【正文】 絡(luò)的 IDS、混合式 IDS、文件完整性檢查式 IDS；從檢測技術(shù)上來分可以分成異常檢測式 IDS、誤用檢測式 IDS、協(xié)議分析 IDS；從響應(yīng)方式上可以分為主動響應(yīng)式 IDS、被動響應(yīng)式 IDS；從時效性上可以分為聯(lián)機(jī)分析式 IDS、脫機(jī)分析式 IDS。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，對網(wǎng)絡(luò)的使用進(jìn)行監(jiān)控，在不影響網(wǎng)絡(luò)性能的情況供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。針對這些問題，本文做了如下工作： ，并指出入侵檢測在網(wǎng)絡(luò)安全中的必要性和重要性； ，并指出引入本文所采用的算法后所達(dá)到的改善的效果； KDD CUP 99 數(shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)， 作為 改進(jìn)后 算法的有效性 的 驗(yàn)證。 目前入侵檢測技術(shù)的發(fā)展百花齊放，但比較突出的兩個研究方向是分布式與智能化。在統(tǒng)計學(xué)習(xí)理論基礎(chǔ)上發(fā)展起來的支持向量機(jī) (Support Vector Machine,SVM)[14]是 新一代學(xué)習(xí)算法，由于其 卓越 的學(xué)習(xí)性能，已 使 當(dāng)前國際機(jī)器學(xué)習(xí)界熱點(diǎn)研究 此算法 ， 并且 在圖像分類、生物信息學(xué)等 熱門 領(lǐng)域獲得了 出人意料的 應(yīng)用，并 呈現(xiàn)出 出巨大的優(yōu)越性。 防火墻技術(shù)除了上述的這些明顯的缺陷外，還有一個嚴(yán)重問題就是防火墻的作用是保護(hù)不同的網(wǎng)絡(luò)，而攻擊者一旦突破了防火墻就可以直接對網(wǎng)絡(luò)中所有的計算機(jī)發(fā)動攻擊。同時，這對于一個國家的主權(quán)、政治、軍事以及社會穩(wěn)定也是有著相當(dāng)?shù)闹匾?，?jù) 調(diào)查 ，美國每年 由于 計算機(jī)網(wǎng)絡(luò)安全問題 所 造成的經(jīng)濟(jì)損失高達(dá)上百億美元。 neighborhood rough set。 該方法不需要 將 原數(shù)據(jù)離散化，這樣就保證了入侵檢測的準(zhǔn)確性和原始數(shù)據(jù)的信息完整性。 畢 業(yè) 論 文（設(shè) 計） 題 目 基于支持向量機(jī)的入侵檢測系統(tǒng)與實(shí)現(xiàn) 姓 名 端樂凱 學(xué)號 1109064004 所在院 (系 ) 數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院 專業(yè)班級 信息與計算科學(xué) 1101 班 指導(dǎo)教師 趙暉 完成地點(diǎn) 陜西理工學(xué)院 20xx 年 6 月 6 日陜西理工學(xué)院畢業(yè)論文 基于支持向量機(jī)的入侵檢測 系統(tǒng)與實(shí)現(xiàn) 作者：端樂凱 （陜理工學(xué)院數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院信息與計算科學(xué)專業(yè) 1101 班，陜西 漢中 723000） 指導(dǎo)教師：趙暉 [摘要 ]入侵檢測技術(shù)是當(dāng)今一種非常重要也非常有效的動態(tài) 網(wǎng)絡(luò) 安全技術(shù)，它可與靜態(tài)安全技術(shù)如防火墻等 協(xié)同 使用，可以 使 系統(tǒng)的安全防護(hù) 能力得到極大的改善 。 其次 在分類中我們又使用了和聲搜索算法進(jìn)行優(yōu)化。 harmony search。所以，保障信息網(wǎng)絡(luò)安全已逐漸成為人們關(guān)注的一個焦點(diǎn)問題 [1]。因此，用入侵檢測技術(shù)這種新的主動網(wǎng)絡(luò)安全防御手段，來作為防火墻技術(shù)的 補(bǔ)充 ， 與其聯(lián)合應(yīng)用對加強(qiáng)網(wǎng)絡(luò)安全有著 十分 重大的意義。本 設(shè)計 主要針對支持向量機(jī)這一種新型的結(jié)構(gòu)化機(jī)器學(xué)習(xí)方法，將入侵?jǐn)?shù)據(jù)進(jìn)行分類，以嘗試得到優(yōu)于其他諸如聚類分類、遺傳算法等更為理想的結(jié)果。在國際上，洛斯阿拉莫斯國家實(shí)驗(yàn)室、 SRI/CSL 、加州大學(xué)戴維斯分校、普渡大學(xué)、哥倫比業(yè)大學(xué)、新墨西哥大學(xué)等 科研 機(jī)構(gòu)在這些方面的研究代表了當(dāng)前 世界 的最高水平。 入侵檢測的概念 入侵 (Intrusion)是指在沒有 得到 授權(quán)的 條件 下， 妄圖 存取、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠、不可用的故意行為。 入侵檢測的原 理 實(shí)際 上，入侵檢測系統(tǒng) (Intrusion Detection System， IDS)事先會在網(wǎng)絡(luò)上“默默”的收集所有相關(guān)的數(shù)據(jù)信息，在數(shù)據(jù)收集的基礎(chǔ)上提取出相應(yīng)的流量統(tǒng)計特征值，根據(jù)這些特征值在知識庫中進(jìn)行對比，匹配耦合度較高的報文流量將被認(rèn)為是對網(wǎng)絡(luò)的攻擊信息，入侵檢測系統(tǒng)的工作階段可分為四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。入侵檢測系統(tǒng)分類如圖 所示。但是有一點(diǎn)不好確定，就是如何設(shè)置異常閾值，只有合理的閾值，才能有效區(qū)分正常狀態(tài)與非正常狀態(tài)。 按數(shù)據(jù)源的 IDS 分類： 匹配 規(guī)則 審計數(shù)據(jù) 信息處理 攻擊 狀態(tài) 修改當(dāng)前規(guī)則 修改當(dāng)前規(guī)則 時間信息 背離 統(tǒng)計 審計數(shù)據(jù) 系統(tǒng)處理 攻擊 狀態(tài) 動態(tài)產(chǎn)生新特征 更新特征 陜西理工學(xué)院畢業(yè)論文 （ 1）基于主機(jī)的 IDS(Hostbased Intrusion Detection System,HIDS)：基于主機(jī)的入侵檢測系統(tǒng)是指 IDS 在被保護(hù)的主機(jī)上安裝，主機(jī)上的系統(tǒng)審計日志是主要的數(shù)據(jù)源，依據(jù)該數(shù)據(jù)源進(jìn)行分析和檢查。另外，還有一些學(xué)者將粗糙集理論和支持向量機(jī)理論結(jié)合來開發(fā)一些新的檢測算法 [8]，同樣取得了較好的效果。 (3)大規(guī)模、分布式的入侵檢測：分布式入侵檢測系統(tǒng)最典型的例子就是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)仍然具有單點(diǎn)失效的問題，這是由于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)存在一個中心模塊管理入侵檢測系統(tǒng)。 小結(jié) 本章首先介紹了入侵檢測的概念，指出了 入侵檢測的用途和目的；其次，通過介紹入侵檢測的原理及其分類，指出了入侵檢測系統(tǒng)的基本原理與工作模式；最后，本文作者在閱讀相關(guān)文獻(xiàn)的基礎(chǔ)上總結(jié)了當(dāng)前入侵檢測技術(shù)的進(jìn)展和發(fā)展趨勢，指明了當(dāng)前學(xué)界對入侵檢測常用的方法和技術(shù)。 圖 6 兩類線性分劃的最優(yōu)超平面 該超平面可 表示為 0)( ??? bxw ，其中， w 是超平面的法線方向。 這時，必須 對 分類間隔 進(jìn)行 “軟化”，即不滿足約束條件 1)( ??? bxwyi 的樣本點(diǎn) 是 允許存在的 ，因此引入一個松弛變量 0?i? 于 約束條件中，它在一定程度上違反間隔約束 是 許 可的 ，從而適當(dāng)?shù)?將 約束放寬： libxwy iii ,2,1,0,1)( ??????? ?? () 陜西理工學(xué)院畢業(yè)論文 此時，目標(biāo)函數(shù)變?yōu)? ?????li iC 1)(21),( ??? () 其中， C 為可調(diào)參數(shù)，表示對錯誤的懲罰程度， C 越大懲罰越重。 支持向量機(jī)的優(yōu)勢與不足 支持向 量機(jī)在入侵檢測領(lǐng)域中的主要優(yōu)勢 統(tǒng)計學(xué)習(xí)理論中最年輕也是最實(shí)用的 算法 是支持向量機(jī)， 可以 同時控制經(jīng)驗(yàn)風(fēng)險和分類器的容量（用分類器的 VC 維衡量）兩個參數(shù)是 SVM 的核心思想，使分類器間隔達(dá)到最大，從而使真實(shí)風(fēng)險最小。 小結(jié) 本章主要介紹了兩個方面的問題，第一，本文介紹了支持向量機(jī)的基本原理，以作為后續(xù)工作的理論基礎(chǔ)和理論支撐；第二，本文介紹支持向量機(jī)在網(wǎng)絡(luò)入侵檢測領(lǐng)域中的優(yōu)勢與不足，指出 SVM 對數(shù)據(jù)的維數(shù)不敏感，這樣就消除了所謂的維數(shù)災(zāi)難，另外，其可對小樣本數(shù)據(jù)進(jìn)行學(xué)習(xí)并獲得潛在的知識以對入侵?jǐn)?shù)據(jù)進(jìn)行分類，且具有較好的分類精度和泛化能力；同時，本文還指出了該方法的缺陷主要是對參數(shù)的選擇上，而這是影響檢測精度的一個很重要的方面。 },{ 21 ngggG ?? 是一個屬性集，即條件屬性。 (3) for each ia ∈ G ?red Computing ),(),(),( r e dDar e dDr e dDaS I G ii ?? ?? ? 算法結(jié)束 (4)Selecting ka satisfying ) )。通過實(shí)驗(yàn)的方式來確定核函數(shù)并進(jìn)性參數(shù)選擇，由于使用交叉驗(yàn)證和網(wǎng)絡(luò)搜索非常消耗時間，而 RBF 核函數(shù)無論是低維、高維、小樣本、大樣本等情況均適用且有較寬的收斂域，所以從實(shí)踐上選用 RBF 核函數(shù)更容易一些 [9]。 39。11()HMSxx 的 任意 一值，有1 HMCR? 的概率選自 HM 外（且在變量范圍內(nèi)）的任何一個值。139。 陜西理工學(xué)院畢業(yè)論文 基于和聲搜索算法的 SVM 參數(shù)優(yōu)化選擇 核函數(shù)是影響 SVM 性能的一個重要方面。 HMS 為 和聲記憶庫的大小， HMCR 為 記憶庫取值概率， PAR 為 音調(diào)微調(diào)概率， bw 為 音調(diào)調(diào)節(jié)帶寬 ， Tmax 為 最大進(jìn)化代數(shù)以及 max min,xx分別是 SVM 懲罰參數(shù) C 和核參數(shù) ? 的上、下限值 向量 ，個體和聲向量維 數(shù) N。 計算 由 步驟 4 所 產(chǎn)生的新和聲的適應(yīng)度，并根據(jù) ()式進(jìn)行和聲庫更新 ，生成新一代的陜西理工學(xué)院畢業(yè)論文 和聲庫 。 多數(shù)投票法 作為 一種簡單 高 效的方法是決策級數(shù)據(jù)的融合 ， 本設(shè)計 采用多數(shù)投票法 作為集成的方法。 為 了檢驗(yàn) 本 設(shè)計所采用的 算法對未知攻擊的檢測能力，在 測試數(shù)據(jù)集中加訓(xùn)練集中沒有的攻擊類型，分為 4 大類 ， 共 10 種， 其中 Dos 攻擊有 teardrop10 個、 pod20 個、 land5 個、probing 攻擊有 nmap10 個， U2R 攻擊有 loadmoudule2 個、 perl2 個， R2L 攻擊有 spy2 個、phf2 個、 imap5 個、 multihop2 個、 ftp_write2 個，測試集數(shù)據(jù)共包含攻擊類型 21 種。其中， 總的攻擊樣本數(shù)量常樣本數(shù)量被錯誤判斷為攻擊的正誤警率總的攻擊樣本數(shù)量數(shù)量正確檢測出的攻擊樣本檢驗(yàn)率?? 數(shù)據(jù)預(yù)處理 對原始數(shù)據(jù) 集應(yīng) 用鄰域粗糙集 算法 進(jìn)行屬性約簡，半徑的不同 將 導(dǎo)致分類精度的差異，因此在這 需要設(shè)置鄰域粗糙集的半徑， 本設(shè)計 設(shè)置鄰域半徑在 到 1 之間，以 為步長的方式取值，對于鄰域半徑每一個取值，算法都得到一個屬性子集，共獲得 100 個屬性子陜西理工學(xué)院畢業(yè)論文 集。 小結(jié) 對入侵?jǐn)?shù)據(jù)進(jìn)行分類 是 入侵檢測技術(shù)的 實(shí)質(zhì) ，因此，本文針對該目的對入侵?jǐn)?shù)據(jù)主要進(jìn)行了兩項(xiàng)操作，第一，通過鄰域粗糙集理論對數(shù)據(jù)屬性進(jìn)行約簡，獲得對檢測結(jié)果影響較大的數(shù)據(jù)屬性以進(jìn)行分 類，同時，避免由于數(shù)據(jù)冗余而造成的處理時間過長、干擾分類等問題；第二，在對數(shù)據(jù) 進(jìn)行完 預(yù)處理之后，本 設(shè)計 采用基于和聲搜索算法對 SVM 中的 參數(shù)組合( , )C? 進(jìn)行優(yōu)化，確保 該 分類器對分類 的 結(jié)果 具有 較高的檢測率和較低的誤警率。 若達(dá)到誤差要求或 者是 達(dá)到最大迭代次數(shù)，則算法終止，輸出最優(yōu)參數(shù)。 利用 m in m a x m in(1 , ) ( )x rand N x x? ? ? 函數(shù) 產(chǎn)生 HMS 個和聲，構(gòu)成了初始 的 和聲庫。選取 RBF 核作為 SVM 核函數(shù)。1 * , if r a n d 1 P A R (* ( ) , m { 1 , 1 } , if r a n d 1 P A R (, o th e r w is e 。 1 239。 39。算法通過 模擬樂師們 反復(fù)調(diào)整各種樂器的音調(diào)直到生成一個美妙和聲的過程， 把 該過程類比為優(yōu)化問題的求解過程，將樂器( 1,2, , )im? 類比為優(yōu)化問題中第 i 個決策變量，樂器產(chǎn)生的和聲則相當(dāng)于優(yōu)化問題的第j 個解向量，對和聲的評價即為優(yōu)化問題的目標(biāo)函數(shù)值 [1011]。 陜西理工學(xué)院畢業(yè)論文 基于和聲搜索算法的支持向量機(jī)參數(shù)選擇 支持向量機(jī)中核函數(shù)的選擇 SVM 中不同的內(nèi)積核函數(shù)將形成不同的算法，選擇不同的核函數(shù)以及核函數(shù)的參數(shù)對 SVM的分類效果影響很大。 aV 表示屬性 DGa ?? 的值域， f 是一個信息函數(shù)，表示為 VDGSf ?? )(: ? ，其中aDGa VV ????。大量研究表明，進(jìn)行屬性約簡是提高分類器精度、提高算法效率的有效方法 [13]。 有些學(xué)者通過實(shí)驗(yàn)已經(jīng)發(fā)現(xiàn)，基于支持向量機(jī)的入侵檢測模型具有以下優(yōu)點(diǎn)，首先，它不需要全部的正常和異常的信息，在給出較少的正常和異常執(zhí)行跡的情況下 就能得到比較理想的檢測效果；其次，該方法所需的訓(xùn)練時間和檢測時間比其他方法短， 因此 該方法能夠隨時升級，并進(jìn)行高效的實(shí)時檢測 [9]。線性可分情況可看做是線性不可分情況的特例 [19]。分類超平面的分類間隔為 w2 ，使間隔最大等價于 w 最小，因此，在線性可分條件下構(gòu)造最優(yōu)超平面，就轉(zhuǎn)化為下面的二次規(guī)劃問題： ???????????libxwytsii ,2,1,1))((..)(21)(m i n?? () 式 ()可以轉(zhuǎn)化為一個較簡單的對偶二次規(guī)劃問題 ??????????????????