[发明专利]基于支持向量机的入侵检测方法

摘要

基于支持向量机的入侵检测方法是一种用于针对异常流量对网络性能造成的危害，鉴于此危害，提出了一种基于SVM入侵检测的方法，该方法先进行SVM的分类原理的介绍、然后对网络流量中的异常流量进行数据转化、进行SVM的支持向量的训练，形成SVM的支持向量库，然后建立基于SVM的入侵检测的数据模型及其检测过程。其中使用的SVM支持向量库的训练过程参见图1，在SVM支持向量库(数据库)的形成过程中，采用了数据采集模块，数据预处理模块，SVM训练模块从而形成SVM支持向量库；在基于SVM的入侵检测的过程中，除上述使用的模块外，还使用了网络数据捕获模块、控制响应台、报警模块等，他们将在入侵检测中发挥各自的作用。

主权项

1.一种基于支持向量机的入侵检测方法，其特征在于该方法包括如下步骤：a.未知的网络流量经过路由器后，用网络数据捕获模块对经过的所有数据流进行捕获，在经过数据提取模块提取对本方法有用的数据，包括异常系统调用和正常系统调用序列，b.将这些有用的数据经过待识别数据特征函数提取模块后，提取数据特征函数，用于后面的数据预处理模块，由于提取到的数据都是些原始数据特征值的异构数据集，这些数据中存在连续特征和离散特征，将其归一化，对这些异构数据集通过数据预处理模块变成机器可识别的数值，c.流经数据预处理模块后，所得的数据经过支持向量机库进行识别，计算得到的阀值是否为1；如果阀值等于1，则所检测的分支流量为正常数据流；反之，所检测的流量为已知或未知的入侵检测的流量，d.经过决策函数f(x)=Σi=1nyiαi(x·xi)+b*,]]>其中α是Lagrange乘子，b^*是最优超平面的偏移量，x_i是n维实空间中的向量，y_i是x_i所属类的标识，x为待分类的样本；非法入侵行为中未知异常流量，用提取特征模块来提取特征函数，对提取的特征函数用数据预处理模块进行数据预处理，最后经过支持向量机训练模块，当数据经过SVM训练模块训练后生成的支持向量即提取得入侵检测数据，直接加入到SVM的支持向量库，从而更新了支持向量数据库，也为以后遇到此类入侵行为能够及时发现，e.当发现该未知的网络流量为非法入侵行为时立刻通知控制响应台，控制台响应主要包括控制台事件显示，通知告警模块以做出报警灯报警，焦点窗口报警，邮件报警，手机报警等等，以及将入侵信息存入系统日记、本地数据库，f.管理员收到报警后采取有效措施，如限制网络速度、限制外发连接数或部分断开网络；一旦入侵被检测到，各子模块均会将告警信息传到告警模块；告警模块负责在第一时间通知管理员，评估入侵损失，在紧急情况下则采取保护措施。