入侵检测系统及SVM算法的应用

来源 :企业技术开发·下半月 | 被引量 : 0次 | 上传用户:ffg
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:入侵检测系统作为继防火墙、数据加密等传统安全保护措施后新一代的安全防护策略,得到了越来越多的应用。文章介绍了入侵检测系统的基本原理及一种基于支持向量机(SVM)的网络人侵异常检测模型。
  关键词:入侵检测系统;网络入侵;异常检测;支持向量机(SVM)
  中图分类号:TP312 文献标识码:A 文章编号:1006-8937(2009)12-0107-01
  
  1入侵检测系统
  
  入侵检测系统是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统使用入侵检测技术对网络及其上的信息系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。入侵检测系统可以部署在DMZ区,外网入口,内网主干和关键子网区域。要根据目标网络的具体情况以及用户的安全需求对入侵检测系统进行适当的配置,保證入侵检测系统正常有效地运行。
  根据入侵检测系统的检测对象,入侵检测系统主要分成两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据报作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。
  入侵检测系统的检测分析技术主要分为两大类:异常检测和误用检测。异常检测技术也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术先定义一组系统正常活动的阀值,如CPU利用率、内存利用率、文件校验和等,这类数据可以人为定义,也可以通过观察系统,用统计的方法得出,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。误用检测技术也称为基于知识的检测技术或者模式匹配检测技术,它通过对实际行为和数据的特征匹配判断是否存在已知的网络入侵行为。它的前提是假设所有的网络攻击行为和方法都有一定的模式和特征,如果把以往发现的所有的网络攻击的特征总结出来并建立一个入侵信息库,那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息进行比较,如果匹配,则当前行为就被认定为入侵行为。
  
  2入侵检测中的SVM方法
  
  Vapnik等人在多年研究统计学习理论的基础上对线性分类器提出了另一种设计最佳准则,称为支持向量机(Support Vector Machine,简称SVM)。SVM的原理从线性可分开始,然后扩展到线性不可分的情况,甚至扩展到使用非线性函数中去。SVM的主要思想可以概括为两点:
  ①SVM是针对线性可分情况进行分析,对于线性不可分的情况,通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分,从而使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能。
  ②它基于结构风险最小化理论之上,在特征空间中建构最优分割超平面,使结果得到全局最优化,并且在整个样本空间的期望风险以某个概率满足一定上界。
  SVM的关键在于核函数。核函数可以巧妙地解决将低维空间向量映射到高维空间之后所带来的计算复杂度增加的问题。这就是说,只要选用适当的核函数,我们就可以得到高维空间的分类函数。在SVM理论中,采用不同的核函数将导致不同的SVM算法。
  SVM因其具有较好的二类分类能力,已广泛地应用于人脸识别、非线性均和邮件分类等很多领域。网络入侵异常检测实际是二类分类问题,文章提出了基于SVM的网络入侵异常检测模型,用SVM算法进行入侵异常检测,利用网络历史数据训练支持向量机,并对实时网络数据进行异常分类分析,从而可较好地判断信息属于异常或正常,可提高网络数据的检测正确率,同时提高入侵异常检测的速度。
  在网络入侵检测中,对异常的检测在SVM中就转换为其孤立点的检测,即我们用SVM对网络通信中包含大量正常数据的数据集进行训练,求得一个区域,区域内的点称为正常点,区域外的点一般称为孤立点,那么孤立点就对应着网络通信中的入侵行为。
  构造SVM,使用训练样本训练SVM分类器,即可构造入侵检测系统。首先是获得用户的行为特征模式,输入到训练好的SVM分类器,判断是正常模式还是异常模式。采用不同的核函数,可以得到不同的检测效果。文章中通过分析历史网络数据等,对提取出的用户的行为特征进行处理,分析入侵行为的规律,应用SVM的二类分类算法来进行入侵检测。入侵异常检测的过程主要包括数据收集、数据预处理、数据样本训练和入侵异常检测4个阶段。首先,对收集的已知网络信息数据进行预处理,再用SVM算法进行样本训练,得到异常检测样本数据的支持向量,从而可以根据SVM理论建立文章中的支持向量机,再对新的网络数据进行入侵异常检测,从而得出结果为入侵行为或者正常行为。
  


  如图1所示,基于SVM的入侵异常检测模型的主要过程如下:①网络数据,主要进行网络原始数据包的搜集。②数据预处理,主要是通过对原始网络数据的特征属性进行相关处理,达到应用入侵检测模式的要求。③样本训练,主要是对网络数据进行样本训练,得到相关的支持向量用于建立异常检测的最优支持向量机。④异常检测,根据预处理的网络数据向量的输入式,得出检测结果为-1或者1,从而判断是异常入侵还是正常行为。
  
  3结 论
  
  入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件,有着很多方面的安全优势。在确保安全性能的同时,与时间赛跑是入侵检测系统的生命,而基于特征的入侵检测系统面临着高速网络信息爆炸和系统自身规则数量日益增加的挑战。基于SVM的网络入侵异常检测模型,用SVM算法准确的二类分类能力进行入侵异常检测,从而可较好地判断是否存在入侵行为。随着互联网的不断发展和网络安全威胁的日益加重,入侵检测系统将发挥越来越重要的作用,如何更好地利用SVM算法及其他相关技术对入侵检测系统进行提高和完善是一个十分重大和富有意义的课题。
  
  参考文献:
  [1] 韩红燕.基于计算机免疫的Multi-agent入侵检侧系统[J]. 信息技术,2006,(8):91-95.
  [2] 李之棠,杨红云.模糊入侵检测模型[J].计算机工程与科学, 2000,22(2):49-53.
  [3] 赵治国,谭敏生,简晓红,等.基于免疫原理的层次入侵检测 模型[J].计算机工程与设计,2007,28(4):803-807.
  [5] 张学工.关于统计学习理论与支持向量机[J].自动化学报, 2000,26(1):32-42.
其他文献
数字图像拼接技术是图像处理领域的一个重要分支,其目的是将多张包含有相同部分的图像拼接成一幅大型的无缝高分辨率图像。近年来,无论是在地理信息系统、遥感图像处理、虚拟现实技术、计算机视觉、医学图像分析等领域,数字图像拼接技术都得到了广泛的应用,并已经成为当前国际学术界的研究热点。
   数字图像拼接的过程主要是由图像预处理、图像配准、确定图像拼接的变换模型、图像补偿以及图像融合等5部分组成。由于图像配准的主要作用是得到两幅待拼接图像间的对应点坐标,后续的图像补偿以及图像融合都要以对应点的坐标为依据才可
摘要:文章通过制定CrWMn钢的热处理工艺,测定在各种热处理情况下试样的硬度和耐磨性,并进行金相组织分析,得出了淬火加低温回火可以提高CrWMn的硬度和耐磨性。  关键词:CrWMn;热处理;硬度;耐磨性  中图分类号:TG156 文献标识码:A 文章编号:1006-8937(2009)12-0067-02    1CrWMn材料简介    ①CrWMn的化学成分及临界温度(表1)。    ②Cr
期刊
摘要:随着2009年6月29日,桂林三金申购的开始,关闭9个月之久的IPO大门重新开启,IPO重启带来的影响无疑是巨大的,文章着重分析IPO所带的影响。  关键词:IPO重启;股市;影响  中图分类号:F832.51 文献标识码:A 文章编号:1006-8937(2009)12-0075-01    自2008年9月份开始,受次贷危机带来的经济衰退影响,A股市场逐步由牛市转入熊市,股指一路下跌,新
期刊
摘要:IPO 抑价问题普遍存在于全球股票市场, 而这一问题在我国尤为明显。文章结合中国股票市场实情,对这一现象进行研究和分析。  关键词:中国A股市场;IPO;抑价  中图分类号:F832.51 文献标识码:A 文章编号:1006-8937(2009)12-0076-01    1我国IPO抑价问题的提出    新股发行抑价现象,即IPO抑价,是指新股的发行价低于上市后首日交易的收盤价,投资者认购
期刊
摘要:VI视觉识别系统作为CIS的一部分,作为具有前瞻性、有效性以及系统性特征的一种企业战略手段,正对市场进行着潜移默化的改变。文章从市场、品牌角度对VI视觉识别系统进行分析。  关键词:VI;品牌;理念;定位  中图分类号:J524.4 文献标识码:A 文章编号:1006-8937(2009)12-0078-01    1VI系统的商业作用    正如销售大师余世维教授所言,品牌策略在受众心中已
期刊
摘要:工业企业应税纳税的能力与其运行的状况息息相关。文章依据工业领域的发展理论和我国的实际情况,选取反映工业税务状况与发展水平的十四项指标,运用因子分析法对我国工业统计的第一批税务据进行综合评价,提取出制约工业企业税务状况的主要因子。依此反映我国工业行业纳税的综合能力,为该领域的税收问题的研究方向提供可靠的参考依据。  关键词:税务状况;因子分析;税务指标;纳税综合能力  中图分类号:F4 文献标
期刊
摘要:文章对新时期基建信托产生背景做了简要的回顾,并对基建信托的优势与劣势进行了行业比较分析,对我国信托行业在基建类理财产品市场面临的机会与威胁做了简单的论述。  关键词:基建信托;优势;劣势;机会;威胁  中图分类号:F832.95 文献标识码:A 文章编号:1006-8937(2009)12-0079-02    1新时期基建信托产生背景    次贷危机以来,为缓解经济下行压力,政府采取了一系
期刊
摘要:文章立足于網络环境,在对网络营销格局进行相应分析的基础上,就社会营销在网络环境下的一般模式进行了有益的探讨,主要分析社会营销在网络环境下的存在状态和具体行为。其次,由于营销模式需要借助外在的显体及其活动行为来体现,文章以中外企业作为实例分析了他们是如何使用网络媒体实现社会营销,在此基础上总结出国内企业实施网络社会营销所存在的问题,并提出了一些发展建议。  关键词:网络环境;社会营销;模式  
期刊
摘要:三层架构—user interface、business logical 、data access,即表示层、业务逻辑层和数据访问层,在小型项目中是体现的优势并不明显,但在大型或中型项目中,三层架构能带来的绝不仅是效率的提高,清晰的层次划分会让杂乱的代码流露出艺术的美感,程序员的工作变得更具艺术创作性,文章对其使用进行分析。  关键词:三层架构;B/S;程序  中图分类号:TP312 文献标
期刊
摘要:单片机定时/计数器的工作原理用文字描述会显得极其复杂,但是如果用Flash 、Visio2000和Frontpage相结合,把它做成课件的形式来反映其工作原理,就显得非常直观形象、简单易懂。因此,文章将对制作此课件遇到的困难及解决办法等进行详细阐述。  关键词:单片机;定时器;工作原理;flash  中图分类号:TP368.1 文献标识码:A 文章编号:1006-8937(2009)12-0
期刊