基于多SVM决策组合的入侵检测-计算机应用技术专业论文.docxVIP

声 声 明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 羞。也幽加彩年乡脚日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名： 磊：生幽丑加∥年厂殿鹏 硕十论文 硕十论文 摹于多SVM决繁组合的入侵拎测 1绪论 1．1选题的科学依据 随着计算机网络应用的日益普及，其安全性越来越受到人们的重视。入侵检测作 为网络安全的一个重要组成部分，早已引起了国内外学者的广泛关注。入侵检测是通 过检查有关的审计数据，如系统日志或网络数据，判断系统中是否有违背安全策略或 计算机系统安全的行为。 入侵检测可以看作是一个分类问题，也就是对给定的审计数据进行分类：什么样 的数据足正常的，什么样的数据足异常的。入侵检测的方法有很多，主要分为异常检 测和误用检测两类“1。异常入侵检测是目前入侵检测系统的主要研究方向嘲。主要有 下列检测方法：基于统计分析的异常入侵检测技术。1、基于彩色petri网的滥用入侵检 测技术旧、基于贝叶斯推理的异常入侵检测技术91、基于人工神经网络的异常入侵检 测技术旧、基于状态转移分析的滥用入侵检测技术”1、基于数据挖掘的异常入侵检测 技术嘲和基于计算机免疫学的异常入侵检测技术嘲等。但是现在流行的入侵检测系统 都存在误报、漏报及实时性差等缺点，特别是需要大量或者全部的审计数据集才能达 到比较理想的检测性能，并且训练学习时间较长。所以就需要寻找一种在小样本的情 况下，能正确提取训练数据特征，实现入侵检测的方法。 支持向量机(Support Vector Machine，SVM)是一种建立在统计学理论基础上的机 器学习方法“”。其最大的特点是根据Vapnik的结构风险最小化原则，尽量提高学习 机的泛化能力，即由有限的训练样本集得到小的误差能够保证对独立的测试集保持小 的误差。另外，出于支持向量算法是一个凸优化问题，局部最优解也是全局最优解， 这是其它学习算法所不及的。将支持向量机应用到入侵检测中，在先验知识不足的情 况下，支持向量机分类器仍有较好的分类正确率，从而使得整个入侵检测系统具有较 好的检测性能。 用户正常行为和异常行为的识别实际就是二类别分类问题。对某一分类问题，人 们往往设计出不同的分类器，并希望从中选出最优的分类器。然而在实验中人们发现， 不同的分类器可以提供关于目标的互补信息，如果能充分利用这些互补信息，可以大 大提高系统的性能“”。单个分类器的构造有两种形式：基于特征空间和基于样本空间 [123 o传统的识别系统通常仅使用样本的某种单一特征描述和特定的一个分类器来进行 分类。这种系统对于类别数较大、输入样本带噪声的问题很难获得较好的分类效果。 一般认为，不同的特征空间往往反映事物的不同方面，在一种特征空间很难区分的两 种模式可能在另一种特征空间上很容易分开。将不同特征空间上识别的结果进行某种 决策组合会取得较好的识别效果。 l绪论 l绪论 硕￡论文 因此，若在不同特征空间上分别建立单独的基于SVM的分类器，然后再用某种 决策组合策略将这多个单分类器的输出进行组合，则整个入侵检测系统将会取得比较 好的检测性能。 1．2本文主要工作 本文研究的是基于多SVM组合的入侵检测，与一般的入侵检测系统有一定的差 异。首先将特征空间进行合理的划分，然后在每个特征子空间上分别建立一个SVM 分类器，最后将各个独立的SVM分类器的识别结果利用组合技术进行决策组合，进 而得到最终的识别结果。 主要工作包括：研究SVM(支持向量机)理论，探索其在入侵检测中应用的可 行性；研究适合SⅧ输入模式的数据的采集和处理技术及特征空间的合理划分，从而 为检测系统的具体设计作好铺氆工作；研究几种常用的多分类器决策组合技术：基于 多数投票表决的组合技术、基于分类器性能为先验知识的投票表决决策组合技术和基 于局部准确率的动态分类器选择技术，并将它们分别应用到本系统中；通过仿真数据 的实验，证明基于多SVM决策组合的检测系统性能远优于单一分类器的检测系统。 1．3本文的结构与组织 整篇论文总共分为七个章节进行阐述，其中第一章主要介绍本文的研究背景和研 究内容；第二章对网络安全和网络入侵检测问题做概括性的论述；第三章对统