基于支持向量机的入侵检测方法
【专利摘要】本发明属于模式识别领域,提供了一种基于支持向量机的入侵检测方法,包括如下步骤,数据预处理,对数据进行特征加权,对数据进行特征提取,利用改进的SVM进行入侵检测。本发明降低了次要因素对分类性能的影响,降低了维数和缩减数据冗余信息,减少了运算量,提高了支持向量机的分类性能和入侵检测精度。
【专利说明】基于支持向量机的入侵检测方法
【技术领域】
[0001]本发明涉及模式识别领域,尤其涉及入侵检测领域。
【背景技术】
[0002]入侵检测本质上是个分类问题,属于模式识别的范畴。目前为止,各种技术诸如数据挖掘、机器学习、数据融合和神经网络等都在入侵检测工作中取得了可观的成果,而支持向量机(Support Vector Machine,简称SVM)作为一种新兴的机器学习方法也取得了一定的成绩。传统SVM在入侵检测中的应用,虽说在检测精度以及效率上有所提高,但是入侵检测数据数据量大,维数多,导致核矩阵的计算量大,同时一些次要因素会影响其最优分类面的选择,因此,传统的SVM还存在着应用上的缺陷。比如,不能解决入侵检测原始数据量大,且具有高维性,冗余性所导致的运算量大,训练时间长的问题,未对SVM的参数进行优化。
【发明内容】
[0003]本发明针对上述现有技术存在的问题作出改进,即本发明要解决的技术问题是提供一种基于支持向量机的入侵检测方法,这种基于支持向量机的入侵检测方法降低了次要因素对分类性能的影响;降低了维数和缩减数据冗余信息,较少了运算量;提高了支持向量机的分类性能,提高了入侵检测的实时性和入侵检测精度。
[0004]为了解决上述技术问题,本发明提供了如下的技术方案:
[0005]一种基于支持向量机的入侵检测方法,包括如下步骤:
[0006]S1.数据预处理,对于捕获的网络数据流进行预处理,即将字符变量转化为数字变量,所有字符属性对应一张数值字典;
[0007]S2.对数据进行特征加权,将所有的41个特征分成3个集合进行特征加权,降低次要因素对分类结果的影响;
[0008]S3.对数据进行特征提取,对特征加权过得数据利用核主成分分析进行特征提取,降低数据的维数和冗余信息,减少计算量,提取完的数据作为SVM的输入向量;
[0009]S4.利用SVM进行入侵检测,使用组合核函数作为SVM的内部核函数,同时利用遗传算法对核函数参数及组合核函数的加权系数进行寻优,以此来提高SVM的分类性能。
[0010]其中,在对数据进行特征加权中,对训练数据的部分特征的值的加权变换转换为对最优分类面的权值向量w的加权;当使用核函数时,考虑到可能的高维特征空间中含指数形式,选权值的形式为2k,k > O。
[0011]进一步的,在对数据进行特征加权时,所述的3个集合分别是:
[0012]对正常数据影响较大的特征集:
[0013]A1 = {10,17,25,26,27,28,29,38}
[0014]对异常数据影响较大的特征集:
[0015]A2 = {I, 3,5,6,23,24,32,33,36,39}
[0016]对以上两类影响不大的特征集:[0017]A0 = {2,4,7,8,9,11,12,13,14,15,16,18,19,20,21,22,30,31,34,35,37,40,41}
[0018]定义论域X = (Xi I i e Z, I≤i≤41},其中Xi表示第i维特征。X对分类结果影响程度定义模糊集合A,其隶属函数表示为:
【权利要求】
1.一种基于支持向量机的入侵检测方法,其特征在于: S1.数据预处理,对于捕获的网络数据流进行预处理,将字符变量转化为数字变量,所有字符属性对应一张数值字典; S2.对数据进行特征加权,将数据样本分为两类:正常数据和异常数据,并将所有的41个特征分成3个集合; S3.对数据进行特征提取,对特征加权过得数据利用核主成分分析进行特征提取,提取完的数据作为SVM的输入向量; S4.利用SVM进行入侵检测,对SVM中的核函数进行优化,将两个核函数进行线性加权形成组合核函数,同时利用遗传算法对核函数参数及两个核函数组合的加权系数进行优化。
2.根据权利要求1所述的基于支持向量机的入侵检测方法,其特征在于:在对数据进行特征加权中,对训练数据的部分特征的值的加权变换转换为对最优分类面的权值向量w的加权;当使用核函数时,考虑到可能的高维特征空间中含指数形式,选权值的形式为2k,k> O。
3.根据权利要求1所述的基于支持向量机的入侵检测方法,其特征在于:在对数据进行特征加权时,所述的3个集合分别是: 对正常数据影响较大的特征集:
A1 = {10,17,25,26,27,28,29,38} 对异常数据影响较大的特征集:
A2 = {I, 3,5,6,23,24,32,33,36,39} 对以上两类影响不大的特征集:
A0 = {2,4,7,8,9,11,12,13,14,15,16,18,19,20,21,22,30,31,34,35,37,40,41} 定义论域X= (Xi I i e Z, I≤i≤41},其中Xi表示第i维特征;X对分类结果影响程度定义模糊集合A,其隶属函数表示为:
4.根据权利要求1所述的基于支持向量机的入侵检测方法,其特征在于:SVM进行入侵检测的过程为,若处于SVM训练状态,则训练SVM,并将训练后的结果即若干个支持向量存入SVM支持向量库;若处于SVM预测状态,则由SVM预测模块对输入向量进行预测。
5.根据权利要求1所述的基于支持向量机的入侵检测方法,其特征在于:选用Poly核函数和RBF核函数进行组合,形成的组合核函数为:
PoIy+RBF:
K (X,Xi) = α [ (X.Xi) +l]q+(l-α ) exp (-1 | X-Xi \\2/ ο2)式中,权系数α (O < α < I)调节两种核函数。
【文档编号】H04L12/26GK104009886SQ201410223413
【公开日】2014年8月27日 申请日期:2014年5月23日 优先权日:2014年5月23日
【发明者】陈桂林, 王生光, 徐静妹, 李雷 申请人:南京邮电大学