基于SVM的入侵檢測系統(tǒng)研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及廣泛應(yīng)用，網(wǎng)絡(luò)安全成了越來越重要的問題。如何能快速、準確、有效地識別已有的攻擊和日益增多的新的攻擊就是入侵檢測系統(tǒng)所面臨的迫切問題。相對于傳統(tǒng)的入侵檢測技術(shù)來說，模式識別技術(shù)為基于機器學(xué)習(xí)的入侵檢測技術(shù)注入了新的活力，模式識別技術(shù)的泛化能力，使入侵檢測系統(tǒng)能檢測到新的或未知的攻擊；而分類器的分類能力提高了入侵的檢測率。支持向量機(SupportVector Machine，簡稱SVM)建立在統(tǒng)計學(xué)習(xí)理論的VC維

2、理論和結(jié)構(gòu)風(fēng)險最小化原理基礎(chǔ)之上，避免了局部最優(yōu)解，并巧妙地克服了“維數(shù)災(zāi)難”，在解決小樣本、高維輸入空間的入侵檢測分類問題中表現(xiàn)出許多特有的優(yōu)勢。同時網(wǎng)絡(luò)協(xié)議分析<'[10]>提高了入侵檢測的速度和檢測率?；谏鲜鰩讉€方面，本文提出了基于協(xié)議分析和特征分析的SVM多分類器組合的入侵檢測模型。 為了構(gòu)造一個更加適合因特網(wǎng)實際應(yīng)用環(huán)境的入侵檢測系統(tǒng)分類器，本文對以下幾個問題進行了研究： 1．分類器的選擇在研究初期，SVM在

3、入侵檢測系統(tǒng)中的應(yīng)用剛有人提出，因此本文做了一些實驗，通過和常用的神經(jīng)網(wǎng)絡(luò)分類器的性能對比，驗證了將SVM應(yīng)用于入侵檢測的可行性。 2．特征選擇 對于SVM而言，特征選擇后可以較大地提高其識別速度，而速度對入侵檢測系統(tǒng)走向?qū)嵱糜兄匾默F(xiàn)實意義。因而，在保證分類器的泛化能力的前提下，我們期望用最少的特征構(gòu)造分類器，這就是的特征選擇<'[12]>。本文利用特征選擇的方法，簡化了SVM分類器，并構(gòu)造了更加具有針對性的子分類器

4、。 3．多分類器融合策略本文中，利用網(wǎng)絡(luò)連接的不同特征空間建立分類器，由于特征空間的含義和作用不同，因而我們采用基于模糊積分的多分類器組合方法，提出了當樣本分布不均勻時模糊密度的計算方法，并給出了對比實驗結(jié)果。 4．協(xié)議分析在入侵檢測中的應(yīng)用研究本文中，將協(xié)議分析的方法用于入侵檢測，顯著地提高識別效率，給出的實驗結(jié)果證明了這一點。 5．增量學(xué)習(xí)方法在入侵檢測中的應(yīng)用研究現(xiàn)實中，入侵行為是層出不窮的，幾乎不可能定義