基于支持向量机和Hurst指数的集成入侵检测研究.pdfVIP

电子发烧友 电子技术论坛 基于支持向量机和 Hurst 指数的集成入侵检测研究 The Research of Integrated Intrusion Detection Based on SVM and Hurst Parameter 1,2 1 2 (1.湖南文理学院;2.清华大学) 肖政宏 周学清 尹浩 Xiao, Zhenghong Zhou, Xueqing Yin, Hao 摘 要：提出了一种将SVM算法与Hurst指数相结合的入侵检测方法—集成入侵检测。DARPA 上的测试结果表明，该方法不仅能够发现网络中已知的攻击，还能够确定网络中未知的攻击, 提高了入侵检测的效率。 关键词：集成入侵检测；支持向量机；Hurst 参数 中图法分类号：TP393.08 Abstract: A new integrated intrusion detection approach is presented based on support vector machine (SVM) and Hurst parameter. The testing results on the DARPA data show that the combined method can detect the possible presence of not only known attacks, but also unknown attacks，and improve detection rate. Keywords: Integrated Intrusion Detection; Support vector machine; Hurst parameter 1 引言 入侵检测技术传统上分为两大类型：1)模式发现技术(signature-based)；2)异常发现 技术(anomaly-based)。虽然近年来模式检测方法和异常检测的方法的研究均取得了长足进 展，由于网络系统呈现的异构性、混沌性、可扩展性，一方面网络攻击的方式越来越多，攻 击的手段越来越先进，攻击特征库难以及时的更新，对已知网络攻击的检测难度增加；另一 方面并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新，这使得对未知网络攻 击的检测研究也更加困难，目前并没有一种很成熟的解决方法。 针对目前入侵检测系统的特点，提出了一种将SVM算法与Hurst指数相结合的入侵检测方 法，利用SVM算法对高维小样本数据集的学习能力，检测网络中已知的攻击。对未知的攻击， 首先计算表征网络流量突发性的重要参数Hurst指数，然后根据正常网络流量Hurst指数和异 常网络流量Hurst指数的偏差来检测攻击。 2 集成入侵检测模型 2.1 集成入侵检测检测方法概述 本文提出的集成入侵检测方法是在现有的模式匹配方法和异常检测方法基础上，为了同 时检测网络中的已知和未知攻击，提高入侵检测的效率，使用支持向量机和Hurst指数，所 构建的一个集成入侵检测模型。该模型使用支持向量机来检测检测网络中已知、单连接的入 侵攻击，使用Hurst指数来检测未知、突发和多连接网络流量攻击，新产生的攻击特征被加 入特征数据库，用于SVM算法对新样本的学习，当下一次攻击发生时，作为已知的攻击来检 测，两种方法相互补充，提高了入侵检测系统的可用性和检测效率。 2.2 基于支持向量机的入侵检测方法 支持向量机（support vector machines）是一种建立在统计学习的理论基础之上的机 器学习方法，其最大的特点是能较好地解决小样本、非线性、高维数和局部极小点的分类问 题，将支持向量机应用到入侵检测系统中，可以保证在训练样本较少的情况下获得较高的分 类正确率。本文中使用支持向量机来检测已知、单连接的攻击，相应的分类函数为 肖政宏:副教授 基金项目: 国家自然科学基金 项目编号 电子发烧友 电子技术论坛