基于核表示的協(xié)同入侵檢測(cè)方法

占善華，張 巍，滕少華

（廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣東 廣州510006）

0 引 言

入侵檢測(cè)作為新一代安全防護(hù)工具，受到國(guó)內(nèi)外學(xué)者廣泛關(guān)注［1－2］。本質(zhì)上，入侵檢測(cè)問(wèn)題可轉(zhuǎn)換為對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行的分類問(wèn)題，可分為正常用戶行為和異常行為。濫用入侵檢測(cè)方法先構(gòu)建分類器，即先從網(wǎng)絡(luò)中收集數(shù)據(jù)，訓(xùn)練分類模型，然后對(duì)網(wǎng)絡(luò)中的新數(shù)據(jù)進(jìn)行分類決策。這種檢測(cè)器不能檢測(cè)異常攻擊行為 （即新的攻擊類型或方法），另外該模型對(duì)于網(wǎng)絡(luò)中一些不確定數(shù)據(jù)［3］和非平衡數(shù)據(jù)，檢測(cè)效果較差?；诒硎镜姆椒ǎ?－7］通過(guò)訓(xùn)練樣本建立表示模型，并將其用于測(cè)試樣本，檢驗(yàn)測(cè)試樣本的偏離程度及表示方法的準(zhǔn)確度。該方法已被用于人臉識(shí)別［8－9］。對(duì)于低維數(shù)據(jù)，由于一般的檢測(cè)方法其分類能力較差［10］。因而，本文采用核函數(shù)方法，將低維分類問(wèn)題轉(zhuǎn)換為高維空間的分類問(wèn)題［11］。用于克服低維空間分類的局限性，因而從某種程度上說(shuō)，本文是基于表示方法的非線性擴(kuò)展。由于一般入侵檢測(cè)方法未按網(wǎng)絡(luò)通信協(xié)議進(jìn)行分析，因而在檢測(cè)速度及檢測(cè)的準(zhǔn)確度方面難以提高，據(jù)此，文獻(xiàn) ［12］提出了一個(gè)協(xié)同入侵檢測(cè)模型，將網(wǎng)絡(luò)中數(shù)據(jù)按TCP、UDP和ICMP協(xié)議分別進(jìn)行檢測(cè)。本文引用該方法，構(gòu)造了一個(gè)基于核表示的協(xié)同入侵檢測(cè)模型。主要思想如下：首先，按照網(wǎng)絡(luò)協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)分成TCP、ICMP和UDP三類；然后對(duì)每類數(shù)據(jù)分別進(jìn)行檢測(cè)與處理；最后，按照每類數(shù)據(jù)的決策結(jié)果，給出最終的檢測(cè)結(jié)果。這里的所有檢測(cè)都是在高維空間中進(jìn)行。由于網(wǎng)絡(luò)數(shù)據(jù)分為正常用戶行為數(shù)據(jù)與異常用戶行為數(shù)據(jù)，所以最終的檢測(cè)將數(shù)據(jù)歸為兩類數(shù)據(jù)中的一類。最后本文用實(shí)驗(yàn)驗(yàn)證了本文的協(xié)同方法具有較高的檢測(cè)率和較低的時(shí)間復(fù)雜度。

1 入侵檢測(cè)

對(duì)系統(tǒng)資源的非授權(quán)操作，導(dǎo)致系統(tǒng)資源丟失、破壞等一系列操作都是指入侵行為。入侵的直接后果將造成合法用戶權(quán)益被侵犯等。從入侵源出發(fā)，入侵行為可以劃分為：非法用戶行為，一般指外部入侵；合法用戶超越權(quán)限的行為，一般指內(nèi)部入侵。入侵檢測(cè)就是通過(guò)對(duì)系統(tǒng)日志或網(wǎng)絡(luò)行為特征的分析，識(shí)別那些違背安全策略或者危及系統(tǒng)安全的行為，保護(hù)系統(tǒng)資源，防止系統(tǒng)數(shù)據(jù)被入侵者泄露、篡改和破壞。入侵檢測(cè)是一門交叉學(xué)科，涉及計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)及密碼學(xué)等多個(gè)領(lǐng)域的知識(shí)，常用的檢測(cè)方法主要分為誤用檢測(cè)和異常檢測(cè)，誤用檢測(cè)需要建立入侵者的行為模式，采用匹配法進(jìn)行檢測(cè)，但是該方法一般只適用于已知類型的攻擊；異常檢測(cè)需要建立用戶的正常行為模式，判斷是否偏離正常模式來(lái)進(jìn)行行為檢測(cè)，該方法適用于未知類型的入侵檢測(cè)。兩種方法都需要為用戶行為建立模式，所以現(xiàn)有的模式分類方法都可以用于入侵檢測(cè)。包括神經(jīng)網(wǎng)絡(luò)、貝葉斯理論、遺傳算法等模式識(shí)別方法。目前出現(xiàn)的稀疏表示方法也是一種模式分類方法。但是在解決L1范數(shù)時(shí)，十分耗時(shí)。所以該方法難以適應(yīng)實(shí)時(shí)入侵檢測(cè)的要求。相反地，基于L2范數(shù)的表示方法，以較高的識(shí)別率和較低的時(shí)間復(fù)雜度已引起研究人員的注意，正嘗試著用于入侵檢測(cè)領(lǐng)域。

2 基于表示的方法

基于表示的方法是用所有訓(xùn)練樣本來(lái)確定表達(dá)式的模型系數(shù)，在此表示模型下，通過(guò)測(cè)試數(shù)據(jù)判斷誤差情況，進(jìn)而得到模型準(zhǔn)確度的估計(jì)。

原始空間中有q類n個(gè)訓(xùn)練樣本，標(biāo)記為x1，x2，…xn。一個(gè)測(cè)試樣本y。所有的樣本都具有相同的維數(shù)且所有的樣本都被歸一化到 ［0，1］之間。用n個(gè)樣本來(lái)線性地表示該測(cè)試樣本，即有下式

這里 X ＝ ［x1，x2，…，xn］，β＝ ［β1，β2，…，βn］T。λ為正則化參數(shù)。作用是使最小二乘方法穩(wěn)定且施加一個(gè)微弱的稀疏限制在表示系數(shù)上。解式 （2）得

這里的I為單位矩陣。解得β為一向量。維數(shù)等于訓(xùn)練樣本個(gè)數(shù)，即每個(gè)訓(xùn)練樣本對(duì)于測(cè)試樣本都有一個(gè)對(duì)應(yīng)系數(shù)?？梢愿鶕?jù)每個(gè)訓(xùn)練樣本的表示系數(shù)來(lái)劃分測(cè)試樣本。假設(shè)這些訓(xùn)練樣本中的某一類樣本對(duì)于表示的系數(shù)為βt1，βt2，…，βtk，系數(shù)的下標(biāo)表示該類樣本的個(gè)數(shù)。那么該類樣本對(duì)于測(cè)試樣本的逼近程度可以表示為

計(jì)算該類樣本對(duì)于測(cè)試樣本的表示殘差為

類似地，可以計(jì)算所有訓(xùn)練樣本類對(duì)測(cè)試樣本的表示殘差。一個(gè)非常小的表示殘差說(shuō)明某類的訓(xùn)練樣本表示十分逼近測(cè)試樣本；相反，一個(gè)非常大的殘差預(yù)示著某類的訓(xùn)練樣本表示遠(yuǎn)離測(cè)試樣本。所以最終劃分該測(cè)試樣本為具有最小表示殘差的那一類。

3 基于核表示的方法

由于低維數(shù)據(jù)分類的局限性，可以將入侵檢測(cè)問(wèn)題轉(zhuǎn)化為高維分類問(wèn)題，此處通過(guò)核函數(shù)轉(zhuǎn)化為高維數(shù)據(jù)來(lái)處理，所以可構(gòu)造一個(gè)類似于文獻(xiàn) ［12］的協(xié)同入侵檢測(cè)模型。

假設(shè)在原始空間中有q類n個(gè)訓(xùn)練樣本，標(biāo)記為x1，x2，…xn，y表示測(cè)試樣本。使用非線性映射將所有樣本映射到高維核空間。而測(cè)試樣本變成（y）。（y）在該核空間中可以被所有訓(xùn)練樣本（x1），（x2），…，（xn）線性組合來(lái)表示。故有下式

這里的所有樣本都是列向量，故式 （6）可以變?yōu)?/p>

這里 Φ ＝ ［（x1），（x2），…，（xn）］，υ ＝ （α1，α2，…，αn）T表示每個(gè)訓(xùn)練樣本的表示系數(shù)。因?yàn)槲粗?，所以式?）不能直接被解出。但式 （7）可變換為

因?yàn)閗（xi，xj）＝T（xi）（yj），故有

根據(jù)40例頸部富血供包塊患者的臨床診斷資料及其在CT掃描診斷與MRI掃描診斷中的實(shí)際表現(xiàn)，對(duì)比研究影像學(xué)特征。綜合性的研究CT掃描診斷與MRI掃描診斷頸部富血供包塊的臨床效果。

直接解式 （9）得

這里的μ和I分別為正則化參數(shù)和單位矩陣。K矩陣的每一列表示核空間中的一個(gè)訓(xùn)練樣本，即Ki＝ ［k （x1，xi）k （x2，xi）…k （xn，xi）］T。所以 Ky＝ （K1…Kn）υ＝α1K1＋…＋αnKn。從式 （9）中可以看出每個(gè)訓(xùn)練樣本對(duì)測(cè)試樣本的表示做出了自己的貢獻(xiàn)。例如第i個(gè)訓(xùn)練樣本的貢獻(xiàn)是αiKi。訓(xùn)練樣本中的每類樣本對(duì)該測(cè)試樣本的表示都做出了貢獻(xiàn)。假設(shè)訓(xùn)練樣本中的第j類樣本為xj1，xj2，…，xjm（m表示第j類樣本的個(gè)數(shù)），對(duì)應(yīng)的表示系數(shù)為υj′＝ ［αj1，…，αjm］T，那么對(duì)應(yīng)核空間中第j類樣本為

第j類訓(xùn)練樣本的貢獻(xiàn)為Gj＝υj′Kj′＝αj1kj1，＋…，αjmkjm，這里kji＝ ［k（x1，xji）…k（xn，xji）］T。計(jì)算該類樣本的表示殘差為ej＝ ky－υj′Kj′2。按照此方式計(jì)算訓(xùn)練樣本中每類樣本對(duì)該測(cè)試樣本的表示殘差 ，殘差表示該類樣本對(duì)測(cè)試樣本的逼近程度，一個(gè)非常小的殘差表示該類訓(xùn)練樣本相當(dāng)逼近測(cè)試樣本，所以最終該測(cè)試樣本歸為最小殘差的那類。

4 基于核表示的協(xié)同入侵檢測(cè)模型

按照文獻(xiàn) ［12］，把網(wǎng)絡(luò)中的數(shù)據(jù)按協(xié)議劃分為3類數(shù)據(jù)，TCP數(shù)據(jù)、UDP數(shù)據(jù)、ICMP數(shù)據(jù)。協(xié)同入侵檢測(cè)方法框架如圖1所示。

圖1 協(xié)同入侵檢測(cè)方法框架

該框架包括網(wǎng)絡(luò)數(shù)據(jù)收集器，數(shù)據(jù)預(yù)處理，3個(gè)檢測(cè)模塊以及處理模塊。數(shù)據(jù)收集器對(duì)網(wǎng)絡(luò)中數(shù)據(jù)包進(jìn)行解析，按照TCP，ICMP和UDP協(xié)議把數(shù)據(jù)送入相應(yīng)的預(yù)處理模塊。數(shù)據(jù)預(yù)處理將在實(shí)驗(yàn)部分介紹。3個(gè)檢測(cè)模塊 （核心部分），這里只詳細(xì)介紹TCP檢測(cè)模塊，ICMP和UDP的檢測(cè)模塊與TCP檢測(cè)模塊類似?；诤吮硎镜腡CP入侵檢測(cè)的檢測(cè)模塊如圖2所示。功能如下：首先在網(wǎng)絡(luò)中構(gòu)建TCP數(shù)據(jù)庫(kù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)收集器中的新數(shù)據(jù)進(jìn)行預(yù)處理。其次用TCP數(shù)據(jù)庫(kù)中對(duì)應(yīng)的數(shù)據(jù)作為訓(xùn)練樣本，并且按照本文提出的方法對(duì)新數(shù)據(jù)進(jìn)行檢測(cè)。最后判斷該新數(shù)據(jù)的類型，送入處理模塊。處理模塊對(duì)決策后的數(shù)據(jù)進(jìn)行相應(yīng)處理。如正常類數(shù)據(jù)入相應(yīng)的庫(kù)，如TCP，UDP，ICMP庫(kù)等；異常類數(shù)據(jù)報(bào)警，即通知管理員進(jìn)行相應(yīng)地處理，或者清除和禁止該異常數(shù)據(jù)等。

圖2 基于核表示的TCP檢測(cè)模塊

5 實(shí)驗(yàn)結(jié)果與分析

（1）低維數(shù)據(jù)分類

用提出的基于核表示方法在低維數(shù)據(jù)上分類，并與傳統(tǒng)的 基 于 表 示 的 方 法 CRC （collaborative representation based classification）［4］，CRC線性回歸分類方法 LRC （linear regression classification）［6］進(jìn)行對(duì)比。

表1 低維數(shù)據(jù)集介紹

實(shí)驗(yàn)選用的數(shù)據(jù)來(lái)自于UCI數(shù)據(jù)庫(kù) （與網(wǎng)絡(luò)數(shù)據(jù)集的類別相同，所有的子數(shù)據(jù)集都為兩類）。該數(shù)據(jù)集包含7個(gè)子數(shù)據(jù)集，每個(gè)數(shù)據(jù)集的介紹參見(jiàn)文獻(xiàn) ［13］。表1給出了每個(gè)數(shù)據(jù)集的維數(shù)和數(shù)據(jù)集大小的介紹。從表1可以看出每個(gè)子數(shù)據(jù)集具有較低的維數(shù)。每個(gè)子數(shù)據(jù)集都進(jìn)行100次隨機(jī)采樣 （image數(shù)據(jù)集采樣20次），每個(gè)采樣中的數(shù)據(jù)平均分成2份，一個(gè)為訓(xùn)練集，一個(gè)為測(cè)試集。所以最終得到100次的分類準(zhǔn)確率。實(shí)驗(yàn)結(jié)果用100次的分類準(zhǔn)確率的平均和其標(biāo)準(zhǔn)差 （standard deviation，M±D）作為最終的分類結(jié)果。實(shí)驗(yàn)中采用的核函數(shù)是高斯核函數(shù)k（x，y）＝exp（－ x－y2／（2σ）），σ為對(duì)應(yīng)的核參數(shù)。實(shí)驗(yàn)中核參數(shù)大小設(shè)置為5.0e－3.正則化參數(shù)μ＝0.01。實(shí)驗(yàn)結(jié)果見(jiàn)表2，從表2中可以看出在低維數(shù)據(jù)分類效果上本文的方法遠(yuǎn)優(yōu)于傳統(tǒng)的基于表示的方法，如CRC和LRC。特別是在數(shù)據(jù)集Thyroid上，提出的方法的分類準(zhǔn)確率要高于CRC和LRC方法63.00%左右。分析其原因是：如果每類數(shù)據(jù)的個(gè)數(shù)大于其維數(shù)，那么該類數(shù)據(jù)就能以無(wú)偏差的形式來(lái)表示測(cè)試數(shù)據(jù)。最終的結(jié)果是每類數(shù)據(jù)對(duì)于測(cè)試數(shù)據(jù)的表示殘差趨于相同，進(jìn)而導(dǎo)致分類錯(cuò)誤，如LRC。核方法首先把低維數(shù)據(jù)映射到高維空間，使得低維數(shù)據(jù)從非線性可分轉(zhuǎn)化為線性可分，進(jìn)一步增加了數(shù)據(jù)的可分性。從實(shí)驗(yàn)結(jié)果可以看出本文的方法適合于低維數(shù)據(jù)的分類，從而克服了傳統(tǒng)基于表示的方法對(duì)低維數(shù)據(jù)分類效果差的缺點(diǎn)。

表2 低維數(shù)據(jù)集上的分類結(jié)果 （M±D）

（2）標(biāo)準(zhǔn)入侵檢測(cè)數(shù)據(jù)集分類

實(shí)驗(yàn)數(shù)據(jù)集選自標(biāo)準(zhǔn)入侵檢測(cè)數(shù)據(jù)集KDDCUP1999，并用文獻(xiàn) ［12］的方法進(jìn)行預(yù)處理。不同協(xié)議的數(shù)據(jù)格式各不相同，選擇的數(shù)據(jù)屬性也各不相同，如UDP數(shù)據(jù)不需要TCP格式的一些屬性，因此對(duì)不同協(xié)議數(shù)據(jù)可以進(jìn)行相應(yīng)的屬性選擇。經(jīng)過(guò)預(yù)處理后，用41個(gè)屬性中的39個(gè)屬性表示TCP數(shù)據(jù)、21個(gè)屬性表示UDP數(shù)據(jù)、18個(gè)屬性表示ICMP數(shù)據(jù)。KDDCUP1999數(shù)據(jù)集里面包含兩個(gè)數(shù)據(jù)子集；‘10%KDD’和 ‘Corrected’?！?0%KDD’數(shù)據(jù)子集里面的部分?jǐn)?shù)據(jù)作為實(shí)驗(yàn)中的訓(xùn)練集，為了使測(cè)試集中包含一定量的未知入侵?jǐn)?shù)據(jù)，實(shí)驗(yàn)測(cè)試集來(lái)自于 ‘Corrected’數(shù)據(jù)子集。按照文獻(xiàn) ［12］的方法挑選出來(lái)的數(shù)據(jù)如下：TCP、UDP、ICMP數(shù)據(jù)的訓(xùn)練集和測(cè)試集，分別為4000條和5000條，并進(jìn)行如下處理：對(duì)非數(shù)值型的數(shù)據(jù)進(jìn)行編碼，如3個(gè)協(xié)議TCP，UDP和ICMP，用1，2，3編碼。71個(gè)servers用1，2，3，…，71編碼，類別標(biāo)簽用1和－1編碼。最后對(duì)編碼后的數(shù)據(jù)進(jìn)行歸一化處理，使其分布在［0，1］之間。

實(shí)驗(yàn)結(jié)果見(jiàn)表3，用TN表示整個(gè)測(cè)試集中的數(shù)據(jù)被正確劃分的數(shù)目，分類準(zhǔn)確率用TR表示，R－error表示正常類數(shù)據(jù)中被錯(cuò)誤地劃分為入侵?jǐn)?shù)據(jù)所占的百分?jǐn)?shù)，T－time表示測(cè)試單個(gè)數(shù)據(jù)所花費(fèi)的時(shí)間。實(shí)驗(yàn)中核函數(shù)還是選用實(shí)驗(yàn) （1）中的高斯核函數(shù)。實(shí)驗(yàn)中的一切參數(shù)設(shè)置如表中所示。因?yàn)閷?shí)驗(yàn)中采用的是基于核表示的方法，無(wú)論對(duì)平衡數(shù)據(jù)集還是非平衡數(shù)據(jù)集都可以達(dá)到較好的效果。對(duì)于非平衡數(shù)據(jù)集的檢測(cè)，本文的方法在一定程度上可以克服非平衡數(shù)據(jù)帶來(lái)檢測(cè)上的問(wèn)題。參見(jiàn)表3的實(shí)驗(yàn)結(jié)果，UDP數(shù)據(jù)是一個(gè)嚴(yán)重非平衡數(shù)據(jù)集，其中正常類數(shù)據(jù)達(dá)到了98%，文獻(xiàn) ［12］的檢測(cè)率不到61%，本文實(shí)驗(yàn)的結(jié)果，準(zhǔn)確率提升了近23%。特別對(duì)于ICMP數(shù)據(jù)集 （包含大量未知的入侵?jǐn)?shù)據(jù)），檢測(cè)率達(dá)到92.98%，即只有一個(gè)數(shù)據(jù)被檢測(cè)錯(cuò)誤，且R－error的檢測(cè)率為0。因?yàn)閁DP數(shù)據(jù)是一個(gè)十分嚴(yán)重的非平衡數(shù)據(jù)集，所以在檢測(cè)過(guò)程中正常類數(shù)據(jù)花費(fèi)的時(shí)間較長(zhǎng)，故整體的檢測(cè)時(shí)間要長(zhǎng)于TCP，ICMP數(shù)據(jù)。

表3 3類數(shù)據(jù)在協(xié)同方法上的檢測(cè)結(jié)果 （μ＝0.5）

將上面3類數(shù)據(jù)的訓(xùn)練集和測(cè)試集混合在一起，即有12000條訓(xùn)練集，15000條測(cè)試集，因?yàn)?個(gè)協(xié)議的數(shù)據(jù)維數(shù)不相同，如UDP和ICMP數(shù)據(jù)的維數(shù)小于TCP數(shù)據(jù)，所以不夠的維數(shù)補(bǔ)0，使3類數(shù)據(jù)的維數(shù)相同。然后使用本文方法同樣處理這些數(shù)據(jù)，即把這些數(shù)據(jù)混合在一起，用本文方法進(jìn)行分類。這里把這種方法稱為Single module。相應(yīng)地，表3中的方法稱之為Collabor module，實(shí)驗(yàn)中核參數(shù)設(shè)置為σ＝1.0e－5。實(shí)驗(yàn)結(jié)果見(jiàn)表4，無(wú)論在檢測(cè)效果上還是檢測(cè)時(shí)間上，協(xié)同模塊的方法遠(yuǎn)優(yōu)于單一的模塊方法，特別是在檢測(cè)時(shí)間上Collabor module遠(yuǎn)優(yōu)于Single module，所以本文基于核表示方法的協(xié)同檢測(cè)方法可以用于一些實(shí)時(shí)入侵檢測(cè)應(yīng)用。

表4 兩種方法的檢測(cè)對(duì)比 （μ＝0.5）

6 結(jié)束語(yǔ)

本文給出了一個(gè)基于核表示的協(xié)同入侵檢測(cè)方法，實(shí)驗(yàn)驗(yàn)證了基于核表示的方法對(duì)低維數(shù)據(jù)的分類有效。另外，本文從理論上分析了傳統(tǒng)的基于表示方法在低維數(shù)據(jù)上分類效果差的原因。協(xié)同入侵檢測(cè)方法在KDDCUP1999數(shù)據(jù)集上進(jìn)行了驗(yàn)證，該模型可以應(yīng)用于一些實(shí)時(shí)的入侵檢測(cè)要求。進(jìn)一步的研究將著重于找到一個(gè)合適的方法來(lái)自動(dòng)地選取最優(yōu)的核參數(shù)。

［1］LI Wenhua.Network intrusion detection model based on clustering analysis［J］.Computer Engineering，2011，37（17）：96－98（in Chinese）. ［李文華.基于聚類分析的網(wǎng)絡(luò)入侵檢測(cè)模型［J］.計(jì)算機(jī)工程，2011，37 （17）：96－98.］

［2］LIU D X，ZHANG Y B.An intrusion detection system based on honeypot technology ［C］／／International Conference on Computer Science and Electronics Engineering，2012：451－454.

［3］HU Q，YU D，XIE Z，et al Fuzzy probabilistic approximation spaces and their information measures ［J］.IEEE Transactions on Fuzzy Systems，2006，14 （2）：191－201.

［4］ZHANG L，YANG M，F(xiàn)ENG X C.Sparse representation or collaborative representation： Which helps face recognition［C］／／ICCV，2011.

［5］XU Y，ZHANG D，YANG J，et al.A two－phase test sample sparse representation method for use with face recognition ［J］.IEEE Trans Circ Syst for Video Tech，2011 （21）：1255－1262.

［6］Naseem，Togneri R，Bennamoun M，et al.Linear regression for face recognition ［J］.IEEE Trans Pattern Anal Mach Intell，2010，32（11）：2106－2112.

［7］WANG M，LI F，WANG M.Collaborative visual modeling for automatic image annotation via sparse model coding ［J］.Neurocomputing，2012 （95）：22－28.

［8］Wright J，YANG A Y，Ganesh A，et al.Robust face recognition via sparse representation ［J］.IEEE Trans Pattern Anal Mach Intell，2009，31 （2）：210－227.

［9］XUE M，LING H B.Robust visual tracking and vehicle classification via linear representation ［J］.IEEE Trans Pattern Anal Mach Intell，2011，33 （11）：2259－2272.

［10］XU Y，F(xiàn)AN Z F，ZHU Q.Feature space－based human face image representation and recognition ［J］.Opt Eng，2012，51（1）：1－7.

［11］TAO D C，TANG X O，LI X L，et al.Direct kernel biased discriminant analysis：A new content－based image retrieval relevance feedback algorithm ［J］.IEEE Transactions on Multimedia，2006，8 （4）：716－727.

［12］TENG S H，DU H L，WU N Q，et al.A cooperative network intrusion detection based on fuzzy SVMs ［J］.Journal of Networks，2010，5 （4）：475－483.

［13］Kim J，Scott C D.L2kernel classification ［J］.IEEE Trans Pattern Anal Mach Intell，2010，32 （10）：1822－1831.