一种基于聚类分析的增量支持向量机入侵监测方法.docVIP

一种基于聚类分析的增量支持向量机入侵监测方法 摘要：提出了一种聚类学习与增量SVM训练相结合的的入侵检测方法，采用聚类分析、样本修剪与增量学习相结合的方式，通过聚合相似的训练样本以支持多类别分类，通过去除相似的样本而只取其代表点，从而减少参加训练的样本数量，提高学习效率，同时采用基于广义KKT判决的增量学习方法，有效改善了多类别入侵检测场合下样本数据集过于庞大，学习速度过慢且难以保障SVM入侵检测能力持续优化的问题。 关键词：支持向量机；入侵检测；聚类；非线性分类 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）19-4417-04 An Novel Proposal For Intrusion Detections Based on Clustering Analysis and Increamental Support Vector Machine WANG Ya-bin （Jiangsu Tcnet Technology Co.， LTD.， Suzhou 215000，China） Abstract： An novel incremental SVM intrusion detection algorithm based on Clustering Learning is proposed in this paper. By using the clustring analysis and data pruning， the purpose of efficient simplification and multi-classification for trainning samples is achieved. An improved algorithm of incremental SVM trainning based on generalized KKT condition is also presented. Our simulation result shows that this method could effectively improve the trainning and classification speed caused by datasets updating， while at the same time the classification precision is guaranteed. Key words： SVM； Intrusion Detection； Clustering； non-Linear Classification 随着计算机软硬件的迅猛发展，计算机网络之上的应用日益广泛，在享受互联网带来的各种便利的同时，人们面临着更严重的网络入侵的威胁。网络上随处可见的黑客软件使得入侵行为与日俱增，统计数据表明，每年网络入侵事件的数量呈指数形式增长。与此同时，网络入侵更显示出多样性，智能性，隐蔽性等特点，这使得仅靠传统的杀毒软件、防火墙等静态防御技术无法保证网络的安全。 入侵检测系统（Intrusin Detection System，IDS）与传统的防火墙相比，是一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。它能很好的弥补防火墙的不足，可以对系统中未授权访问或异常现象、活动与时间进行审计、追踪、识别和检验的安全过程。它可以识别出系统是否被入侵，从而做出及时的反应，切断网络连接、记录时间和报警，提醒系统管理员采取相应的措施，避免系统受到进一步的侵害。 入侵检测问题实质上可被视为一个区分入侵行为与正常行为的分类问题。这一问题在机器学习、最优化等领域获得了深入研究。其中，基于VC维理论和风险最小化原理的支持向量机（Support Vector Machine）技术日益受到了人们的关注，SVM在解决小样本、非线性及高维模式识别问题中具有的特有优势，使得其非常适合用以解决入侵检测分类问题。然而在实际应用中，面对层出不穷的海量入侵行为，如何在有效保障SVM训练效率、以便及时响应入侵事件的同时，实现其学习、推广能力的持续强化与提升，以满足快速应对新兴威胁的需要，其目前已成为SVM应用于入侵检测实用场合所必须解决的两个关键问题。 针对上述问题，目前学术界已进行了大量研究，Mukkamala等人[1]利用SVM技术实现了入侵检测，并与神经网络方法进行了比较，获得了良好结果；Syed等[2]对样本支持向量集进行了分析，首次提出一种SVM增量学习算法；段丹青等[3]提出了一种基于粗糙集与SVM的入侵检测算法，有效地解决了训练样本降维问题；于静等[4]将PCA主成分分析应用于特征样本处理中，以提升SVM训练效率；张永俊等[5]则采用了一种简