【正文】 .....................................................................23 陜西理工學(xué)院畢業(yè)論文 數(shù)據(jù)來源說明 ....................................................................................................23 算法評價(jià)標(biāo)準(zhǔn) ....................................................................................................23 數(shù)據(jù)預(yù)處理 .......................................................................................................23 仿真實(shí)驗(yàn) ...........................................................................................................24 實(shí)驗(yàn)步驟 ................................................................................................24 實(shí)驗(yàn)結(jié)論及分析 .......................................................................................24 實(shí)驗(yàn)結(jié)論 ...........................................................................................................27 致 謝 ..........................................................................................................................27 參考文獻(xiàn) .........................................................................................................................28 1. 緒論 引言 計(jì)算機(jī)網(wǎng)絡(luò)是 上個(gè) 世紀(jì)的 人類文明的 一項(xiàng) 偉大的 發(fā)明創(chuàng)造，它極大地豐富和方便了 人 們的 生產(chǎn)和 生活，尤其是近幾十年來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 日新月異，使得 其應(yīng)用領(lǐng)域不斷 擴(kuò)大，并且 越來越來成為人們生活的重要工具和手段，同時(shí)人們也必將越來越依賴于計(jì)算機(jī)來處理和存儲工作中的各種事務(wù)。在這其中網(wǎng)絡(luò)入侵檢測就受到了人們的高度關(guān)注，因?yàn)樗且环N積極主動的安全防護(hù)工具，其不 僅 提供了對內(nèi)部攻擊、外部攻擊 以及 誤操作的實(shí)時(shí)防護(hù) 功能 ， 與此 同時(shí) 入侵檢測能 在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害 之 前 就 進(jìn)行報(bào)警攔截和響應(yīng)，被認(rèn)為是防火墻 技術(shù)以外 的第二道安全閘門，在網(wǎng)絡(luò)性能 無任何 影響的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測。同時(shí)，這對于一個(gè)國家的主權(quán)、政治、軍事以及社會穩(wěn)定也是有著相當(dāng)?shù)闹匾?，?jù) 調(diào)查 ，美國每年 由于 計(jì)算機(jī)網(wǎng)絡(luò)安全問題 所 造成的經(jīng)濟(jì)損失高達(dá)上百億美元。 研究的背景及意義 在互聯(lián)網(wǎng)高速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們生活和工作不可分割的一部分，人們習(xí)慣用網(wǎng)絡(luò)來查詢，交流，購物、理財(cái)和辦公。這些網(wǎng)絡(luò)安全問題所造成的各種損失是非常巨大的，有時(shí)甚至?xí){到國家的主權(quán)、政治、安全以及社會的穩(wěn)定。 隨著網(wǎng)絡(luò)攻擊手段的多樣化，黑客對網(wǎng)絡(luò)的的攻擊能力越來越強(qiáng)大，而現(xiàn)有的一些安全防御措施諸如防火墻、安全審計(jì)、數(shù)據(jù)加密、訪問控制等，都會存在一些缺陷， 而 且功能過于 單調(diào) ， 不可能 構(gòu)成一個(gè)完整的安全防御體系，使 得 網(wǎng)絡(luò)安全 的 問題 變得 越來 越突出。 防火墻技術(shù)除了上述的這些明顯的缺陷外，還有一個(gè)嚴(yán)重問題就是防火墻的作用是保護(hù)不同的網(wǎng)絡(luò)，而攻擊者一旦突破了防火墻就可以直接對網(wǎng)絡(luò)中所有的計(jì)算機(jī)發(fā)動攻擊。 來自外部網(wǎng)絡(luò)的攻擊 可以被 入侵檢測系統(tǒng) 所 應(yīng)對， 而且娶親檢測系統(tǒng)同樣 對來自網(wǎng)絡(luò)內(nèi)部的攻擊也同樣有效。入侵檢測技術(shù)最大的特點(diǎn)就是采用了動態(tài)安全技術(shù)，并且可有效發(fā)現(xiàn)來自網(wǎng)絡(luò)內(nèi)部與外部的攻擊，并發(fā)出警報(bào)，把它與靜態(tài)防火墻技術(shù)等配合使用，可以大大提高系統(tǒng)的安全防護(hù)水平。探測器的主要功能是從計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)采集信息；分析器的主要功能是對已經(jīng)收集到的信息進(jìn)行有效地分析，通過分析確定是否存在非法入侵；用戶接口的主要功能是為用戶提供一個(gè)安全方便的操作平臺，來完成相關(guān)操作[2]。在統(tǒng)計(jì)學(xué)習(xí)理論基礎(chǔ)上發(fā)展起來的支持向量機(jī) (Support Vector Machine,SVM)[14]是 新一代學(xué)習(xí)算法，由于其 卓越 的學(xué)習(xí)性能，已 使 當(dāng)前國際機(jī)器學(xué)習(xí)界熱點(diǎn)研究 此算法 ， 并且 在圖像分類、生物信息學(xué)等 熱門 領(lǐng)域獲得了 出人意料的 應(yīng)用，并 呈現(xiàn)出 出巨大的優(yōu)越性。 入侵檢測系統(tǒng)發(fā)展及研究現(xiàn)狀 在 1980 年， James Anderson 提出了入侵檢測的概念 [3]開啟了 入侵檢測的研究。 在 1987 年 ， Denning 博士 提出了一 種 經(jīng)典的異常檢測抽象模型 [4]。 1997 年 ， 有人將 神經(jīng)網(wǎng)絡(luò) 應(yīng)用于 入侵檢測系統(tǒng) [5]。 目前入侵檢測技術(shù)的發(fā)展百花齊放，但比較突出的兩個(gè)研究方向是分布式與智能化。 陜西理工學(xué)院畢業(yè)論文 圖 1 IDS 發(fā)展過程圖 目前國內(nèi)對于入侵檢測技術(shù)的研究也非常火熱， 很多 高校、科研院所、企業(yè)都展開了相關(guān)的技術(shù)研究，并提出了許多改進(jìn)入侵檢測技術(shù)的新方法。但是這些研究都還沒有達(dá)到一個(gè)理想的狀態(tài)，因此，可以說整個(gè)的研究仍然處在進(jìn)一步完善與發(fā)展的過程中。其在文本識別、人臉識別、函數(shù)回歸等眾多領(lǐng)域得到了很好的應(yīng)用。針對這些問題，本文做了如下工作： ，并指出入侵檢測在網(wǎng)絡(luò)安全中的必要性和重要性； ，并指出引入本文所采用的算法后所達(dá)到的改善的效果； KDD CUP 99 數(shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)， 作為 改進(jìn)后 算法的有效性 的 驗(yàn)證。 此 外，入侵的概念含義也包括一切試圖危害資源的完整性、保密性和可用性的活動集合。入侵 的 行為不僅僅 可能是 來自 于 外部的行為，也 非常 可能 是 來自 于 內(nèi)部用戶所進(jìn)行的未授權(quán)行為。入侵檢測一般被視為系統(tǒng)狀態(tài)是“正?！被颉爱惓！钡亩诸悊栴} [4]。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，對網(wǎng)絡(luò)的使用進(jìn)行監(jiān)控，在不影響網(wǎng)絡(luò)性能的情況供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。入侵檢測系統(tǒng)工作原理如圖 所示。 (2)數(shù)據(jù)處理： 通過數(shù)據(jù)收集得到的數(shù)據(jù)往往存在噪聲，而且數(shù)據(jù)量也非常巨大，對收集到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，格式化的處理，可以為后續(xù)進(jìn)行的數(shù)據(jù)分析提供一個(gè)良好的基礎(chǔ)。 (4)響應(yīng)處理： 入侵發(fā)生時(shí)，入侵檢測系統(tǒng)一旦檢測到異常，就 會 主動采取措施 以 進(jìn)行防護(hù)、保 存 入侵證據(jù)并通知 給 管理員等。 圖 2 IDS 的一般工作模式 攻擊者 數(shù)據(jù)收集 數(shù)據(jù)處理 數(shù)據(jù)分析 響應(yīng)處理 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 陜西理工學(xué)院畢業(yè)論文 入侵檢測的分類 入侵檢測系統(tǒng) 有多重分類 ，包括從體系結(jié)構(gòu)來分類可以分成集中式 IDS、等級式 IDS、分布式 IDS；從同步性來分類可以分為實(shí)時(shí)連續(xù)式 IDS、間隔批處理式 IDS；從數(shù)據(jù)來源上分可以分成基于主機(jī)的 IDS、基于網(wǎng)絡(luò)的 IDS、混合式 IDS、文件完整性檢查式 IDS；從檢測技術(shù)上來分可以分成異常檢測式 IDS、誤用檢測式 IDS、協(xié)議分析 IDS；從響應(yīng)方式上可以分為主動響應(yīng)式 IDS、被動響應(yīng)式 IDS；從時(shí)效性上可以分為聯(lián)機(jī)分析式 IDS、脫機(jī)分析式 IDS。 圖 3 IDS 分類 本文從入侵檢測系統(tǒng)最常用的檢測技術(shù)、數(shù)據(jù)來源、檢測技術(shù)三種分類方法來分別探討。誤用入侵檢測的原理是它認(rèn)為所有的入侵行為都可以用一種模 式來代表，入侵檢測系統(tǒng)的工作就是判定被檢測對象是不是與這種模式相符合。但誤用入侵檢測系統(tǒng)具有誤報(bào)率低的特點(diǎn)。 圖 4 誤用入侵檢測的模型 （ 2）異常入侵檢測 (Anomaly Intrusion Detection)：異常入侵檢測檢測系統(tǒng)攻擊的方法是認(rèn)為正?；顒优c入侵活動的區(qū)別顯著，根據(jù)這一認(rèn)識，就可以得到系統(tǒng)正常狀態(tài)下的特性，而把所有與正常軌跡不同的系統(tǒng)狀態(tài)認(rèn)為 是可能的攻擊信息。圖 8 給出了異常入侵檢測的模型。網(wǎng)絡(luò)協(xié)議的一個(gè)特點(diǎn)就是高度有序性，而協(xié)議分析技術(shù)利用這個(gè)特點(diǎn)對數(shù)據(jù)包進(jìn)行捕捉、協(xié)議分析和命令解析等技術(shù)，來確定某種攻擊是不是存在。 按照時(shí)效性的 IDS 分類： （ 1） 脫機(jī)分析：脫機(jī)分析顧名思義就是在攻擊發(fā)生之后才進(jìn)行的入侵檢測手段，它不具有實(shí)時(shí)性。 （ 2）聯(lián)機(jī)分析：聯(lián)機(jī)分析與脫機(jī)分析相反，具有實(shí)時(shí)性，早期的聯(lián)機(jī)分析系統(tǒng)會嚴(yán)重影響系統(tǒng)性能，但是隨著硬件技術(shù)的快速發(fā)展，越來越多的入侵檢測系統(tǒng)采用了聯(lián)機(jī)分析，可以對攻擊行為進(jìn)行實(shí)時(shí)監(jiān)測和響應(yīng)。當(dāng)系統(tǒng)受到攻擊時(shí)，往往會首先破壞主機(jī)的審計(jì)數(shù)據(jù)，這就要趕在攻擊者控制主機(jī)破壞審計(jì)數(shù)據(jù)與 IDS 之前，實(shí)時(shí)發(fā)出警報(bào)，采取相關(guān)措施。它的最大優(yōu)點(diǎn)就是和網(wǎng)絡(luò)系統(tǒng)融為一體，不會因?yàn)槿肭謾z測系統(tǒng)的運(yùn)行而給網(wǎng)絡(luò)與原系統(tǒng)增加負(fù)擔(dān)；還有它對用戶來說是透明的獲取數(shù)據(jù)所用的監(jiān)控器，這就使得攻擊者不容易在網(wǎng)絡(luò)中定位并破壞入侵檢測系統(tǒng)。圖 9 給出了一種混合式 IDS 的布置。有很多學(xué)者在這方面做了不少努力，文獻(xiàn) [8,19,20]均是采用支 持向量機(jī)進(jìn)行入侵檢測，獲得了不錯(cuò)的效果，這進(jìn)一步顯示了支持向量機(jī)優(yōu)于其他分類算法的性能。 入侵檢測技術(shù) 是 一種主動的網(wǎng)絡(luò)安全防御手段，其不僅能應(yīng)對網(wǎng)絡(luò)外部的攻擊，而且能夠處理來自網(wǎng)絡(luò)自身的攻擊，這些特點(diǎn)是能夠彌補(bǔ)防火墻技術(shù)的不足的。地址空間的擴(kuò)充， 使得超大規(guī)模網(wǎng)絡(luò)環(huán)境的出現(xiàn)成為可能。 為了 解決這個(gè)問題，需要 有 面向 Ipv6 的入侵檢測系統(tǒng)具有融合分布式體系結(jié)構(gòu)和高性能計(jì)算技術(shù)。這就要求入侵檢測系統(tǒng)需要具有強(qiáng)大的數(shù)據(jù)處理能力，以滿足高速網(wǎng)絡(luò)的需求，這有要求新的入侵檢測系統(tǒng)要重新設(shè)計(jì)軟件結(jié)構(gòu)與算 法。獲得安全信息在異構(gòu)主機(jī)以及異構(gòu)網(wǎng)絡(luò)，使入侵檢測系統(tǒng)中各模塊的合作時(shí)間，并成為未來的重點(diǎn)。這就帶來了一個(gè)問題，不同企業(yè)開發(fā)的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換工作是非常困難的，各個(gè)企業(yè)的入侵檢 測系統(tǒng)不能協(xié)同工作，這就需要制定一個(gè)廣大企業(yè)都能夠接受的統(tǒng)一規(guī)范，使得各企業(yè)開發(fā)的入侵檢測系統(tǒng)具陜西理工學(xué)院畢業(yè)論文 有通用化和標(biāo)準(zhǔn)化。入侵檢測系統(tǒng)與其他安全技術(shù)配合使用，可以取得更好的網(wǎng)絡(luò)安全防護(hù)。這些安全措施都 是受 控制 于 系統(tǒng)統(tǒng)一的安全管理策略 [3]。 陜西理工學(xué)院畢業(yè)論文 支持向量機(jī)的基本原理 建立在統(tǒng)計(jì)學(xué)習(xí)理論和結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理基礎(chǔ)上的支持向量機(jī)是 一種 新型學(xué)習(xí)機(jī)器[2]。其基本思想是通過非線性映射將輸入空間映射到高維空間，在構(gòu)造一個(gè)間隔最大的分類超平面，使得離分類超平面最近的樣本之間的距離最大。給定樣本集 },1,1{,) } ,(,),(),{( 2211 ??? idill yRxyxyxyx ?其中 l 為樣本 基數(shù) ， d 是每個(gè)訓(xùn)練樣本向量的維數(shù)， y 表示分類 類別。位于兩虛線上的樣本稱為支持向量。得到的分類函數(shù)為： )s gn ()( bxwxf ??? () 分類超平面 H 1H 分類間隔 w2 1)( ??? bxw 0)( ??? bxw 1)( ???? bxw 陜西理工學(xué)院畢業(yè)論文 由圖 6 可知，平面 21 HHH 、 可表示為： 1:1:0:21??????????bxwHbxwHbxwH () 將式 ()進(jìn)行歸一化處理后，得到 ),( bw 的約束條件，即樣本集需滿足下面的不等式： libxwy i ,2,1,1)( ????? () 在訓(xùn)練樣本 是 線性可分的 情形 下，要求分類超平面不僅將各類樣本沒有錯(cuò)誤的分開，而且要使分類間隔最大，前者是為了保證經(jīng)驗(yàn)風(fēng)險(xiǎn) 為 最小，后者則是為了使置信區(qū)間 是 最小，從而使結(jié)構(gòu)風(fēng)險(xiǎn)最小。通過選擇不為零的 i? ，解出 b 。 線性軟間隔分類器 關(guān) 于線性可分問題，可用線性硬間隔分類器來求出分類超平面， 但是 ，線性硬間隔分類器只能用于 特征空間中線性可分的訓(xùn)練集，然而在實(shí)際中，大多數(shù)情況下訓(xùn)練集會有噪聲，不能滿足線性可分性。也就是說，當(dāng)訓(xùn)練樣本線性可分 的條件 不滿足時(shí)，原問題的可行區(qū)域 為 空 集， 而對偶問題是無界的目標(biāo)函數(shù)，這樣 該 優(yōu)化問題 無解 。支持向量機(jī)就轉(zhuǎn)化為在式 ()的約束下，最小化式 ()，這是一個(gè)二次規(guī)劃問題，最優(yōu)解為下面