[发明专利]一种利用RST和SVM进行网络入侵检测的方法

说明书

技术领域

本发明提出一种利用RST和SVM进行网络入侵检测的方法，系统提升对攻击流量与正常流量判断的正确率，使网络入侵系统发挥早期预警作用，保证网络安全。属于计算机安全技术领域。

背景技术

随着网络规模不断扩大及网络应用类型不断增多，网络安全日益突出。截止2012年11月20日，中国互联网络信息中心已累计认定并处理钓鱼网站100402个，全球范围内中国被恶意软件感染电脑的平均比率为54.10%，成为唯一一个感染率超过50%的国家。由于网络黑客培训兴起以及黑客录像的大量传播，加上黑客们的好奇心以及利用黑客手段获取资料来谋取非法利益，国内越来越多的人爱好上入侵。

目前，我国网络信息安全技术水平低，国内计算机网络安全系统所使用的各类硬件或软件中，具有自主知识产权的极少，绝大部分都是从国外引进的产品，特别是关键技术。因此努力提高我国网络系统防护、入侵检测系统性能的任务迫在眉睫。

入侵检测主要通过监控计算机网络系统状态、行为以及系统的使用情况，来检测系统外部的入侵者的攻击行为。现在的政府、企业网络环境中通常都配置入侵检测或入侵防御系统，以期在网络入侵的异常行为出现时，可迅速发现并拦截。所以如何将网络正常流量与攻击流量正确识别，仍是目前入侵检测技术人员所要持续改善的目标。面对不断更新的黑客技术，研究入侵检测系统检测的正确率及效率仍是重点。

入侵检测系统依不同环境可分为网络型、无线网络型及主机型入侵检测系统。网络型入侵检测系统在网络流量过大时，系统无法及时处理、有封包遗漏检测的问题，还有硬件规格需求较高、无法检测加密过的封包。无线网络型同网络型的基本相似。主机型入侵检测系统为单机使用，而且影响安装的主机本身的运行性能。

现在入侵检测的研究常以KDD的方式来进行。分类使用的技术主要有决策树、遗传算法、神经网络、统计分析等。但分类复杂度高，常造成难以在合理时间内得出最佳结果。使用支持向量机进行分类有不错效果，能取得较好的正确率，但无法产生决策规则，而且若直接使用支持向量机进行分类存在孤立样本，将影响分类结果。约略集合理论在进行分类前的离散和属性简化步骤，有效减低样本维度和计算机复杂度，但若直接将样本投入约略集合理论进行处理，则可能产生过多的决策规则，且当新进样本不在规则中时则有无法分类的情况出现。而在使用决策树及关联规则进行样本分类，虽能得到决策规则，但需扫描多次样本库，这样使得效率减低，仍可能造成网络入侵检测的瓶颈。

随着入侵特征的复杂度不断提高以及操作系统、软件本身潜在的漏洞缺陷，检测系统的核心技术也应不断提高。

发明内容

针对现有入侵检测系统的不足，本发明提供一种利用RST和SVM进行网络入侵检测的方法，结合多种分类器进行分类，提高入侵检测系统的性能。

为了实现发明的目的，本发明选择单类支持向量机算法，结合约略集合理论与支持向量机算法对网络流量进行分析，取三种算法的优点，提高分类效果。操作步骤包括：

⑴ 利用单类支持向量机进行二元分类的特性，将网络流量的数据分类为正常数据流量和孤立数据。

⑵ 若判为正常流量则以支持向量机进行二次分类，分类为一般流量或攻击流量，这样避免因过多的孤立流量而影响支持向量机的分类能力。

⑶ 将单一支持向量机判断为孤立的网络数据流量以约略集合理论进行分类，可单独考虑每一流量的独有特性，提高孤立流量的检测正确率，并由属性简化而得到重要的决策属性，再以约略集合决定多反应变量的特性，调整决策属性得到最佳分类结果。

⑷ 若判定为孤立流量且不在约略集合理论的专家规则中，则直接判定为攻击流量，以避免新形态的攻击流量无法被分类而造成漏报。

本文以非监督式学习法的单类支持向量机，先将流量分为孤立和非孤立样本，目的可弥补监督式学习，像决策树、支持向量机、贝氏分类算法等方法因孤立流量而导致模型结果不理想的影响。同时避免约略集合理论产生过多决策规则而影响分类效果，弥补单一算法可能造成网络入侵检测系统将单一流量误报为攻击流量的问题。

 

附图说明

图1 是本发明的流程图

图2 是系统检测的结构图

图3是本发明的TSR属性缩减方法示意图

具体实施方式

本发明采用的数据取自数据集KDD CUP99。数据集分为Normal、PROBE、DoS、U2R、R2L共5类网络攻击类型，训练和测试样本的结构为：