多类支持向量机及其在入侵检测中的应用

摘要

随着互联网的发展,网络安全面临着更大的挑战。入侵检测技术是近年来获得快速发展的一种主动式网络安全技术,通过监控主机的状态或分析网络报文的内容,能够实时检测各种入侵企图及行为,并可采取响应措施阻止入侵活动的进一步破坏。支持向量机是建立在统计学习理论基础上的一种机器学习方法。它基于结构风险最小化原则,不但结构简单,而且对于有限样本具有更好的推广能力。特别是在高维数据空间下,有效的克服了维数灾难和过学习问题,已经在模式识别、文本分类等相关领域得到广泛的应用。将支持向量机应用到入侵检测中,在先验知识不足的情况下,支持向量机分类器仍有较好的分类正确率,从而使得整个入侵检测系统具有较好的检测性能。由于网络攻击行为的多样性,多类分类问题更加普遍,将多类支持向量机应用于入侵检测,对于入侵检测的研究有较强的实用性。本文研究和分析了常用的几种多类支持向量机算法,针对多类支持向量机算法在分类过程中产生不可分区域,训练和测试时间较长的问题,提出了改进算法。主要工作归结为以下几点：
　　 ⑴比较了常用的1-v-1 SVM、1-v-r SVM、DAG SVM、二叉树多类支持向量机等常用的多类支持向量机算法的优点和不足；
　　 ⑵对二叉树多类支持向量机进行了改进,在构建二叉树结构的过程中,让最易分割的类最早分割出来,然后再分不容易分的类。并且采用聚类分析中的类平均距离作为二叉树的生成算法；
　　 ⑶在多类支持向量机的研究基础上,本文给出了基于多类支持向量机的入侵检测模型,模型分为五个功能模块:数据采集模块、数据预处理模块、多类支持向量机训练模块、多类支持向量机检测模块、响应模块；
　　 ⑷利用KDDCUP99入侵检测标准数据集进行实验,验证了改进后的二叉树多类支持向量机算法的有效性。并将改进后的算法与1-v-r SVM、1-v-1 SVM多类支持向量机算法做对比实验。结果表明改进后的算法在保持了较高的检测精度的同时,提高了训练和检测速度。