基于SVM的网格入侵检测系统研究.ppt

基于SVM的网格入侵检测系统研究 李晓冬 电子科技大学 信息中心 2010年10月 基于SVM的网格入侵检测系统研究 主要内容 为了解决目前入侵检测系统单点失效，数据访问不平衡而带来的稳定性、可用性等问题，本文在对网格技术研究的基础上，设计并提出了基于SVM的网格入侵检测系统模型，该模型以网格平台Globus为基础,采用改进SVM样本训练算法，有效地减少支持向量的个数和训练时间。实验证明，该模型不仅能够有效检测入侵攻击,而且实现了网格资源使用的负载均衡。 关键词：网格；入侵检测；SVM支持向量机；Globus平台 基于SVM的网格入侵检测系统研究 网格研究现状 网格是继万维网之后的第三代因特网应用，它具有虚拟性、动态共享性、多域集成性、协商性等计算特点。网格的研究已经从美国和欧洲推广到了世界各大洲、国家和地区。目前国外已有较多成熟的网格项目，如Globus，Legion, Condor, Nimrod以及NSF,国内网格研究也取得了初步的成果，提出了国际上第一个遵循OGSA架构，参照WSRF规范实现的网格中间件CGSP。 基于SVM的网格入侵检测系统研究 网格入侵检测系统模型 本文提出了一种高效的网格入侵检测模型，它充分考虑入侵检测的可扩展性、网格兼容性和完整性需求。该网格入侵检测系统主要包括数据采集、数据分析检测、组件监控、作业管理、报警响应引擎。 基于SVM的网格入侵检测系统研究 总体架构及关键模块 数据采集模块：部署于被监控子网内部，捕获网络数据包并进行预处理，向作业管理模块申请可用的数据分析资源； 数据检测模块：采用误用和异常检测方法，进行行为的关联分析； 组件监控：收集各引擎的主机和流量状态，保证网格各模块的正常运行； 作业管理：负责资源调度，和可用资源更新； 报警响应：采用防火墙联动方法及时隔离可疑数据包。 基于SVM的网格入侵检测系统研究 数据检测引擎 支持向量机(SVM)是20 世纪90 年代初由Vapnik 等人提出的一种通用学习方法。其核心思想是利用满足Mercer条件的核函数代替一个非线性映射，使输入空间中的样本点能映射到一个高维的特征空间，并在该空间中线性可分，然后构造一个最优超平面来逼近理想分类结果。设样本n为k维向量，在某区域内的1个样本所属类别为S={（xi, yi）,i=1,2,…,n},xi∈Rd ,yi∈{+1,-1}。若超平面： 最佳的超平面应使两类样本到超平面的距离为最大。显然,式(1)中的w和b乘以系数以后仍能满足方程。另外,考虑到可能存在一些样本不能被超平面正确分类,引入松弛变量并利用lagrange乘子法和K-T定理,对于未知属类的向量x,可以采用线性判决函数： 最终，采用核函数可得到最优分类函数: 基于SVM的网格入侵检测系统研究 实验和结论 通过对网格检测模型检测时间的监控，我们发现，随着加入样本的增多，检测时间和系统性能仍趋于一个相对稳定的状态，系统资源在充分利用的情况下，实现了高效地入侵行为检测，具有一定的推广价值。 基于SVM的网格入侵检测系统研究 综上所述，本文分析了目前入侵检测系统的不足，在研究网格技术的基础上，设计并实现一个网格入侵检测系统，采用改进SVM算法，实现了资源的负载均衡，避免了单点失效，提高了系统的检测效率，下一步，我们将把该网格入侵检测系统部署于校园网络拓扑中，在大规模网络环境中得到应用，为网格环境的整体安全发展和安全决策提供了一道强有力的保障。 2010-10-28 All rights reserved ? 2010, UESTC 电子科技大学 信息中心 基于SVM的网格入侵检测系统研究 CGSP系统架构 入侵检测系统架构图 表1 网格模型检测对(以％表示检测率) 93.2 75 80.4 90.1 SVM 94．7 73．8 45．3 63．1 Snort 96.7 75.0 5.9 24.3 Wenke Lee Probing U2R R2L DOS Type