[发明专利]基于支持向量机的入侵检测方法

权利要求书

1.一种基于支持向量机的入侵检测方法，其特征在于该方法包括如下步骤：

a.未知的网络流量经过路由器后，用网络数据捕获模块对经过的所有数据流进行捕获，在经过数据提取模块提取对本方法有用的数据，包括异常系统调用和正常系统调用序列，

b.将这些有用的数据经过待识别数据特征函数提取模块后，提取数据特征函数，用于后面的数据预处理模块，由于提取到的数据都是些原始数据特征值的异构数据集，这些数据中存在连续特征和离散特征，将其归一化，对这些异构数据集通过数据预处理模块变成机器可识别的数值，

c.流经数据预处理模块后，所得的数据经过支持向量机库进行识别，计算得到的阀值是否为1；如果阀值等于1，则所检测的分支流量为正常数据流；反之，所检测的流量为已知或未知的入侵检测的流量，

d.经过决策函数f(x)=Σi=1nyiαi(x·xi)+b*,]]>其中α是Lagrange乘子，b^*是最优超

平面的偏移量，x_i是n维实空间中的向量，y_i是x_i所属类的标识，x为待分类的样本；非法入侵行为中未知异常流量，用提取特征模块来提取特征函数，对提取的特征函数用数据预处理模块进行数据预处理，最后经过支持向量机训练模块，当数据经过SVM训练模块训练后生成的支持向量即提取得入侵检测数据，直接加入到SVM的支持向量库，从而更新了支持向量数据库，也为以后遇到此类入侵行为能够及时发现，

e.当发现该未知的网络流量为非法入侵行为时立刻通知控制响应台，控制台响应主要包括控制台事件显示，通知告警模块以做出报警灯报警，焦点窗口报警，邮件报警，手机报警等等，以及将入侵信息存入系统日记、本地数据库，

f.管理员收到报警后采取有效措施，如限制网络速度、限制外发连接数或部分断开网络；一旦入侵被检测到，各子模块均会将告警信息传到告警模块；告警模块负责在第一时间通知管理员，评估入侵损失，在紧急情况下则采取保护措施。

2.根据权利要求1所述的基于支持向量机的入侵检测方法，其特征在于：在支持向量机训练模块中运用异构数据集，在进行异构数据集上的数据预处理的时候，提出的异构数据集上的距离度量函数HVDM进行归一化，处理成0～1之间的实数。

3.根据权利要求1所述的基于支持向量机的入侵检测方法，其特征在于步骤c所述的支持向量库，先采用已有的入侵行为训练生成SVM支持向量库，最后采用生成的支持向量库进行网络入侵检测，初始的SVM支持向量库的形成方法为：

3a对于已知异常流量，一般初始入侵行为数据有四个来源：系统日记、目录以及文件中的异常改变、程序执行中的异常行为、物理形式的入侵信息；首先将这些数据经数据采集模块，采集到的数据为原始数据；

3b其次，将这些数据经过待识别数据特征提取模块，提取特征函数参数，数据流在经过数据提取模块提取对本方案有用的数据，包括正常和异常的数据流，这些数据被分成可能含有异常系统调用序列和正常系统调用序列，用于后面的数据预处理模块；

3c再次，由于提取到的参数数据都是些原始数据的特征值，这些数据中存在连续特征和离散特征，对这些异构数据集通过数据预处理模块进行修饰变成机器可识别的数值；

3d最后，得到的数据特征函数对得到的数据经过SVM训练模块，当数据经过SVM训练模块训练后生成的支持向量即提取得入侵检测数据，直接加入到SVM的支持向量库，达到不断地更新数据库的目的。