基于多类支持向量机的协同入侵检测

摘要

互联网的兴起，用户爆炸性的增长，新的威胁和攻击不断出现，对网络的安全提出了新的挑战，尤其是海量数据、噪声处理以及在线学习问题，网络安全问题逐渐成为亟待解决的首要问题。
　　 入侵检测技术是区别防火墙的另外一种主动式的网络安全技术，根据监控主机的状态和分析网络报文，对网络行为进行分类，将网络行为分为正常行为和异常行为。从而检测各种入侵的企图和攻击，据此用户可采取有效防范措施。
　　 支持向量机是一种建立在统计学习理论上的新的机器学习方法。基于支持向量机具有全局最优、小样本、非线性等优势，将支持向量机应用到网络入侵检测中，有效地克服维数灾难、过学习、局部最小等问题，特别是在高维数据空间下，保证入侵检测的分类准确率，提高检测系统的性能，减少丢包率。
　　 本文主要研究了多类支持向量机算法与协同机制应用于网络入侵检测的有关问题，针对国内外的支持向量机的训练算法和分类机制进行深入研究，改进了基于多类支持向量机的协同入侵检测模型。本文主要工作包括：
　　 1.针对网络的海量数据流，单个检测代理很难应对现今高速数据流，导致丢包和无法全面的收集数据，对网络特征进行分析，最终导致检测率偏低，本文给出了基于多类支持向量机的协同入侵检测模型，根据协议将网络数据流分为TCP、UDP和ICMP数据流，并且对各个数据流的特点、选取适合算法构造TCP、UDP、ICMP检测代理，各个代理协同检测工作，提高检测系统的检测速度和准确率。
　　 2.针对现实样本数据往往都是不均衡的现状，本文给出一种改进的加权多类支持向量机分类方法，首先根据协议类型将训练样本进行属性简约，依据样本数量和样本性质设置样本初始权重，采用一对余类的方法构造基于加权的多类支持向量机模型。针对样本重合点以及样本离群点，本文将决策函数值进行归一化处理，采用组合策略最大优选策略，确定所属类别。
　　 3.针对本文的协同模型，从数据采集和分析任务分割协同、算法选择和结果的整合分析协同三个层次深入研究了协同机制。
　　 最后，本文使用LIB SVM平台对KDD99数据集进行相关的训练和测试，验证了多检测代理协同入侵检测的性能。