基于SVM的异常入侵检测系统关键技术的研究

随着计算机网络技术的迅猛发展,网络安全技术越来越受到人们的关注。入侵检测技术作为一种主动的信息安全保障措施,成为近年来网络安全技术的热点。当前,尽管基于入侵检测技术的入侵检测系统得到了不断的发展和完善,然而由于网络攻击手段的多元化、智能化、复杂化,这些入侵检测系统尚存在误报、漏报率高等问题。特别是需要大量或完备的审计数据集才能达到比较理想的检测性能,并且训练时间较长,所以就需要寻找一种在小样本的情况下,能正确提取训练数据特征,实现入侵检测的方法。支持向量机方法是解决这类问题的较好选择,支持向量机本质上属于机器学习的范畴,由于它既有严格的理论基础,又能较好地解决小样本、非线性、高维数等问题,将它应用于入侵检测已成为研究的热点。 本文在提高异常入侵检测系统的性能----提高检测率,降低误报、漏报率方面,针对支持向量机及入侵检测的测试数据集作了相关研究。 本文对基于SVM的网络异常检测系统进行分析与设计,对原有的IDES模型进行扩展,提出了基于SVM的入侵检测系统的模型,并阐述了各部分的功能。提出一种基于SVM的异常检测分类器的模型。 在入侵检测系统应用的大多数环境中,我们只能得到“正常”数据。我们考虑如何通过这些数据建立一个正常模式,然后与当前的系统或用户的行为比较,从而判断出与正常模式的偏离程度。这样的问题可以转化为支持向量机的单类问题,它仅利用了“正常”类数据来设计分类器判别当前样本的类别归属。本文通过KDD99数据集上的实验详细讨论了OCSVM的对偶问题参数,核函数参数对推广性的影响。仿真实验表明OCSVM不但符合实际而且具有良好的推广性。另外,现实情况下入侵行为是层出不穷的,不可能定义完整的训练集进行训练。因此希望入侵检测系统具有这样的能力,即它的学习精度可以随着其不断学习而逐步提高,这就是增量学习的思想。在分析现有的增量算法的基础上,结合KKT条件在增量过程中的作用,提出了本文的改进的增量OCSVM算法,使得OCSVM异常检测的分类器能够随着新的网络数据不断地进行增量学习,同时训练集合规模得到一定程度抑制,缩短了训练时间。仿真实验证明,改进后的增量方法使分类效果得到改善。样本训练过程的实时性使得基于OCSVM的入侵检测系统成为一个实时系统,更加符合现实工作的要求。 随着网络速度的提升,入侵检测系统面临的一个重要问题是检测速度低、负荷大,来不及处理网络中传输的海量数据,并且这个问题变得越来越严重。要处理的数据的特征数目过多是导致速度下降的主要原因之一,很多研究者通过特征选择来解决这个问题。本文研究了测试数据集----KDD99数据集特征选择对系统性能的影响,分析了对入侵检测数据集特征选择的必要性。在信息论中的“信息增益”理论指导下建立特征选择的数学模型。通过对已有的特征选择策略的研究并针对KDD99数据集提出一种特征选择的方法,仿真实验表明该特征选择算法在一定程度上提高了系统的性能。