（计算机应用技术专业论文）支持向量机在入侵检测系统中的应用.pdf

哈尔滨工程大学硕十学位论文 摘要 入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、 外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、 拦截和响应。入侵检测可以看作是一个分类问题，也就是对给定的审计数据 进行分类。支持向量机是一种建立在统计学习理论上的机器学习方法，可以 在先验知识不足的情况下，取得比较好的分类效果。 作为操作系统对应用程序提供的操作接口，系统调用状况在一定程度上 能够反映程序的行为特征。程序受到入侵将在所执行的系统调用有所体现。 可以通过提取系统调用短序列，作为支持向量机的输入向量，进而进行分类， 将支持向量机应用到入侵检测系统中。 本文通过分析不同核函数在分类性能上的差异，提出将一种新的核函数 应用到基于支持向量机的入侵检测系统，获得了较好的并且相对稳定的分类 精度。针对入侵检测系统中训练样本分布不均衡情况，本文提出将一种加权 支持向量机算法应用到入侵检测系统中去，提高了检测率，满足了入侵检测 系统关注小类别样本分类精度的要求。在决策阶段，本文提出了一种基于异 常系统调用权值的判定方法，该方法首先通过训练集得到系统执行迹中的异 常系统调用的权值，然后计算训练集中各个异常系统调用序列的权值，进而 得到阈值，以此阂值为依据，对测试集进行判定，对支持向量机的结果进行 修正。通过仿真实验证明，修正后的结果，在分类准确率上有了提高，并降 低了误报率。 关键词：入侵检测系统；支持向量机；核函数；系统调用 哈尔滨工程大学硕士学位论文 a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) a saa c t i v es e c u r i t yt o o l p r o v i d e s i m m e d i a t ep r o t e c t i o na g a i n s ti n t e r n a la t t a c k , m i s o p e r a t i o na n de x t e r n a la t t a c k i t a l e r t s b l o c k sa n dr e s p o n d sb e f o r et h en e t w o r ka n ds y s t e ma l er u i n e d i d s 啪b e c o n s i d e r e da sac l a s s i f i c a t i o ni s s u e , w h i c hc l a s s i f i e st h eg i v e na u d i td a t a s u p p o r t v e c t o rm a c h i n e ( s v m ) b a s e df i l ls t a t i s t i c a ll e a r n i n gt h e o r yi sam a c h i n el e a r n i n g m e t h o d i t sr e s u l t sa 出c v eb e t t e rc l a s s i f i c a t i o ni nt h el a c ko fp r i o rk n o w l e d g e a st h ei n t e r f a c eo p e r a t i o ns y s t e mp r o v i d e sf o ra p p l i c a t i o nt oa c c e s s ，t h e c o n d i t i o no fs y s t e mc a l l sr e f l e c tt h eb e h a v i o rc h a r a c t e ro fa p p l i c a t i o ni nac e r t a i n e x t e n t s y s t e mc a l l sc a ni n d i c a t et h ei n t r u s i o no fa p p l i c a t i o n s o ，w ec a nu s e s y s t e mc a l l ss h o r ts e q u e n c e sa si n p u tv e c t o r so fs u p p o r tv e c t o rm a c h i n et h e nd o c l a s s i f i c a t i o n b yt h i sw a y ，w eu s es u p p o r tv e c t o rm a c h i n ei ni n t r u s i o nd e t e c t i o n s y s t e m w ef i n dt h a tt h ed i f f e r e n c eo fc l a s s i f i c a t i o na c c u r a c yb e t w e e nd i f f e r e n t k e r n e l s i nt h i sp a p e r , w eu s ean e wk e m dm i x e dd i f f e r e n tk e r n e l si ni n t r u s i o n d e t e c t i o ns y s t e mb a s e do ns v m b yt h i sw a y , w eg e tb e t t e ra n dm o r es t a b l e c l a s s i f i c a t i o na c c u r a c y b “戤o fu n e v e nd i s t r i b u t i o no ft r a i n i n gs a m p l e s t h i s p a p e ru s e sw e i g h t e ds v ma l g o r i t h mi ni n t r u s i o nd e t e c t i o ns y s t e m t h i sm e t h o d e n h a n c e st h ed e t e c t i o nr a t e i tm e e t st h ec o n c e r n so fs m a l lc l a s so fi n t r u s i o n d e t e c t i o ns y s t e m a tt h ed e c i s i o np e r i o d , t h i sp a p e rp r o p o s e sad e c i s i o nm e t h o d b a s e do nt h ew e i g h to fa b n o r m a ls y s t e mc a l l s a tf i r s t , i tg e t st h ew e i g h t so f a b n o r m a ls y s t e mc a l li nt h es y s t e mt r a c e so ft t a i n i n gs e t t h e n ，c a l c u l a t e se a c h s h o r ts e q u e n c ea n dg e t st h et h r e s h o l d a tl a s t , c l a s s i f i e st h et e s ts e ta n du s e st h e r e s u l tm o d i f yt h er e s u l t so fs u p p o r tv e c t o rm a c h i n e t h ee x p e r i m e n ts h o w st h a t r e s u l t sh a v eb e t t e ra c c u r a c yo f c l a s s i f i c a t i o na n dl o w e rp e r c e n t a g eo ff a l s er e p o r t k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ；s u p p o r tv e c t o rm a c h i n e ； k e r n e lf u n c t i o n ；s y s t e mc a l l 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体己 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：豳至塑聋 日期：伊俨z 月矽日 哈尔滨工程大学硕士学位论文 1 1 引言 第1 章绪论 随着网络技术的飞速发展，信息共享和网络互连成为发展趋势。信息的 共享增加了个体之间的信息交流，提高了生产率，但同时也使得个人、公司 的私有信息，甚至国家机密面l 晦严重的入侵威胁，各种安全问题时有发生。 因此计算机信息安全日益为人们所关注。 入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、 外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、 拦截和响应入侵检测可以看作是一个分类问题，也就是对给定的审计数据 进行分类：什么样的数据是正常的，什么样的数据是异常的。但现在流行的 入侵检测系统都存在误报、漏报及实时性差等缺点，特别是需要大量或者完 备的审计数据集才能达到比较理想的检测性能，并且训练学习时间较长。所 以就需要寻找一种在小样本的情况下，能正确提取训练数据特征，实现入侵 检测的方法。 支持向量机( s 1 i ，m ) 是一种建立在统计学习理论基础上的机器学习方法“1 。 其最大的特点是根据v a p n i k 的结构风险最小化原则“”，尽量提高学习机的 泛化能力，即由有限的训练样本集得到小的误差能够保证对独立的测试集仍 保持小的误差。另外，由于支持向量算法是一个凸优化问题“1 ，局部最优解 也是全局最优解，这是其它算法所不及的。将支持向量机应用到入侵检测中， 在先验知识不足的情况下，支持向量分类器仍有较好的分类正确率，从而使 得整个入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 具有较好的检测性能。 1 2 当前的研究现状 从数据源上可以将i d s 分为以下三种；h i d s ( 主机入侵检测系统) 、 n i d s ( 网络入侵检测系统) 和d i d s ( 分布式入侵检测系统) 。其中h i d s 的数据来 源于主机系统，通常是系统日志和审计记录。h i d s 通过对系统日志和审计记 哈尔滨工程大学硕士学位论文 录的不断监控和分析来发现攻击后操作。优点是针对不同的操作系统特点捕 获应用层入侵，误报少，缺点是依赖于主机及其审计子系统，实时性差。而 n i d s 的数据源是基于网络的i d s 数据来源于网络上的数据流。n i d s 能够截获网 络中数据包，提取其特征并与知识库中已知的攻击签名相比较，从而达到检 测的目的。其优点是侦测速度快、隐蔽性好，不容易受到攻击，对主机资源 消耗少；缺点是有些攻击是由服务器的键盘发出的，不经过网络，因而无法 识别，误报率较高。d i d s 贝u 是采用上述两种数据来源的分布式入侵检测系统， 它是同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为 分布式结构，由多个部件组成。d i d s 可以从多个主机获取数据也可以从网络 传输取得数据，克服了单一的h i d s 、n i d s 的不足。 从检测的策略角度来看，又可将i d s 分为滥用检测、异常检测和完整性分 析三种。滥用检测是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较，从而发现违背安全策略的行为。该方法的优点是只需收集相关 的数据集合，显著减少系统负担，且技术已相当成熟。该方法的弱点是需要 不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客 手段。异常检测首先给系统对象( 如用户、文件、目录和设备等) 创建一个统 计描述、统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时 等) 。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值 在正常值范围之外时，就认为有入侵发生。其优点是可检测到未知的入侵和 更为复杂的入侵，缺点是误报，漏报率高，且不适应用户正常行为的突然改 变。完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目 录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。 其优点只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。 目前常用的入侵检测方法包括基于统计学的入侵检测方法，基于模式 匹配的入侵检测方法嘲旧，基于模糊技术的入侵检测方法”捌，基于智能体的 入侵检测方法“”，基于免疫算法的入侵检测算法“”，基于状态迁移分析的 入侵检测方法“3 州，基于数据挖掘的入侵检测方法“删，基于神经网络8 “， 基与支持向量机等模式识别技术的入侵检测方法删。 i d s 系统本身还在变化，远未成熟。目前绝大多数商业i d s 的工作原理和 2 哈尔滨工程大学硕士学位论文 病毒检测相似，自身带有一定的规模和数据的入侵特征模式库，可以定期更 新。这种方式有很多弱点：不灵活，仅对已知的攻击手段有效；同时特征模 式库的提取和更新依赖于手工方式，维护不易。而且有自适应能力、自我学 习的i d s 系统还未成熟，i d s 技术在理论上还有待突破。所以i d s 领域当前正处 在不断发展成长的时期，目前存在的问题主要有以下几个方面：高误警( 误报) 率；产品适应能力低；大型网络的管理问题；缺少防御功能；评价i d s 产品没 有统一标准；处理速度上的瓶颈。 1 3 论文的研究内容及章节安排 支持向量机根据有限的样本信息在模型的复杂性( e p 对特定训练样本的 学习精度) 和学习能力( 即无错误地识别任意样本的能力) 之间寻求最佳折中， 以期获得最好的推广能力( g e n e r a l i z a t i o na b i l i t y ) 。在先验知识不足的情 况下可以获得较好的分类准确率。 本文分析了在入侵检测应用中，核函数对分类性能的影响并进行了改进， 并针对入侵检测系统关注小类别样本分类性能的特点，将一种自动选择参数 的加权支持向量机算法应用到入侵检测系统中，在此基础上结合基于异常系 统调用的判定方法，最终提高了系统性能。 本文的组织结构如下：第一章是绪论，概括性的介绍了本文的课题背景、 当前的研究状况和研究内容。第二章是入侵检测技术综述，介绍了常见的入 侵检测方法。第三章是支持向量机及相关理论，介绍了支持向量机得构造原 理和训练算法和统计学习理论的相关知识。第四章是有关支持向量机( s ) 在入侵检测中的应用，给出了基于支持向量机的入侵检测系统的模型，对核 函数进行了分析和改进，介绍了自动选择参数的加权支持向量机算法的思想， 提出了基于异常系统调用的判定方法。 3 哈尔滨工程大学硕士学位论文 2 1 引言 第2 章入侵检测技术综述 由于防火墙处于网关的位置下，不可能对进出攻击作太多判断，否则会 严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中 不间断的摄像机，入侵检测通过旁路监听的方式不问断地收取网络数据，对 网络的运行和性能不会产生任何影响，同时判断网络中是否含有攻击的企图， 并通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内 部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要 补充，协同构成完整的网络安全解决方案。 2 2 入侵检测系统的作用 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管 理员的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息 安全基础结构的完整性它从计算机网络系统中的若干个关键点收集信息， 并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响性能的情况下能 对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这 些都通过执行以下任务来实现： ( 1 ) 系统构造和弱点的审计； ( 2 ) 监视、分析用户及系统活动； ( 3 ) 识别己知进攻的活动模式并向相关人士报警； ( 4 ) 异常行为模式的统计分析； ( 5 ) 评估重要系统和数据文件的完整性； ( 6 ) 操作系统的审计跟踪管理，及识别用户违反安全策略的行为。 4 哈尔滨工程大学硕士学位论文 2 3 入侵检测系统模型 入侵就是指连续的相关系列恶意行为，这种恶意行为将造成对计算机系 统或者计算机网络系统的安全威胁，包括非授权的信息访问，信息的窜改设 置以及拒绝服务攻击等等。入侵检测是指对恶意行为进行诊断、识别并做出 响应的过程。实施入侵检测的系统称为入侵检测系统( i d s ) 。衡量入侵检测系 统的两个最基本指标为检测率和误报率，两者分别从正、反两方面表明检测 系统的检测准确性。 实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率，但在 实际的检测系统中这两个指标存在一定的抵触，实现上需要综合考虑。除检 测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑操作方 便性、抗攻击能力、系统开销大小、可扩展性、自适应能力、自学习能力以 及实时性等。 从系统组成上看，入侵检测一般由3 个部分组成：数据采集、入侵检测、 响应。数据采集模块根据入侵检测类型的不同，采集不同类型的数据，比如 网络的数据包、操作系统的系统调用日志或者应用日志。数据采集模块往往 会对采集到的信息进行预处理，包括对信息进行简单的过滤，输出格式化的 信息。前者有助于消除冗余数据，提升系统的性能；后者可提升系统的互操 作性。预处理后的信息一般都先存放到日志数据库中，再提交给分析引擎， 分析引擎实现检测算法。从最简单的字符串匹配到复杂的专家系统甚至神经 网络，分析引擎是入侵检测系统的核心，分析引擎最终判定一个行为是异常 的还是正常的。检测策略包含了如何诊断入侵的配置信息、入侵的签名( 也就 是入侵的行为特征) 。各种阈值也往往存放在检测策略中。状态信息包含了检 测所需的动态信息，比如部分执行的入侵签名，当前发生在系统中的行为上 下文等。分析引擎在做出行为的入侵判断后将判断的结果直接发给响应模块。 响应模块然后根据响应策略中预定义的规则进行不同的响应处理。一般来说， 可能的响应行为包括：发出报警，通知管理员。对恶意行为自动地采取反击 措施。一方面可自动地重新配置目标系统，阻断入侵者；另一方面可以重新 配置检测策略和数据采集策略，如可针对正在执行的特定行为采集更多的信 息，对行为的性质进行更准确的判断。 哈尔滨工程大学硕士学位论文 2 4 常用的入侵检测技术 异常检测方法有两种：第一种指的是根据非正常的系统或用户的行为进 行判断，第二种指的是根据非正常使用计算机资源来检测入侵行为。异常检 测通常对常规的或可接受的正常的行为用定量方式进行描述，并用此来判断 非常规的潜在的入侵行为。 2 4 1 异常入侵检测技术 异常检测就是通过观测到的一组测量值偏离度来预测用户行为的变化， 然后作出决策判断的检测技术。异常入侵检测的核心就是要构造异常活动集 并从中发现入侵性活动子集。它首先要建立异常模型，采用模型的不同，检 测方法就也不同。下面介绍几种异常入侵的检测方法： ( 1 ) 统计异常检测方法 统计异常检测方法首先要能够描述出主体的特征，也就是要选择好有效 的数个测量点进行记录，然后记录主体的活动，根据记录数据和历史记录， 进行更新和存储，再采用统计方法分析当前要监控的主体活动的数据，以此 来判断是否符合历史正常行为，找出入侵行为最后还必须随着时间变化， 根据主体最新的行为特征，不断更新历史记录。 很明显，统计异常检测方法使入侵检测系统通过学习主体的日常行为， 将其标记为正常行为，然后将那些与正常行为之间存在着较大统计偏差的活 动认定为异常活动，以此找出入侵行为 ( 2 ) 基于特征选择异常检测方法 基于特征选择异常检测方法为了检测出入侵行为，通过对主体活动描述 的诸多参数数据中选择最为明显的能够检测出入侵的参数来构成子集。 只要当前的活动中的参数符合这个子集，那么就可以准确地检测到入侵 并且可以将入侵行为分类。 ( 3 ) 基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是一种推理方法。假定用4 ，爿：，彳。表 示系统不同方面的特征，那么在任意给定的时刻，首先测量出所有的4 值，再 根据测量值进行推理判断是否有入侵事件发生 ( 4 ) 基于贝叶斯网络异常检测方法口刀 6 哈尔滨工程大学硕士学位论文 基于贝叶斯网络异常检测方法要检测是否有入侵事件发生，是采用异常 入侵检测贝叶斯网来进行分析异常测量结果的。也就是说，它的核心在于建 立异常入侵检测贝叶斯网。 ( 5 ) 基于模式预测异常检测方法 基于模式预测异常检测方法基于一个假设：审计事件的序列不是随机的 而是符合可识别的模式的，它的关键之处在于要按时间顺序根据已有的事件 集合归纳出一系列规则，并且在归纳过程中，如果有新事件的加入，还要不 断更新规则集合，最后形成的好规则必须能够准确地预测下一步要发生的事 件。 它与统计异常检测方法相比，由于它增加了对事件顺序与相互关系的分 析，从而能检测出统计方法所不能检测的异常事件。 ( 6 ) 基于神经网络异常检测方法 基于神经网络入侵检测方法首先要训练神经网络连续的信息单元( 命 令) ，然后得到能够预测用户输入命令序列集合的神经网络。也就是说神经 网络构成了用户的轮廓框架，最后再用这个神经网络检测入侵。 而神经网络检测入侵主要指当用这个神经网络不能预测出用户正确的后 继命令，那么在一定程度上就说明用户的行为与其轮廓框架有偏离，也即有 异常事件发生，可以检测出入侵。 ( 7 ) 基于贝叶斯聚类异常检测方法 基于贝叶斯聚类异常检测方法主要是要在数据中发现反映了基本的因果 机制的不同类别数据集合，然后用这些数据类区分异常用户类，从而可以进 一步推断出入侵事件。 ( 8 ) 基于机器学习异常检测方法 基于机器学习异常检测方法通过让机器采取死记硬背、监督、学习、 归纳学习和类比学习等方法来学习异常活动，再利用机器进行入侵检测。 ( 9 ) 基于数据采掘异常检测方法嘲 基于数据采掘异常检测方法采用了数据采掘技术，利用数据采掘从大量 的审计数据中提取出感兴趣的知识( 隐含的事先未知的潜在有用信息) ，将 这些提取的知识进一步表示为概念、规则、规律、模式等形式，然后利用这 些知识去检测入侵。 7 哈尔滨工程大学硕士学位论文 2 4 2 误用入侵检测技术 在网络上，系统和应用软件有很多弱点，常常被入侵者利用。但是因为 这些弱点很容易编成某种模式，误用入侵检测就根据已编成的模式来检测入 侵。也就是说如果入侵者采取的攻击方式正好匹配了检测系统中的已编成的 模式库，那么毫无疑问，就可以利用误用入侵检测方法检测到入侵者。 很明显，误用入侵检测的核心是模式库。如果模式库不好或者不完整， 不准确，那么误用入侵检测方法就不可用。 根据上面所说，可以知道异常入侵检测是要发现同已定义的正常行为差 别很大的行为，而误用入侵检测是直接进行检测不利的或不能接受的行为。 下面讨论误用检测中的几种方法： ( 1 ) 基于条件概率误用入侵检测方法 基于条件概率误用入侵检测方法的关键在于要将入侵方式对应成一个事 件序列，各种事件序列组成一个集合。如果观测到事件发生情况在事件序列 集合中，那么就可以检测入侵。 ( 2 ) 基于专家系统误用入侵检测方法 基于专家系统误用入侵检测方法的核心在于专家系统。建立专家系统需 要完善知识库，也就是完善规则库，而想要建立起完善的规则库，必须有完 整的及时的审计记录。也就是说，要不断地根据最新的审计记录来完善专家 系统，使之成为一个良好的系统，提高入侵检测的准确率。由此可以理解， 用专家系统经常是针对有特征的入侵行为来进行检测的。 ( 3 ) 基于状态迁移分析误用入侵检测方法 基于状态迁移分析误用入侵检测方法的关键在于确定入侵模式，而入侵 模式就是攻击者执行的一系列的操作。如果将某一时刻由一些系统属性来描 述的系统特征称作状态，那么可以把入侵开始时的系统状态叫做初始状态， 已成功入侵时刻的系统状态叫做危及系统安全的状态。那么上述的操作就可 以使系统从某些初始状态迁移到一个危及系统安全的状态。也可以说在这两 个状态之间可能存在一个或多个中间状态的迁移。 那么找出初始状态和危及系统安全的状态后，用状态迁移图来描述在这 两个状态之间进行状态迁移的关键活动，然后就可以用状态迁移图来检测系 8 哈尔滨工程大学硕士学位论文 统的入侵活动。 ( 4 ) 基于键盘监控误用入侵检测方法 基于键盘监控误用入侵检测方法关键在于找出入侵活动对应的特定的击 键序列模式，形成入侵模式集合，然后监控用户击键，并形成当前的击键模 式，如果这一模式在入侵模式集合中，那么就能检测到入侵。 ( 5 ) 基于模型误用入侵检测方法 基于模型误用入侵检测方法的依据在于入侵者攻击一个系统时往往会采 用一定的行为序列，然后将这种行为序列形成具有一定行为特征的模型。那 么当入侵发生时，只要它的行为特征符合这种模型，就可以检测出来。 2 5 入侵检测系统存在的问题 入侵检测技术虽然经历了2 0 余年的发展，但是仍不成熟。当前的入侵检 测产品通常采用了较为简单的特征检测方法，异常检测只能作为辅助手段。 所以，虽然当前的入侵检测产品能够发现已知的绝大部分攻击，但是他们仍 然存在以下两个严重的问题：( 1 ) 对未知攻击的识别能力差。这是特征检测方 法固有的缺陷，只有加强异常检测方法的研究，用异常检测方法代替特征检 测方法才能解决这一难题。( 2 ) 误警率高。误警包括两种情况：一是漏报，即 没能发现存在的入侵；另一个是误报，即将正常行为判为入侵。这直接严重 影响到入侵检测系统的自动反应能力，以极不准确的判断为基础的自动响应 是不可思议的。而随着社会的发展和技术的进步，入侵检测技术将面临以下 挑战： ( 1 ) 技术日益广泛的应用，黑客能力的提高，目的的多样化； ( 2 ) 加密技术日益广泛的应用； ( 3 ) 网络流量的增加； ( 4 ) 缺乏广为接受的相关标准； ( 5 ) 缺乏客观的入侵检测系统评价和测试信息； ( 6 ) 针对入侵检测系统自身的攻击； ( 7 ) 许多系统设计时没有充分考虑安全问题。 9 哈尔滨工程大学硕士学位论文 2 6 入侵检测系统的发展趋势 为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器，下 一代入侵检测产品需要包含以下关键技术： ( 1 ) 提高入侵检测速度嘲 随着近年来各种宽带高速网络不断出现，如何实现高速环境下的实时人 侵检测成为现实面临的问题。而目前入侵检测产品的处理带宽超过l o o m b s 时，就会出现丢包现象，甚至崩溃。为此，迫切需要提高入侵检测的处理速 度，目前可能的解决途径主要有3 个方面。研究和设计新的i d s 软件结构与算 法，以适应高速网络环境；如果将入侵检测的核心功能从软件转移到硬件来 实现，则可以大大提高检测速度，但同时需要兼顾软件的灵活性、可更新性 等优点。例如，使用硬件高速采集数据包，然后将其分流给多个软件平台处 理；尽可能减少检测条目，如去除早已过时的、不再使用的攻击手段，仅对 系统所提供的服务进行检测等。 ( 2 ) 智能入侵检测 将人工智能应用于入侵检测领域，可以大大提高i d s 的性能。其进展主要 有3 个方面：引入计算机免疫技术，通过正常行为的学习来识别不符合常态的 行为，使系统能够自动学习新的入侵活动，提高检全率和检准率；研究更好 的神经网络架构，如自组织特征映射网络等，克服目前基于神经网络的异常 检测技术的缺陷；应用遗传算法来识别正常行为与异常行为，提高系统分析 能力。 ( 3 ) 数据挖掘技术的应用 将数据挖掘技术应用于i d s ，是当前国际、国内都很活跃的一个研究方向 由于网络系统日益复杂、规模日益庞大，导致需要i d s 审计的数据迅速增加， 如何从海量数据中提取出具有代表性的系统特征模式，以便更精确地描述用 户行为，成为实现入侵检测的关键，而这正是数据挖掘技术所要解决的问题。 因此，人们正在进行理论探讨，利用数据挖掘中的关连分析、系列模式分析 等算法，提取相关的用户行为特征来生成安全事件的分类模型，应用于安全 事物的自动鉴别。 哈尔滨工程大学硕士学位论文 ( 4 ) 实时入侵响应 为了尽可能减少入侵造成的损失，当i d s 检测出己知的或可疑的入侵行为 后，需要系统尽快地、有效地予以响应和处理。为此，正在研究和应用实时 性更强、效果更好的自动对抗技术，主要有：以减少入侵损失为目的的系统 保护技术；主要提高系统安全性的动态响应策略；不仅可以实现实时系统保 护，还可以实现入侵跟踪和反入侵等主动防御功能的入侵反抗技术等。 ( 5 ) 告警泛滥抑制 i d s 产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头 逐渐变强之时，i d s 短时间内会产生大量的告警信息；而i d s 传感器却要对同 一攻击重复记录，尤其是蠕虫在网络中自我繁殖的过程中，这种现象最为严 重。n f r ( 一家网络安全公司) 称这种现象为“告警饱和”。 此外，目前i d s 的主要研究领域还包括：i d s 自身性能的评测系统；i d s 自身的安全性，隐藏技术、认证、s s l 等；将i d s 与反病毒系统、防火墙、v p n 协同工作，构成完整的安全网管体系等。 2 7 本章小结 本章从入侵检测系统的定义、入侵检测系统的作用、入侵检测系统的模 型以及常用的入侵检测技术、入侵检测系统存在的问题和发展趋势等方面阐 述了入侵检测系统。总之，入侵检测系统是一种基于主动策略的网络安全系 统，可以协助网络管理员在不影响性能的情况下能对网络进行监测，从而提 供对内部攻击、外部攻击和误操作的实时保护。 1 1 哈尔滨工程大学硕士学位论文 3 1 引言 第3 章支持向量机及其相关理论 统计学习理论( s l t ) 是由v a p n i k 等人提出的一种小样本统计论“1 ，重点 研究在小样本情况下的统计规律。统计学习理论为机器学习问题建立了一个 较好的理论框架，1 9 9 2 年到1 9 9 5 年，在其基础上发展出了一种崭新的模式 识别方法一支持向量机( s u p p o r tv e c t o rm a c h i n e ，简称s v m ) 。 3 2 机器学习 人的智慧中一个很重要的方面是从实例中学习知识的能力，即通过对已 知事实的分析总结出规律，预测无法直接观测的事实。在这种学习中，重要 的是举一反三的能力，即利用学习得到的规律，不但可以较好地解释已知事 实，而且能够对未来或无法观测的现象做出正确的预测和判断，这叫做推广 能力。在机器智能的研究中，希望用机器来模拟人的这种能力，这就是机器 学习理论的出发点。机器学习的目的是，设计某种方法，通过对己知数据的 学习，找到数据内在的相互依赖关系，从而对未知数据进行预测或对其性能 进行判断。 3 2 1 机器学习中基本问题的表示 机器学习的目的是根据给定的训练样本，估计系统输入与输出之间依赖 关系，使之能够尽可能准确地预测系统的未来输出。机器学习的基本模型， 可以用图3 1 表示。图3 1 中，系统是研究的对象，它在给定的输入x 下 得到输出y 。在训练过程中，输入与输出组成训练样本0 ，y ) ，提供给学习机 器。在测试过程中，训练后的学习机器对于输入z 给出预测输出y 。 假定对于所研究的系统，已知在其输出y 与输入x 之间具有某种未知 的依赖关系，即存在一个未知的联合分布f 0 ，y ) 。对该系统的输入输出进行 哈尔滨工程大学硕士学位论文 观测，得到如下独立同分布的观测样本： 阮，y 1 ) ， 2 ，y ：) ，( k ，y 。) ( 3 1 ) l 图3 1 机器学习的基本模型 机器学习问题就是根据n 个独立同分布观测样本，在一组函数 ，o ，妨 中求一个最优函数 ， ，) ，对依赖关系进行估计，使期望风险 r ) - 弘( y ，f ( x ，w ) ) d f ( x ，y ) ( 3 2 ) 最小。其中， ， ，埘) 称作预测函数集，为函数的广义参数， ，o ，) 可 以表示任何函数集；l ( y ，f ( x ，砌为由于用，o ，对y 进行预测而造成的损 失。不同类型的学习有不同形式的损失函数。预测函数也称作学习函数、学 习模型或者学习机器。 有三类基本机器学习问题，它们是模式识别、函数逼近和概率密度估计。 对模式识别问题，输出y 是类别号，两类情况下y - 0 , 1 1 或扎一1 ，这时预测 函数称作指示函数，损失函数可以定义为 r io ，势一f ( x ，奶 工( ) ，厂g ，硼一 ( 3 3 ) 1 1 ，当y - f ( x ，n ，) l 3 2 。2 经验风险最小化原则 显然，要最小化期望风险r ( 叫最小，由( 3 2 ) 式，必须利用联合概率 ，0 ，y ) 的信息。但是在实际问题中，联合分布是未知的，所能利用的信息只 有观测样本。因此，期望风险无法直接计算和最小化。 哈尔滨工程大学硕士学位论文 根据概率论中的大数定律的思想，人们自然想到用算术平均 1 上 r w ( 一二1 工o j ，f ( x l ，) ) ( 3 4 ) 儡 来逼近( 3 2 ) 中的期望风险。由于j t 。( 是用己知的训练样本( 即经验数 据) 定义的，因此称为经验风险。用经验风险 ) 最小化来代替期望风险 只) 最小化，从而求得学习机器的参数珊的方法，就是所谓的经验风险最小 化( e r m ) 原则。经典的模式识别分类器都是基于经验风险最小化原则的。 多年来，经验风险最小化原则作为解决模式识别等机器学习问题的基本 思想，几乎统治了这个领域内的所有研究。大部分的研究者们把注意力集中 在如何更好地逼近最小化经验风险的最优解。 3 3 统计学习理论 任何学习机器都可以看成是一组函数集合，机器学习问题就是从函数集 合中选择合适的逼近函数并参数化的过程。所谓学习机器的容量也就是它所 对应的函数集的容量，或者叫复杂度。容量或复杂度代表了函数集实现从输入 到输出的映射的能力，对学习机器来说，叫做学习能力。容量越大，机器的 学习能力就越强。在模式识别问题中，学习能力强的机器能够得到更加复杂 的分类面，然而，越复杂的分类面，就越依赖于训练数据分布的细节，这种 对训练数据的过于细致的依赖，往往会导致学习机器的泛化能力不强。 统计学习理论用v c 维来描述学习机器的容量，并从控制学习机器容量 的思想出发，结合经验风险和训练样本数目，导出了期望风险在不同情况下 的一组风险上界。这些界具有如下特点： ( 1 ) 这些界是通用的，与具体数据的分布无关； ( 2 ) 在小样本情况下同样成立； 在实际的训练过程中，可以通过最小化风险上界，实现对学习机器的优 化，因此所得到的学习机器的复杂度受到很好地控制，即使在小样本情况下 也同样具有比较高的泛化能力。 3 3 1v c 维 1 4 哈尔滨工程大学硕士学位论文 统计学习理论是关于小样本进行归纳学习的理论，其中一个重要的概念 是v c 维( v a p n i k c h e r v o n e n k i sd i m e n s i o n ) 嘲。模式识别方法中v c 维的 直观定义是：对一个指示函数集，如果存在_ j 1 个样本能够被函数集里的函数 按照所有可能的2 种形式分开，则称函数集能够把 个样本打散。函数集的 v c 维就是它能打散的最大样本数目| i l 。若对任意数目的样本都有函数能将它 们打散，则函数集的v c 维是无穷大。有界实函数的v c 维可以通过用一定的 阀值将它转化成指示函数来定义。 v c 维描述了组成学习模型的函数集合的容量，也就是说刻画了此函数集 合的学习能力。v c 维越大，函数集合越大，其相应的学习能力就越强。例如， 对于二分类问题而言，h 是运用学习机器的函数集合将点集以2 种方法划分 为两类的最大的点数目，即，对于每个可能的划分，在此函数集合中均存在 一个函数厶，使得此函数对其中一个类取1 ，而对另外一个类取一l 。如果， 取在r 2 ) ( 2 维实平面) 上的3 个点，3 个点分别由( r ) 、。( b ) 、 ( p ) 这3 个图形符号来表示( 也可以用图形符号旁的英文符号表示它们) 。 设函数集合 ，o ，4 ) ) ，为一组“有向线集合”。易知，3 个点最多可以存在2 3 ( = 8 ) 种划分：( r p ，b ) 、( r b ，p ) 、( p b ，r ) 、( 1 i p b ，) 、( b ，l i p ) 、( p ，l i b ) 、 ( r ，p b ) 、( ，r p b ) ；其中，二元组的第1 项指示的是+ l 类，二元组的第2 项指示的是一1 类。对于任意一个划分，均可以在函数集合中发现一个有向线 对应之，如图3 2 ，给出了所有的这八种对应。划分线的方向所指示的是+ l 类，反向所指示的是一l 类。另外，这样的函数集合无法划分2 维平面中任 意4 个点。所以，函数集合的v c 维等于3 。 目前尚没有通用的关于任意函数集v c 维计算的理论，只对一些特殊的函 数集知道其函数维。例如在n 维实数空间中线性分类器和线性实函数的v c 维 是行+ l ，而厂0 ，口) s i n ( a x ) 的v c 维则为无穷大。如何用理论或实验的方法计 算其v c 维是当前统计学习理论中有待研究的一个问题。 3 3 2 泛化误差的界限 统计学习理论从v c 维的概念出发，推导出了关于经验风险和实际风险 之间关系的重要结论，称作泛化误差的边界。这些界是分析学习机器性能和 发展新的学习算法的重要基础。关于两类分类问题有如下结论：对指示函数 1 5 哈尔滨工程大学硕士学位论文 集中所有函数( 包括使经验风险最小的函数) ，经验风险r 。( ) 和实际风险 r 佃) 之间对于任意w e f ( f 为抽象函数集合) ，以至少1 一，7 的概率满足如下 的关系： 其中， 尺 图3 2 在2 维平面中被有向线打散的三个点 脚) p ) + v 争 ( 3 - 5 ) 掣争- ( 3 - 6 ) h 是函数集的v c 维，f 是样本数，7 是满足o j 叩1 的参数。 从上式可以看出，统计学习的实际风险r ) 分两部分：一是经验风险 j t 。 ) ，另二部分称为置信界限v ( 刍。置信界限反映了真实风险和经验风 险差值的上确界，反映了结构复杂所带来的风险，它和学习机器的v c 维h 及 训练样本数z 有关。 可见，当h 较大时，置信风险较大，此时用经验风险近似期望风险就会 出现较大的误差。如果样本数较多，使得形较小，则置信风险就会较小，经 1 6 o 卜 哈尔滨工程大学硕士学位论文 验风险最小化的最优解就会接近真正的最优解。 对于一个特定的学习问题，当样本数固定时，如果学习机器的v c 维越 高( 复杂度越高) ，则置信风险越大，导致真实风险与经验风险之间可能的差 就越大。因此，在设计分类器时，不但要使经验风险尽可能小，而且要控制 其v c 维也尽可能小，从而缩小置信风险，使期望风险最小。 3 3 3 结构风险最小化原理 “结构风险最小化原理”的基本想法是：如果要求风险最小，就需要使 得不等式中两项相互权衡，共同趋于极小；另外，在获得的学习模型经验风 险最小的同时，希望学习模型的泛化能力尽可能大，这样就需要h 值尽可能 小，即置信风险最小。 根据风险估计公式( 3 - 6 ) ，如果固定训练样本数目f 的大小，则控制风险 r ) 的参量有两个；j i ( 回和h 。其中 ( 1 ) 经验风险依赖于学习机器所选定的函数，( 她力，这样，可以通过 控制n 来控制经验风险。 ( 2 ) v c 维h 依赖于学习机器所工作的函数集合( 如前所述) 。为了获 得对h 的控制，可以将函数集合结构化，建立h 与各函数子结构之间的关系， 通过控制对函数结构的选择来达到控制v c 维矗的目的。 具体的作法如下： 首先；运用以下的方法将函数集合 ， ，石) ，埘r 结构化。考虑函数嵌 套 s lc s 2c c 瓯c c s 。c c s ( 3 7 ) 其中s 。e l f ，工) ，l ) ，并且有 s + 一u s k ( 3 - 8 ) 结构5 中的任何元素最( 或一个函数集合) ，拥有一个有限的v c 维以， 且 啊s h 2 s h i 以墨h ( 3 9 ) 如果给定一组样本瓴，) ，。) ，瓴，) ，；) ，“，乃) ，结构风险最小化原理在函 1 7 哈尔滨工程大学硕士学位论文 数子集s 。中选择一个函数，o ，4 ；) 来最小化经验风险，同时& 确保置信风险 是最小的。 以上的思想就称为“结构风险最小化原理”。为了进一步说明，请看图 3 3 ，已知一个嵌套的函数子集序列s ，s 2 ，瓯，它们的v c 维分别对应为 髓h ：s s h 。图中给出了真实风险、经验风险和置信风险与v c 维h 的 函数变化关系曲线。显然，随着h 的增加，经验风险j t 。( ) 递减，这是因 为h 增加，根据v c 维的定义，对应的函数集合的描述能力增加，学习机器 的学习能力就增强，可以使有限样本的经验风险很快的收敛，甚至于变为0 ； l 根据( 3 6 ) 式，置信风险v 国随着h 的增加而增加；这样，真实风险r ( ) 是一个凹型曲线。所以，要获得最小的真实风险，就需要折中考虑经验风险 与置信风险的取值。 图3 3 结构风险最小原理图 根据这一分析，得到两种运用结构风险最小化原理构造的学习机器的思 想： ( 1 ) 给