專利名稱::基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),尤其涉及一種基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。背景纟支術(shù)入侵檢測(cè)顧名思義,便是對(duì)入侵行為的發(fā)覺(jué),它是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。網(wǎng)絡(luò)入侵檢測(cè)所處理的數(shù)據(jù)是由多類攻擊數(shù)據(jù)和正常數(shù)據(jù)構(gòu)成的,因此網(wǎng)絡(luò)入侵檢測(cè)可以看作一個(gè)多分類問(wèn)題。入侵檢測(cè)系統(tǒng)的關(guān)鍵在于正常和異常行為模式庫(kù)的建立。建立行為系統(tǒng)的方法主要有神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘等。這些方法有一個(gè)共同特點(diǎn),就是所需要的訓(xùn)練數(shù)據(jù)量大,然而在入侵檢測(cè)領(lǐng)域中能夠獲得的數(shù)據(jù)常常呈現(xiàn)出多變性、高維性和小樣本,不能滿足傳統(tǒng)的統(tǒng)計(jì)方法的前提條件,以致誤檢率和漏檢率都比較高。支持向量機(jī)(SupportVectorMachine,SVM)和核學(xué)習(xí)方法主要用于解決有限樣本學(xué)習(xí)問(wèn)題,而且對(duì)數(shù)據(jù)的維度和多變性不敏感,具有較好的分類精度和泛化能力,因此,它們被廣泛應(yīng)用于入侵檢測(cè)系統(tǒng),并取得了良好的檢測(cè)效果。然而,SVM分類器的分類速度取決于支持向量的數(shù)目,如果支持向量數(shù)目很大,分類器的分類速度會(huì)很慢。對(duì)于入侵檢測(cè)這種實(shí)時(shí)性要求極高的系統(tǒng),緩慢的檢測(cè)速度將極大地影響其性能,使其不能及時(shí)地;險(xiǎn)測(cè)攻擊并作出響應(yīng)。因此,需要一種分類速度快同時(shí)誤檢率和漏檢率都比較低的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),以保證網(wǎng)絡(luò)的正常使用。
發(fā)明內(nèi)容為克服現(xiàn)有技術(shù)的上述缺陷,本發(fā)明基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)提出一種基于SVM簡(jiǎn)化算法網(wǎng)絡(luò)入侵沖企測(cè)系統(tǒng),通過(guò)約簡(jiǎn)支持向量提高了SVM分類器的分類速度,同時(shí)基于此精簡(jiǎn)支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)響應(yīng)能力得到極大提高。為實(shí)現(xiàn)上述技術(shù)目的,本發(fā)明采用的技術(shù)方案如下一種基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),該系統(tǒng)由順次連接的網(wǎng)絡(luò)數(shù)據(jù)捕獲及提取模塊、網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊、檢測(cè)模塊以及輸出與響應(yīng)模塊組成,所述檢測(cè)模塊為精簡(jiǎn)SVM分類器,所述精簡(jiǎn)SVM分類器的判定函數(shù)為/("=柳(|>,.#0^;)+6)(1),其中(Xi,yi),i=l,...,Ns就是所謂的支持向量,它們對(duì)應(yīng)的拉格朗日乘子"'大于零,x為待分類的向量,Ns為支持向量的數(shù)量,b為偏置。本發(fā)明基于支持向量才幾筒化算法的網(wǎng)絡(luò)入侵;險(xiǎn)測(cè)系統(tǒng)與現(xiàn)有技術(shù)相比,具有如下有益效果該系統(tǒng)通過(guò)約簡(jiǎn)支持向量提高了SVM分類器的分類速度,基于此精簡(jiǎn)支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)響應(yīng)能力得到了極大提高。圖1是本發(fā)明基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的框圖。具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作進(jìn)一步描述。本發(fā)明基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),該系統(tǒng)由順次連接的網(wǎng)絡(luò)數(shù)據(jù)捕獲及提取模塊、網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊、檢測(cè)模塊以及輸出與響應(yīng)模塊組成,所述檢測(cè)模塊為精簡(jiǎn)SVM分類器,所述精簡(jiǎn)SVM分類器的判定函數(shù)為/=柳(|>,.#0^;)+^(1),其中(A,yi),i=l,...,Ns就是所謂的支持向量,它們對(duì)應(yīng)的拉;格朗日乘子"'大于零,X為待分類的向量,Ns為支持向量的數(shù)量,b為偏置。為描述方便起見(jiàn),本發(fā)明中將類別信息集成進(jìn)Lagrange乘子"'中,下文的所有"'都采用了類似處理,相應(yīng)地,(l)式這個(gè)判定函數(shù)變更為(2)此時(shí)的"'為不等于零的數(shù)。從(2)式可以看出,判定一個(gè)未知類別的樣本所需要的時(shí)間和支持向量的數(shù)目成正比,因此,削減支持向量的數(shù)量能夠有效地提高分類機(jī)的分類速度。SVM分類器訓(xùn)練所得的最優(yōu)分類超平面所對(duì)應(yīng)的向量w在形式上表示為所有支持向量在特征空間中的線性組合W=U°^(X')(3)本發(fā)明中SVM簡(jiǎn)化法試圖采用一個(gè)約簡(jiǎn)的向量集來(lái)代替原有的支持向量集『、'(4)其中"'…,^^就是約簡(jiǎn)向量集,A"為約簡(jiǎn)向量Z'所對(duì)應(yīng)的權(quán)值,Wz為約簡(jiǎn)向量集所包含的向量個(gè)數(shù),并且~<&。這樣,可以用浙代替w來(lái)判定未知類別的向量x,此時(shí),SVM的判定函數(shù)形式如下/(x)=sgn(2AWz;,x)+6)w(5)SVM簡(jiǎn)化法的目標(biāo)就是在盡量減小分類精度損失的前提下,尋找最小的禮=W和對(duì)應(yīng)的約簡(jiǎn)向量集,形成一個(gè)精簡(jiǎn)的SVM分類器來(lái)提高分類速度。在削減支持向量數(shù)目時(shí),首先構(gòu)造一個(gè)新的約簡(jiǎn)向量及其對(duì)應(yīng)權(quán)值",^來(lái)近似(3)式中的向量w,接著迭代地構(gòu)建^+"U來(lái)近似向量,的形式如下2,伊")-£她)(6)由于不可能精確地找到向量zm和對(duì)應(yīng)權(quán)值A(chǔ)使向量^為零。所以只能通過(guò)非線性優(yōu)化來(lái)尋找最小的s,5的形式如下式所示3氛—廣/,(z』12(7)對(duì)于某些特殊的核函數(shù)如高斯核函數(shù),SVM分類器采用不動(dòng)點(diǎn)迭代法來(lái)尋找約筒向量z,設(shè)(7)式導(dǎo)數(shù)為零,求約簡(jiǎn)向量z的迭代公式如下式所示laiexp(-"廣zj卩/(2f7、(8)假設(shè)簡(jiǎn)化前后SVM分類器的支持向量分別為Ns,Nz,以核函數(shù)的計(jì)算次數(shù)來(lái)度量,則原始SVM分類器預(yù)測(cè)一樣本的時(shí)間復(fù)雜度為O(Ns),精簡(jiǎn)SVM分類器對(duì)應(yīng)的時(shí)間復(fù)雜度為0(NZ),由于^=w.s.,所以精筒SVM分類器比原始SVM分類器具有更低的分類復(fù)雜度。本發(fā)明采用的KDDCUP1999作為實(shí)驗(yàn)數(shù)據(jù)集。該數(shù)據(jù)集是WenkeLee等人在1998年美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)作IDS評(píng)測(cè)時(shí)所獲得數(shù)據(jù)^5出上恢復(fù)出來(lái)的連接信息。這批數(shù)據(jù)總共包含7個(gè)星期的網(wǎng)絡(luò)流量,大約有500萬(wàn)條連接記錄。由于原始數(shù)據(jù)集過(guò)于龐大,所以只有兩個(gè)具有代表性的數(shù)據(jù)集被選取作為實(shí)驗(yàn)數(shù)據(jù)集,一個(gè)名為10Percent(訓(xùn)練集),包含494,020條記錄,另一個(gè)名為Correct(測(cè)試集),包含311,029條記錄。入侵;險(xiǎn)測(cè)訓(xùn)練集包含正常網(wǎng)絡(luò)流量數(shù)據(jù)和22個(gè)攻擊類別,測(cè)試集除正常流量數(shù)據(jù)外還包含38個(gè)攻擊類型。本實(shí)驗(yàn)將這兩個(gè)數(shù)據(jù)集按照大的類型劃分成5類,形成新的訓(xùn)練集和測(cè)試集。入侵檢測(cè)訓(xùn)練和測(cè)試集的具體描述如表l所示。表1入侵檢測(cè)數(shù)據(jù)集的訓(xùn)練及測(cè)試數(shù)據(jù)描述類型名稱類標(biāo)記訓(xùn)練記錄數(shù)測(cè)試記錄數(shù)Normal197,27760,593Probe24,1074,166DOS3391,458229,851U2R452230R2L51,12616,189入侵檢測(cè)數(shù)據(jù)集包含了7個(gè)符號(hào)屬性,而支持向量機(jī)只能處理數(shù)值屬性,因此必須將符號(hào)屬性轉(zhuǎn)換為數(shù)值屬性。轉(zhuǎn)換方法如下首先創(chuàng)建一個(gè)全為0的數(shù)值序列,序列的長(zhǎng)度等于該屬性的取值種類并且序列中每個(gè)數(shù)和該字符屬性的每一取值——對(duì)應(yīng),如果某條記錄該屬性取某個(gè)值,則數(shù)值序列中對(duì)應(yīng)的數(shù)的值置為l,其余仍為0,此時(shí)該序列可看作一二進(jìn)制值,對(duì)應(yīng)十進(jìn)制值即為所求數(shù)值。處理完符號(hào)屬性后將所有的屬性值都規(guī)j各化到[O,l]區(qū)間。對(duì)數(shù)據(jù)進(jìn)行適當(dāng)預(yù)處理后,選擇LIBSVM作為標(biāo)準(zhǔn)的SVM訓(xùn)練算法。核函數(shù)采用高斯核函數(shù),懲罰算子C及核函數(shù)參數(shù)都是采用LIBSVM在實(shí)驗(yàn)數(shù)據(jù)集一隨機(jī)抽取的子集上10次交叉測(cè)試所得結(jié)果的最優(yōu)值。實(shí)驗(yàn)結(jié)果如表2所示,其中第1行為不同的約簡(jiǎn)率,2—4行對(duì)應(yīng)5類問(wèn)題的精簡(jiǎn)SVM分類器的支持向量數(shù)、在測(cè)試集上的錯(cuò)誤率和測(cè)試時(shí)間。其中第二列三行分別對(duì)應(yīng)原始SVM分類器的支持向量數(shù)、測(cè)試錯(cuò)誤率及在測(cè)試集上的運(yùn)行時(shí)間。表2:不同約簡(jiǎn)率下分類器性能比較<table>tableseeoriginaldocumentpage7</column></row><table>從表2可以看出,隨著約簡(jiǎn)率增大,相應(yīng)的精簡(jiǎn)SVM分類器在測(cè)試集上的分類速度也隨著提高。雖然精簡(jiǎn)SVM分類器的泛化性能隨著約簡(jiǎn)率增大而有所降低,但與檢測(cè)速度提升幅度相比,泛化性能的損失微乎其微。當(dāng)對(duì)支持向量取得高達(dá)95%削減率的同時(shí),卻僅有7.2%的分類精度損失,與此同時(shí),精簡(jiǎn)SVM分類器在測(cè)試集上的分類速度卻是原SVM分類器的近10倍。這說(shuō)明對(duì)入侵檢測(cè)數(shù)據(jù)集,支持向量簡(jiǎn)化方法在極大削減支持向量的同時(shí),基本保持了原SVM分類器的分類精度,極大地提高了SVM分類器的分類效率,解決了SVM應(yīng)用于入侵檢測(cè)系統(tǒng)所存在的速度瓶頸。本發(fā)明基于支持向量機(jī)筒化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一種基于SVM筒化算法網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),通過(guò)約筒支持向量提高了SVM分類器的分類速度,從而使得基于此精簡(jiǎn)支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)響應(yīng)能力得到極大提高,同時(shí)保證系統(tǒng)比較低的誤4全率和漏4企率。權(quán)利要求1、一種基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于該系統(tǒng)由順次連接的網(wǎng)絡(luò)數(shù)據(jù)捕獲及提取模塊、網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊、檢測(cè)模塊以及輸出與響應(yīng)模塊組成,所述檢測(cè)模塊為精簡(jiǎn)SVM分類器,所述精簡(jiǎn)SVM分類器的判定函數(shù)為<mathsid="math0001"num="0001"><math><![CDATA[<mrow><mi>f</mi><mrow><mo>(</mo><mi>x</mi><mo>)</mo></mrow><mo>=</mo><mi>sgn</mi><mrow><mo>(</mo><munderover><mi>Σ</mi><mrow><mi>i</mi><mo>=</mo><mn>1</mn></mrow><msub><mi>N</mi><mi>S</mi></msub></munderover><msub><mi>α</mi><mi>i</mi></msub><msub><mi>y</mi><mi>i</mi></msub><mi>k</mi><mrow><mo>(</mo><msub><mi>x</mi><mi>i</mi></msub><mo>,</mo><mi>x</mi><mo>)</mo></mrow><mo>+</mo><mi>b</mi><mo>)</mo></mrow><mo>-</mo><mo>-</mo><mo>-</mo><mrow><mo>(</mo><mn>1</mn><mo>)</mo></mrow><mo>,</mo></mrow>]]></math>id="icf0001"file="A2009100993460002C1.tif"wi="51"he="8"top="56"left="61"img-content="drawing"img-format="tif"orientation="portrait"inline="yes"/></maths>其中(xi,yi),i=1,...,Ns就是所謂的支持向量,它們對(duì)應(yīng)的拉格朗日乘子αi大于零,x為待分類的向量,Ns為支持向量的數(shù)量,b為偏置。2、如權(quán)利要求1所述的基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于SVM分類器最優(yōu)分類超平面所對(duì)應(yīng)的向量w在形式上表示為所有支持向量在特征空間中的線性組合W=§a'^°(2)。3、如權(quán)利要求2所述的基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于SVM分類器采用一個(gè)約簡(jiǎn)的向量集w。(3)來(lái)代替原有的支持向量集w(2):1%=g^^,)(3),其中"'…'^^就是約簡(jiǎn)向量集,A"為約簡(jiǎn)向量5所對(duì)應(yīng)的權(quán)值,Wz為約簡(jiǎn)向量集所包含的向量個(gè)數(shù),并且~<&。4、如權(quán)利要求3所述的基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于SVM分類器削減支持向量數(shù)目時(shí),首先構(gòu)造一個(gè)新的約筒向量及其對(duì)應(yīng)權(quán)值",W來(lái)近似(2)式中的向量w,接著迭代地構(gòu)建""+"凡+0來(lái)近似向量^,、的形式如下5、如權(quán)利要求4所述的基于支持向量機(jī)筒化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于SVM分類器對(duì)高斯核函數(shù)采用不動(dòng)點(diǎn)迭代法來(lái)尋找約簡(jiǎn)向量z,求約簡(jiǎn)向量Z的迭代公式為,a,exp(-IIU卩/(2cT,,。2>,eXp(-!|、-Z||2/(2<72))全文摘要本發(fā)明一種基于支持向量機(jī)簡(jiǎn)化算法的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),該系統(tǒng)由順次連接的網(wǎng)絡(luò)數(shù)據(jù)捕獲及提取模塊、網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊、檢測(cè)模塊以及輸出與響應(yīng)模塊組成,所述檢測(cè)模塊為精簡(jiǎn)SVM分類器,所述精簡(jiǎn)SVM分類器的判定函數(shù)為f(x)=sgn(∑<sup>Ns</sup><sub>i=1</sub>α<sub>i</sub>y<sub>i</sub>k(x<sub>i</sub>,x)+b),其中(x<sub>i</sub>,y<sub>i</sub>),i=1,...,Ns就是所謂的支持向量,它們對(duì)應(yīng)的拉格朗日乘子α<sub>i</sub>大于零,x為待分類的向量,Ns為支持向量的數(shù)量,b為偏置。該系統(tǒng)通過(guò)約簡(jiǎn)支持向量提高了SVM分類器的分類速度,從而使得基于此精簡(jiǎn)支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)響應(yīng)能力得到極大提高,同時(shí)保證系統(tǒng)比較低的誤檢率和漏檢率。文檔編號(hào)G06N99/00GK101594361SQ20091009934公開(kāi)日2009年12月2日申請(qǐng)日期2009年6月2日優(yōu)先權(quán)日2009年6月2日發(fā)明者群吳,吳劍鋒,曾志強(qiáng),柴春雷申請(qǐng)人:浙江大學(xué)