入侵检测系统及SVM算法应用.docVIP

入侵检测系统及SVM算法应用 　　摘要:入侵检测系统作为继防火墙、数据加密等传统安全保护措施后新一代的安全防护策略,得到了越来越多的应用。文章介绍了入侵检测系统的基本原理及一种基于支持向量机(SVM)的网络人侵异常检测模型。 　　关键词:入侵检测系统;网络入侵;异常检测;支持向量机(SVM) 　　中图分类号:TP312 文献标识码:A 文章编号:1006-8937(2009)12-0107-01 　　 　　1入侵检测系统 　　 　　入侵检测系统是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统使用入侵检测技术对网络及其上的信息系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。入侵检测系统可以部署在DMZ区,外网入口,内网主干和关键子网区域。要根据目标网络的具体情况以及用户的安全需求对入侵检测系统进行适当的配置,保证入侵检测系统正常有效地运行。 　　根据入侵检测系统的检测对象,入侵检测系统主要分成两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据报作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。 　　入侵检测系统的检测分析技术主要分为两大类:异常检测和误用检测。异常检测技术也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术先定义一组系统正常活动的阀值,如CPU利用率、内存利用率、文件校验和等,这类数据可以人为定义,也可以通过观察系统,用统计的方法得出,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。误用检测技术也称为基于知识的检测技术或者模式匹配检测技术,它通过对实际行为和数据的特征匹配判断是否存在已知的网络入侵行为。它的前提是假设所有的网络攻击行为和方法都有一定的模式和特征,如果把以往发现的所有的网络攻击的特征总结出来并建立一个入侵信息库,那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息进行比较,如果匹配,则当前行为就被认定为入侵行为。 　　 　　2入侵检测中的SVM方法 　　 　　Vapnik等人在多年研究统计学习理论的基础上对线性分类器提出了另一种设计最佳准则,称为支持向量机(Support Vector Machine,简称SVM)。SVM的原理从线性可分开始,然后扩展到线性不可分的情况,甚至扩展到使用非线性函数中去。SVM的主要思想可以概括为两点: 　　①SVM是针对线性可分情况进行分析,对于线性不可分的情况,通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分,从而使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能。 　　②它基于结构风险最小化理论之上,在特征空间中建构最优分割超平面,使结果得到全局最优化,并且在整个样本空间的期望风险以某个概率满足一定上界。 　　SVM的关键在于核函数。核函数可以巧妙地解决将低维空间向量映射到高维空间之后所带来的计算复杂度增加的问题。这就是说,只要选用适当的核函数,我们就可以得到高维空间的分类函数。在SVM理论中,采用不同的核函数将导致不同的SVM算法。 　　SVM因其具有较好的二类分类能力,已广泛地应用于人脸识别、非线性均和邮件分类等很多领域。网络入侵异常检测实际是二类分类问题,文章提出了基于SVM的网络入侵异常检测模型,用SVM算法进行入侵异常检测,利用网络历史数据训练支持向量机,并对实时网络数据进行异常分类分析,从而可较好地判断信息属于异常或正常,可提高网络数据的检测正确率,同时提高入侵异常检测的速度。 　　在网络入侵检测中,对异常的检测在SVM中就转换为其孤立点的检测,即我们用SVM对网络通信中包含大量正常数据的数据集进行训练,求得一个区域,区域内的点称为正常点,区域外的点一般称为孤立点,那么孤立点就对应着网络通信中的入侵行为。 　　构造SVM,使用训练样本训练SVM分类器,即可构造入侵检测系统。首先是获得用户的行为特征模式,输入到训练好的SVM分类器,判断是正常模式还是异常模式。采用不同的核函数,可以得到不同的检测效果。文章中通过分析历史网络数据等,对提取出的用户的行为特征进行处理,分析入侵行为的规律,应用SVM的二类分类算法来进行入侵检测。入侵异常检测的过程主要包括数据收集、数据预处理、数据样本训练和入侵异常检测4个阶段。首先,对收集的已知网络