基于SVM的BGP異常流量檢測

摘 要:針對BGP異常檢測領(lǐng)域中獲得的數(shù)據(jù)具有多變性、小樣本和高維性等特征，提出一種基于SVM的BGP異常流量檢測方法。BGP數(shù)據(jù)實(shí)驗(yàn)結(jié)果表明，應(yīng)用SVM算法進(jìn)行BGP異常流量檢測是可行的，有效的。關(guān)鍵詞:SVM; BGP; 異常流量檢測; 小樣本

中圖分類號:TN913-34; TP39308文獻(xiàn)標(biāo)識碼:A

文章編號:1004-373X(2010)18-0118-03

Detection for Abnormal Flow Rate of BGP Based on SVM

SUN Hong-yan1， ZHANG Hong-yu2

(1.Department of Physics， Heze University， Heze 274015， China; 2.Shandong PT Planning and Designing Institute Co. Ltd.， Qingdao 266100， China)

Abstract: A new method of BGP abnormal flow-rate detection based on SVM is proposed， because of the variety， small-sample， and high-dimension of the data obtained in BGP abnormal flow detection. BGP data experiment results show that SVM algorithm is feasible and effective in detecting BGP abnormal flow rate.Keywords: SVM; BGP; abnormal flow-rate detection; small sample

0 引 言

BGP協(xié)議是一種路徑向量協(xié)議，在一定程度上綜合了距離向量和鏈路狀態(tài)算法的優(yōu)點(diǎn)。簡言之，BGP協(xié)議是一種具有較好的簡單性，可擴(kuò)展性、靈活性以及可靠性的路由協(xié)議，是一種專門為域間路由系統(tǒng)設(shè)計(jì)的路由協(xié)議[1]。

異常檢測是入侵檢測技術(shù)的一種，它是根據(jù)正常狀態(tài)下系統(tǒng)的觀察結(jié)果檢查當(dāng)前狀態(tài)對正常狀態(tài)的偏離，然后通過分析系統(tǒng)或用戶的行為與正常行為的偏差檢測入侵。近年來，研究人員在異常檢測領(lǐng)域引入了各種人工智能和機(jī)器學(xué)習(xí)的方法，比如神經(jīng)網(wǎng)絡(luò)[2]，數(shù)據(jù)挖掘[3]，人工免疫[4]，遺傳算法[5]等。這些方法大都依賴于大數(shù)理論，基于假設(shè)樣本數(shù)目趨于無窮大，并且要求數(shù)據(jù)有較強(qiáng)的規(guī)律性，檢測速度也難以滿足高速環(huán)境的要求。但在入侵檢測領(lǐng)域中獲得的數(shù)據(jù)大多具有多變性、小樣本和高維性等特征，(例如BGP異常數(shù)據(jù)) 使得以上方法有一定的局限性。

而SVM是專門處理有限樣本條件下的機(jī)器學(xué)習(xí)問題，其目標(biāo)是得到在現(xiàn)有信息下的最優(yōu)解而不僅是樣本數(shù)量趨于無窮大的最優(yōu)值。它所具有的這種在缺乏足夠先驗(yàn)背景知識下，只需較少的樣本就可以迅速訓(xùn)練出具有相對較高性能指標(biāo)，仍然能夠保證較高的正確率的良好特性，使之可以成為一種較好的異常檢測技術(shù)。……