基于SVM的異常入侵檢測系統(tǒng)關(guān)鍵技術(shù)的研究.pdf

1、隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全技術(shù)越來越受到人們的關(guān)注。入侵檢測技術(shù)作為一種主動的信息安全保障措施，成為近年來網(wǎng)絡(luò)安全技術(shù)的熱點。當(dāng)前，盡管基于入侵檢測技術(shù)的入侵檢測系統(tǒng)得到了不斷的發(fā)展和完善，然而由于網(wǎng)絡(luò)攻擊手段的多元化、智能化、復(fù)雜化，這些入侵檢測系統(tǒng)尚存在誤報、漏報率高等問題。特別是需要大量或完備的審計數(shù)據(jù)集才能達到比較理想的檢測性能，并且訓(xùn)練時間較長，所以就需要尋找一種在小樣本的情況下，能正確提取訓(xùn)練數(shù)據(jù)特征，實現(xiàn)入侵檢

2、測的方法。支持向量機方法是解決這類問題的較好選擇，支持向量機本質(zhì)上屬于機器學(xué)習(xí)的范疇，由于它既有嚴格的理論基礎(chǔ)，又能較好地解決小樣本、非線性、高維數(shù)等問題，將它應(yīng)用于入侵檢測已成為研究的熱點。
　　本文在提高異常入侵檢測系統(tǒng)的性能----提高檢測率，降低誤報、漏報率方面，針對支持向量機及入侵檢測的測試數(shù)據(jù)集作了相關(guān)研究。
　　本文對基于SVM的網(wǎng)絡(luò)異常檢測系統(tǒng)進行分析與設(shè)計，對原有的IDES模型進行擴展，提出了基于SVM的入

3、侵檢測系統(tǒng)的模型，并闡述了各部分的功能。提出一種基于SVM的異常檢測分類器的模型。
　　在入侵檢測系統(tǒng)應(yīng)用的大多數(shù)環(huán)境中，我們只能得到“正?！睌?shù)據(jù)。我們考慮如何通過這些數(shù)據(jù)建立一個正常模式，然后與當(dāng)前的系統(tǒng)或用戶的行為比較，從而判斷出與正常模式的偏離程度。這樣的問題可以轉(zhuǎn)化為支持向量機的單類問題，它僅利用了“正?！鳖悢?shù)據(jù)來設(shè)計分類器判別當(dāng)前樣本的類別歸屬。本文通過KDD99數(shù)據(jù)集上的實驗詳細討論了OCSVM的對偶問題參數(shù)，核函數(shù)參

4、數(shù)對推廣性的影響。仿真實驗表明OCSVM不但符合實際而且具有良好的推廣性。另外，現(xiàn)實情況下入侵行為是層出不窮的，不可能定義完整的訓(xùn)練集進行訓(xùn)練。因此希望入侵檢測系統(tǒng)具有這樣的能力，即它的學(xué)習(xí)精度可以隨著其不斷學(xué)習(xí)而逐步提高，這就是增量學(xué)習(xí)的思想。在分析現(xiàn)有的增量算法的基礎(chǔ)上，結(jié)合KKT條件在增量過程中的作用，提出了本文的改進的增量OCSVM算法，使得OCSVM異常檢測的分類器能夠隨著新的網(wǎng)絡(luò)數(shù)據(jù)不斷地進行增量學(xué)習(xí)，同時訓(xùn)練集合規(guī)模得到一

5、定程度抑制，縮短了訓(xùn)練時間。仿真實驗證明，改進后的增量方法使分類效果得到改善。樣本訓(xùn)練過程的實時性使得基于OCSVM的入侵檢測系統(tǒng)成為一個實時系統(tǒng)，更加符合現(xiàn)實工作的要求。
　　隨著網(wǎng)絡(luò)速度的提升,入侵檢測系統(tǒng)面臨的一個重要問題是檢測速度低、負荷大,來不及處理網(wǎng)絡(luò)中傳輸?shù)暮Ａ繑?shù)據(jù),并且這個問題變得越來越嚴重。要處理的數(shù)據(jù)的特征數(shù)目過多是導(dǎo)致速度下降的主要原因之一，很多研究者通過特征選擇來解決這個問題。本文研究了測試數(shù)據(jù)集----K