基于支持向量机的入侵检测系统与实现毕业论文(编辑修改稿)

基于支持向量机的入侵检测系统与实现毕业论文(编辑修改稿)内容摘要：

”的二分类问题 [4]。 入侵检测系统 (Intrusion Detection System)：是指 可以 执行入侵检测任务 并且 具有入侵检测功能的系统， 它 是由软件和硬件组成的。 入侵检测系统是防火墙的合理补充，对网络的使用进行监控，在不影响网络性能的情况供对内部攻击、外部攻击和误操作的实时保护。 入侵检测的原 理 实际 上，入侵检测系统 (Intrusion Detection System， IDS)事先会在网络上“默默”的收集所有相关的数据信息，在数据收集的基础上提取出相应的流量统计特征值，根据这些特征值在知识库中进行对比，匹配耦合度较高的报文流量将被认为是对网络的攻击信息，入侵检测系统的工作阶段可分为四个阶段：数据收集、数据处理、数据分析和响应处理。 入侵检测系统工作原理如图 所示。 (1)数据收集： 通过分布的网络与主机上的若干监测点，收集主机日志、网络数据包、应用程序数据和防火墙日志，这些数据信息为其后进行 的检测提供数据基础。 (2)数据处理： 通过数据收集得到的数据往往存在噪声，而且数据量也非常巨大，对收集到的数据进行标准化，格式化的处理，可以为后续进行的数据分析提供一个良好的基础。 (3)数据分析： 通过采用统计学方法或者其他的智能算法，对处理过的数据进行相关的分析，来发现其中是否存在非正常数据。 (4)响应处理： 入侵发生时，入侵检测系统一旦检测到异常，就 会 主动采取措施 以 进行防护、保 存 入侵证据并通知 给 管理员等。 按照事先预设的异常处理程序，当入侵检测系统发现攻击信息后，可以自动完成诸如切断网络、记录日志， 给管理员发信息等相关动作。 图 2 IDS 的一般工作模式 攻击者 数据收集 数据处理 数据分析 响应处理 具有脆弱性的系统和网络 陕西理工学院毕业论文 入侵检测的分类 入侵检测系统 有多重分类 ，包括从体系结构来分类可以分成集中式 IDS、等级式 IDS、分布式 IDS；从同步性来分类可以分为实时连续式 IDS、间隔批处理式 IDS；从数据来源上分可以分成基于主机的 IDS、基于网络的 IDS、混合式 IDS、文件完整性检查式 IDS；从检测技术上来分可以分成异常检测式 IDS、误用检测式 IDS、协议分析 IDS；从响应方式上可以分为主动响应式 IDS、被动响应式 IDS；从时效性上可以分为联机分析式 IDS、脱机分析式 IDS。 入侵检测系统分类如图 所示。 图 3 IDS 分类 本文从入侵检测系统最常用的检测技术、数据来源、检测技术三种分类方法来分别探讨。 集中式 IDS 等级式 IDS 分布式 IDS 实时连续式 IDS 间隔批处理式 IDS 基于主机的 IDS 基于网络的 IDS 混合式 IDS 文件完整性检 查式 IDS 异常检测式 IDS 误用检测式 IDS 主动响应式 IDS 协议分析式 IDS 被动响应式 IDS 联机分析式 IDS 脱机分析式 IDS 体系结构 同步性 数据来源 检测技术 响应方式 时效性 入侵检测系统 (IDS) 陕西理工学院毕业论文 按照检测技术的 IDS 分类： （ 1）误用入侵检测 (Misuse Intrusion Detection)：误用入侵检测和入侵检测的方法，它是基于信息（知识，模式，等等）的已知的入侵攻击 [9]。 误用入侵检测的原理是它认为所有的入侵行为都可以用一种模 式来代表，入侵检测系统的工作就是判定被检测对象是不是与这种模式相符合。 这种工作模式决定了它只 可 检测到已知的攻击，而不能 发觉 新的攻击。 但误用入侵检测系统具有误报率低的特点。 图 7 给出了误用入侵检测的模型。 图 4 误用入侵检测的模型 （ 2）异常入侵检测 (Anomaly Intrusion Detection)：异常入侵检测检测系统攻击的方法是认为正常活动与入侵活动的区别显著，根据这一认识，就可以得到系统正常状态下的特性，而把所有与正常轨迹不同的系统状态认为 是可能的攻击信息。 但是有一点不好确定，就是如何设置异常阈值，只有合理的阈值，才能有效区分正常状态与非正常状态。 图 8 给出了异常入侵检测的模型。 图 5 异常入侵检测的模型 （ 3）协议分析：协议分析式一种新的入侵检测技术，它的理论基础模式匹配。 网络协议的一个特点就是高度有序性，而协议分析技术利用这个特点对数据包进行捕捉、协议分析和命令解析等技术，来确定某种攻击是不是存在。 协议分析技术的特点就是计算量小，检测速度快 [10]。 按照时效性的 IDS 分类： （ 1） 脱机分析：脱机分析顾名思义就是在攻击发生之后才进行的入侵检测手段，它不具有实时性。 它的这一特点使得它不能够实时的响应，但是它也具有一些不可忽略的优点，就是实时分析占用系统资源大，而脱机分析就不存在这一问题，不会影响整个系统的性能，这一特点在网络数据量极大时尤为突出。 （ 2）联机分析：联机分析与脱机分析相反，具有实时性，早期的联机分析系统会严重影响系统性能，但是随着硬件技术的快速发展，越来越多的入侵检测系统采用了联机分析，可以对攻击行为进行实时监测和响应。 按数据源的 IDS 分类： 匹配 规则 审计数据 信息处理 攻击 状态 修改当前规则 修改当前规则 时间信息 背离 统计 审计数据 系统处理 攻击 状态 动态产生新特征 更新特征 陕西理工学院毕业论文 （ 1）基于主机的 IDS(Hostbased Intrusion Detection System,HIDS)：基于主机的入侵检测系统是指 IDS 在被保护的主机上安装，主机上的系统审计日志是主要的数据源，依据该数据源进行分析和检查。 当系统受到攻击时，往往会首先破坏主机的审计数据，这就要赶在攻击者控制主机破坏审计数据与 IDS 之前，实时发出警报，采取相关措施。 （ 2）基于网络的 IDS (Networkbased Intrusion Detection System, NIDS)：基于网络的入侵检测系统在需要保护的网段之中安装，对网段中传 输的数据包进行实时的监控，对收集的数据信息进行分析，从中发现攻击信息。 它的最大优点就是和网络系统融为一体，不会因为入侵检测系统的运行而给网络与原系统增加负担；还有它对用户来说是透明的获取数据所用的监控器，这就使得攻击者不容易在网络中定位并破坏入侵检测系统。 （ 3）混合式 IDS：集中了基于主机 IDS 和基于网络的 IDS 的优点，它可以发现攻击 于系统主机日志，也可以发现攻击 于 网络中，是十分强大的主动防 卫 体系。 图 9 给出了一种混合式 IDS 的布置。 入侵检测技术的进展及发展趋势 由于非线性和高维 是 入侵检测领域中 所获得的数据具有 的 常 见 特点， 而 且数据往往不服从已知的某种分布， 如果用 传统统计学的方法检测 将难以凑效 ，因此，神经网络、 K 领域 、贝叶斯网络以及支持向量机等机器学习方法被用于入侵检测领域，其中 算法 支持向量机(Support Vector Machine,SVM)[14,15]是建立在统计学习理论基础上， 是一种 机器学习方法 ，以结构风险最小化 作 为 其 准则， 以其 具有结构简单、全局优化、训练时间短、泛化性能好等优点， 可以 较好的解决了高维、非线性、小样本等问题。 有很多学者在这方面做了不少努力，文献 [8,19,20]均是采用支 持向量机进行入侵检测，获得了不错的效果，这进一步显示了支持向量机优于其他分类算法的性能。 另外，还有一些学者将粗糙集理论和支持向量机理论结合来开发一些新的检测算法 [8]，同样取得了较好的效果。 入侵检测技术 是 一种主动的网络安全防御手段，其不仅能应对网络外部的攻击，而且能够处理来自网络自身的攻击，这些特点是能够弥补防火墙技术的不足的。 入侵检测系统的主要发展趋势有如下的几个方面： (1)面向 Ipv6 的 IDS： Ipv6 标准时下一代互联网采用的协议标准，它与现有的 IPv4 协议相比，地址空间极大地扩充。 地址空间的扩充， 使得超大规模网络环境的出现成为可能。 由于 Ipv6 协议本身就具有加密和认证的功能，这就使得入侵检测系统对网路数据包的监听更加困难了。 为了 解决这个问题，需要 有 面向 Ipv6 的入侵检测系统具有融合分布式体系结构和高性能计算技术。 (2)高速入侵检测：计算机网络的数据连接以及交换设备的速度越来越高，这些硬件设备性能的快速提升，带来了一个新的问题，就是入侵检测系统如何应对数量巨大的，且高速的数据交换环境。 这就要求入侵检测系统需要具有强大的数据处理能力，以满足高速网络的需求，这有要求新的入侵检测系统要重新设计软件结构与算 法。 (3)大规模、分布式的入侵检测：分布式入侵检测系统最典型的例子就是基于网络的入侵检测系统，这种入侵检测系统仍然具有单点失效的问题，这是由于基于网络的入侵检测系统存在一个中心模块管理入侵检测系统。 获得安全信息在异构主机以及异构网络，使入侵检测系统中各模块的合作时间，并成为未来的重点。 (4)标准化的入侵检测：入侵检测系统对网络安全防护来说，是一个不可或缺的技术手段，越来越多的企业在开发入侵检测系统，并投放市场。 这就带来了一个问题，不同企业开发的入侵检测系统之间的数据交换工作是非常困难的，各个企业的入侵检 测系统不能协同工作，这就需要制定一个广大企业都能够接受的统一规范，使得各企业开发的入侵检测系统具陕西理工学院毕业论文 有通用化和标准化。 (5)入侵检测系统与其他安全技术的配合使用：入侵检测系统相对于其他网络安全技术有不可替代的优势，但也不是万能的，也存在一些局限性。 入侵检测系统与其他安全技术配合使用，可以取得更好的网络安全防护。 这就需要入侵检测系统安全开放的数据接口，让入侵检测系统与其他网络安全技术能够进行安全的数据交换。 这些安全措施都 是受 控制 于 系统统一的安全管理策略 [3]。 小结 本章首先介绍了入侵检测的概念，指出了 入侵检测的用途和目的；其次，通过介绍入侵检测的原理及其分类，指出了入侵检测系统的基本原理与工作模式；最后，本文作者在阅读相关文献的基础上总结了当前入侵检测技术的进展和发展趋势，指明了当前学界对入侵检测常用的方法和技术。 陕西理工学院毕业论文 支持向量机的基本原理 建立在统计学习理论和结构风险最小化原理基础上的支持向量机是 一种 新型学习机器[2]。 支持向量机 的 理论完备，并且 具 有 较 好的学习能力和推广能力，已经成为国内外研究的一个热点。 其基本思想是通过非线性映射将输入空间映射到高维空间，在构造一个间隔最大的分类超平面，使得离分类超平面最近的样本之间的距离最大。 线性硬间隔分类器 支持向量机中最早提出的模型是最大间隔分类器，也称为线性硬间隔分类器。 给定样本集 },1,1{,) } ,(,),(),{( 2211  idill yRxyxyxyx 其中 l 为样本 基数 ， d 是每个训练样本向量的维数， y 表示分类 类别。 图 中，方框点代表 1iy 的训练样本，圆点 表示 1iy的训练样本，中间的实线 是 最优超平面，其 相邻 的两个虚线分别为过各类中离分类超平面最近的样本且平行于最优超平面的平面，它们之间的距离就是分类间隔。 位于两虚线上的样本称为支持向量。 图 6 两类线性分划的最优超平面 该超平面可 表示为 0)(  bxw ，其中， w 是超平面的法线方向。 得到的分类函数为： )s gn ()( bxwxf  () 分类超平面 H 1H 分类间隔 w2 1)(  bxw 0)(  bxw 1)(  bxw 陕西理工学院毕业论文 由图 6 可知，平面 21 HHH 、 可表示为： 1:1:0:21bxwHbxwHbxwH () 将式 ()进行归一化处理后，得到 ),( bw 的约束条件，即样本集需满足下面的不等式： libxwy i ,2,1,1)(  () 在训练样本 是 线性可分的 情形 下，要求分类超平面不仅将各类样本没有错误的分开，而且要使分类间隔最大，前者是为了保证经验风险 为 最小，后者则是为了使置信区间 是 最小，从而使结构风险最小。 分类超平面的分类间隔为 w2 ，使间隔最大等价于 w 最小，因此，在线性可分条件下构造最优超平面，就转化为下面的二次规划问题： libxwytsii ,2,1,1))((..)(21)(m i n () 式 ()可以转化为一个较简单的对偶二。