入侵檢測(cè)系統(tǒng)及ＳＶＭ算法的應(yīng)用

摘要:入侵檢測(cè)系統(tǒng)作為繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施后新一代的安全防護(hù)策略，得到了越來越多的應(yīng)用。文章介紹了入侵檢測(cè)系統(tǒng)的基本原理及一種基于支持向量機(jī)(SVM)的網(wǎng)絡(luò)人侵異常檢測(cè)模型。

關(guān)鍵詞:入侵檢測(cè)系統(tǒng);網(wǎng)絡(luò)入侵;異常檢測(cè);支持向量機(jī)(SVM)

中圖分類號(hào):TP312 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-8937(2009)12-0107-01

1入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。入侵檢測(cè)系統(tǒng)使用入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)及其上的信息系統(tǒng)進(jìn)行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動(dòng)作，最大限度地降低可能的入侵危害。入侵檢測(cè)系統(tǒng)可以部署在DMZ區(qū)，外網(wǎng)入口，內(nèi)網(wǎng)主干和關(guān)鍵子網(wǎng)區(qū)域。要根據(jù)目標(biāo)網(wǎng)絡(luò)的具體情況以及用戶的安全需求對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行適當(dāng)?shù)呐渲?，保證入侵檢測(cè)系統(tǒng)正常有效地運(yùn)行。

根據(jù)入侵檢測(cè)系統(tǒng)的檢測(cè)對(duì)象，入侵檢測(cè)系統(tǒng)主要分成兩大類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常是作為一個(gè)獨(dú)立的個(gè)體放置于被保護(hù)的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)報(bào)作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧?/p>

入侵檢測(cè)系統(tǒng)的檢測(cè)分析技術(shù)主要分為兩大類:異常檢測(cè)和誤用檢測(cè)。異常檢測(cè)技術(shù)也稱為基于行為的檢測(cè)技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。異常檢測(cè)技術(shù)先定義一組系統(tǒng)正?；顒?dòng)的閥值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等，這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)，用統(tǒng)計(jì)的方法得出，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。誤用檢測(cè)技術(shù)也稱為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù)，它通過對(duì)實(shí)際行為和數(shù)據(jù)的特征匹配判斷是否存在已知的網(wǎng)絡(luò)入侵行為。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都有一定的模式和特征，如果把以往發(fā)現(xiàn)的所有的網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個(gè)入侵信息庫(kù)，那么入侵檢測(cè)系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息進(jìn)行比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。

2入侵檢測(cè)中的SVM方法

Vapnik等人在多年研究統(tǒng)計(jì)學(xué)習(xí)理論的基礎(chǔ)上對(duì)線性分類器提出了另一種設(shè)計(jì)最佳準(zhǔn)則，稱為支持向量機(jī)(Support Vector Machine，簡(jiǎn)稱SVM)。SVM的原理從線性可分開始，然后擴(kuò)展到線性不可分的情況，甚至擴(kuò)展到使用非線性函數(shù)中去。SVM的主要思想可以概括為兩點(diǎn):

①SVM是針對(duì)線性可分情況進(jìn)行分析，對(duì)于線性不可分的情況，通過使用非線性映射算法將低維輸入空間線性不可分的樣本轉(zhuǎn)化為高維特征空間使其線性可分，從而使得高維特征空間采用線性算法對(duì)樣本的非線性特征進(jìn)行線性分析成為可能。

②它基于結(jié)構(gòu)風(fēng)險(xiǎn)最小化理論之上，在特征空間中建構(gòu)最優(yōu)分割超平面，使結(jié)果得到全局最優(yōu)化，并且在整個(gè)樣本空間的期望風(fēng)險(xiǎn)以某個(gè)概率滿足一定上界。

SVM的關(guān)鍵在于核函數(shù)。核函數(shù)可以巧妙地解決將低維空間向量映射到高維空間之后所帶來的計(jì)算復(fù)雜度增加的問題。這就是說，只要選用適當(dāng)?shù)暮撕瘮?shù)，我們就可以得到高維空間的分類函數(shù)。在SVM理論中，采用不同的核函數(shù)將導(dǎo)致不同的SVM算法。

SVM因其具有較好的二類分類能力，已廣泛地應(yīng)用于人臉識(shí)別、非線性均和郵件分類等很多領(lǐng)域。網(wǎng)絡(luò)入侵異常檢測(cè)實(shí)際是二類分類問題，文章提出了基于SVM的網(wǎng)絡(luò)入侵異常檢測(cè)模型，用SVM算法進(jìn)行入侵異常檢測(cè)，利用網(wǎng)絡(luò)歷史數(shù)據(jù)訓(xùn)練支持向量機(jī)，并對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常分類分析，從而可較好地判斷信息屬于異?；蛘?，可提高網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)正確率，同時(shí)提高入侵異常檢測(cè)的速度。

在網(wǎng)絡(luò)入侵檢測(cè)中，對(duì)異常的檢測(cè)在SVM中就轉(zhuǎn)換為其孤立點(diǎn)的檢測(cè)，即我們用SVM對(duì)網(wǎng)絡(luò)通信中包含大量正常數(shù)據(jù)的數(shù)據(jù)集進(jìn)行訓(xùn)練，求得一個(gè)區(qū)域，區(qū)域內(nèi)的點(diǎn)稱為正常點(diǎn)，區(qū)域外的點(diǎn)一般稱為孤立點(diǎn)，那么孤立點(diǎn)就對(duì)應(yīng)著網(wǎng)絡(luò)通信中的入侵行為。

構(gòu)造SVM，使用訓(xùn)練樣本訓(xùn)練SVM分類器，即可構(gòu)造入侵檢測(cè)系統(tǒng)。首先是獲得用戶的行為特征模式，輸入到訓(xùn)練好的SVM分類器，判斷是正常模式還是異常模式。采用不同的核函數(shù)，可以得到不同的檢測(cè)效果。文章中通過分析歷史網(wǎng)絡(luò)數(shù)據(jù)等，對(duì)提取出的用戶的行為特征進(jìn)行處理，分析入侵行為的規(guī)律，應(yīng)用SVM的二類分類算法來進(jìn)行入侵檢測(cè)。入侵異常檢測(cè)的過程主要包括數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)樣本訓(xùn)練和入侵異常檢測(cè)4個(gè)階段。首先，對(duì)收集的已知網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行預(yù)處理，再用SVM算法進(jìn)行樣本訓(xùn)練，得到異常檢測(cè)樣本數(shù)據(jù)的支持向量，從而可以根據(jù)SVM理論建立文章中的支持向量機(jī)，再對(duì)新的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵異常檢測(cè)，從而得出結(jié)果為入侵行為或者正常行為。

如圖1所示，基于SVM的入侵異常檢測(cè)模型的主要過程如下:①網(wǎng)絡(luò)數(shù)據(jù)，主要進(jìn)行網(wǎng)絡(luò)原始數(shù)據(jù)包的搜集。②數(shù)據(jù)預(yù)處理，主要是通過對(duì)原始網(wǎng)絡(luò)數(shù)據(jù)的特征屬性進(jìn)行相關(guān)處理，達(dá)到應(yīng)用入侵檢測(cè)模式的要求。③樣本訓(xùn)練，主要是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行樣本訓(xùn)練，得到相關(guān)的支持向量用于建立異常檢測(cè)的最優(yōu)支持向量機(jī)。④異常檢測(cè)，根據(jù)預(yù)處理的網(wǎng)絡(luò)數(shù)據(jù)向量的輸入式，得出檢測(cè)結(jié)果為-1或者1，從而判斷是異常入侵還是正常行為。

3結(jié) 論

入侵檢測(cè)系統(tǒng)作為一個(gè)迅速崛起并受到廣泛承認(rèn)的安全組件，有著很多方面的安全優(yōu)勢(shì)。在確保安全性能的同時(shí)，與時(shí)間賽跑是入侵檢測(cè)系統(tǒng)的生命，而基于特征的入侵檢測(cè)系統(tǒng)面臨著高速網(wǎng)絡(luò)信息爆炸和系統(tǒng)自身規(guī)則數(shù)量日益增加的挑戰(zhàn)。基于SVM的網(wǎng)絡(luò)入侵異常檢測(cè)模型，用SVM算法準(zhǔn)確的二類分類能力進(jìn)行入侵異常檢測(cè)，從而可較好地判斷是否存在入侵行為。隨著互聯(lián)網(wǎng)的不斷發(fā)展和網(wǎng)絡(luò)安全威脅的日益加重，入侵檢測(cè)系統(tǒng)將發(fā)揮越來越重要的作用，如何更好地利用SVM算法及其他相關(guān)技術(shù)對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行提高和完善是一個(gè)十分重大和富有意義的課題。

參考文獻(xiàn):

[1] 韓紅燕.基于計(jì)算機(jī)免疫的Multi-agent入侵檢側(cè)系統(tǒng)[J]. 信息技術(shù)，2006，(8):91-95.

[2] 李之棠，楊紅云.模糊入侵檢測(cè)模型[J].計(jì)算機(jī)工程與科學(xué)， 2000，22(2):49-53.

[3] 趙治國(guó)，譚敏生，簡(jiǎn)曉紅，等.基于免疫原理的層次入侵檢測(cè) 模型[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28(4):803-807.

[5] 張學(xué)工.關(guān)于統(tǒng)計(jì)學(xué)習(xí)理論與支持向量機(jī)[J].自動(dòng)化學(xué)報(bào)， 2000，26(1):32-42.