基于SVM技术的入侵检测方式

赵颖++谌兰樱++张忠琼

摘 要近年来，计算机网络的普及范围逐步扩大，网络给人们的日常工作、学习和生活带来了极大的方便。然而，一些黑客却常常会利用各种手段对网络进行入侵，伺机获取有价值的信息，这对网络安全造成了影响。为对网络入侵行为进行有效预防，文章基于SVM技术提出一种入侵检测方式。期望通过本文的研究能够对网络安全性的提升有所帮助。

【关键词】SVM技术 入侵行为 入侵检测方式

1 SVM技术及其特点分析

SVM即支持向量机，是一种以小样本学习、机器学习为主要研究对象的统计学习理论。在渐进理论下，对样本数量向无穷大渐进进行假设是结论特征成立的前提条件，这也是传统统计学的研究思路，但是若样本数量为有限，则这种研究方法则难以达到良好的学习效果。而SVM可有效解决这一问题，能够在有限样本下进行学习，具备完善的学习理论体系。SVM的学习思路是在空间中输入原始信息，借助核函数变换非线性，促使高维空间替代原始空间，进而获取最优线性分类。在这一过程中，高维空间求解并未增加算法难度，只需要对内积运算进行改进就能实现低维向高维的转换，且维数不会降低高维的推广能力。SVM的特点表现在以下方面：

（1）结构风险小，可在基于小样本学习的情况下，有效规避欠学习、过学习问题；

（2）SVM引入了核函数，相比较非线性分类器而言，在“维数灾难”方面具有良好的规避能力；

（3）SVM拥有最大化分类间隔思路，能够很好地区分支持向量。

2 基于SVM技术的入侵检测方式

在对基于SVM技术的入侵检测方式进行研究前，需要先对常见的入侵行为进行简要介绍。由于入侵检测主要是针对网络而言，所以对入侵行为的分析也是基于网络进行的。

2.1 入侵行为的常见类型

网络是一个复杂且庞大的系统，其中的攻击方式多种多样，可根据入侵行为的特点进行归类，比较常见的类型包括以下几种：

2.1.1 拒绝服务攻击

是指大量共享资源被一个用户所占据，而无法共享给其他用户的攻击方式，这种攻击方式能够构造出大量异常的数据包，严重时会造成主机运行瘫痪。

2.1.2 R2L攻击

是指利用网络服务程序、网络安全策略、密码设置等漏洞，通过发送数据包以非法获取访问权限的攻击方式。

2.1.3 U2R攻击

是指入侵者利用程序缓冲区的漏洞或软件安全缺陷获取计算机操作系统的用户权限或管理员权限的攻击方式。

2.1.4 探测与扫描攻击

是指通过扫描计算机网络以获取主体操作系统相关数据、IP地址以及安全防护漏洞的攻击方式。

上述入侵行为在网络数据流中的特点各异，如探测与扫描攻击会多次连接主机，并且均为短时间多频次连接；拒绝服务攻击会增加网络运行负载，充斥着大量数据包；R2L与U2R攻击会导致网络中存在异常数据流向，或扰乱磁盘的正常读写操作。

2.2 检测模块的设计

通过对入侵行为的了解，便于用SVM技术进行入侵检测，下面就具体的检测模块设计过程进行论述。基于SVM技术的入侵检测系统中主要的模块包括数据采集、数据处理、SVM训练、SVM检测，通过上述模块，可完成网络入侵检测。

2.2.1 数据采集模块

该模块通过采集、分析网络中的数据包，进而提取数据包中有用的信息，为网络入侵检测系统进行数据检测提供依据。由于网络数据包中可能存在着各类攻击信息，所以数据采集模块必须最大化地采集数据包，为满足这一要求，应为该模块配置相应的硬件与软件。在硬件方面配备网络适配器，网络适配器在混杂数据包的网络中能够有效截取网络中通讯信息；在软件方面采用网络数据嗅探器，如sniffer或Snort，借助于采集软件的功能，分析截取数据包信息，并提取可能性较大的攻击信息。

2.2.2 数据处理模块

该模块分为以下两个运行子模块：一是特征提取。通過量化处理复杂数据，并根据SVW的需求将这些数据转化为相应的输入特征矢量。由于数据采集模块中截取了多种多样的信息数据，这些信息数据的格式类型不尽相同，包括协议类型、文本格式、数值格式等，所以数据的量化处理必须借助于数值与文本数据的对应关系进行处理。在数据量化处理之后，可得到数值型的输入特征矢量，这些矢量的数值大小不一，不同数值的数据会相互干扰，严重影响到处理结果的可靠性，因此要对这些输入特征矢量进行归一化处理，确定影响因子的比重，使其满足SVW检测要求，保证计算结果的准确性。

2.2.3 SVW训练模块

该模块需设计出分类器，使分类器具备较强的检测能力，能够集中训练归一化处理后的数据。在数据训练中，要合理设置SVW参数，保证分类器的分类有效性，若归一化后的数据存在问题或SVW参数设置错乱，那么就会导致分类器出现错误判断。为了避免上述问题发生，可在训练模块中引入优化算法，进一步优化SVW参数，并在多种多样的数据中消除干扰项的影响，提取出具备关键特征属性的攻击数据，从而保证检测的准确性。

2.2.4 SVW检测模块

该模块通过训练模块提取攻击数据特征而获取分类器，检测出与预设类型存在一定关联性的特性属性。在检测模块运行中，矢量分发模块起到了重要作用，能够决定数据的分配。在归一化处理后的数据中，矢量分发模块可提取数据中的特征属性值，将这些属性值发送到各模块中。在此之后，由收集分析模块汇总处理检测结果，判断检测结果是否存在着攻击可能性，并且识别已知的攻击类型。在检测模块设计中，所有模块可同时运行，并行处理所有检测对象，这样一来不仅可以大幅度提升网络入侵检测系统的处理效率，而且还能够增强网络入侵检测系统的扩展能力。

3 结论

综上所述，由于计算机网络中存在着诸多的漏洞及弱点，从而给非法入侵提供了渠道，虽然各种安全防范措施的运用，使非法入侵行为得到了一定的控制，但攻击手段却在不断变化，这对入侵检测系统的实用性提出了挑战。SVM技术以其在侵检测方面所具有的各种优势，为入侵检测方式的优化提供了技术支撑，实践表明，通过该技术能够对多种入侵行为进行快速检测，由此确保了网络的安全性。

参考文献

[1]张得生，张飞.基于SVM和融合技术的入侵检测研究[J].科技通报，2013（05）：96-98.

[2]朱文杰，王强，翟献军.基于信息熵的SVM入侵检测技术[J].计算机工程与科学，2013（06）：124-126.

[3]曹丹星.基于数据降维和支持向量机的网络入侵检测[D].山东大学，2015.

[4]邬书跃.基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D].中南大学，2012.

作者简介

赵颖（1984-），女，贵州省安顺市人。四川大学软件工程硕士，讲师。研究方向为计算机基础应用。

谌兰樱（1982-），女，贵州省安顺市人。贵州大学工程硕士，副教授。研究方向为计算机多媒体技术。

张忠琼（1985-），女，贵州省施秉县人。厦门大学软件工程硕士，副教授。研究方向为软件工程。

作者单位

安顺学院 贵州省安顺市 561000