ω＝2時的查準(zhǔn)率比ω＝1的查準(zhǔn)率有所提高，這是因為利用有效距離內(nèi)的觀察值之間的依賴關(guān)系，可以提高入侵事件檢測的隱條件隨機場模型的檢測性能，而ω＝3時的查準(zhǔn)率比ω＝2的查準(zhǔn)率降低，這是因為考慮過長距離內(nèi)的觀察值之間的依賴關(guān)系，會增加模型的復(fù)雜度，降低入侵事件檢測的隱條件隨機場模型的性能。以上仿真結(jié)果表明，本發(fā)明提出的基于隱條件隨機場的入侵事件檢測方法，能夠準(zhǔn)確、全面地實現(xiàn)入侵事件的檢測。