基于KPCA-SVM的入侵檢測模型研究①

摘 要:本文針對當前大量web入侵的背景，在分析前人研究成果的基礎上提出了基于KPCA-SVM的入侵檢測方法，此方法在分析大量已有網絡數據的基礎上生成入侵事件的SVM分類器，再利用生成的分類器判斷是否為攻擊事件并分類，供網絡管理員分析。

關鍵詞:網絡入侵KPCA-SVM

中圖分類號:TP393.08文獻標識碼:A文章編號:1674-198X(2011)01(a)-0033-01

網絡入侵檢測方法是目前計算機領域十分重要的研究課題，人們對這一問題做了很多研究，提出了如遺傳算法、主成分分析法、模糊賦權法、專家咨詢法等。但這些方法都有一定的適用范圍和局限性:專家咨詢法帶有主觀經驗性;模糊方程求解指標權重，需預先給定樣品優劣順序，條件苛刻也受限制;主成分分析法只能科學的求得綜合指標的權重，而不能給出單個指標的權重。

本文在研究前人成果的基礎上提出基于KPCA-SVM(核主元分析-支持向量機)方法，采用線性SVM加權挑選最有效特征，并得到分類模型。

1 入侵檢測的KPCA-SVM模型研究

1.1 核主元分析KPCA

核主元分析是一種非線性特征提取的方法，它通過一個非線性映射將數據從輸入空間映射到特征空間，然后在特征空間中進行通常的主成分分析，其中的內積運算采用一個核函數來代替。設非線性映射為。因此，F由生成。

核主元分析法提取非線性主元的步驟為:

(1)計算矩陣K的內積:，

;

(2)利用式:，計算K的特征值和特征向量();

(3)將特征值由小到大排序，非零特征值的特征向量歸一化;

(4)對任意原數據，通過下式計算，得到x的投影。

1.2 支持向量機模型

將KPCA的訓練樣本值表示為

，為第i 個樣本的輸入模式，為第i個樣本的期望輸出，t為訓練樣本值)，考慮到回歸函數:

(2)

其中為從高維非線性空間提取的特征向量。系數和通過最小化結構化風險泛函(3)來估計。

(3)

(4)

最小化第一項將使得函數盡可能平緩，從而控制函數功能，第二項

為由-不敏感損失函數(4)決定的經驗誤差，C為懲罰因子，為回歸最大誤差。

為求得和的估計值，引入松弛變量，(3)轉化成目標函數(5):

(5)

為得到問題的解，通常引入它的對偶問題:

(6)

其中為拉格朗日因子，非零的為支持向量。

最后，通過引入拉格朗日因子和最佳系數參數，決策方程(2)轉化為以下形式:

(7)

回歸方程(7)即為支持向量機(SVM)。其中按下列方式計算:選擇位于開區間中的任一個或，若選到的是，則;若選到的是，則

。在(7)中，為核函數:

。

2 實例驗證與結論

試驗選用徑向基函數RBF作為核函數，主要從檢測精度和誤報率兩方面來檢驗此算法的性能，實驗數據見表1，SVM與幾種檢測方法性能比較結果見表2。

通過表2我們可以看出，較其它方法支持向量機的檢測精度大大提高，誤報率明顯降低，應用SVM進行入侵檢測具有更大的優越性。

參考文獻

[1]何瓊，孫世群，吳開亞，等.區域態安全評價的AHP賦權方法研究[J].合肥工業大學學報，2004，27(4).

[2]陳瓊華.綜合評價中的賦權方法[J].統計與決策，2004，(4).

[3]周文坤.模糊偏好下多目標決策的一種客觀賦權方法[J].上海大學學報，2004，10(4).

[4]C.Q.Zhang，and Y.C.Lu，“The reverse logistics evaluation based on KPCA-LINMAP model”，2006.