基于支持向量机简化算法的网络入侵检测系统.pdf

本发明一种基于支持向量机简化算法的网络入侵检测系统，该系统由顺次连接的网络数据捕获及提取模块、网络数据预处理模块、检测模块以及输出与响应模块组成，所述检测模块为精简SVM分类器，所述精简SVM分类器的判定函数为：f(x)＝sgn(∑Nsi=1αiyik(xi，x)+b)，其中(xi，yi)，i＝1，...，Ns就是所谓的支持向量，它们对应的拉格朗日乘子αi大于零，x为待分类的向量，Ns为支持向量的数量，b为偏置。该系统通过约简支持向量提高了SVM分类器的分类速度，从而使得基于此精简支持向量机的网络入侵检测系统的实时响应能力得到极大提高，同时保证系统比较低的误检率和漏检率。

1、  一种基于支持向量机简化算法的网络入侵检测系统，其特征在于：该系统由顺次连接的网络数据捕获及提取模块、网络数据预处理模块、检测模块以及输出与响应模块组成，所述检测模块为精简SVM分类器，所述精简SVM分类器的判定函数为：f(x)=sgn(Σi=1NSαiyik(xi,x)+b)---(1),]]>其中(x_i，y_i)，i＝1，...，Ns就是所谓的支持向量，它们对应的拉格朗日乘子α_i大于零，x为待分类的向量，Ns为支持向量的数量，b为偏置。

2、  如权利要求1所述的基于支持向量机简化算法的网络入侵检测系统，其特征在于：SVM分类器最优分类超平面所对应的向量w在形式上表示为所有支持向量在特征空间中的线性组合：

3、  如权利要求2所述的基于支持向量机简化算法的网络入侵检测系统，其特征在于：SVM分类器采用一个约简的向量集w_o(3)来代替原有的支持向量集w(2)：其中{z1,...,zNZ}∈Rd]]>就是约简向量集，β_i∈R为约简向量z_i所对应的权值，N_Z为约简向量集所包含的向量个数，并且N_Z＜N_S。

4、  如权利要求3所述的基于支持向量机简化算法的网络入侵检测系统，其特征在于：SVM分类器削减支持向量数目时，首先构造一个新的约简向量及其对应权值(z₁，β₁)来近似(2)式中的向量w，接着迭代地构建(z_m+1，β_m+1)来近似向量w_m，w_m的形式如下：

5、  如权利要求4所述的基于支持向量机简化算法的网络入侵检测系统，其特征在于：SVM分类器对高斯核函数采用不动点迭代法来寻找约简向量z，求约简向量z的迭代公式为：zn+1=Σi=1NSαiexp(-||xi-zn||2/(2σ2))xiΣi=1NSαiexp(-||xi-zn||2/(2σ2)).]]>

基于支持向量机简化算法的网络入侵检测系统
技术领域：
本发明涉及一种网络入侵检测系统，尤其涉及一种基于支持向量机简化算法的网络入侵检测系统。
背景技术：
入侵检测顾名思义，便是对入侵行为的发觉，它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。网络入侵检测所处理的数据是由多类攻击数据和正常数据构成的，因此网络入侵检测可以看作一个多分类问题。入侵检测系统的关键在于正常和异常行为模式库的建立。建立行为系统的方法主要有神经网络、数据挖掘等。这些方法有一个共同特点，就是所需要的训练数据量大，然而在入侵检测领域中能够获得的数据常常呈现出多变性、高维性和小样本，不能满足传统的统计方法的前提条件，以致误检率和漏检率都比较高。
支持向量机(Support Vector Machine，SVM)和核学习方法主要用于解决有限样本学习问题，而且对数据的维度和多变性不敏感，具有较好的分类精度和泛化能力，因此，它们被广泛应用于入侵检测系统，并取得了良好的检测效果。
然而，SVM分类器的分类速度取决于支持向量的数目，如果支持向量数目很大，分类器的分类速度会很慢。对于入侵检测这种实时性要求极高的系统，缓慢的检测速度将极大地影响其性能，使其不能及时地检测攻击并作出响应。
因此，需要一种分类速度快同时误检率和漏检率都比较低的网络入侵检测系统，以保证网络的正常使用。
发明内容：
为克服现有技术的上述缺陷，本发明基于支持向量机简化算法的网络入侵检测系统提出一种基于SVM简化算法网络入侵检测系统，通过约简支持向量提高了SVM分类器的分类速度，同时基于此精简支持向量机的网络入侵检测系统的实时响应能力得到极大提高。
为实现上述技术目的，本发明采用的技术方案如下：
一种基于支持向量机简化算法的网络入侵检测系统，该系统由顺次连接的网络数据捕获及提取模块、网络数据预处理模块、检测模块以及输出与响应模块组成，所述检测模块为精简SVM分类器，所述精简SVM分类器的判定函数为：f(x)=sgn(Σi=1NSαiyik(xi,x)+b)---(1),]]>其中(x_i，y_i)，i＝1，...，Ns就是所谓的支持向量，它们对应的拉格朗日乘子α_i大于零，x为待分类的向量，Ns为支持向量的数量，b为偏置。
本发明基于支持向量机简化算法的网络入侵检测系统与现有技术相比，具有如下有益效果：该系统通过约简支持向量提高了SVM分类器的分类速度，基于此精简支持向量机的网络入侵检测系统的实时响应能力得到了极大提高。
附图说明：
图1是本发明基于支持向量机简化算法的网络入侵检测系统的框图。
具体实施方式：
以下结合附图对本发明基于支持向量机简化算法的网络入侵检测系统作进一步描述。
本发明基于支持向量机简化算法的网络入侵检测系统，该系统由顺次连接的网络数据捕获及提取模块、网络数据预处理模块、检测模块以及输出与响应模块组成，所述检测模块为精简SVM分类器，所述精简SVM分类器的判定函数为：f(x)=sgn(Σi=1NSαiyik(xi,x)+b)---(1),]]>其中(x_i，y_i)，i＝1，...，Ns就是所谓的支持向量，它们对应的拉格朗日乘子α_i大于零，x为待分类的向量，Ns为支持向量的数量，b为偏置。
为描述方便起见，本发明中将类别信息集成进Lagrange乘子α_i中，下文的所有α_i都采用了类似处理，相应地，(1)式这个判定函数变更为：
f(x)=sgn(Σi=1NSαik(xi,x)+b)---(2)]]>
此时的α_i为不等于零的数。从(2)式可以看出，判定一个未知类别的样本所需要的时间和支持向量的数目成正比，因此，削减支持向量的数量能够有效地提高分类机的分类速度。
SVM分类器训练所得的最优分类超平面所对应的向量w在形式上表示为所有支持向量在特征空间中的线性组合：
本发明中SVM简化法试图采用一个约简的向量集来代替原有的支持向量集：

其中{z1,...,zNZ}∈Rd]]>就是约简向量集，β_i∈R为约简向量z_i所对应的权值，N_Z为约简向量集所包含的向量个数，并且N_Z＜N_S。这样，可以用w％代替w来判定未知类别的向量x，此时，SVM的判定函数形式如下：
f(x)=sgn(Σi=1NZβik(zi,x)+b)---(5)]]>
SVM简化法的目标就是在尽量减小分类精度损失的前提下，寻找最小的N_Z＝N_S和对应的约简向量集，形成一个精简的SVM分类器来提高分类速度。
在削减支持向量数目时，首先构造一个新的约简向量及其对应权值(z₁，β₁)来近似(3)式中的向量w，接着迭代地构建(z_m+1，β_m+1)来近似向量w_m，w_m的形式如下：

由于不可能精确地找到向量zm和对应权值β_m使向量w_m为零。所以只能通过非线性优化来寻找最小的δ，δ的形式如下式所示：

对于某些特殊的核函数如高斯核函数，SVM分类器采用不动点迭代法来寻找约简向量z，设(7)式导数为零，求约简向量z的迭代公式如下式所示：
zn+1=Σi=1NSαiexp(-||xi-zn||2/(2σ2))xiΣi=1NSαiexp(-||xi-zn||2/(2σ2))---(8)]]>
假设简化前后SVM分类器的支持向量分别为N_S，N_Z，以核函数的计算次数来度量，则原始SVM分类器预测一样本的时间复杂度为O(N_S)，精简SVM分类器对应的时间复杂度为O(N_Z)，由于N_Z＝N_S，所以精简SVM分类器比原始SVM分类器具有更低的分类复杂度。
本发明采用的KDD CUP 1999作为实验数据集。该数据集是Wenke Lee等人在1998年美国国防部高级研究计划局(DARPA)作IDS评测时所获得数据基础上恢复出来的连接信息。这批数据总共包含7个星期的网络流量，大约有500万条连接记录。由于原始数据集过于庞大，所以只有两个具有代表性的数据集被选取作为实验数据集，一个名为10Percent(训练集)，包含494,020条记录，另一个名为Correct(测试集)，包含311,029条记录。
入侵检测训练集包含正常网络流量数据和22个攻击类别，测试集除正常流量数据外还包含38个攻击类型。本实验将这两个数据集按照大的类型划分成5类，形成新的训练集和测试集。入侵检测训练和测试集的具体描述如表1所示。表1入侵检测数据集的训练及测试数据描述