基于支持向量機(jī)的協(xié)同入侵檢測.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展及網(wǎng)絡(luò)應(yīng)用的普及,入侵檢測作為網(wǎng)絡(luò)安全的主動防御工具,也面臨著更多新的挑戰(zhàn),尤其是在大量的網(wǎng)絡(luò)數(shù)據(jù)、在線學(xué)習(xí)以及噪聲數(shù)據(jù)等情況下,無法準(zhǔn)確識別網(wǎng)絡(luò)行為。作為分類問題的入侵檢測,是根據(jù)提取到的用戶特征數(shù)據(jù)把用戶行為分為正常行為和異常行為,因此入侵檢測可轉(zhuǎn)化為模式識別問題。
　　 支持向量機(jī)是基于統(tǒng)計學(xué)習(xí)理論的一種新的機(jī)器學(xué)習(xí)方法,特別是在高維數(shù)據(jù)空間下,能夠有效克服維數(shù)災(zāi)難、過學(xué)習(xí)等問題,已經(jīng)在模式識別、回歸計算

2、等領(lǐng)域得到廣泛的應(yīng)用。因為支持向量機(jī)具有非線性、小樣本、全局最優(yōu)等優(yōu)勢,把支持向量機(jī)應(yīng)用到入侵檢測中,可以在先驗知識不足、高維數(shù)據(jù)、非線性等情況下,仍然具有較高的檢測準(zhǔn)確率,提高入侵檢測系統(tǒng)的整體性能。
　　 本文分析了支持向量機(jī)應(yīng)用到入侵檢測中的優(yōu)點和不足,結(jié)合網(wǎng)絡(luò)入侵檢測應(yīng)對大規(guī)模網(wǎng)絡(luò)的丟包率高、噪聲數(shù)據(jù)多、在線學(xué)習(xí)難等問題,給出相應(yīng)的解決方法,主要工作包括:
　　 (1)提出了一個協(xié)同入侵檢測模型,該模型包括數(shù)據(jù)采

3、集器、數(shù)據(jù)預(yù)處理、檢測代理和決策相應(yīng)四部分。多個檢測代理協(xié)同工作有效減少檢測系統(tǒng)由于負(fù)載過大而導(dǎo)致丟包率,從而更準(zhǔn)確的獲得網(wǎng)絡(luò)行為特征,提高檢測系統(tǒng)的檢測準(zhǔn)確率；
　　 (2)構(gòu)建了三類檢測代理:TCP檢測代理、UDP檢測代理和ICMP檢測代理,并根據(jù)不同的協(xié)議類型對檢測代理進(jìn)行相應(yīng)的特征提取,分別用32、21和18個特征代替KDDCUP數(shù)據(jù)集中的41維特征,因此大大減少了檢測代理處理數(shù)據(jù)的時間:
　　 (3)將模糊隸屬

4、度函數(shù)引入到檢測代理的構(gòu)建中。消除或者減少噪聲數(shù)據(jù)對構(gòu)建分類超平面的影響,從而更準(zhǔn)確的構(gòu)建支持向量機(jī)決策函數(shù),提高支持向量機(jī)的分類準(zhǔn)確率；
　　 (4)采用支持向量機(jī)并行算法構(gòu)建檢測代理。支持向量機(jī)訓(xùn)練的時間復(fù)雜度是O(n3),隨著訓(xùn)練數(shù)據(jù)集的增加,訓(xùn)練時間也急劇增加,并行算法可以有效的減少訓(xùn)練時間；
　　 (5)引入自適應(yīng)機(jī)制到檢測代理的構(gòu)建中。針對準(zhǔn)支持向量的特點,并結(jié)合KKT條件和無監(jiān)督聚類算法,對支持向量機(jī)的增量