增强型GEPSVM分类器设计与其在入侵检测中的应用-研究.pdfVIP

第 1 章 绪论 第1章 绪论 1.1 课题研究的意义及其背景 1.1.1 课题研究意义 支持向量机 分类作为机器学习中一项非常重要的方法，理论研究与实际应用都得到很 大的发展。分类的目的 学习一个分类函数或分类模型(也常常称作分类器),该 模型能把给定数据集中的数据项映射到给定类别中的某一个，进而用于预测。 目前，分类方法的研究成果较多，判别方法的好坏可以从三个方面进行：1)预 测准确度；2)计算复杂度；3)模式的简洁度。 目前分类的主要方法有：决策树，关联规则，贝叶斯，神经网络，规则学 习，k-近邻法，遗传算法，粗糙集，模糊逻辑技术及支持向量机。1995 年，Vapnik 等人在统计学习理论的基础上提出了一种新的模式识别方法——支持向量机 (Support Vector Machine) 。它根据有限的样本信息在模型的复杂性和学习能力之 间寻求一种最佳折中。经理论证明，当选用合适的映射函数时，大多数输入空 间线性不可分的问题在特征空间可以转化为线性可分问题来解决。由于采用了 二次规划寻优，因而可以得到全局最优解，解决了在神经网络中无法避免的局 部极小问题。通过定义核函数(Kernel Function) ，巧妙地利用了原空间的核函数 取代高维特征空间中的内积运算，使得算法复杂度与样本维数无关，非常适合 于处理非线性问题。另外，支持向量机应用了结构风险最小化原则，因而具有 非常好的推广能力。GEPSVM 利用求样本矩阵的最小特征值来拟合样本分布的 直线或者超平面，无需向高维映射就可以在二维空间里直接线性可分，可以直 接处理异或问题的同时大大提高问题求解速度。正因为此，方法一经提出就引 起了广 的重视，并成为研究的热点，并取得很好的研究成果。 半监督学 随着数据采集技术和存储技术的发展，获取无标记样本已变得非常容易； 另一方面，由于有标记样本的获取需要相关领域的专家对样本进行标记，因而 获取相对比较困难且代价昂贵。例如，在图像检 中，用户给出的有标记的图 像不会很多，在医学 像处理中，很容易从医院得到大量的医学 像，但医学 专家不可能花费大量的时间和精力来对所有 像都进行标记，只能选择其中的 很少一部分进行标记。所以在许多实际应用中，通常会有大量的无标记样本， 而有标记样本只占很小的比例。而用传统监督学习方法(分类) 、无监督学习方 1 第 1 章 绪论 法(聚类)则没有利用宝贵的有标记样本指导，因而限制了性能的提高：一方面， 如果只使用少量的有标记示例，那么利用它们所训练出的学习系统往往很难具 有强泛化能力；另一方面，如果仅使用少量“昂贵的”有标记示例而不利用大量 “廉价的”未标记示例，则 对数据资源的极大浪费。为了更好处理此类问题， 目前在机器学习领域逐渐形成了一种介于传统监督学习和无监督学习之间的新 机器学习方法，称为半监督学习(Semi-Supervised Learning) 。与只利用有标记样 本的监督学习和只利用无标记样本的无监督学习相比，半监督学习能同时利用 有标记和无标记样本来学习，从而获得更好的性能。由于在诸如文本分类等实 际问题上的出色效果，半监督学习已经在国际上引起高度重视，并成为当前国 际机器学习届的一大研究热点。 入侵检测 近十几年来，计算机和网络技术的发展与应用正逐步改变着人们的工作和 生活方式，互联网已经成为人们实现知识共享和信息交流的主要手段。随着 Internet 覆盖范围的不断扩大、使用人数的飞速增加、计算机与网络技术研究的 不断深入以及操作系统本身固有的诸多技术缺陷，网络安全作为一个无法回避 的问题呈现在人们面前。如何保障信息安全、防范网络入侵已经成为人们最为 关心的问题。 网络入侵 指任何试图破坏资源完整性、机密性和可用性的行为，包括用 户对系统资源的误用。相对于传统的破坏手段，网络入侵具有以下特点：第一， 网络入侵不受时间和空间的限制。从理论上说，入侵者可以在任意时刻通过任 意一个网络节点向另一个网络节点发动快速而有效的攻击，而不受这两个节点 实际地理位置之间的距离远近的约束；第二，通过网络的攻击往往混杂在大量 正常的网络活动之中，具有较强的隐蔽性；第三，入侵手段复杂多样，阶段式、 分布式等新的入侵手