基于RSVM的异常入侵检测系统 李春梅,李学干 (西安电子科技大学 计算机学院陕西 西安710071)摘要:首先介绍了支持向量机及Robust支持向量机的分类算法,提出了Robust支持向量机的入侵检测的模型。并利用研究入侵检测系统的MIT′s Lincoln 实验室1998年收集的DARPA BSM的数据集,对Robust 支持向量机和普通的支持向量机的性...
基于RSVM的异常入侵检测系统
李春梅,李学干
(西安电子科技大学 计算机学院陕西 西安710071)
摘 要:首先介绍了支持向量机及Robust支持向量机的分类算法,提出了Robust支持向量机的入侵检测的模型;并利用研究入侵检测系统的MIT′s Lincoln 实验室1998年收集的DARPA BSM的数据集,对Robust 支持向量机和普通的支持向量机的性能进行了比较。
关键词:支持向量机;入侵检测;Robust 支持向量机;网络安全
Abnormal Intrusion Detection System Based on RSVM
LI Chunmei, LI Xuegan
(Academy of Computer, Xidian University,Xi′an, 710071, China)
Abstract:First, algorithm of support vector machine and Robu st support vector machine taxonomy are introduced Then the model of an intrusi on detection based on Robust support vector machines is presented And u sing the 1998 DARPA BSM data set collected at MIT′s Lincoln Labs to study intru sion detection systems, the performance of Robust support vector machines was co mpared with that of conventional support vector machines
Keywords:support vector machine; intrusion detection; Robust support vector machine; network security
随着计算机和网络技术应用的日益普及,计算机网络安全越来越受到
们的重视。入侵检测作为网络安全研究的重要内容,引起了
内外人士的广泛关注。支持向量机目前
一个很热门的研究方向,已被实验证明是一种有效的学习机。将支持向量机应用到入侵检测中,可以保证在经验知识不足的情况下,支持向量机的分类器仍然有较好的分类正确率,从而使整个入侵检测系统具有较好的检测性能。对支持向量机的算法进行改进后,采用了Robust支持向量机的学习方法,并建立了Robust支持向量机的入侵检测模型。
本文首先介绍了支持向量机的算法描述,并且引出了Robust 支持向量机的算法描述,然后提出了Robust支持向量机的入侵检测模型,并且对2种支持向量机的性能进行了比较,最后得出结论。
1支持向量机的算法描述
SVM是支持向量机的简称,他是一种基于统计学理论的模式识别方法,是统计学习理论中最年轻的内容,也是最实用的部分,其核心内容在1992~1995年间提出,目前仍处在不断发展阶段,详细内容
见文献[1~3]。支持向量机可用于模式识别、回归分析、主成分分析等。下面以模式分类为例介绍支持向量机的含义。
给定一组训练数据(x1,y1),…,(xl,yl),xi∈Rn,yi∈{+1,-1},i=1 ,2,…,l。要寻找一个分类规则I(x),使他能对未知类别的新样本(新样本与训练样本 独立同分布)做尽可能正确的划分。
支持向量机用于分类问题其实就是寻找一个最优分类超平面,把此平面作为分类决策面。同时他还通过引进核函数巧妙地解决了低维空间向量映射到高维空间向量时带来的“维数灾难”问题。
1.1VSM的算法描述
在训练集线性可分的情况下,SVM就是要构造一个最优超平面:
其中:SV表示支持向量;a0i是拉格朗日乘子。
在训练集线性不可分时,引进松弛因子ξi≥0及惩罚
平面,分类函数只要取I(x)=
1.2核函数
支持向量集的一个引人入胜的地方在于核函数的引入。低维空间向量集往往难以划分,因此,自然要把他们映射到高维空间,但随之而来的是计算复杂度大大增加,而核函数巧妙地解决了
个问题。
若函数K(x,y)满足Mercer式(2),则K(x,y)=φ(x)·φ(y),其中φ表示某个映射。只要适当的选择核函数就可得到对应高维空间的分类函数:
其中:K(x,y)=φ(x)·φ(y), φ(x),φ(y)是比x,y更高维的向量(不必知道φ的具体形式),由于K(x,y)只涉及x,y,因此计算没有涉及高维运算。
最后给出支持向量机的定义:分类函数类型为式(5)的学习机为支持向量机。
1.3RVSM的算法描述
Robust 支持向量机的算法中,引进了新的松弛变量
其中:φ(xi),i=1,2,…,l表示从输入空间到特征空间非
学习机称为Robust支持向量机。
2支持向量机的入侵检测系统
基于Robust支持向量机的入侵检测系统主要有审计数据预处理器、支持向量机的分类器、和决策系统3部分组成,如图1所示。审计数据预处理器用来对大量的系统审计记录进行处理和变换。由于支持向量机的分类器只能对维数相同的数字向量进行分类,但系统审计数据中的数据不但
度不尽相同,而且很有可能不是数字类型,所以必须将原始数据转换成支持向量机能够识别的数字向量。支持向量机的分类器对这些数字向量进行分类,产生判决结果。当然,这些判决结果可以直接作为整个入侵检测系统的输出,但为了进一步提高整个系统的正确率,可以设定一些判决准则,例如发生的数目、百分比等来进行最终的判定,这个过程是由判决系统完成的。
整个系统的工作过程分为2个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常的审计数据和异常的审计数据来训练支持向量机,得到关于支持向量机及其相应的参数。在检测阶段,审计数据预处理器先将未知的审计数据,处理成数字向量的形式,然后通过支持向量机的分类器,根据分类函数,对这些数字向量进行分类,并将分类结果提交给决策系统做出最后的判断。
3SVM检测方法和RSVM检测方法的性能比较
使用MIT′s 林肯实验室研究入侵检测收集的DARPA BSM数据集,仔细选择了28个不同的入侵方法进行训练。在这些入侵过程中,仅有一小部分是主动入侵。为了证明RSVM的性能,准备了2组不同的训练数据集一组是clean data,另一组是noisy data。clean dat a中含有300个正常的过程和28个入侵过程。而noisy data中有316个正常过程(其中含有1 6个标错的异常过程)和12个入侵过程。 Robust支持向量机和普通的支持向量机的性能比较如表1、表2所示。
虽然表1中显示的RSVMs和SVMs的漏报率相同,但是器检测过程在时间的花费上,却大不相同,对clean training data set下RSVMs 的用时只是SVMs的71%,而对于noisy training data set下RSVMs的用时只占SVMs的42%。
5结语
本文阐述了一种新的支持向量机的入侵检测方法,基于Robust支持向量机 的异常入侵检测,他比支持向量机的入侵检测能更有效地检测网络入侵。不仅有很高的检 测准确率、很低的误报率,并且其运行时间也比普通的支持向量机的入侵检测少。
参考文献
[1]Burges C J C.A Tutorial on Support Vector Machines fo r Pattern Recognition[J]. Data Mining and Knowledge Discorvery,1998,2(2);121 -167
[2]Vapnik V N.An Overview of Statistival Learning Theory[J].IEEE Transactions on Neural Networks,1999,10(5): 988-999.
[3]Hearst M A,Dumains S T, Osman E,etal.Support Vector Machines[J].IEEE Intelligent Systems,1998,13(4):18-28.
[4]Srinivas Mukkamala,Guadalupe Janoski,Andrew Sung Intrusion Detection:Support Vector Machines and Neural.Networks@cs.nmt.edu Department of Computer Science New Mexico Institute of Mining and . Technology Socorro,New Mexico 87801,2002
[5]Hu Wenjie.Robust Anomaly Detection Using SupportVector Ma chinesDepartment of Applied Science University of California, Davis wjhu@ucda bis,edu,2004
[6]Support Vector Machines, Trends & Controversies,1998,7:18 -28
