【正文】 謝我的父母，正是你們默默無聞的無私奉獻和遼遠深曠的天地博愛才讓我順利完成了本科階段的學習，你們是世間最可愛的人、最值得尊敬的人！愿你們永泰安寧，福源綿長。同時，我也很感謝四年來教授我課程的任課老師們，感謝你們無私的奉獻和對我們的親切關(guān)愛，你們那如春風細雨般的言傳身教，必將帶給我們無盡的人生財富，必將成為我們?nèi)松凶钍芙痰牧佳浴?、誤警率與鄰域半徑之間的關(guān)系。由此可以產(chǎn)生差異性較大的訓練子集。本設計采用HS搜素算法尋找最優(yōu)的參數(shù)組合，使SVM具有最好的分類性能，提高SVM的學習能力及泛化能力。 和聲搜索算法（Harmony Search，HS） 作為一種現(xiàn)代啟發(fā)式智能進化算法和聲搜索算法（Harmony Search，HS）[9]是Geem等人通過類比音樂和最優(yōu)化問題的相似性而提出的。是一個屬性集，即條件屬性。 支持向量機的優(yōu)勢與不足 支持向量機在入侵檢測領域中的主要優(yōu)勢 統(tǒng)計學習理論中最年輕也是最實用的算法是支持向量機，可以同時控制經(jīng)驗風險和分類器的容量（用分類器的VC維衡量）兩個參數(shù)是SVM的核心思想，使分類器間隔達到最大，從而使真實風險最小。 分類間隔分類超平面H 圖6 兩類線性分劃的最優(yōu)超平面該超平面可表示為，其中，是超平面的法線方向。(3)大規(guī)模、分布式的入侵檢測：分布式入侵檢測系統(tǒng)最典型的例子就是基于網(wǎng)絡的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)仍然具有單點失效的問題，這是由于基于網(wǎng)絡的入侵檢測系統(tǒng)存在一個中心模塊管理入侵檢測系統(tǒng)。按數(shù)據(jù)源的IDS分類： （1）基于主機的IDS(Hostbased Intrusion Detection System,HIDS)：基于主機的入侵檢測系統(tǒng)是指IDS在被保護的主機上安裝，主機上的系統(tǒng)審計日志是主要的數(shù)據(jù)源，依據(jù)該數(shù)據(jù)源進行分析和檢查。 攻擊者數(shù)據(jù)收集數(shù)據(jù)處理數(shù)據(jù)分析響應處理具有脆弱性的系統(tǒng)和網(wǎng)絡圖2 IDS的一般工作模式 入侵檢測的分類入侵檢測系統(tǒng)有多重分類，包括從體系結(jié)構(gòu)來分類可以分成集中式IDS、等級式IDS、分布式IDS；從同步性來分類可以分為實時連續(xù)式IDS、間隔批處理式IDS；從數(shù)據(jù)來源上分可以分成基于主機的IDS、基于網(wǎng)絡的IDS、混合式IDS、文件完整性檢查式IDS；從檢測技術(shù)上來分可以分成異常檢測式IDS、誤用檢測式IDS、協(xié)議分析IDS；從響應方式上可以分為主動響應式IDS、被動響應式IDS；從時效性上可以分為聯(lián)機分析式IDS、脫機分析式IDS。本文分析了當前入侵檢測系統(tǒng)中分類算法的不足，嘗試將支持向量機的有關(guān)分類的優(yōu)點引入入侵檢測分類器中，以期望達到良好的效果。對數(shù)據(jù)進行分類是入侵檢測的本質(zhì)問題，即要通過某種檢測手段將數(shù)據(jù)分為正常數(shù)據(jù)和異常數(shù)據(jù)兩類，提高入侵檢測系統(tǒng)(Intrusion Detection System, IDS)的檢測率，降低誤報率。一方面，入侵檢測補充了防火墻的不足，協(xié)助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)管、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性；另一方面，網(wǎng)絡入侵檢測可以提高網(wǎng)絡安全的能力，使得計算機網(wǎng)絡的開放性和共享性得到更好的保障，也會使得計算機網(wǎng)絡更好的服務于人們的生活和工作。本設計重點介紹了支持向量機的基本原理，同時也介紹了它的長處和不足。該算法避免了人們在SVM中參數(shù)選擇的主觀性而帶來的精度的風險，增強了入侵檢測的性能。這些網(wǎng)絡安全問題所造成的各種損失是非常巨大的，有時甚至會威脅到國家的主權(quán)、政治、安全以及社會的穩(wěn)定。在1987年，Denning博士提出了一種經(jīng)典的異常檢測抽象模型[4]。入侵的行為不僅僅可能是來自于外部的行為，也非?？赡苁莵碜杂趦?nèi)部用戶所進行的未授權(quán)行為。但誤用入侵檢測系統(tǒng)具有誤報率低的特點。圖9給出了一種混合式IDS的布置。入侵檢測系統(tǒng)與其他安全技術(shù)配合使用，可以取得更好的網(wǎng)絡安全防護。 線性軟間隔分類器關(guān)于線性可分問題，可用線性硬間隔分類器來求出分類超平面，但是，線性硬間隔分類器只能用于特征空間中線性可分的訓練集，然而在實際中，大多數(shù)情況下訓練集會有噪聲，不能滿足線性可分性。目前，人們往往憑經(jīng)驗并經(jīng)過大量反復的試驗獲得較優(yōu)的參數(shù)，這種方法不但低效費時，而且獲得的參數(shù)往往不是最優(yōu)的[10]。設表示維屬性空間中的兩個樣本，表示樣本在第維屬性的值，則Minkowsky距離可定義為：，當，則稱之為Manhattan距離；，則稱之為Euclidean距離；，則稱之為Chebychev距離。新解的第一個變量 有的概率選自HM中的任意一值，有的概率選自外（且在變量范圍內(nèi)）的任何一個值。步驟3 計算初始和聲庫中的各個體適應度值。 KDD99(Knowledge Discovery Databases)的數(shù)據(jù)是本設計所采用的實驗數(shù)據(jù)，這批數(shù)據(jù)最早來源于時Wenke Lee等人在1998年美國國防部研究局(DARPA)作IDS評測時所獲得數(shù)據(jù)基礎上恢復出來的鏈接信息，這批數(shù)據(jù)包含7周的網(wǎng)絡流量，約5000000條記錄，其中包含大量的正常網(wǎng)絡數(shù)據(jù)流和各種攻擊。 表 給出了4 中不同算法的試驗結(jié)果。最后，我要感謝陜西理工學院，感謝你為我提供了一個增長知識、廣交朋友和認識社會的良好平臺。非常感謝趙老師四年來對我的指導和照顧，老師對學術(shù)嚴苛的態(tài)度、卓越超前的學術(shù)思想、精益求精的科研精神和率為人師的學者風范，無不令人折服，使人欽佩。 實驗結(jié)論及分析I)鄰域粗糙集半徑與入侵檢測精度 在算法 3 與本文算法中，半徑的不同會導致分類精度的差異，因此需要設置鄰域粗糙集的半徑， 到1 之間， 為步長的方式取值，對于鄰域半徑每一個取值，算法都得到一個屬性子集，共獲得100 個屬性子集。這樣原訓練集中一些樣本可能一次也不出現(xiàn)，而另外某些樣本可能在新的訓練子集中出現(xiàn)多次。RBF核的寬度的參數(shù)是核參數(shù) ，隱含地改變映射函數(shù)是其改變實質(zhì)，從而樣本特征子空間分布的復雜程度得以改變。通過實驗的方式來確定核函數(shù)并進性參數(shù)選擇，由于使用交叉驗證和網(wǎng)絡搜索非常消耗時間，而RBF核函數(shù)無論是低維、高維、小樣本、大樣本等情況均適用且有較寬的收斂域，所以從實踐上選用RBF核函數(shù)更容易一些[9]。鄰域決策系統(tǒng),其中是一個樣本集合，稱其為一個樣本空間。定義非線性映射，它將輸入向量映射到高維空間中，再定義核函數(shù)，那么非支持向量機變?yōu)? ()相應的分類函數(shù)變?yōu)? ()常用的幾種核函數(shù)有：(1)多項式函數(shù) (2)徑向基函數(shù)(RBF) (3)Sigmoid函數(shù) 在線性硬間隔分類器的基礎上引入松弛變量放松約束即得到線性軟間隔分類器是，而非線性硬間隔分類器是在線性硬間隔分類的基礎上引入從輸入空間到高維空間的映射[20]。位于兩虛線上的樣本稱為支持向量。這就要求入侵檢測系統(tǒng)需要具有強大的數(shù)據(jù)處理能力，以滿足高速網(wǎng)絡的需求，這有要求新的入侵檢測系統(tǒng)要重新設計軟件結(jié)構(gòu)與算法。（2）聯(lián)機分析：聯(lián)機分析與脫機分析相反，具有實時性，早期的聯(lián)機分析系統(tǒng)會嚴重影響系統(tǒng)性能，但是隨著硬件技術(shù)的快速發(fā)展，越來越多的入侵檢測系統(tǒng)采用了聯(lián)機分析，可以對攻擊行為進行實時監(jiān)測和響應。按照事先預設的異常處理程序，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊信息后，可以自動完成諸如切斷網(wǎng)絡、記錄日志，給管理員發(fā)信息等相關(guān)動作。其在文本識別、人臉識別、函數(shù)回歸等眾多領域得到了很好的應用。探測器的主要功能是從計算機網(wǎng)絡中的關(guān)鍵點采集信息；分析器的主要功能是對已經(jīng)收集到的信息進行有效地分析，通過分析確定是否存在非法入侵；用戶接口的主要功能是為用戶提供一個安全方便的操作平臺，來完成相關(guān)操作[2]。在這其中網(wǎng)絡入侵檢測就受到了人們的高度關(guān)注，因為它是一種積極主動的安全防護工具，其不僅提供了對內(nèi)部攻擊、外部攻擊以及誤操作的實時防護功能，與此同時入侵檢測能在計算機網(wǎng)絡和系統(tǒng)受到危害之前就進行報警攔截和響應，被認為是防火墻技術(shù)以外的第二道安全閘門，在網(wǎng)絡性能無任何影響的情況下對網(wǎng)絡進行監(jiān)測。另外，在小樣本學習的基礎上發(fā)展起來的支持向量機分類器設計方法，專門針對小樣本數(shù)據(jù)，并且對數(shù)據(jù)維數(shù)不敏感，分類精度和泛化能力極佳。并用相同的數(shù)據(jù)進行實驗，得到了良好的效果，%，% ，仿真實驗表明?！袄忡R門”事件更是為我國信息安全保護形勢敲響了警鐘。這就是入侵檢測專家系統(tǒng)(IDES，Intrusion Detection Expert System)，一種實時的入侵檢測系統(tǒng)，成為經(jīng)典的異常檢測抽象模型。入侵檢測(Intrusion Detection)是一種通過收集和分析被保護系統(tǒng)信息來發(fā)現(xiàn)入侵的主動網(wǎng)絡安全技術(shù)，其核心功能是對網(wǎng)絡和計算機系統(tǒng)進行實時監(jiān)控，發(fā)現(xiàn)和辨別系統(tǒng)中的入侵行為，發(fā)出入侵報警。圖7給出了誤用入侵檢測的模型。 入侵檢測技術(shù)的進展及發(fā)展趨勢由于非線性和高維是入侵檢測領域中所獲得的數(shù)據(jù)具有的常見特點，而且數(shù)據(jù)往往不服從已知的某種分布，如果用傳統(tǒng)統(tǒng)計學的方法檢測將難以湊效，因此，神經(jīng)網(wǎng)絡、K領域、貝葉斯網(wǎng)絡以及支持向量機等機器學習方法被用于入侵檢測領域，其中算法支持向量機(Support Vector Machine,SVM)[14,15]是建立在統(tǒng)計學習理論基礎上，是一種機器學習方法，以結(jié)構(gòu)風險最小化作為其準則，以其具有結(jié)構(gòu)簡單、全局優(yōu)化、訓練時間短、泛化性能好等優(yōu)點，可以較好的解決了高維、非線性、小樣本等問題。這就需要入侵檢測系統(tǒng)安全開放的數(shù)據(jù)接口，讓入侵檢測系統(tǒng)與其他網(wǎng)絡安全技術(shù)能夠進行安全的數(shù)據(jù)交換。線性硬間隔分類器的主要問題是它總是產(chǎn)生一個沒有訓練誤差的分類超平面，當然數(shù)據(jù)不能完全分開時間隔為負數(shù)。同時，當樣本容量比較大時，訓練階段就需要大量的內(nèi)存占用和較長時間，因此如何在大樣本訓練時減少內(nèi)存占用和訓練時間成為支持向量機研究領域亟待解決的一個問題[11]。給定一個鄰域決策表，是具有決策屬性類別值到的樣本集，則，所以是的一個分劃，表示由屬性子集產(chǎn)生的包括樣本的鄰域信息粒度，則決策屬性關(guān)于屬性子集的上近似和下近似為： 。 () 其中rand表示[0，1]上的均勻分布的隨機數(shù)。和聲庫中的每一個和聲實際上就是 的一個組合，利用支持向量機在訓練集上以每個和聲為參數(shù)進行訓練，并將在測試集上的分類準確率作為和聲庫中各和聲的適應度值。本文所用的KDD99已經(jīng)成為近年來評判入侵檢測系統(tǒng)的一套標準數(shù)據(jù)?？梢钥吹?，本文算法的檢測率平均值與最優(yōu)值是三種算法中最高的，同時誤警率是最低的。希望陜西理工學院的學子都允公允能、奉獻社會，祝愿陜西理工學院各項事業(yè)蒸蒸日上、日新月異，向著建設省內(nèi)外知名研究型大學的目標闊步前進。我的畢業(yè)設計正是在趙老師的悉心指導下才得以完成。其中：算法1：直接采用SVM進行分類（該算法中SVM參數(shù)隨機生成）；算法2：首先應用鄰域粗糙集進行屬性約簡，然后利用SVM進行分類（算法中SVM參數(shù)隨機產(chǎn)生）；算法3：先采鄰域粗糙集進行屬性約簡，再采用用和聲搜索算法對SVM的參數(shù)c和φ進行優(yōu)化，最后利用SVM分類（該算法中SVM參數(shù)隨機產(chǎn)生）；本文算法：首先采用鄰域粗糙集對檢測數(shù)據(jù)進行屬性約簡，然后使用和聲搜索算法優(yōu)化支持向量機的兩個參數(shù)，最后利用SVM進行分類。Bagging