基于SVM技術的入侵檢測方式

趙穎++諶蘭櫻++張忠瓊

摘 要近年來，計算機網絡的普及范圍逐步擴大，網絡給人們的日常工作、學習和生活帶來了極大的方便。然而，一些黑客卻常常會利用各種手段對網絡進行入侵，伺機獲取有價值的信息，這對網絡安全造成了影響。為對網絡入侵行為進行有效預防，文章基于SVM技術提出一種入侵檢測方式。期望通過本文的研究能夠對網絡安全性的提升有所幫助。

【關鍵詞】SVM技術 入侵行為 入侵檢測方式

1 SVM技術及其特點分析

SVM即支持向量機，是一種以小樣本學習、機器學習為主要研究對象的統計學習理論。在漸進理論下，對樣本數量向無窮大漸進進行假設是結論特征成立的前提條件，這也是傳統統計學的研究思路，但是若樣本數量為有限，則這種研究方法則難以達到良好的學習效果。而SVM可有效解決這一問題，能夠在有限樣本下進行學習，具備完善的學習理論體系。SVM的學習思路是在空間中輸入原始信息，借助核函數變換非線性，促使高維空間替代原始空間，進而獲取最優線性分類。在這一過程中，高維空間求解并未增加算法難度，只需要對內積運算進行改進就能實現低維向高維的轉換，且維數不會降低高維的推廣能力。SVM的特點表現在以下方面：

（1）結構風險小，可在基于小樣本學習的情況下，有效規避欠學習、過學習問題；

（2）SVM引入了核函數，相比較非線性分類器而言，在“維數災難”方面具有良好的規避能力；

（3）SVM擁有最大化分類間隔思路，能夠很好地區分支持向量。

2 基于SVM技術的入侵檢測方式

在對基于SVM技術的入侵檢測方式進行研究前，需要先對常見的入侵行為進行簡要介紹。由于入侵檢測主要是針對網絡而言，所以對入侵行為的分析也是基于網絡進行的。

2.1 入侵行為的常見類型

網絡是一個復雜且龐大的系統，其中的攻擊方式多種多樣，可根據入侵行為的特點進行歸類，比較常見的類型包括以下幾種：

2.1.1 拒絕服務攻擊

是指大量共享資源被一個用戶所占據，而無法共享給其他用戶的攻擊方式，這種攻擊方式能夠構造出大量異常的數據包，嚴重時會造成主機運行癱瘓。

2.1.2 R2L攻擊

是指利用網絡服務程序、網絡安全策略、密碼設置等漏洞，通過發送數據包以非法獲取訪問權限的攻擊方式。

2.1.3 U2R攻擊

是指入侵者利用程序緩沖區的漏洞或軟件安全缺陷獲取計算機操作系統的用戶權限或管理員權限的攻擊方式。

2.1.4 探測與掃描攻擊

是指通過掃描計算機網絡以獲取主體操作系統相關數據、IP地址以及安全防護漏洞的攻擊方式。

上述入侵行為在網絡數據流中的特點各異，如探測與掃描攻擊會多次連接主機，并且均為短時間多頻次連接；拒絕服務攻擊會增加網絡運行負載，充斥著大量數據包；R2L與U2R攻擊會導致網絡中存在異常數據流向，或擾亂磁盤的正常讀寫操作。

2.2 檢測模塊的設計

通過對入侵行為的了解，便于用SVM技術進行入侵檢測，下面就具體的檢測模塊設計過程進行論述。基于SVM技術的入侵檢測系統中主要的模塊包括數據采集、數據處理、SVM訓練、SVM檢測，通過上述模塊，可完成網絡入侵檢測。

2.2.1 數據采集模塊

該模塊通過采集、分析網絡中的數據包，進而提取數據包中有用的信息，為網絡入侵檢測系統進行數據檢測提供依據。由于網絡數據包中可能存在著各類攻擊信息，所以數據采集模塊必須最大化地采集數據包，為滿足這一要求，應為該模塊配置相應的硬件與軟件。在硬件方面配備網絡適配器，網絡適配器在混雜數據包的網絡中能夠有效截取網絡中通訊信息；在軟件方面采用網絡數據嗅探器，如sniffer或Snort，借助于采集軟件的功能，分析截取數據包信息，并提取可能性較大的攻擊信息。

2.2.2 數據處理模塊

該模塊分為以下兩個運行子模塊：一是特征提取。通過量化處理復雜數據，并根據SVW的需求將這些數據轉化為相應的輸入特征矢量。由于數據采集模塊中截取了多種多樣的信息數據，這些信息數據的格式類型不盡相同，包括協議類型、文本格式、數值格式等，所以數據的量化處理必須借助于數值與文本數據的對應關系進行處理。在數據量化處理之后，可得到數值型的輸入特征矢量，這些矢量的數值大小不一，不同數值的數據會相互干擾，嚴重影響到處理結果的可靠性，因此要對這些輸入特征矢量進行歸一化處理，確定影響因子的比重，使其滿足SVW檢測要求，保證計算結果的準確性。

2.2.3 SVW訓練模塊

該模塊需設計出分類器，使分類器具備較強的檢測能力，能夠集中訓練歸一化處理后的數據。在數據訓練中，要合理設置SVW參數，保證分類器的分類有效性，若歸一化后的數據存在問題或SVW參數設置錯亂，那么就會導致分類器出現錯誤判斷。為了避免上述問題發生，可在訓練模塊中引入優化算法，進一步優化SVW參數，并在多種多樣的數據中消除干擾項的影響，提取出具備關鍵特征屬性的攻擊數據，從而保證檢測的準確性。

2.2.4 SVW檢測模塊

該模塊通過訓練模塊提取攻擊數據特征而獲取分類器，檢測出與預設類型存在一定關聯性的特性屬性。在檢測模塊運行中，矢量分發模塊起到了重要作用，能夠決定數據的分配。在歸一化處理后的數據中，矢量分發模塊可提取數據中的特征屬性值，將這些屬性值發送到各模塊中。在此之后，由收集分析模塊匯總處理檢測結果，判斷檢測結果是否存在著攻擊可能性，并且識別已知的攻擊類型。在檢測模塊設計中，所有模塊可同時運行，并行處理所有檢測對象，這樣一來不僅可以大幅度提升網絡入侵檢測系統的處理效率，而且還能夠增強網絡入侵檢測系統的擴展能力。

3 結論

綜上所述，由于計算機網絡中存在著諸多的漏洞及弱點，從而給非法入侵提供了渠道，雖然各種安全防范措施的運用，使非法入侵行為得到了一定的控制，但攻擊手段卻在不斷變化，這對入侵檢測系統的實用性提出了挑戰。SVM技術以其在侵檢測方面所具有的各種優勢，為入侵檢測方式的優化提供了技術支撐，實踐表明，通過該技術能夠對多種入侵行為進行快速檢測，由此確保了網絡的安全性。

參考文獻

[1]張得生，張飛.基于SVM和融合技術的入侵檢測研究[J].科技通報，2013（05）：96-98.

[2]朱文杰，王強，翟獻軍.基于信息熵的SVM入侵檢測技術[J].計算機工程與科學，2013（06）：124-126.

[3]曹丹星.基于數據降維和支持向量機的網絡入侵檢測[D].山東大學，2015.

[4]鄔書躍.基于支持向量機和貝葉斯分析技術的入侵檢測方法研究[D].中南大學，2012.

作者簡介

趙穎（1984-），女，貴州省安順市人。四川大學軟件工程碩士，講師。研究方向為計算機基礎應用。

諶蘭櫻（1982-），女，貴州省安順市人。貴州大學工程碩士，副教授。研究方向為計算機多媒體技術。

張忠瓊（1985-），女，貴州省施秉縣人。廈門大學軟件工程碩士，副教授。研究方向為軟件工程。

作者單位

安順學院 貴州省安順市 561000