應用混合核函數支持向量機的網絡安全檢測模型研究

張彥軍

(暨南大學， 廣東 廣州 510000)

0 引言

近年來云計算和大數據的概念不斷的沖擊著人們的視野，信息化是這個時代的主題，已經變成這個時代發展的主旋律，伴隨著互聯網的發展，信息化已經涉及到人類生活工作的方方面面。但是信息化面臨非常棘手的網絡安全問題，網絡安全已上升為國家戰略。目前對如何在中間網絡上進行攻防的機器分類算法自動檢測的研究還沒有引起足夠的關注，面對日益復雜的網絡攻擊行為，單純的在目標網絡的攻防技術已經不能滿足要求，使用支持向量機算法，為了解決數據之間的非線性關系，近年來，混合核函數方法采用嵌入映射將數據特征映射到新的特征空間，這些研究嘗試將不同的核函數進行組合，并調節參數。這些研究主要方法是在原始映射集Φ={φ1,φ2,…,φM}基礎上構建一個新的映射集ψ={ψ1,ψ2,…,ψM}，將所有的映射統一維度，形成一致的變換，映射到高維空間中。本文在研究現有的網絡安全模型的基礎上，提出了一個改進的網絡安全模型，并且采用混合核函數的支持向量機分類算法[1]。

1 基本技術

網絡攻擊行為的可變性和模糊性是很多智能算法所不能很好處理的。綜合已有的這些實際問題，支持向量機(SVM)在針對小樣本、高維度的確定性分類問題上，表現出特別的優勢，并且其分類算法有嚴格的統計學論據，在編程邏輯上是透明的，這使得該算法更容易切入實際的網絡攻擊行為的分類需求[2]。

網絡攻擊中采集到的數據具有非線性、樣本分布不平坦、噪聲大等問題，支持向量機雖然在解決小樣本數據上表現出許多特有的優勢，但對于網絡攻擊行為的模糊性等實際問題，仍存在如下的缺陷：

(1)由于支持向量機在訓練時對所有訓練點是同等對待的，會產生一定的局限性，在處理實際網絡攻擊行為時，應盡可能保持支持向量的作用，弱化非支持向量的作用。

基于此，我們采用Lin等提出的模糊支持向量機(Fuzzy Support Vector Machine，FSVM)作為網絡攻擊行為分類的基本方法，以減小非重要網絡攻擊行為對SVM分類器學習的干擾。

(2)SVM在解決非線性分類或回歸問題過程中，核函數的選取非常重要。傳統的SVM或者FSVM都是基于單個核函數的。對于分類問題，由于對象之間的差異，找到一個合適的核函數又是比較困難的，往往靠大量的經驗所得來完成。這樣操作，對自動化網絡攻擊行為分類，顯然并不科學[3]。

基于此，本文將在FSVM的基礎上引入多個核函數映射，利用不同核函數之間的互補性特性來更加準確的適應網絡攻擊行為模糊、噪聲大、樣本差異不顯著的特點。本文提出一種基于多核的FSVM算法用于網絡攻擊行為分類，來更有效地模擬網絡攻擊行為模糊性等實際問題，此算法決策樹中的模糊核權重主要借助于樣本無監督自學習來確定，能根據網絡攻擊行為的模糊性特點，形成一種更合適的檢測算法。

2 改進的網絡安全模型設計與實現

本文提出了混合核函數支持向量機的計算機自動網絡安全檢測算法。混合核函數支持向量機算法創建了模糊隸屬度矩陣來進行網絡信號特征值的模糊化，訓練得到算法中多核函數線性組合的權重和參數值，然后算法對混合核函數支持向量機分類器算法進行了建模。

系統的總體設計為首先調用Libpcap的相關函數對網絡端口、過濾機制等進行初始化。之后開始進入循環捕包和對包的解析過程。進行測試的數據包獲取于實際網絡環境，其中一共選取20個網絡空間環境，隨機選取其中10個環境作為測試數據集，另外10個環境為訓練數據集。

SVM是基于統計學習理論的機器學習方法，從它的提出開始，就受到數據分類領域的廣泛關注和歡迎。SVM擁有嚴整統計學理論基礎作為支撐，在解決小樣本、高維度和非線性模式識別中具有相當的優勢，與其他類經驗風險最小化算法相比，它的泛化能力更強，在減少訓練和識別時間上有很重要的實際意義。

混合核函數支持向量機分類器算法的構造流程如圖1所示。

圖1 混合核函數支持向量機分類器構造過程圖

文本實驗的操作系統采用Linux 2.4，編譯器采用GCC+C，并用Libpcap工具捕捉數據包，如圖2所示[4]。

圖2 系統的上下層接口

系統中基本的邏輯步驟實現如下：

(1)packet結構

通過Libpcap工具從鏈路層捕捉的數據包通過分析，將結果存入Packet中，Packet的具體結構如表1所示[4]。

表1 packet數據結構

(2)statistic統計量

統計量主要是用于統計接收到的數據包的基本情況，具體如表2所示[4-6]。

表2 statistic統計量結構

(3)特征空間映射

為了保證合并之后的結果核同樣滿足Mercer條件，我們考慮采用一個非負映射C來合并各特征空間映射，有：

(1)

由于各隱式映射的維度不一定相同，上式的線性組合難成立。因此，在原始映射集Φ={φ1,φ2,···,φM}基礎上構建一個新的映射集ψ={ψ1,ψ2,···,ψM}將所有的映射統一維度，形成一致的變換，映射到高維空間中維度方面的數據變換如圖3所示[5-10]。

圖3 SVM分類器核函數映射數學模型圖

則各數據變換公式為：

(2)

ψk(xi)Tψk(xj)=κk(xi,xj)

ψk(xi)Tψk′(xj)=0,s.t.k≠k′

(3)

模糊因子uF(xi)的確定是決定支持向量機性能的關鍵所在，當uF(xi)的值比較小時，則此樣本對支持向量機的訓練作用將大為降低，從而降低了其對訓練SVM分類器過程的影響。

(4)多核模糊支持向量機算法分類步驟如下:

①將特征矩陣里的數據進行歸一化處理。

②建立分類數據的模糊集。

③確定網絡安全抓包各樣本點模糊隸屬度。

④選擇不同的核函數進行組合。

⑤根據支持向量機的決策樹，運用網絡安全抓包數據對多核模糊支持向量機算法進行訓練，然后進行樣本測試。

3 系統測試

表3給出了本次實驗的樣本情況、輸入數據情況、分類器的主要特征參數選擇的情況。

系統的測試情況如圖4所示，NIDS被部署在一個廣播的局域網絡環境中，通過抓取數據包，應用混合核函數支持向量機進行訓練和測試[4]。

混合核函數支持向量機的分類結果如表4所示。

表3 采用混合核函數支持向量機分類器進行分類實驗的參數列表

圖4 系統的測試部署

網絡安全檢測的平均識別準確率(MSSRR)公式的定義如下[7-9]：

(4)

式中，平均準確率定義為識別正確的網絡數據包數目與總體網絡數據包總數目的比值。

實驗采用ping6命令、tracert6命令以及通過瀏覽網頁等方式進行攻擊測試，實驗結果顯示該智能算法基本達到預期的實驗設計，能夠將進行攻擊的數據包丟掉[4]，實驗結果表明算法能比較有效的檢測出攻擊，基本都可以達到80%以上的準確率[4]。

表4 混合核函數支持向量機的分類結果

4 結束語

相比傳統的網絡安全模型，改進模型的創新點和優勢主要體現在：改進網絡安全模型采用支持向量機機器分類算法對數據包進行訓練和測試，并在算法中引入核函數的混合策略。人工智能已經是信息化的大勢所趨，在網絡的攻防中更好的運用

機器算法來檢測攻擊是網絡安全發展的新趨勢，該方法的提出和實驗探索，較傳統的病毒庫、攻擊庫的硬件、軟件及軟硬件相結合的網絡防御系統是一種更好的選擇。

[1] Cs3, Inc,逆向防火墻:局域網內潛在的拒絕服務攻擊的應對[EB/OL]. http://www.cs3-inc.com/rfw.html#3. (英文版)

[2] CARSTENS T.Programming with pcap[EB/OL].[2018-04-12]編程, http://www.tcpdump.org/pcap.htm.

[3] 徐國浪, 魏廷. 基于多核函數的模糊支持向量機學習算法. 重慶師范大學學報 (自然科學版), 2012, 29(6): 50-53.

[4] 薛曉敏. 基于IPv6的協議解析和DoS/DDoS攻擊檢測[D].廣州：暨南大學,2007.

[5] Ye Qiaolin, Ye Ning, Yin Tongming, et al. Enhanced multi-weight vector projection support vector machine[J]. Pattern Recognition Letters, 2010,31(13):2006-2011.

[6] Chen Weijie, Shao Yuanhai, Deng Naiyang, et al. Laplacian least squares twin support vector machine for semi-supervised classification[J]. Neurocomputing, 2014:145(4):465-476.

[7] Shao Yuanhai, Chen Weijie, Deng Naiyang. hyperplane support vector machine for binary classification problems[J]. Information Sciences, 2014:263(3):22-35.

[8] Qi Zhiquan,Tian Yingjie, Shi Yong. Structural twin support vector machine for classification[J]. Knowledge-Based Systems. 2013.43(2):74-81.

[9] 左繼紅,王千祥,梅宏.一種基于模型的特征交互檢測方法[J]. 軟件學報, 2007(18):95-104.

[10] 邢長明,劉方愛,楊林.一種有效的并行入侵檢測系統流量分配策略[J].計算機工程與應用,2007,43(24):152-154.