一種利用rst和svm進行網(wǎng)絡(luò)入侵檢測的方法
【專利摘要】本發(fā)明公開了一種利用RST和SVM進行網(wǎng)絡(luò)入侵檢測的方法����,結(jié)合單類支持向量機、支持向量機及約略集合理論(RoughSetsTheory,RST),進行網(wǎng)絡(luò)入侵檢測�,首先由單類支持向量機把正常流量和孤立流量分離出來,若判斷為正常流量����,則再使用支持向量機進行二次分類,以判斷流量為正常還是攻擊流量��;若判斷為孤立流量,則使用約略集合理論進行個別判斷�,以提高異常流量分類的正確率。經(jīng)過反復(fù)觀察訓(xùn)練��,本發(fā)明有效提高網(wǎng)絡(luò)監(jiān)測的識別性能�。
【專利說明】—種利用RST和SVM進行網(wǎng)絡(luò)入侵檢測的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明提出一種利用RST和SVM進行網(wǎng)絡(luò)入侵檢測的方法,系統(tǒng)提升對攻擊流量與正常流量判斷的正確率����,使網(wǎng)絡(luò)入侵系統(tǒng)發(fā)揮早期預(yù)警作用,保證網(wǎng)絡(luò)安全�。屬于計算機安全【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)規(guī)模不斷擴大及網(wǎng)絡(luò)應(yīng)用類型不斷增多�,網(wǎng)絡(luò)安全日益突出。截止2012年11月20日���,中國互聯(lián)網(wǎng)絡(luò)信息中心已累計認(rèn)定并處理釣魚網(wǎng)站100402個��,全球范圍內(nèi)中國被惡意軟件感染電腦的平均比率為54.10%�����,成為唯一一個感染率超過50%的國家���。由于網(wǎng)絡(luò)黑客培訓(xùn)興起以及黑客錄像的大量傳播�,加上黑客們的好奇心以及利用黑客手段獲取資料來謀取非法利益��,國內(nèi)越來越多的人愛好上入侵��。
[0003]目前����,我國網(wǎng)絡(luò)信息安全技術(shù)水平低�����,國內(nèi)計算機網(wǎng)絡(luò)安全系統(tǒng)所使用的各類硬件或軟件中���,具有自主知識產(chǎn)權(quán)的極少����,絕大部分都是從國外引進的產(chǎn)品�,特別是關(guān)鍵技術(shù)。因此努力提高我國網(wǎng)絡(luò)系統(tǒng)防護�����、入侵檢測系統(tǒng)性能的任務(wù)迫在眉睫�����。
[0004]入侵檢測主要通過監(jiān)控計算機網(wǎng)絡(luò)系統(tǒng)狀態(tài)、行為以及系統(tǒng)的使用情況����,來檢測系統(tǒng)外部的入侵者的攻擊行為。現(xiàn)在的政府�����、企業(yè)網(wǎng)絡(luò)環(huán)境中通常都配置入侵檢測或入侵防御系統(tǒng)�,以期在網(wǎng)絡(luò)入侵的異常行為出現(xiàn)時,可迅速發(fā)現(xiàn)并攔截��。所以如何將網(wǎng)絡(luò)正常流量與攻擊流量正確識別����,仍是目前入侵檢測技術(shù)人員所要持續(xù)改善的目標(biāo)。面對不斷更新的黑客技術(shù)��,研究入侵檢測系統(tǒng)檢測的正確率及效率仍是重點���。
[0005]入侵檢測系統(tǒng)依不同環(huán)境可分為網(wǎng)絡(luò)型���、無線網(wǎng)絡(luò)型及主機型入侵檢測系統(tǒng)���。網(wǎng)絡(luò)型入侵檢測系統(tǒng)在網(wǎng)絡(luò)流量過大時,系統(tǒng)無法及時處理����、有封包遺漏檢測的問題,還有硬件規(guī)格需求較高�����、無法檢測加密過的封包���。無線網(wǎng)絡(luò)型同網(wǎng)絡(luò)型的基本相似。主機型入侵檢測系統(tǒng)為單機使用��,而且影響安裝的主機本身的運行性能��。
[0006]現(xiàn)在入侵檢測的研究常以KDD的方式來進行�。分類使用的技術(shù)主要有決策樹、遺傳算法�、神經(jīng)網(wǎng)絡(luò)、統(tǒng)計分析等���。但分類復(fù)雜度高��,常造成難以在合理時間內(nèi)得出最佳結(jié)果����。使用支持向量機進行分類有不錯效果,能取得較好的正確率���,但無法產(chǎn)生決策規(guī)則�����,而且若直接使用支持向量機進行分類存在孤立樣本���,將影響分類結(jié)果。約略集合理論在進行分類前的離散和屬性簡化步驟��,有效減低樣本維度和計算機復(fù)雜度��,但若直接將樣本投入約略集合理論進行處理����,則可能產(chǎn)生過多的決策規(guī)則,且當(dāng)新進樣本不在規(guī)則中時則有無法分類的情況出現(xiàn)�。而在使用決策樹及關(guān)聯(lián)規(guī)則進行樣本分類����,雖能得到?jīng)Q策規(guī)則���,但需掃描多次樣本庫��,這樣使得效率減低���,仍可能造成網(wǎng)絡(luò)入侵檢測的瓶頸。
[0007]隨著入侵特征的復(fù)雜度不斷提高以及操作系統(tǒng)�����、軟件本身潛在的漏洞缺陷��,檢測系統(tǒng)的核心技術(shù)也應(yīng)不斷提聞���。
【發(fā)明內(nèi)容】
[0008]針對現(xiàn)有入侵檢測系統(tǒng)的不足,本發(fā)明提供一種利用RST和SVM進行網(wǎng)絡(luò)入侵檢測的方法�,結(jié)合多種分類器進行分類,提高入侵檢測系統(tǒng)的性能�����。
[0009]為了實現(xiàn)發(fā)明的目的,本發(fā)明選擇單類支持向量機算法��,結(jié)合約略集合理論與支持向量機算法對網(wǎng)絡(luò)流量進行分析��,取三種算法的優(yōu)點�����,提高分類效果���。操作步驟包括:
(1)利用單類支持向量機進行二元分類的特性��,將網(wǎng)絡(luò)流量的數(shù)據(jù)分類為正常數(shù)據(jù)流量和孤立數(shù)據(jù)��。
[0010]⑵若判為正常流量則以支持向量機進行二次分類�,分類為一般流量或攻擊流量���,這樣避免因過多的孤立流量而影響支持向量機的分類能力�。
[0011](3)將單一支持向量機判斷為孤立的網(wǎng)絡(luò)數(shù)據(jù)流量以約略集合理論進行分類����,可單獨考慮每一流量的獨有特性,提高孤立流量的檢測正確率�,并由屬性簡化而得到重要的決策屬性�����,再以約略集合決定多反應(yīng)變量的特性�����,調(diào)整決策屬性得到最佳分類結(jié)果��。
[0012](4)若判定為孤立流量且不在約略集合理論的專家規(guī)則中��,則直接判定為攻擊流量�,以避免新形態(tài)的攻擊流量無法被分類而造成漏報�����。
[0013]本文以非監(jiān)督式學(xué)習(xí)法的單類支持向量機�,先將流量分為孤立和非孤立樣本,目的可彌補監(jiān)督式學(xué)習(xí)�,像決策樹、支持向量機��、貝氏分類算法等方法因孤立流量而導(dǎo)致模型結(jié)果不理想的影響����。同時避免約略集合理論產(chǎn)生過多決策規(guī)則而影響分類效果,彌補單一算法可能造成網(wǎng)絡(luò)入侵檢測系統(tǒng)將單一流量誤報為攻擊流量的問題��。
[0014]
【專利附圖】
【附圖說明】
[0015]圖1是本發(fā)明的流程圖 圖2是系統(tǒng)檢測的結(jié)構(gòu)圖
圖3是本發(fā)明的TSR屬性縮減方法示意圖
【具體實施方式】
[0016]本發(fā)明采用的數(shù)據(jù)取自數(shù)據(jù)集KDD CUP99���。數(shù)據(jù)集分為Normal�����、PROBE����、DoS���、U2R��、R2L共5類網(wǎng)絡(luò)攻擊類型���,訓(xùn)練和測試樣本的結(jié)構(gòu)為:
【權(quán)利要求】
1.一種利用RST和SVM進行網(wǎng)絡(luò)入侵檢測的方法,其特征在于�,它包括如下步驟: (1)利用單類支持向量機進行二元分類的特性,將網(wǎng)絡(luò)流量的數(shù)據(jù)分類為正常數(shù)據(jù)流量和孤立數(shù)據(jù)���; ⑵若判為正常流量則以支持向量機進行二次分類��,分類為一般流量或攻擊流量��,這樣避免因過多的孤立流量而影響支持向量機的分類能力�; ⑶將單一支持向量機判斷為孤立的網(wǎng)絡(luò)數(shù)據(jù)流量以約略集合理論進行分類; 根據(jù)孤立的網(wǎng)絡(luò)數(shù)據(jù)集建立一個信息系統(tǒng)���,根據(jù)下式再建一個具有決策屬性的信息系統(tǒng):
【文檔編號】H04L29/06GK103888428SQ201210561568
【公開日】2014年6月25日 申請日期:2012年12月22日 優(yōu)先權(quán)日:2012年12月22日
【發(fā)明者】李蓉 申請人:李蓉