[发明专利]基于支持向量机的入侵检测方法

说明书

技术领域

本发明是一种用于针对异常流量对网络性能造成的危害而发明的方法，运用一种支持向量机(Support Vector Machine，简称：SVM)来对网络中出现的异常流量进行训练、检测的方法，同时提出一种新的特征加权分类方法，并通过实验数据说明该方法可使检测精度有所提高，属于网络中的信息安全领域。

背景技术

随着网络安全技术的发展，入侵检测系统(Intrusion Detection System，简称：IDS)在网络环境中的应用越来越普遍。入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国GB/T18336)。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。入侵检测系统(IDS)是网络安全深层防卫系统的重要组成部分，它通过监测和分析网络流量、系统审计记录等，发现和识别系统中的入侵行为和入侵企图，给出入侵报警，以便系统管理员采取有效的措施弥补系统漏洞和填补系统，IDS作为一种主动防御工具，已成为信息安全研究中的一项重要内容它通过监测和分析网络流量、系统审计记录等，发现和识别系统中的入侵行为和入侵企图，给出入侵报警，以便系统管理员采取有效的措施弥补系统漏洞和填补系统，Terran于2000年首次提出机器学习可用于入侵检测的思想。

●SVM

支持向量机是20世纪90年代初由V.Vipnik等人根据统计学习理论(StatisticalLearning Theory，简称：SLT)提出的一种新的机器学习方法，在解决小样本、非线性及高维模式识别问题中表现出许多特有的优势，已经在模式识别、函数逼近和概率密度估计等方面取得了良好的效果；支持向量机从本质上讲是一种前向神经网络，根据结构风险最小化准则，在使训练样本分类误差极小化的前提下，尽量提高分类器的泛化推广能力。

SVM的核心思想是利用满足Mercer条件的核函数代替一个非线性映射，使得输入空间中的样本点能映射到一个高维的特征空间，并使得在该空间线性可分，然后构造一个最优超平面来逼近理想分类效果。

●IDS

IDS是Intrusion Detection System的缩写，即入侵检测系统。在网络入侵检测系统(Network Intrusion Detection System，简称：NIDS)中，入侵检测方法可分为：异常检测和误用检测两大类。异常检测方法建立起检测对象的正常运行状态，然后将当前状态信息与之比较以确定系统是否受到入侵。误用检测方法则是利用特征码来判别当前的活动是否属于入侵行为。误用检测方法的检测有效率较高，且具有较高的检测速度，但由于依赖于攻击模式的特征码，因此难以应对未知攻击。而异常检测在一定程度上能够发现未知的入侵与攻击，但由于统计数据的有限性和状态模型建立方法的不完备，在具体的实现中往往存在较高的失误率。目前用于异常检测的机器学习方法主要有神经网络、遗传算法、Markov链等，这些方法大都依赖于大数理论，通常要求在大量规律训练数据支持下才能取得较好的效果，检测速度也难以满足高速环境的要求。

●基于SVM的入侵检测的模型

本发明采用基于SVM的方法来进行入侵检测，是由于SVM的具有现有方法无可比拟的优势。传统的统计模式识别方法的研究前提是样本数目要足够多，所以所提出的各种方法只有在样本数趋向于无穷大时其性能才有理论上的保证。但是，在现代网络攻击手法多样且不断更新的情况下，所能获得的用于机器学习的训练数据与实际应用中的检测数据相比，肯定是小样本问题，此时利用传统的机器学习方式就会遇到过学习与欠学习、局部极小点等问题，因此，本方案采用支持向量机来对网络流量进行检测，而支持向量库是由支持向量库是由网络入侵行为数据进行SVM训练而得到的，具体检测方式将在下面的技术方案中得到详细阐述。

参考文献：