專利名稱:一種面向多類入侵的異常檢測方法
技術(shù)領(lǐng)域:
本發(fā)明是一種異常檢測技術(shù)方案�,基于網(wǎng)絡(luò)攻擊的多樣性考慮,該方法提取數(shù)據(jù)包的頭部和應(yīng)用層數(shù)據(jù)�,利用粗糙集屬性約簡和支持向量機技術(shù)進行異常檢測,屬于計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�。
背景技術(shù):
隨著網(wǎng)絡(luò)入侵行為發(fā)生的頻率和網(wǎng)絡(luò)入侵的種類日益增加,設(shè)計出好的入侵檢測方案成為了許多人研究的熱點�����。從入侵檢測的策略來看��,入侵檢測模型主要有兩種即誤用檢測和異常檢測����。誤用檢測是希望用某種規(guī)則或模式預(yù)先標(biāo)識特定的入侵行為,并在此基礎(chǔ)上將所捕獲到的與待檢測目標(biāo)有關(guān)的流量同入侵規(guī)則或模式進行比較��,以期能從流量中發(fā)現(xiàn)與規(guī)則或模式對應(yīng)的某種特定的入侵行為�����。誤用檢測的優(yōu)點是可以有針對性地建立高效的入侵檢測系統(tǒng),其精確性較高��,主要缺陷是不能檢測未知的入侵��,也不能檢測已知入侵的變種�����,因此可能發(fā)生漏報�。異常入侵由用戶的異常行為和對計算機資源的異常使用產(chǎn)生。 異常檢測需要建立目標(biāo)系統(tǒng)及其用戶的正?�;顒幽P?����,然后基于這個模型對系統(tǒng)和用戶的實際活動進行審計��,以判定用戶的行為是否對系統(tǒng)構(gòu)成威脅��。異常檢測的優(yōu)點是不需要有系統(tǒng)缺陷的知識�����,有較強的適應(yīng)性���,缺點是難于提取完整的用戶正常行為特征��?��?傆^現(xiàn)在的異常檢測發(fā)展現(xiàn)狀,大多數(shù)檢測方法都是針對某一特定的攻擊而設(shè)計����,遠(yuǎn)遠(yuǎn)不能應(yīng)付入侵手段日益多樣化所引發(fā)的需求。少數(shù)異常檢測方法試圖檢測各種類型的攻擊���,在特征提取方面包含了各種屬性���,所要處理的數(shù)據(jù)量非常大,從而影響檢測率且耗費巨大��。粗糙集理論作為一種較新的機器學(xué)習(xí)方法�,在處理不確定的知識、消除冗余信息和發(fā)現(xiàn)樣本數(shù)據(jù)屬性之間的本質(zhì)關(guān)系上具有突出的優(yōu)勢����,它不依賴模型的先驗知識,提供了一套完整的條件屬性約簡和值約簡方法��,從而可以找到描述系統(tǒng)正常模型的最小預(yù)測規(guī)則集,為完成特征屬性選擇和提高檢測速度提供了新的途徑���。支持向量機(SVM)作為一種基于有限樣本的統(tǒng)計理論����,因其許多特有的優(yōu)勢�����,可用于解決小樣本��、非線性及高維數(shù)據(jù)處理問題等�����。支持向量機方法最初是針對二類別的分類提出的�����,如何將二類別方法擴展到多類別是如今研究的一個熱點����。目前已有的方法有一對多方法����、一對一方法�、線性規(guī)劃求解方法�、有向無環(huán)圖多類SVM算法(DAG-SVM)、糾錯編碼 SVM(ECC-SVM)等�����,但在綜合考慮訓(xùn)練速度����、判別速度和準(zhǔn)確率,以上這些算法的實際有效性和多類SVM的優(yōu)化設(shè)計仍需進一步的研究���。
發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是基于入侵種類的多樣性�,提出一種面向多類入侵的異常檢測方法��。通過分析各類攻擊的特點�,該方法提取了基本特征、流量特征及內(nèi)容特征����,并用粗糙集理論技術(shù)對大量的特征屬性作約簡,再結(jié)合一種基于二叉樹的多分類SVM實現(xiàn)多類異常檢測。
技術(shù)方案本發(fā)明的實現(xiàn)是將多種特征提取�����、粗糙集屬性約簡與支持向量機有機結(jié)合起來從而提供一種面向多類入侵的異常檢測方法�。特征提取部分同時考慮數(shù)據(jù)包頭的相關(guān)字段和應(yīng)用層信息以有效檢測各類攻擊;粗糙集屬性約簡對提取出的大量數(shù)據(jù)特征屬性作處理�����,消除其中的冗余信息�����,得到最小屬性子集���;最后用SVM良好的分類性能���,對粗糙集約簡后的最小屬性子集進行分類,實現(xiàn)入侵檢測的快速分類性能���。其中多分類SVM算法在傳統(tǒng)的“一對多”方法和“一對一”方法�、線性規(guī)劃求解方法�����、有向無環(huán)圖多類SVM算法 (DAG-SVM)�����、糾錯編碼SVM(ECC-SVM)等基礎(chǔ)上采用了一種基于二叉樹的多分類SVM方法���。實現(xiàn)本發(fā)明的方法步驟如下1).對原始數(shù)據(jù)集進行預(yù)處理����,識別出完整的請求報文���,再以服務(wù)類型劃分網(wǎng)絡(luò)連接���,以提取相關(guān)特征;2).特征提取單元通過分析各類攻擊的特點���,考慮數(shù)據(jù)包頭部的相關(guān)字段的同時結(jié)合應(yīng)用層信息����,提取包括基本特征��、流量特征和內(nèi)容特征的三種特征,其中基本特征主要考慮hternet協(xié)議(IP)包��、傳輸控制協(xié)議(TCP)包���、用戶數(shù)據(jù)報協(xié)議(UDP)包��、Internet 控制報文協(xié)議(ICMP)包�����,流量特征主要是短時間內(nèi)網(wǎng)絡(luò)流量和主機的特征��,內(nèi)容特征主要是連接請求的長度和連接請求負(fù)載的若干字節(jié)��;3).采用基于區(qū)分矩陣的屬性約簡算法對提取出的大量數(shù)據(jù)特征屬性作處理���,刪除其中的冗余屬性,得到約簡的屬性集����,然后按照約簡后的屬性集從原訓(xùn)練數(shù)據(jù)中提取數(shù)據(jù),成為新的訓(xùn)練數(shù)據(jù)��,傳送到支持向量機SVM模塊進行訓(xùn)練并分類��;4).采用基于二叉樹的多分類SVM方法對粗糙集約簡后的最小屬性子集進行分類,實現(xiàn)入侵檢測的快速分類性能�。步驟4)中的基于二叉樹的多分類SVM方法的實現(xiàn)步驟如下1).將所有類別分成兩個子類;2).將子類進一步劃分成兩個次級子類�,如此循環(huán)下去,直到所有的節(jié)點都只包含一個單獨的類別為止���,此節(jié)點也是二叉樹中的葉子,這樣就得到一個倒立的二叉分類樹���;3).根據(jù)生成的二叉樹�,利用二值SVM訓(xùn)練算法構(gòu)造二叉樹各內(nèi)節(jié)點的最優(yōu)超平a.以第Ill類樣本為正樣本集��,其他樣本為負(fù)樣本集���,利用SVM訓(xùn)練算法構(gòu)造根節(jié)點處的二值SVM子分類器����;b.以第 類樣本為正樣本集�,第n3,L�,nk類樣本為負(fù)樣本集,構(gòu)造第二個內(nèi)節(jié)點的二值SVM子分類器�,依次下去�����,直到所有的二值子分類器訓(xùn)練完�,從而可得到基于二叉樹的多類別SVM分類模型�����。圖1是網(wǎng)絡(luò)異常檢測整體上的一般流程�����,特征提取和特征處理是其核心單元�����,本發(fā)明也是通過改進這兩個單元最終實現(xiàn)異常檢測方法的改進��。該一般流程圖中的特征處理單元在本發(fā)明中就相當(dāng)于一個基于粗糙集屬性約簡的SVM算法流程����,具體如圖2所示。將本發(fā)明的特征提取和特征處理方法應(yīng)用到網(wǎng)絡(luò)異常檢測的一般流程中就可以得到如圖3所示的本發(fā)明的體系結(jié)構(gòu)圖���。下面是本發(fā)明的主要工作流程先對原始數(shù)據(jù)集作預(yù)處理�����,識別出完整的請求報文�,以服務(wù)類型劃分網(wǎng)絡(luò)連接,從連接中提取相關(guān)特征�����。
特征提取單元為了能有效檢測各類攻擊(包括流量型攻擊和應(yīng)用型攻擊)�����,通過分析各類攻擊的特點�,考慮數(shù)據(jù)包頭部的相關(guān)字段的同時結(jié)合應(yīng)用層信息���,提取了基本特征��、流量特征和內(nèi)容特征��。粗糙集預(yù)分類器使用粗糙集的約簡方法對決策表進行約簡�����。對于知識約簡是在保持知識庫的分類和決策能力不變的條件下刪除不相關(guān)或不重要的屬性�����。因此經(jīng)過粗糙集與分類器后����,大大消除了冗余信息,減少了 SVM訓(xùn)練數(shù)據(jù)�。數(shù)據(jù)的特征屬性在傳到該單元之前應(yīng)先作再處理,使數(shù)據(jù)變換成粗糙集所能處理的數(shù)據(jù)���。SVM分類器用于對約簡后的數(shù)據(jù)向量進行分類���,產(chǎn)生判別結(jié)果。判別結(jié)果可以直接作為整個入侵檢測系統(tǒng)的輸出�����。粗糙集預(yù)分類器和SVM分類器作為特征處理模塊�,其流程如圖2所示。訓(xùn)練樣本集首先從再處理(即將提取的特征屬性值進行量化)后的特征屬性數(shù)據(jù)中產(chǎn)生��。量化后的屬性值形成一張二維表格�����,每一行描述一個對象,每一列描述對象的一種屬性��。屬性分條件屬件和決策屬性�。決策表約簡包括條件屬性簡化和決策規(guī)則簡化。前者指去掉某一屬性后����,考察決策表的相容性,如果去掉該屬性后決策表是相容的���,就去掉該屬性�,直到?jīng)Q策表最簡為止�。后者是在條件屬性簡化后的決策表中�����,去掉樣本集中的重復(fù)信息�����,考察剩下的訓(xùn)練集��, 每一條規(guī)則中哪些屬性值是冗余的����,去掉冗余信息和重復(fù)信息后���,就得到最小決策算法。也可以先簡化每一條決策規(guī)則�����,再簡化條件屬性�。從而得到最小條件屬性集。采用約簡得到的最小條件屬性集及相應(yīng)的原始數(shù)據(jù)重新形成新的訓(xùn)練樣本集����。該樣本集除去所有不必要的條件屬性,僅保留了影響預(yù)測精度的重要屬性����。用約簡后形成的訓(xùn)練樣本對SVM進行學(xué)習(xí)和訓(xùn)練。最后輸入按照最小條件屬性集及相應(yīng)的原始數(shù)據(jù)重新形成的測試樣本集���,對系統(tǒng)進行測試�,輸出預(yù)測結(jié)果���。有益效果和目前存在的大多數(shù)異常檢測方法相比����,本發(fā)明有效克服了其他方法只能檢測單一類型攻擊的不足,并通過簡化數(shù)據(jù)量實現(xiàn)了檢測時間的縮短和效率的提高���。 具體在于通過提取數(shù)據(jù)的基本特征����、流量特征和內(nèi)容特征���,有效彌補了傳統(tǒng)流量模型僅提取數(shù)據(jù)包頭部字段而應(yīng)用模型僅對負(fù)載進行分析的缺陷�����,從而實現(xiàn)對各類網(wǎng)絡(luò)攻擊的有效檢測����。本發(fā)明將粗糙集理論方法和SVM方法結(jié)合起來提供特征處理模塊�����,這有效實現(xiàn)了兩者的優(yōu)勢互補��。粗糙集和SVM方法的互補性在于1)SVM處理信息一般不能將輸入信息空間維數(shù)簡化���,所以當(dāng)輸入信息空間維數(shù)較大時���,就會導(dǎo)致SVM訓(xùn)練時間較長,而粗糙集理論方法卻能夠通過發(fā)現(xiàn)數(shù)據(jù)間的關(guān)系���,去掉數(shù)據(jù)中的冗余信息��,并簡化輸入信息的數(shù)據(jù)空間的維數(shù)���;2)粗糙集方法在實際應(yīng)用過程中對噪聲比較敏感,因而將無噪聲的訓(xùn)練樣本學(xué)習(xí)推理的結(jié)果應(yīng)用于有噪聲的環(huán)境中效果就不太好��,也就是說粗糙集方法的泛化性能較差���。 而SVM方法則具有較好的抑制噪聲干擾的能力和良好的泛化能力����。因而利用這種互補性把兩者結(jié)合起來��,先用粗糙集對數(shù)據(jù)進行先行處理�,即把粗糙集作為前置系統(tǒng)����,再根據(jù)粗糙集預(yù)處理后的信息結(jié)構(gòu)�����,來構(gòu)成SVM的信息預(yù)測系統(tǒng)�,這種結(jié)合具備以下3個明顯的優(yōu)點 (1)利用粗糙集方法減少信息表達的特征數(shù)量,使SVM輸入端數(shù)據(jù)數(shù)量大大減少����,提高了系統(tǒng)的速度;(2)利用粗糙集方法去掉冗余信息后����,簡化了訓(xùn)練樣本集,也縮短了系統(tǒng)的訓(xùn)練時間�����;(3)把SVM作為后置的信息處理系統(tǒng)��,具有容錯和抗干擾的能力��。CN 102420723 A
說明書
4/6頁本發(fā)明采用有別于傳統(tǒng)的基于二叉樹的SVM多分類模型����,具有以下優(yōu)點一、保留“一對多”方法的所需要訓(xùn)練支持向量機數(shù)量少����、以及用于決策的分類器數(shù)量少的優(yōu)點?���?朔涿總€兩類支持向量機訓(xùn)練樣本多、訓(xùn)練速度慢的缺點�����,克服其在決策時存在同時屬于多類或不屬于任何一類的區(qū)域的缺點��。二����、吸取“一對一”方法的每個二類支持向量機訓(xùn)練樣本少、訓(xùn)練時間短的優(yōu)點�����。三��、吸取有向無環(huán)圖SVM方法決策速度快的優(yōu)點,克服其在特殊情況下決策結(jié)果不確定的缺點�。
圖1是網(wǎng)絡(luò)異常檢測一般流程圖。圖2是基于粗糙集屬性簡約的SVM算法流程圖���。圖3是本發(fā)明的體系結(jié)構(gòu)圖���。圖4是多類別SVM分類模型的二叉樹結(jié)構(gòu)圖。
具體實施例方式圖1所示的是網(wǎng)絡(luò)異常檢測的一般流程圖�,將本發(fā)明提出的特征提取和特征處理模塊嵌入到圖1中,就得到了本發(fā)明的總體框架�,如圖3所示。各個模塊組件的實施方式具體如下1.預(yù)處理數(shù)據(jù)源或原始數(shù)據(jù)集在被提取特征之前先經(jīng)過預(yù)處理��,以識別出完整的請求報文�����,再以服務(wù)類型劃分網(wǎng)絡(luò)連接����,從而在連接中提取相關(guān)特征,用于訓(xùn)練和檢測����。訓(xùn)練階段一般采用純凈數(shù)據(jù)獲得正常模型��,檢測階段采用帶有攻擊的數(shù)據(jù)集��,通過計算與正常模型的偏差大小來判定數(shù)據(jù)是否異常。2.特征提取體征提取既要完備又要準(zhǔn)確���、簡潔����,才能提高檢測率�、降低誤報率并達到較好的實時性。為了能有效檢測各類攻擊(包括流量型攻擊和應(yīng)用型攻擊)����,通過分析各類攻擊的特點,考慮數(shù)據(jù)包頭部的相關(guān)字段的同時結(jié)合應(yīng)用層信息����,提取了基本特征、流量特征和內(nèi)容特征�。這樣彌補了傳統(tǒng)流量模型僅提取數(shù)據(jù)包頭部字段而應(yīng)用模型僅對負(fù)載進行分析的缺陷。(1)基本特征由于TCP/IP協(xié)議是目前使用最廣泛的網(wǎng)絡(luò)互聯(lián)協(xié)議�����,TCP/IP協(xié)議本身的安全性漏洞給了攻擊者可乘之機,因此本發(fā)明主要考慮IP�、TCP、UDP�、ICMP包。很多攻擊會在數(shù)據(jù)包頭留下痕跡�,因此可以提取包頭的若干有效字段。對于IP數(shù)據(jù)包��,可以提取源地址����、目的地址、協(xié)議類型�����、時間戳�、標(biāo)識。因為有些攻擊者會利用偽IP來實施攻擊���,如Land攻擊(攻擊所產(chǎn)生的源IP與目的IP相同)��。提取協(xié)議類型是因為利用不同的協(xié)議可實施不同的攻擊行為���。有些攻擊是通過頻繁發(fā)送數(shù)據(jù)包以耗盡目標(biāo)機資源���, 因此可提取時間戳。對于TCP包可以提取TCP標(biāo)識位�、源端口、目的端口 �;對于UDP包可提取源端口��、目的端口 ����;對于ICMP包可提取類型字段、代碼字段����。(2)流量特征
DoS和Probe等攻擊中,入侵特征主要體現(xiàn)在短時間內(nèi)網(wǎng)絡(luò)流量和主機的流量特征����。如過去兩秒內(nèi)錯誤SYN數(shù)據(jù)包連接個數(shù),同一主機與目標(biāo)主機的連接數(shù)�����;對目標(biāo)主機的不同端口進行的連接嘗試等。(3)內(nèi)容特征U2R和R2L攻擊一般都潛藏在數(shù)據(jù)包的負(fù)載部分��,且從單一的數(shù)據(jù)包分析和正常連接沒有什么區(qū)別�。特定類型的請求長度變化不大,有些攻擊發(fā)生時會使請求長度明顯增大�����,如緩沖區(qū)溢出����。因此可將請求長度(連續(xù)發(fā)送的字節(jié)數(shù))作為一個重要特征。另外可以提取一個連接請求負(fù)載的若干字節(jié)����。3.特征處理特征處理包含前置部分和后置部分,前置部分用粗糙集理論方法實現(xiàn)提取的特征屬性的約簡�,減少信息表達的特征數(shù)量,使SVM輸入端數(shù)據(jù)數(shù)量大大減少�。后置部分用基于二叉樹的多類SVM方法實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的分類檢測。(1)粗糙集屬性約簡采用基于區(qū)分矩陣的屬性約簡算法對部分或全部數(shù)據(jù)進行屬性約簡���,刪除其中的冗余屬性���,得到約簡的屬性集。然后按照約簡后的屬性集從原訓(xùn)練數(shù)據(jù)中提取數(shù)據(jù),成為新的訓(xùn)練數(shù)據(jù)�����,傳送到SVM模塊進行訓(xùn)練并分類�。在屬性約簡時不能簡單的把一個最優(yōu)性約簡結(jié)果拿來使用,而要根據(jù)實際情況和經(jīng)驗來保留幾組最優(yōu)或較優(yōu)的約簡屬性集����,并取它們的并集作為約簡結(jié)果來使用。采取這種做法的原因是����,一是可以在降低計算復(fù)雜度的同時提高分類器的可靠性�,在簡單使用單一約簡結(jié)果的情況下,當(dāng)遇到數(shù)據(jù)噪聲或者部分屬性數(shù)據(jù)缺失時��,分類精度會受到嚴(yán)重影響����,采用多個屬性約簡結(jié)果的并集不會導(dǎo)致分類準(zhǔn)確率大幅降低。二是在采用標(biāo)準(zhǔn)支持向量機作為基本訓(xùn)練算法的情況下�,使用單一約簡結(jié)果時,由于分類信息的減少�����,相同參數(shù)下支持向量的個數(shù)遠(yuǎn)遠(yuǎn)大于未進行約簡時的個數(shù),由于支持向量往往被保留下來進入下一輪的訓(xùn)練�����,所以導(dǎo)致后面參加訓(xùn)練的樣本數(shù)目較大��, 影響算法效率�,訓(xùn)練時間不降反增。當(dāng)采用多個屬性約簡結(jié)果的組合�,屬性數(shù)量達到一定數(shù)目時,這種情況可以避免����。(2)基于二叉樹的多分類SVM根據(jù)通常使用的支持向量機多分類方法,本發(fā)明采用一種基于二叉樹的改進的多分類支持向量機訓(xùn)練與決策方法���。入侵檢測的數(shù)據(jù)集共分為五類數(shù)據(jù)�,正常的網(wǎng)絡(luò)數(shù)據(jù)和4類攻擊數(shù)據(jù)����,這4類攻擊數(shù)據(jù)分別為I^robing,Denial of Service (DoS)����, User-to-Root (U2R)和Remote-to-Local (R2L)����??梢詷?gòu)建4個兩類SVM分類器。下面具體介紹訓(xùn)練樣本的選擇方案和支持向量機的決策方案����。(a)訓(xùn)練樣本的選擇方案其方案思想是對k類問題構(gòu)建k-Ι個兩類分類器,第一個兩類分類器以第一類樣本為正類�����,其余為負(fù)類����;第二個兩類分類器排除第一類樣本�����,以第二類樣本為正類����,其余樣本為負(fù)類����;第三個兩類分類器排除前兩類樣本�,以第三類樣本為正類,其余樣本為負(fù)類����;……第k-Ι個兩類分類器以k-Ι類樣本為正類,k類樣本為負(fù)類�。本方案總共訓(xùn)練樣本數(shù)近似為“一對多”方法及“一對一”方法的一半。(b)支持向量機的決策方案為了吸取有向無環(huán)圖多分類SVM方法中決策時需要的分類器少以及決策速度快的優(yōu)點����,本發(fā)明采用一種將二叉樹與支持向量機相結(jié)合的決策方法?���;诙鏄涞亩囝怱VM首先將所有類別分成兩個子類,再將子類進一步劃分成兩個次級子類�,如此循環(huán)下去,直到所有的節(jié)點都只包含一個單獨的類別為止����,此節(jié)點也是二叉樹中的葉子,這樣就得到一個倒立的二叉分類樹��。該方法將原有的多類問題同樣分解成了一系列的兩類分類問題,其中兩個子類間的分類函數(shù)采用二值SVM�����。二叉樹方法可以避免傳統(tǒng)方法的不可分情況����,只需構(gòu)造k-Ι個二值SVM分類器,測試時并不一定需要計算所有的分類器判別函數(shù)����,從而可節(jié)省測試時間。具體的流程是首先是根據(jù)類標(biāo)號排序Ii1, n2, L�,nk,可生成如圖4所示的二叉樹�����, 然后根據(jù)生成的二叉樹���,利用二值SVM訓(xùn)練算法構(gòu)造二叉樹各內(nèi)節(jié)點的最優(yōu)超平面。以第 H1類樣本為正樣本集����,其他樣本為負(fù)樣本集����,利用SVM訓(xùn)練算法構(gòu)造根節(jié)點處的二值SVM子分類器�����。以第 類樣本為正樣本集�,第n3,L�,nk類樣本為負(fù)樣本集,構(gòu)造第二個內(nèi)節(jié)點的二值SVM子分類器����。依次下去,直到所有的二值子分類器訓(xùn)練完���,從而可得到基于二叉樹的多類別SVM分類模型�����。在有向無環(huán)圖多分類SVM方法當(dāng)中����,所有的測試樣本都必須經(jīng)過k-Ι次分類才能得到其所屬的類�����。而在本方案當(dāng)中,第1類的樣本只要經(jīng)過一次分類就可以得到其所屬的類�,第2類的樣本只須經(jīng)過兩次分類就可以得到其所屬的類,如此一直到第k-Ι和k類樣本��,須經(jīng)過k-Ι次分類得到其所屬的類��。因此從總體效果上看�,其決策時所需要經(jīng)過分類器的數(shù)量要大大少于有向無環(huán)圖多分類SVM方法。
權(quán)利要求
1.1����、一種面向多類入侵的異常檢測方法,其特征在于實現(xiàn)本方法步驟如下1).對原始數(shù)據(jù)集進行預(yù)處理����,識別出完整的請求報文,再以服務(wù)類型劃分網(wǎng)絡(luò)連接�, 以提取相關(guān)特征;2).特征提取單元通過分析各類攻擊的特點���,考慮數(shù)據(jù)包頭部的相關(guān)字段的同時結(jié)合應(yīng)用層信息���,提取包括基本特征、流量特征和內(nèi)容特征的三種特征���,其中基本特征主要考慮 Internet協(xié)議IP包����、傳輸控制協(xié)議TCP包���、用戶數(shù)據(jù)報協(xié)議UDP包�����、Internet控制報文協(xié)議ICMP包�����,流量特征主要是短時間內(nèi)網(wǎng)絡(luò)流量和主機的特征�����,內(nèi)容特征主要是連接請求的長度和連接請求負(fù)載的若干字節(jié)���;3).采用基于區(qū)分矩陣的屬性約簡算法對提取出的大量數(shù)據(jù)特征屬性作處理,刪除其中的冗余屬性,得到約簡的屬性集��,然后按照約簡后的屬性集從原訓(xùn)練數(shù)據(jù)中提取數(shù)據(jù)�����,成為新的訓(xùn)練數(shù)據(jù)��,傳送到支持向量機SVM模塊進行訓(xùn)練并分類����;4).采用基于二叉樹的多分類SVM方法對粗糙集約簡后的最小屬性子集進行分類,實現(xiàn)入侵檢測的快速分類性能���。
2.根據(jù)權(quán)利要求1所述的面向多類入侵的異常檢測方法�����,其特征在于步驟4)中的基于二叉樹的多分類SVM方法的實現(xiàn)步驟如下1).將所有類別分成兩個子類�;2).將子類進一步劃分成兩個次級子類�����,如此循環(huán)下去�����,直到所有的節(jié)點都只包含一個單獨的類別為止,此節(jié)點也是二叉樹中的葉子��,這樣就得到一個倒立的二叉分類樹����;3).根據(jù)生成的二叉樹�����,利用二值SVM訓(xùn)練算法構(gòu)造二叉樹各內(nèi)節(jié)點的最優(yōu)超平面a.以第1 類樣本為正樣本集���,其他樣本為負(fù)樣本集����,利用SVM訓(xùn)練算法構(gòu)造根節(jié)點處的二值SVM子分類器��;b.以第H2類樣本為正樣本集����,第&工^t類樣本為負(fù)樣本集,構(gòu)造第二個內(nèi)節(jié)點的二值 SVM子分類器���,依次下去�,直到所有的二值子分類器訓(xùn)練完,從而可得到基于二叉樹的多類別SVM分類模型���。
全文摘要
本發(fā)明的一種面向多類入侵的異常檢測方法實現(xiàn)步驟如下1).對原始數(shù)據(jù)集進行預(yù)處理�,識別出完整的請求報文�,再以服務(wù)類型劃分網(wǎng)絡(luò)連接,以提取相關(guān)特征����;2).特征提取單元通過分析各類攻擊的特點,考慮數(shù)據(jù)包頭部的相關(guān)字段的同時結(jié)合應(yīng)用層信息���,提取包括基本特征�、流量特征和內(nèi)容特征的三種特征���,3).采用基于區(qū)分矩陣的屬性約簡算法對提取出的大量數(shù)據(jù)特征屬性作處理��,刪除其中的冗余屬性��,得到約簡的屬性集�����,然后按照約簡后的屬性集從原訓(xùn)練數(shù)據(jù)中提取數(shù)據(jù)����,成為新的訓(xùn)練數(shù)據(jù),傳送到支持向量機SVM模塊進行訓(xùn)練并分類����;4).采用基于二叉樹的多分類SVM方法對粗糙集約簡后的最小屬性子集進行分類,實現(xiàn)入侵檢測的快速分類性能�。
文檔編號H04L29/06GK102420723SQ20111041863
公開日2012年4月18日 申請日期2011年12月14日 優(yōu)先權(quán)日2011年12月14日
發(fā)明者任勛益, 余洋, 祁正華, 陳丹偉, 顏芳 申請人:南京郵電大學(xué)