基于支持向量機(jī)的協(xié)同入侵檢測(cè).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展及網(wǎng)絡(luò)應(yīng)用的普及,入侵檢測(cè)作為網(wǎng)絡(luò)安全的主動(dòng)防御工具,也面臨著更多新的挑戰(zhàn),尤其是在大量的網(wǎng)絡(luò)數(shù)據(jù)、在線學(xué)習(xí)以及噪聲數(shù)據(jù)等情況下,無法準(zhǔn)確識(shí)別網(wǎng)絡(luò)行為。作為分類問題的入侵檢測(cè),是根據(jù)提取到的用戶特征數(shù)據(jù)把用戶行為分為正常行為和異常行為,因此入侵檢測(cè)可轉(zhuǎn)化為模式識(shí)別問題。
　　 支持向量機(jī)是基于統(tǒng)計(jì)學(xué)習(xí)理論的一種新的機(jī)器學(xué)習(xí)方法,特別是在高維數(shù)據(jù)空間下,能夠有效克服維數(shù)災(zāi)難、過學(xué)習(xí)等問題,已經(jīng)在模式識(shí)別、回歸計(jì)算

2、等領(lǐng)域得到廣泛的應(yīng)用。因?yàn)橹С窒蛄繖C(jī)具有非線性、小樣本、全局最優(yōu)等優(yōu)勢(shì),把支持向量機(jī)應(yīng)用到入侵檢測(cè)中,可以在先驗(yàn)知識(shí)不足、高維數(shù)據(jù)、非線性等情況下,仍然具有較高的檢測(cè)準(zhǔn)確率,提高入侵檢測(cè)系統(tǒng)的整體性能。
　　 本文分析了支持向量機(jī)應(yīng)用到入侵檢測(cè)中的優(yōu)點(diǎn)和不足,結(jié)合網(wǎng)絡(luò)入侵檢測(cè)應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)的丟包率高、噪聲數(shù)據(jù)多、在線學(xué)習(xí)難等問題,給出相應(yīng)的解決方法,主要工作包括:
　　 (1)提出了一個(gè)協(xié)同入侵檢測(cè)模型,該模型包括數(shù)據(jù)采

3、集器、數(shù)據(jù)預(yù)處理、檢測(cè)代理和決策相應(yīng)四部分。多個(gè)檢測(cè)代理協(xié)同工作有效減少檢測(cè)系統(tǒng)由于負(fù)載過大而導(dǎo)致丟包率,從而更準(zhǔn)確的獲得網(wǎng)絡(luò)行為特征,提高檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率；
　　 (2)構(gòu)建了三類檢測(cè)代理:TCP檢測(cè)代理、UDP檢測(cè)代理和ICMP檢測(cè)代理,并根據(jù)不同的協(xié)議類型對(duì)檢測(cè)代理進(jìn)行相應(yīng)的特征提取,分別用32、21和18個(gè)特征代替KDDCUP數(shù)據(jù)集中的41維特征,因此大大減少了檢測(cè)代理處理數(shù)據(jù)的時(shí)間:
　　 (3)將模糊隸屬

4、度函數(shù)引入到檢測(cè)代理的構(gòu)建中。消除或者減少噪聲數(shù)據(jù)對(duì)構(gòu)建分類超平面的影響,從而更準(zhǔn)確的構(gòu)建支持向量機(jī)決策函數(shù),提高支持向量機(jī)的分類準(zhǔn)確率；
　　 (4)采用支持向量機(jī)并行算法構(gòu)建檢測(cè)代理。支持向量機(jī)訓(xùn)練的時(shí)間復(fù)雜度是O(n3),隨著訓(xùn)練數(shù)據(jù)集的增加,訓(xùn)練時(shí)間也急劇增加,并行算法可以有效的減少訓(xùn)練時(shí)間；
　　 (5)引入自適應(yīng)機(jī)制到檢測(cè)代理的構(gòu)建中。針對(duì)準(zhǔn)支持向量的特點(diǎn),并結(jié)合KKT條件和無監(jiān)督聚類算法,對(duì)支持向量機(jī)的增量