基于SVM技術的入侵檢測方式

趙穎++諶蘭櫻++張忠瓊

摘 要近年來，計算機網絡的普及范圍逐步擴大，網絡給人們的日常工作、學習和生活帶來了極大的方便。然而，一些黑客卻常常會利用各種手段對網絡進行入侵，伺機獲取有價值的信息，這對網絡安全造成了影響。為對網絡入侵行為進行有效預防，文章基于SVM技術提出一種入侵檢測方式。期望通過本文的研究能夠對網絡安全性的提升有所幫助。

【關鍵詞】SVM技術 入侵行為 入侵檢測方式

1 SVM技術及其特點分析

SVM即支持向量機，是一種以小樣本學習、機器學習為主要研究對象的統(tǒng)計學習理論。在漸進理論下，對樣本數(shù)量向無窮大漸進進行假設是結論特征成立的前提條件，這也是傳統(tǒng)統(tǒng)計學的研究思路，但是若樣本數(shù)量為有限，則這種研究方法則難以達到良好的學習效果。而SVM可有效解決這一問題，能夠在有限樣本下進行學習，具備完善的學習理論體系。SVM的學習思路是在空間中輸入原始信息，借助核函數(shù)變換非線性，促使高維空間替代原始空間，進而獲取最優(yōu)線性分類。在這一過程中，高維空間求解并未增加算法難度，只需要對內積運算進行改進就能實現(xiàn)低維向高維的轉換，且維數(shù)不會降低高維的推廣能力。SVM的特點表現(xiàn)在以下方面：

（1）結構風險小，可在基于小樣本學習的情況下，有效規(guī)避欠學習、過學習問題；

（2）SVM引入了核函數(shù)，相比較非線性分類器而言，在“維數(shù)災難”方面具有良好的規(guī)避能力；

（3）SVM擁有最大化分類間隔思路，能夠很好地區(qū)分支持向量。

2 基于SVM技術的入侵檢測方式

在對基于SVM技術的入侵檢測方式進行研究前，需要先對常見的入侵行為進行簡要介紹。由于入侵檢測主要是針對網絡而言，所以對入侵行為的分析也是基于網絡進行的。

2.1 入侵行為的常見類型

網絡是一個復雜且龐大的系統(tǒng)，其中的攻擊方式多種多樣，可根據(jù)入侵行為的特點進行歸類，比較常見的類型包括以下幾種：

2.1.1 拒絕服務攻擊

是指大量共享資源被一個用戶所占據(jù)，而無法共享給其他用戶的攻擊方式，這種攻擊方式能夠構造出大量異常的數(shù)據(jù)包，嚴重時會造成主機運行癱瘓。

2.1.2 R2L攻擊

是指利用網絡服務程序、網絡安全策略、密碼設置等漏洞，通過發(fā)送數(shù)據(jù)包以非法獲取訪問權限的攻擊方式。

2.1.3 U2R攻擊

是指入侵者利用程序緩沖區(qū)的漏洞或軟件安全缺陷獲取計算機操作系統(tǒng)的用戶權限或管理員權限的攻擊方式。

2.1.4 探測與掃描攻擊

是指通過掃描計算機網絡以獲取主體操作系統(tǒng)相關數(shù)據(jù)、IP地址以及安全防護漏洞的攻擊方式。

上述入侵行為在網絡數(shù)據(jù)流中的特點各異，如探測與掃描攻擊會多次連接主機，并且均為短時間多頻次連接；拒絕服務攻擊會增加網絡運行負載，充斥著大量數(shù)據(jù)包；R2L與U2R攻擊會導致網絡中存在異常數(shù)據(jù)流向，或擾亂磁盤的正常讀寫操作。

2.2 檢測模塊的設計

通過對入侵行為的了解，便于用SVM技術進行入侵檢測，下面就具體的檢測模塊設計過程進行論述。基于SVM技術的入侵檢測系統(tǒng)中主要的模塊包括數(shù)據(jù)采集、數(shù)據(jù)處理、SVM訓練、SVM檢測，通過上述模塊，可完成網絡入侵檢測。

2.2.1 數(shù)據(jù)采集模塊

該模塊通過采集、分析網絡中的數(shù)據(jù)包，進而提取數(shù)據(jù)包中有用的信息，為網絡入侵檢測系統(tǒng)進行數(shù)據(jù)檢測提供依據(jù)。由于網絡數(shù)據(jù)包中可能存在著各類攻擊信息，所以數(shù)據(jù)采集模塊必須最大化地采集數(shù)據(jù)包，為滿足這一要求，應為該模塊配置相應的硬件與軟件。在硬件方面配備網絡適配器，網絡適配器在混雜數(shù)據(jù)包的網絡中能夠有效截取網絡中通訊信息；在軟件方面采用網絡數(shù)據(jù)嗅探器，如sniffer或Snort，借助于采集軟件的功能，分析截取數(shù)據(jù)包信息，并提取可能性較大的攻擊信息。

2.2.2 數(shù)據(jù)處理模塊

該模塊分為以下兩個運行子模塊：一是特征提取。通過量化處理復雜數(shù)據(jù)，并根據(jù)SVW的需求將這些數(shù)據(jù)轉化為相應的輸入特征矢量。由于數(shù)據(jù)采集模塊中截取了多種多樣的信息數(shù)據(jù)，這些信息數(shù)據(jù)的格式類型不盡相同，包括協(xié)議類型、文本格式、數(shù)值格式等，所以數(shù)據(jù)的量化處理必須借助于數(shù)值與文本數(shù)據(jù)的對應關系進行處理。在數(shù)據(jù)量化處理之后，可得到數(shù)值型的輸入特征矢量，這些矢量的數(shù)值大小不一，不同數(shù)值的數(shù)據(jù)會相互干擾，嚴重影響到處理結果的可靠性，因此要對這些輸入特征矢量進行歸一化處理，確定影響因子的比重，使其滿足SVW檢測要求，保證計算結果的準確性。

2.2.3 SVW訓練模塊

該模塊需設計出分類器，使分類器具備較強的檢測能力，能夠集中訓練歸一化處理后的數(shù)據(jù)。在數(shù)據(jù)訓練中，要合理設置SVW參數(shù)，保證分類器的分類有效性，若歸一化后的數(shù)據(jù)存在問題或SVW參數(shù)設置錯亂，那么就會導致分類器出現(xiàn)錯誤判斷。為了避免上述問題發(fā)生，可在訓練模塊中引入優(yōu)化算法，進一步優(yōu)化SVW參數(shù)，并在多種多樣的數(shù)據(jù)中消除干擾項的影響，提取出具備關鍵特征屬性的攻擊數(shù)據(jù)，從而保證檢測的準確性。

2.2.4 SVW檢測模塊

該模塊通過訓練模塊提取攻擊數(shù)據(jù)特征而獲取分類器，檢測出與預設類型存在一定關聯(lián)性的特性屬性。在檢測模塊運行中，矢量分發(fā)模塊起到了重要作用，能夠決定數(shù)據(jù)的分配。在歸一化處理后的數(shù)據(jù)中，矢量分發(fā)模塊可提取數(shù)據(jù)中的特征屬性值，將這些屬性值發(fā)送到各模塊中。在此之后，由收集分析模塊匯總處理檢測結果，判斷檢測結果是否存在著攻擊可能性，并且識別已知的攻擊類型。在檢測模塊設計中，所有模塊可同時運行，并行處理所有檢測對象，這樣一來不僅可以大幅度提升網絡入侵檢測系統(tǒng)的處理效率，而且還能夠增強網絡入侵檢測系統(tǒng)的擴展能力。

3 結論

綜上所述，由于計算機網絡中存在著諸多的漏洞及弱點，從而給非法入侵提供了渠道，雖然各種安全防范措施的運用，使非法入侵行為得到了一定的控制，但攻擊手段卻在不斷變化，這對入侵檢測系統(tǒng)的實用性提出了挑戰(zhàn)。SVM技術以其在侵檢測方面所具有的各種優(yōu)勢，為入侵檢測方式的優(yōu)化提供了技術支撐，實踐表明，通過該技術能夠對多種入侵行為進行快速檢測，由此確保了網絡的安全性。

參考文獻

[1]張得生，張飛.基于SVM和融合技術的入侵檢測研究[J].科技通報，2013（05）：96-98.

[2]朱文杰，王強，翟獻軍.基于信息熵的SVM入侵檢測技術[J].計算機工程與科學，2013（06）：124-126.

[3]曹丹星.基于數(shù)據(jù)降維和支持向量機的網絡入侵檢測[D].山東大學，2015.

[4]鄔書躍.基于支持向量機和貝葉斯分析技術的入侵檢測方法研究[D].中南大學，2012.

作者簡介

趙穎（1984-），女，貴州省安順市人。四川大學軟件工程碩士，講師。研究方向為計算機基礎應用。

諶蘭櫻（1982-），女，貴州省安順市人。貴州大學工程碩士，副教授。研究方向為計算機多媒體技術。

張忠瓊（1985-），女，貴州省施秉縣人。廈門大學軟件工程碩士，副教授。研究方向為軟件工程。

作者單位

安順學院 貴州省安順市 561000