摘 要:本文针对当前大量web入侵的背景,在分析前人研究成果的基础上提出了基于KPCA-SVM的入侵检测方法,此方法在分析大量已有网络数据的基础上生成入侵事件的SVM分类器,再利用生成的分类器判断是否为攻击事件并分类,供网络管理员分析。
关键词:网络入侵KPCA-SVM
中图分类号:TP393.08文献标识码:A文章编号:1674-198X(2011)01(a)-0033-01
网络入侵检测方法是目前计算机领域十分重要的研究课题,人们对这一问题做了很多研究,提出了如遗传算法、主成分分析法、模糊赋权法、专家咨询法等。但这些方法都有一定的适用范围和局限性:专家咨询法带有主观经验性;模糊方程求解指标权重,需预先给定样品优劣顺序,条件苛刻也受限制;主成分分析法只能科学的求得综合指标的权重,而不能给出单个指标的权重。
本文在研究前人成果的基础上提出基于KPCA-SVM(核主元分析-支持向量机)方法,采用线性SVM加权挑选最有效特征,并得到分类模型。
1 入侵检测的KPCA-SVM模型研究
1.1 核主元分析KPCA
核主元分析是一种非线性特征提取的方法,它通过一个非线性映射将数据从输入空间映射到特征空间,然后在特征空间中进行通常的主成分分析,其中的内积运算采用一个核函数来代替。设非线性映射为。因此,F由生成。
核主元分析法提取非线性主元的步骤为:
(1)计算矩阵K的内积:,
;
(2)利用式:,计算K的特征值和特征向量();
(3)将特征值由小到大排序,非零特征值的特征向量归一化;
(4)对任意原数据,通过下式计算,得到x的投影。
1.2 支持向量机模型
将KPCA的训练样本值表示为
,为第i 个样本的输入模式,为第i个样本的期望输出,t为训练样本值),考虑到回归函数:
(2)
其中为从高维非线性空间提取的特征向量。系数和通过最小化结构化风险泛函(3)来估计。
(3)
(4)
最小化第一项将使得函数尽可能平缓,从而控制函数功能,第二项
为由-不敏感损失函数(4)决定的经验误差,C为惩罚因子,为回归最大误差。
为求得和的估计值,引入松弛变量,(3)转化成目标函数(5):
(5)
为得到问题的解,通常引入它的对偶问题:
(6)
其中为拉格朗日因子,非零的为支持向量。
最后,通过引入拉格朗日因子和最佳系数参数,决策方程(2)转化为以下形式:
(7)
回归方程(7)即为支持向量机(SVM)。其中按下列方式计算:选择位于开区间中的任一个或,若选到的是,则;若选到的是,则
。在(7)中,为核函数:
。
2 实例验证与结论
试验选用径向基函数RBF作为核函数,主要从检测精度和误报率两方面来检验此算法的性能,实验数据见表1,SVM与几种检测方法性能比较结果见表2。
通过表2我们可以看出,较其它方法支持向量机的检测精度大大提高,误报率明显降低,应用SVM进行入侵检测具有更大的优越性。
参考文献
[1]何琼,孙世群,吴开亚,等.区域态安全评价的AHP赋权方法研究[J].合肥工业大学学报,2004,27(4).
[2]陈琼华.综合评价中的赋权方法[J].统计与决策,2004,(4).
[3]周文坤.模糊偏好下多目标决策的一种客观赋权方法[J].上海大学学报,2004,10(4).
[4]C.Q.Zhang,and Y.C.Lu,“The reverse logistics evaluation based on KPCA-LINMAP model”,2006.
相关热词搜索: 入侵 模型 检测 研究 KPCA