【正文】 圖7 鄰域粗糙集半徑與入侵誤警率關(guān)系綜合以上分析可得， 之間的時候，其檢測率較高，同時誤警率達到較低的狀態(tài)，這為鄰域粗糙集的使用提供一定借鑒。 實驗結(jié)論及分析I)鄰域粗糙集半徑與入侵檢測精度 在算法 3 與本文算法中，半徑的不同會導(dǎo)致分類精度的差異，因此需要設(shè)置鄰域粗糙集的半徑， 到1 之間， 為步長的方式取值，對于鄰域半徑每一個取值，算法都得到一個屬性子集，共獲得100 個屬性子集。 算法評價標準入侵檢測系統(tǒng)的性能評價指標主要有兩個：檢驗率和誤警率。 具體而言，本文選取KDD CUP 99 數(shù)據(jù)集中的10%數(shù)據(jù)集作為實驗數(shù)據(jù)集。這種方法與選舉中的投票過程類似，即利用單個分類器對給定測試樣本的輸出類別，將該測試樣本劃分到多數(shù)分類器具有相同決策的一類。這樣原訓(xùn)練集中一些樣本可能一次也不出現(xiàn)，而另外某些樣本可能在新的訓(xùn)練子集中出現(xiàn)多次。步驟6 判斷算法是否終止。步驟4 生成新的和聲。步驟2 初始化和聲庫。RBF核的寬度的參數(shù)是核參數(shù) ，隱含地改變映射函數(shù)是其改變實質(zhì)，從而樣本特征子空間分布的復(fù)雜程度得以改變。應(yīng)用最廣泛的核是徑向基核（RBF），即，不管是對小樣本或是大樣本等問題，無論是在低維還是在高維空間，RBF核函數(shù)均適用，并且皆具有較寬的收斂域，是較為理想的分類核函數(shù)。其次，如果新的和聲來自于和聲記憶庫HM，要對其進行音調(diào)微調(diào)，具體操作如下： () 其中，音調(diào)微調(diào)帶寬為，音調(diào)微調(diào)概率為；表示[0,1]上均勻分布的隨機數(shù)。Step 2 初始化和聲記憶庫隨機生成個和聲放入和聲記憶庫。通過實驗的方式來確定核函數(shù)并進性參數(shù)選擇，由于使用交叉驗證和網(wǎng)絡(luò)搜索非常消耗時間，而RBF核函數(shù)無論是低維、高維、小樣本、大樣本等情況均適用且有較寬的收斂域，所以從實踐上選用RBF核函數(shù)更容易一些[9]。其中，懲罰系數(shù)反映了算法對離群樣本數(shù)據(jù)的懲罰程度，其值影響模型的復(fù)雜性和穩(wěn)定性。設(shè)，則屬性的重要度定義為：，那么有以下鄰域粗糙集屬性約簡算法： 輸入： NDT =S, A = G ∪D,V, f and neighbourhoodδ //δis the threshold to control the size of the neighbourhood 輸出：red；//屬性子集，即G的約簡 （1） ?a∈G :pute neighbourhood relation N (2) red=Φ。 如果且，樣本在子屬性空間中的鄰域記為，則，其中是一個預(yù)設(shè)的閾值，是在子屬性空間中的一個測度函數(shù)。鄰域決策系統(tǒng),其中是一個樣本集合，稱其為一個樣本空間。 粗糙集[6]是1982年由波蘭數(shù)學(xué)家Pawlak提出的一種有效解決不完整、不精確信息的數(shù)學(xué)分析工具，該方法可以無任何先驗信息，僅使用數(shù)據(jù)本身的內(nèi)在信息的條件下從中發(fā)現(xiàn)隱含知識，并揭示其潛在規(guī)律, 對不完整不精確的數(shù)據(jù)進行卓有成效的處理。另外，如何在異常檢測中更好的控制誤警率，以及如何將該技術(shù)應(yīng)用于實時入侵檢測系統(tǒng)中等都需要開發(fā)出更加高效的算法和合適的體系結(jié)構(gòu)[12]。 支持向量機在入侵檢測領(lǐng)域中的不足 盡管支持向量機具有結(jié)構(gòu)簡單、全局優(yōu)化、訓(xùn)練效率高、泛化性能好等優(yōu)點，能夠較好的解決高維、小樣本、非線性等問題。定義非線性映射，它將輸入向量映射到高維空間中，再定義核函數(shù)，那么非支持向量機變?yōu)? ()相應(yīng)的分類函數(shù)變?yōu)? ()常用的幾種核函數(shù)有：(1)多項式函數(shù) (2)徑向基函數(shù)(RBF) (3)Sigmoid函數(shù) 在線性硬間隔分類器的基礎(chǔ)上引入松弛變量放松約束即得到線性軟間隔分類器是，而非線性硬間隔分類器是在線性硬間隔分類的基礎(chǔ)上引入從輸入空間到高維空間的映射[20]。 非線性硬間隔分類器在線性情況下，分類器可以尋找出一個使間隔最大的超平面，然而，對于非線性情況，在原輸入空間已不存在能正確劃分訓(xùn)練集的超平面，因此必須將原來輸入空間映射到高維空間，使得訓(xùn)練集在該高維空間中線性可分，即存在能正確劃分訓(xùn)練集的超平面。也就是說，當訓(xùn)練樣本線性可分的條件不滿足時，原問題的可行區(qū)域為空集，而對偶問題是無界的目標函數(shù)，這樣該優(yōu)化問題無解。通過選擇不為零的，解出。位于兩虛線上的樣本稱為支持向量。其基本思想是通過非線性映射將輸入空間映射到高維空間，在構(gòu)造一個間隔最大的分類超平面，使得離分類超平面最近的樣本之間的距離最大。這些安全措施都是受控制于系統(tǒng)統(tǒng)一的安全管理策略[3]。這就帶來了一個問題，不同企業(yè)開發(fā)的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換工作是非常困難的，各個企業(yè)的入侵檢測系統(tǒng)不能協(xié)同工作，這就需要制定一個廣大企業(yè)都能夠接受的統(tǒng)一規(guī)范，使得各企業(yè)開發(fā)的入侵檢測系統(tǒng)具有通用化和標準化。這就要求入侵檢測系統(tǒng)需要具有強大的數(shù)據(jù)處理能力，以滿足高速網(wǎng)絡(luò)的需求，這有要求新的入侵檢測系統(tǒng)要重新設(shè)計軟件結(jié)構(gòu)與算法。地址空間的擴充，使得超大規(guī)模網(wǎng)絡(luò)環(huán)境的出現(xiàn)成為可能。有很多學(xué)者在這方面做了不少努力，文獻[8,19,20]均是采用支持向量機進行入侵檢測，獲得了不錯的效果，這進一步顯示了支持向量機優(yōu)于其他分類算法的性能。它的最大優(yōu)點就是和網(wǎng)絡(luò)系統(tǒng)融為一體，不會因為入侵檢測系統(tǒng)的運行而給網(wǎng)絡(luò)與原系統(tǒng)增加負擔；還有它對用戶來說是透明的獲取數(shù)據(jù)所用的監(jiān)控器，這就使得攻擊者不容易在網(wǎng)絡(luò)中定位并破壞入侵檢測系統(tǒng)。（2）聯(lián)機分析：聯(lián)機分析與脫機分析相反，具有實時性，早期的聯(lián)機分析系統(tǒng)會嚴重影響系統(tǒng)性能，但是隨著硬件技術(shù)的快速發(fā)展，越來越多的入侵檢測系統(tǒng)采用了聯(lián)機分析，可以對攻擊行為進行實時監(jiān)測和響應(yīng)。網(wǎng)絡(luò)協(xié)議的一個特點就是高度有序性，而協(xié)議分析技術(shù)利用這個特點對數(shù)據(jù)包進行捕捉、協(xié)議分析和命令解析等技術(shù)，來確定某種攻擊是不是存在。匹配規(guī)則審計數(shù)據(jù)信息處理攻擊狀態(tài)修改當前規(guī)則修改當前規(guī)則時間信息圖4 誤用入侵檢測的模型（2）異常入侵檢測(Anomaly Intrusion Detection)：異常入侵檢測檢測系統(tǒng)攻擊的方法是認為正?；顒优c入侵活動的區(qū)別顯著，根據(jù)這一認識，就可以得到系統(tǒng)正常狀態(tài)下的特性，而把所有與正常軌跡不同的系統(tǒng)狀態(tài)認為是可能的攻擊信息。誤用入侵檢測的原理是它認為所有的入侵行為都可以用一種模式來代表，入侵檢測系統(tǒng)的工作就是判定被檢測對象是不是與這種模式相符合。按照事先預(yù)設(shè)的異常處理程序，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊信息后，可以自動完成諸如切斷網(wǎng)絡(luò)、記錄日志，給管理員發(fā)信息等相關(guān)動作。(1)數(shù)據(jù)收集：通過分布的網(wǎng)絡(luò)與主機上的若干監(jiān)測點，收集主機日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)和防火墻日志，這些數(shù)據(jù)信息為其后進行的檢測提供數(shù)據(jù)基礎(chǔ)。入侵檢測一般被視為系統(tǒng)狀態(tài)是“正?！被颉爱惓！钡亩诸悊栴}[4]。此外，入侵的概念含義也包括一切試圖危害資源的完整性、保密性和可用性的活動集合。其在文本識別、人臉識別、函數(shù)回歸等眾多領(lǐng)域得到了很好的應(yīng)用。概念誕生1980年產(chǎn)生模型80年代中期模型發(fā)展80年代后期到90年代初期網(wǎng)絡(luò)IDS90年代至今異常檢測90年代至今智能IDS目前基于主機圖1 IDS發(fā)展過程圖目前國內(nèi)對于入侵檢測技術(shù)的研究也非?；馃幔芏喔咝?、科研院所、企業(yè)都展開了相關(guān)的技術(shù)研究，并提出了許多改進入侵檢測技術(shù)的新方法。1997年，有人將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測系統(tǒng)[5]。 入侵檢測系統(tǒng)發(fā)展及研究現(xiàn)狀在1980年，James Anderson提出了入侵檢測的概念[3]開啟了入侵檢測的研究。探測器的主要功能是從計算機網(wǎng)絡(luò)中的關(guān)鍵點采集信息；分析器的主要功能是對已經(jīng)收集到的信息進行有效地分析，通過分析確定是否存在非法入侵；用戶接口的主要功能是為用戶提供一個安全方便的操作平臺，來完成相關(guān)操作[2]。來自外部網(wǎng)絡(luò)的攻擊可以被入侵檢測系統(tǒng)所應(yīng)對，而且娶親檢測系統(tǒng)同樣對來自網(wǎng)絡(luò)內(nèi)部的攻擊也同樣有效。隨著網(wǎng)絡(luò)攻擊手段的多樣化，黑客對網(wǎng)絡(luò)的的攻擊能力越來越強大，而現(xiàn)有的一些安全防御措施諸如防火墻、安全審計、數(shù)據(jù)加密、訪問控制等，都會存在一些缺陷，而且功能過于單調(diào)，不可能構(gòu)成一個完整的安全防御體系，使得網(wǎng)絡(luò)安全的問題變得越來越突出。 研究的背景及意義 在互聯(lián)網(wǎng)高速發(fā)展的今天，計算機網(wǎng)絡(luò)已經(jīng)成為人們生活和工作不可分割的一部分，人們習慣用網(wǎng)絡(luò)來查詢，交流，購物、理財和辦公。在這其中網(wǎng)絡(luò)入侵檢測就受到了人們的高度關(guān)注，因為它是一種積極主動的安全防護工具，其不僅提供了對內(nèi)部攻擊、外部攻擊以及誤操作的實時防護功能，與此同時入侵檢測能在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前就進行報警攔截和響應(yīng)，被認為是防火墻技術(shù)以外的第二道安全閘門，在網(wǎng)絡(luò)性能無任何影響的情況下對網(wǎng)絡(luò)進行監(jiān)測。 harmony search。這些算法提高入侵檢測率并同時降低誤警率，具有較強的泛化性能和魯棒性，有者較好的實用價值。其次在分類中我們又使用了和聲搜索算法進行優(yōu)化。另外，在小樣本學(xué)習的基礎(chǔ)上發(fā)展起來的支持向量機分類器設(shè)計方法，專門針對小樣本數(shù)據(jù)，并且對數(shù)據(jù)維數(shù)不敏感，分類精度和泛化能力極佳。畢 業(yè) 論 文（設(shè) 計）題 目基于支持向量機的入侵檢測系統(tǒng)與實現(xiàn) 姓 名 端樂凱 學(xué)號 1109064004 所在院(系) 數(shù)學(xué)與計算機科學(xué)學(xué)院 專業(yè)班級 信息與計算科學(xué)1101班 指導(dǎo)教師 趙暉 完成地點 陜西理工學(xué)院 2015年 6 月6日陜西理工學(xué)院畢業(yè)論文基于支持向量機的入侵檢測系統(tǒng)與實現(xiàn)作者：端樂凱（陜理工學(xué)院數(shù)學(xué)與計算機科學(xué)學(xué)院信息與計算科學(xué)專業(yè)1101班，陜西 漢中 723000）指導(dǎo)教師：趙暉 [摘要]入侵檢測技術(shù)是當今一種非常重要也非常有效的動態(tài)網(wǎng)絡(luò)安全技術(shù)，它可與靜態(tài)安全技術(shù)如防火墻等協(xié)同使用，可以使系統(tǒng)的安全防護能力得到極大的改善。 統(tǒng)計學(xué)習理論最近興起的最實用的部分是支持向量機(SVM)，同時控制經(jīng)驗風險和分類器的容量（用分類器的VC維衡量）兩個參數(shù)是其核心思想，使分類器間隔達到最大，從而使真實風險最小。該方法不需要將原數(shù)據(jù)離散化，這樣就保證了入侵檢測的準確性和原始數(shù)據(jù)的信息完整性。并用相同的數(shù)據(jù)進行實驗，得到了良好的效果，%，% ，仿真實驗表明。 neighborhood rough set。這樣，網(wǎng)絡(luò)安全就不能不成為人們研究的熱點問題。所以，保障信息網(wǎng)絡(luò)安全已逐漸成為人們關(guān)注的一個焦點問題[1]?！袄忡R門”事件更是為我國信息安全保護形勢敲響了警鐘。因此，用入侵檢測技術(shù)這種新的主動網(wǎng)絡(luò)安全防御手段，來作為防火墻技術(shù)的補充，與其聯(lián)合應(yīng)用對加強網(wǎng)絡(luò)安全有著十分重大的意義。一般有有三個組成部分存在于入侵檢測系統(tǒng)（Intrusion Detection System, IDS），它們分別是探測器、分析器和用戶接口[2]。本設(shè)計主要針對支持向量機這一種新型的結(jié)構(gòu)化機器學(xué)習方法，將入侵數(shù)據(jù)進行分