摘 要:本文针对当前大量web入侵的背景,在分析前人研究成果的基础上提出了基于KPCA-SVM的入侵检测方法,此方法在分析大量已有网络数据的基础上生成入侵事件的SVM分类器,再利用生成的分类器判断是否为攻击事件并分类,供网络管理员分析。
　　关键词:网络入侵KPCA-SVM
　　中图分类号:TP393.08 文献标识码:A 文章编号:1674-198X(2011)01(a)-0033-01
　　
　　网络入侵检测方法是目前计算机领域十分重要的研究课题,人们对这一问题做了很多研究,提出了如遗传算法、主成分分析法、模糊赋权法、专家咨询法等。但这些方法都有一定的适用范围和局限性:专家咨询法带有主观经验性;模糊方程求解指标权重,需预先给定样品优劣顺序,条件苛刻也受限制;主成分分析法只能科学的求得综合指标的权重,而不能给出单个指标的权重。
　　本文在研究前人成果的基础上提出基于KPCA-SVM(核主元分析-支持向量机)方法,采用线性SVM加权挑选最有效特征,并得到分类模型。
　　
　　1 入侵检测的KPCA-SVM模型研究
　　1.1 核主元分析KPCA
　　核主元分析是一种非线性特征提取的方法,它通过一个非线性映射将数据从输入空间映射到特征空间,然后在特征空间中进行通常的主成分分析,其中的内积运算采用一个核函数来代替。设非线性映射为。因此,F由生成。
　　核主元分析法提取非线性主元的步骤为:
　　(1)计算矩阵K的内积:,
　　;
　　(2)利用式:,計算K的特征值和特征向量();
　　(3)将特征值由小到大排序,非零特征值的特征向量归一化;
　　(4)对任意原数据,通过下式计算，得到x的投影。
　　
　　1.2 支持向量机模型
　　将KPCA的训练样本值表示为
　　,为第i 个样本的输入模式,为第i个样本的期望输出,t为训练样本值),考虑到回归函数:
　　(2)
　　其中为从高维非线性空间提取的特征向量。系数和通过最小化结构化风险泛函(3)来估计。
　　 (3)
　　
　　 (4)
　　最小化第一项将使得函数尽可能平缓,从而控制函数功能,第二项
　　为由-不敏感损失函数(4)决定的经验误差,C为惩罚因子,为回归最大误差。
　　为求得和的估计值,引入松弛变量,(3)转化成目标函数(5):
　　 (5)
　　
　　为得到问题的解,通常引入它的对偶问题:
　　
　　
　　 (6)
　　其中为拉格朗日因子,非零的为支持向量。
　　最后,通过引入拉格朗日因子和最佳系数参数,决策方程(2)转化为以下形式:
　　 (7)
　　回归方程(7)即为支持向量机(SVM)。其中按下列方式计算:选择位于开区间中的任一个或,若选到的是,则;若选到的是,则
　　。在(7)中,为核函数:
　　。
　　
　　2 实例验证与结论
　　试验选用径向基函数RBF作为核函数,主要从检测精度和误报率两方面来检验此算法的性能,实验数据见表1,SVM与几种检测方法性能比较结果见表2。
　　通过表2我们可以看出,较其它方法支持向量机的检测精度大大提高,误报率明显降低,应用SVM进行入侵检测具有更大的优越性。
　　
　　参考文献
　　[1] 何琼,孙世群,吴开亚,等.区域态安全评价的AHP赋权方法研究[J].合肥工业大学学报,2004,27(4).
　　[2] 陈琼华.综合评价中的赋权方法[J].统计与决策,2004,(4).
　　[3] 周文坤.模糊偏好下多目标决策的一种客观赋权方法[J].上海大学学报,2004,10(4).
　　[4] C.Q.Zhang,and Y.C.Lu,“The reverse logistics evaluation based on KPCA-LINMAP model”,2006.