基于支持向量机的网络入侵检测.doc

1、基于支持向量机的网络入侵检测【摘要】本文阐述了网络入侵检测系统的概念，分析了网络入侵检测系统的功能，接着，本文进一步分析了入侵检测的必要性，在此基础上，本文研究了基于支持向量机的入侵检测系统，最后，简单总结了异常入侵检测方法。 【关键词】支持向量机；网络入侵；检测 中图分类号：TN711 文献标识码： A 文章编号： 一、前言 支持向量机的网络入侵检测非常重要，网络入侵的行为对于个人、团体以及国家都是极其不利的行为，因此，我们需要制定严格和有效的方法来开展基于支持向量机的网络入侵检测，以保证网络的安全，为我们更好的利用网络奠定基础。 二、网络入侵检测系统的概念和功能 入侵，简单的说就是未经授权

2、的访问，就是系统的一个使用者对系统的访问和操作超出了他的使用权限。入侵检测，顾名思义就是对入侵行为的发觉。根据 ICSA ( International Computer Security Association 国际计算机安全协会)的定义，入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象的一种安全技术。它针对计算机和网络资源上的恶意使用行为进行识别，并进行相应的处理，是防火墙的合理补充，可以帮助系统对付各种攻击，被认为是防火墙之后的第二道安全闸门。 入侵检测系统(Intrusion Dete

3、ction System，简称 IDS)是执行入侵检测的软件与硬件结合而成的计算机系统，是安全体系的一种防范措施，它试图检测、识别、和隔离入侵企图或计算机的未授权使用。入侵检测系统通过收集网络或系统中的有关信息和数据，进行分析，发现隐藏在其中的攻击者的足迹，并获取攻击证据和做出响应阻止攻击者的行为，最后进行数据恢复。与其它安全产品不同，入侵检测系统具有更多的智能，它可以将得到的数据进行分析，得出有用的结论，并采取适当的对抗措施。 具体来讲，入侵检测系统主要有以下功能: 1 监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作； 2 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；

4、 3 评估系统关键资源的和数据文件的完整性，检查系统程序和数据的一致性与正确性； 4 识别已知的攻击行为； 5 统计分析异常行为； 6 对操作系统进行日志管理，并识别违反安全策略的用户活动； 7 能够实时对检测到的入侵行为做出反应，如告警、中止进程、阻断连接等。 三、入侵检测的必要性 在我国，工 nternet 网络应用正处于高速发展阶段，电子政务、电子商务等新型应用不断出现。 然而，伴随互联网规模的日益发展，网络安全问题也显得越来越严重。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭到破坏、更改和泄露，系统能连续可靠正常地运行，网络服务不中断。网络安全是

5、一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论及信息论等多学科的综合性学科。广义上讲，凡是涉及到网络上信息的机密性(Confidentiality)、完整性(Integrity)，可用性(Availability)、真实性(Authenticity)和可控性(Controllability)的相关技术和理论都是网络安全所研究的领域。 四、基于支持向量机的入侵检测系统 基于支持向量机的入侵检测系统主要山审计数据预处理器、支持向量机分类器和决策系统 3 部分组成，审计数据预处理器用来对大量的系统审计纪录进行处理或变换。山于支持向量机的分类器只能对维数相同的数字向量进

6、行分类，但系统审计数据中的数据小但长度小尽相同，而且很有可能小是数字类型，所以必须将原始数据转换成支持向量机能够识别的数字向量。支持向量机分类器对这些数字向量进行分类，产生判决结果。 可用于入侵检测的数据类型很多，这里我们选用系统调用序列进行仿真。Forrest 等人在研究中发现:系统关键程序的执行，可以通过程序执行过程中所使用的系统调用序列(也称为执行迹(trace)来描述一个正常行为可以山其执行迹局部模式，即系统调用短序列来描述，其程序执行代码具有相对的稳定性。在异常行为中，可能出现和正常情况有一定的差别的系统调用短序列。也就是说，在正常的系统调用中出现的都是正常的短序列，而异常的执行迹中

7、除了正常的短序列以外，还会出现异常的短序列。判断该执行迹是正常的还是异常的就转化为识别执行迹中短序列是正常的还是异常的。这里，我们使用支持向量机来实现对短序列的分类。 在下面的计算机仿真中，我们选用 MIT(Massachusetts Institute of Technology)人工智能实验室(AI Lab。)公开提供的 lpr 数据进行仿真，以此为例来详细讨论基于支持向量机的入侵检测系统的工作过程。 1 数据预处理和短序列长度的选择 该数据集中的每个执行迹数据文件山两列数据构成，第 1 列为进程标识符，第 2 列为进程的系统调用命令在系统调用名称列表(mapping file)中的索引值

8、，如5代表opera。进程标识符相同的系统调用构成一个进程的执行迹。因为该数据已是数字序列，预处理的主要目的是得到该执行迹的系统调用短序列。具体做法是用长度为 k 的窗 u 在程序执行迹上滑动来得到这个执行迹的短序列。那么，长度 k 选取何值是最介适的?系统调用短序列反映了进程执行过程中系统调用之间的次序关系。如果选取的短序列长度为 1，就丢掉了系统调用的次序信息，而长度太大，就丢掉了系统执行的局部信息状况，无法正确反映正常和异常情况下的局部序列调用状况。 2 获得训练样本 支持向量机的参数是通过训练得到的，所以需要获得两类训练样本，即正常短序列样本和异常短序列样本。 我们用长度为 k 的滑动

9、窗日对已知正常的系统调用执行迹进行扫描，可以得到正常的系统调用短序列样本。山于入侵的非法活动只占程序执行的一小部分，所以异常短序列只占异常执行迹的很小一部分。当我们用长度为 k 的滑动窗日对于异常的执行迹进行扫描时，会得到一组既有正常短序列又有异常短序列的系统调用短序列列表。将这组短序列列表与已获得的正常短序列样本进行比较，小同于正常短序列的那些系统调用短序列就构成了异常短序样本。 3 决策准则 我们需要设定某些判断规则来提高整个检测系统的性能。这些规则主要有两种一种是根据异常系统调用短序列的数目进行判断。首先我们选定一个闭值，然后对于给定系统进程执行迹的短序列进行分类，如果异常系统调用短序列

10、的数目超过闭值，则判定为异常；反之，则判定为正常。另一种规则是根据异常系统调用短序列在整个系统调用短序列中所占的百分比进行判断。该方法与第 1 种方法相似，也需要选定闭值，先对给定进程执行迹的短序列进行分类，然后统计异常系统调用短序列所占的百分比。如果百分比大于闭值，则判定为异常；反之则判定为正常。山于以上两种方法简单、有效，所以在系统中常常得到应用。 五、异常入侵检测方法 异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同。这样，若能检测所有的异常活动，则可检测所有的入侵性活动。但是，入侵性活动并不总是与异常活动相符合。这种活动存在四种可能性:

11、(1)入侵性而非异常；(2)非入侵性且异常；(3)非入侵性且非异常；(4)入侵且异常。异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。 六、结束语 网络入侵检测的方式需要从具体的网络特性出发，选用合适的检测方式来对其进行检测，在检测的过程中要严格控制检测的质量，明确检测的目的所在，尽量的提高检测的效率和水平，提高网络入侵检测的效果。 参考文献 1 钱权,耿焕同,王煦法.基于 SVM 的入侵检测系统J.计算机工程.2006(09) 2 段丹青,陈松乔,杨卫平.基于 SVM 主动学习算法的网络入侵检测系统J. 计算机工程与科学.2006(04) 3张琨,许满武,刘凤玉,张宏.基于支持向量机的异常入侵检测系统J.计算机工程.2004(18)