网络信息安全-于SVM的IDS关键技术.docVIP

网 络 信 息 安 全 论 文 基于SVM的IDS关键技术 2 1、SVM和IDS介绍 2 1.1 SVM(support vector machine 支持向量机) 2 1.2 SVM的主要思想可以概括为两点： 2 1.3 SVM的一般特征 3 1.4 SVM原理简介 3 2、IDS入侵检测 3 2.1 什么是入侵检测系统 4 2.2 入侵检测的任务 4 2.3 入侵检测的分类 5 2.4 入侵检测系统的结构 6 2.4 主要入侵检测技术 7 2.5 当前入侵检测技术的不足 8 2.6 入侵检测技术发展方向 8 2.7 入侵检测算法 8 3 结论 11 基于SVM的IDS关键技术 1、SVM和IDS介绍 1.1 SVM(support vector machine 支持向量机) 支持向量机SVM(Support Vector Machine)作为一种可训练的机器学习方法,依靠小样本学习后的模型参数进行导航星提取,可以得到分布均匀且恒星数量大为减少的导航星表 　　 基本情况　Vapnik等人在多年研究统计学习理论基础上对线性分类器提出了另一种设计最佳准则。其原理也从线 svm 产品性可分说起，然后扩展到线性不可分的情况。甚至扩展到使用非线性函数中去，这种分类器被称为支持向量机(Support Vector Machine,简称SVM)。支持向量机的提出有很深的理论背景。 　　支持向量机方法是在近年来提出的一种新方法。 　　 1.2 SVM的主要思想可以概括为两点： (1) 它是针对线性可分情况进行分析，对于线性不可分的情况，通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分，从而 使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能； 　　 　(2) 它基于结构风险最小化理论之上在特征空间中建构最优分割超平面， 使得学习器得到全局最优化,并且在整个样本空间的期望风险以某个概率满足一定上界。 　　在学习这种方法时，首先要弄清楚这种方法考虑问题的特点，这就要从线性可分的最简单情况讨论起，在没有弄懂其原理之前，不要急于学习线性不可分等较复杂的情况，支持向量机在设计时，需要用到条件极值问题的求解，因此需用拉格朗日乘子理论，但对多数人来说，以前学到的或常用的是约束条件为等式表示的方式，但在此要用到以不等式作为必须满足的条件，此时只要了解拉格朗日理论的有关结论就行。 1.3 SVM的一般特征 　　（1）SVM学习问题可以表示为凸优化问题，因此可以利用已知的有效算法发现目标函数的全局最小值。而其他分类方法（如基于规则的分类器和人工神经网络）都采用一种基于贪心学习的策略来搜索假设空间，这种方法一般只能获得局部最优解。（2）SVM通过最大化决策边界的边缘来控制模型的能力。尽管如此，用户必须提供其他参数，如使用核函数类型和引入松弛变量等。（3）通过对数据中每个分类属性引入一个哑变量，SVM可以应用与分类数据。 (4)SVM不仅可以用在二类问题，还可以很好的处理多类问题。 1.4 SVM原理简介 SVM方法是通过一个非线性映射p，把样本空间映射到一个高维乃至无穷维的特征空间中(Hilbert空间)，使得在原来的样本空间中非线性可分的问题转化为在特征空间中的线性可分的问题．简单地说，就是升维和线性化．升维，就是把样本向高维空间做映射，一般情况下这会增加计算的复杂性，甚至会引起“维数灾难”，因而人们很少问津．但是作为分类、回归等问题来说，很可能在低维样本空间无法线性处理的样本集，在高维特征空间中却可以通过一个线性超平面实现线性划分(或回归)．一般的升维都会带来计算的复杂化，SVM方法巧妙地解决了这个难题：应用核函数的展开定理，就不需要知道非线性映射的显式表达式；由于是在高维特征空间中建立线性学习机，所以与线性模型相比，不但几乎不增加计算的复杂性，而且在某种程度上避免了“维数灾难”．这一切要归功于核函数的展开和计算理论． 　　选择不同的核函数，可以生成不同的SVM，常用的核函数有以下4种： 　　(1)线性核函数K(x,y)=x·y； 　　(2)多项式核函数K(x,y)=[(x·y)+1]d； 　　(3)径向基函数K(x,y)=exp(-|x-y|^2/d^2) 　　(4)二层神经网络核函数K(x,y)=tanh(a(x·y)+b)． 2、IDS入侵检测 IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。