论文研究-基于改进NN-SVM 算法的网络入侵检测.pdf

所需积分/C币:7 2019-09-20 15:26:17 796KB .PDF

论文研究-基于改进NN-SVM 算法的网络入侵检测.pdf,  在网络入侵检测中,引入类归属度对NN-SVM算法进行改进.综合距离与同异类点个数因素,通过计算样本点对最近$T$个样本点的类别归属程度来决定取舍,以此对样本集进行修剪, 从而降低正反类的混淆程度, 以降低SVM的学习代价,提高泛化能力. 试验表明: 与SVM 算法相比,改进的NN-SVM算法能有效地减少学习样本数, 解决小样本的
128 系统工程理论与实践 第30卷 针对每个样本x;(m维向量)计算其与距离最近T个样本之间的距离,设该样本到这T个样本的距离 为D1,D2,…,D,采用欧氏距作为两个向量之间的距离,即 k)2 而用1/D来表示第个点从距离因素上对考察样本的类别归属的影响因子 若这T个样本中有r个与考察样本都是同一个类的(假设距离为D1,D2,…,Dn),而剩余的T-7个 与考察样本都不是同一个类的(假设距离为D,+1,Dr+2,…,Dr),用类归属度综合距离影响因子与同异类 个数来说明样本的类别归属程度,类归属度为 B=(∑)/-(∑1D)/(x-n 下面以程序的方式给出上述方法的实现算法: 给定一个训练集(x1,y),(x2,v),……,(xm,mm),x;∈R",v∈{1,-1},=1,2,…,m.将训练集表示 为矩阵TRm×(n+1)=XY],其中X={x1,x2,…,xm1,Y={1,y,…,ym1 修剪算法如下 1.找到每个样本的T个最近邻 2判断样本的类归属度E 1)求出每个点与其它各点的距离,与自身的距 Enx1=(en1),i=1,2,……m+1 离定义为 For p=l to T For p=1 to m {ifvp≠ 1×m=(之i), i1=0,v1=0,v2=0,r=0 =1,2,…,m; For i=1 to T t if lji ifq≠p.ag=D(xp,xq);} 1=(1+1/2),++;} 1 to T 2)找出T个最近邻; Hif li1 NNm×1=(7;),m=1, 2=(v2+1/); i=1,2, ea1=1/r-72/(7-7) Dx×1=(d1),2=1,2,…,T s=1:ale=21; 3.将样本的类归属度E2与设定阀值ε作比 For k=1 to T' 较:删除类归属度低的向量 For q=1 to m for i=1 te i if 21g value [value=21y;s=9:1 if el< npl =s 删除矩阵TR及L的第i行,新矩阵仍 设为Tf及L} 4系统实现 网络数据流截包 系统逻辑结构如图1所示,系统由数据采集、特 征抽取、向量化处理、 NN-SVM训练、入侵检测、系 数据采集 数据采集 统响应六个模块组成 重 特征抽取 特征抽取 数据采集模块从网络数据流截包,采用Tcp 误 新 报 dump实现 向量化处理 向量化处理 特征抽取模块对每一次的网络连接,抽取41个 NN-SVM训练 特征: duration, protocol-type, service…hot,num- 练 failed-logins, logged-in..count, srv-count, serror- 训练完毕 入侵检测 rate. . dst-host-count. dst-host-srv-count. dst-host same-srv-rate 系统响应 向量化处理模块将复杂的网络连接记录信息格 式转换成SVM能够处理的向量形式,表征测试数据 图1系统逻辑结构图 第1期 于秋玲:基于改进 NN-SVM算法的网络入侵检测 129 的结构.对于值为1或0的逻辑型属性值和取值范围在[0.0,1.0内的连续数据,不需进行处理.处理的重点 在于字符型的数据数值化,每个字符属性包含不同个数的符号.如 protocol-type包含3个不同的符号、fag 包含11个不同的符号、 service包含70个不同的符号.为每个符号编制一个标号,将字符属性的不同的符号 映射到0到N-1之间(N即符号个数),例如:对于 protocol-type属性把tcp标记为0,udp标记为1,icmp 标记为2.然后再将这些标号数值映射到[0.0,1.0之间,转换成二进制的形式.对于数值类型的属性值, 取值范围非常大的情况,如src- bytes[0,1.3 billion],通过取以10为底的对数映射到0.0.9.14之间,然后再 映射到[0.0,10]之问;取值范围在〖0.0,58329.0]整数范围内的,直接映射到[0.0,1.0之问.最终将所有属 性值都规范到相同量级上,这样就避免了取值范围大的属性支配取值范围小的属性1 NN-SVM训练模块针对训练数据集,首先采用改进NN算法(类归属度)对数据集进行删减,然后采用 SVM算法对删减后的数据集进行分类.入侵检测模块针对检测数据集,采用上述训练模块训练成熟的分类 器进行数据分类.系统响应模块针对入侵检测模块检测岀的λ侵数据调用系统策略进行处理 系统的入侵检测分为两个阶段:第一阶段进行训练训练数据抽取特征并向量化之后,输入 NN-SVM训 练模块采用改进NN-sVM算法反复训练得到分类器;第二阶段进行检测,用第一阶段训练好的分类器对抽 取特征并向量化的网络数据进行检测,如果发现入侵,就调用系统响应模块采取相应的处理策咯,另外在实 际检测过程中如果发现误报,则进行误差分析之后仍可返回重新训练分类器整个过程就是一个不断循环、 不断完善的过程,以达到更高的系统性能 5试验结果及分析 5.1数据源 本实验采用KD9入侵检测评测数据2对所设计的入侵检测模型进行测试在该数据集中大约有5 亿条训练数据记录和0.3亿条测试数据记录.KDD99入侵检测数据集中含有四种类型的攻击行为 1)DoS( Denial of service):拒绝服务攻击类型,如ping- of-death, sYN Hood.land等 2) Probe:各种端口扣描和漏洞扫描,如port-scan,ping-swep等. 3)R2L( Remote to local):远程非法登陆,如 guessing password等. 4)U2R( Unauthorized access to root):非授权超级用户存取,如 buffer-overflow攻击等. 52参数选择 利用基于 MATLAB的SVM工具箱以及编制的数据修剪程序进行实验,SVM核函数使用高斯核: exp-(x;-x)2],其中?=0.5惩罚参数C=100..用检测精度作为衡量系统性能的指标 试验1参数T的选择 采用改进NN-SVM分类器进行试验,针对编制修建程序取ε=-2,针对不同的T取值进行检测精度的 试验 试验结果显示如图2,当T=7时,检测精度最高 试验2参数的选择 采用改进NN-SVM分类器进行试验,针对编制修建程序取T=7,针对不同的ε取值进行检测精度的试 验试验结果显示如图3,当=-3时,检测精度最高 改进N-SM 娱84 85 80 950 94.0 2003004005006 0C900100011001200 T的取值 的取值 样本集 图2参数T的选择 图3参数∈的选择 图4改进NN-SVM算法与传统 SVM算法的检测精度比较 130 系统工程理论与实践 第30卷 53基于改进NN-SVM算法与传统SVM算法的比较 为了测试改进NN-SVM算法性能,将其与传统SⅥM算法进行比较.参数采用试验1与试验2结果,数 据集修剪程序中取T=7,=-3.候选样本集为1200.试验结果显示如图4,可以看出改进NN-SVM算法明 显优于传统SVM算法,使用改进NNSⅥM算法,当样本集等于400时,系统检测精度就达到了97%以上, 而使用传统SVM算法,当样本集逼近1000时,系统检测精度才达到了97%以上.由此可见,改进NN-SVM 算法可以有效地减轻正反类的混淆程度,从而减少学习样本数,提高系统检测速度和精度. 6结语 本文提出了一种基于类归属度的NN-SVM算法应用于网络入侵检测系统,其泛化性比传统SVM算法 有明显提高,提高∫检测速度与精度.解决∫网络异常入侵检测中训练样本集构建代价较大且处理时间过长 的问题.可以大幅度地降低学习代价,而且可以在小样本的情况下获得较高检测精度,而且针对不同的训练 集可以进行参数调节,增强了系统的灵活性,对于提高入侵检测系统的性能有较大研究意义 参考文献 VapnikⅤN.统计学习理论的本质M].张学工,译北京:清华大学出版社,2000 2] Nello O, John s t.支持向量机导论M.李国正,王猛,曾华军,译.北京:电子工业吕版社,2004 3 Vapnik V N. An overview of statistical learning theory [J. IEEE Transactions on Neura Networks, 1999, 10(5) 988999 4 Vapnik V N. Statistical Learning Theory[M. 2nd ed. New York: Springer Verlag, 1999 5 Klaus R M, Sebastian M, Gunnar R, et al. An introduction to kernel-based learning algorithms[J. IEEE Trans actions on Neural Networks, 2001, 12(2): 181-201 6]李程雄,丁月华,文贵华 SVM-KNN组和改进算法在专利文本分类中的应用J].计算机工程与应用,2006,20:193195 Li C X, Ding Y H, Well G H. Application of SVM-KNn coInbination iNprovement algorithIn on patent text classificat ion[J. Camputer Engineering and Applicat ion, 2006, 20: 193-195 阿7]李红莲,王春花,袁倮宗.一种改进的支持向量机 NN-SVM[J.计算机学报,2003,26(8):1015-1020 Li H L, Wang C H, Yuan B Z. An improved SVM: NN-SVMJ. Chinese Journal of Computers, 2003, 26(8) 1015-1020 8」李蓉,叶世伟,史忠植. SVM-KNN分类器—一一种提高SVM分类精度的新方法|J,电子学报,205,30(5):745-748 Li R, Ye S w, ShiZ Z. SVM-KNN classifier--A new method of improving the accuracy of SVM classifier Acta Electronica Sinica, 2005, 30(5 745-748 ⑨]段丹青,陈松乔,杨卫半.基于SVM主动学以的入侵检测系统!J计算机工程,2007,33(1):153-155 Duan D Q, Chen S Q. Yang W P Intrusion dctection system based on support vector machinc activc lcarningJI Computer Engineering, 2007, 33(1): 153-155 10 Sabhnani M, Serpen G. Application of machine learning algorithms to KDD intrusion detection dataset within misuse detection context[C//International Conference on Machine Learning; Models, Technologies and Appli- cations,(MLMTA), Las Vegas, Nevada, USA, 2005: 209-215 1]张桂玲.基于软计算理论的入侵检测技术研究[D].天津:天津大学,2006 Zhang G L. Research on intrusion detection based on soft computering theories[D]. Tianjin: Tianjin University, 2006. 12http://www.kdd.ics.uci.edu/databases/kddcup99/kddcup99.htm

...展开详情
img
  • 至尊王者

    成功上传501个资源即可获取

关注 私信 TA的资源

上传资源赚积分,得勋章