第3章支持向量機(jī)在入侵檢測(cè)中的應(yīng)用3.1入侵檢測(cè)系統(tǒng)概述3.2支持向量機(jī)應(yīng)用于入侵檢測(cè)的可行性分析3.3基于多分類支持向量機(jī)的入侵檢測(cè)方法3.4C-支持向量分類機(jī)和最小二乘支持向量分類機(jī)在入侵檢測(cè)中的性能對(duì)比3.5One-Class支持向量分類機(jī)在入侵檢測(cè)中的應(yīng)用3.6小結(jié)

3.1入侵檢測(cè)系統(tǒng)概述

3.1.1入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)

美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)提出了通用入侵檢測(cè)框架模型[43]?(CommonIntrusionDetectionFramework，CIDF)，如圖3.1.1所示。圖3.1.1入侵檢測(cè)框架模型通用入侵檢測(cè)框架CIDF是為了在某種程度上對(duì)入侵檢測(cè)進(jìn)行標(biāo)準(zhǔn)化，開(kāi)發(fā)一些協(xié)議和應(yīng)用程序接口，使得入侵檢測(cè)研究項(xiàng)目的軟件能夠共享信息和資源，同樣入侵檢測(cè)系統(tǒng)組件也可以被其他系統(tǒng)應(yīng)用。根據(jù)以上目的，CIDF模型描述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，并將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：

(1)事件產(chǎn)生器(Eventgenerators)；

(2)事件分析器(Eventanalyzers)；

(3)響應(yīng)單元(Responseunits)；

(4)事件數(shù)據(jù)庫(kù)(Eventdatabases)。3.1.2入侵檢測(cè)技術(shù)分類

通過(guò)對(duì)現(xiàn)有入侵檢測(cè)系統(tǒng)的研究，我們可以從下面幾個(gè)角度對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行分類(如表3.1.1所示)[5]：

(1)根據(jù)建模方式進(jìn)行劃分。

(2)根據(jù)被保護(hù)的對(duì)象進(jìn)行劃分。

(3)根據(jù)分析數(shù)據(jù)來(lái)源進(jìn)行劃分。

(4)根據(jù)響應(yīng)方式進(jìn)行劃分。3.1.3入侵檢測(cè)系統(tǒng)在安全防衛(wèi)體系中的位置

針對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)的安全問(wèn)題，出現(xiàn)了許多有效的反入侵技術(shù)。Halme等人對(duì)通用的反入侵攻擊技術(shù)進(jìn)行了研究，將其總結(jié)并分為先發(fā)制人(Preemption)、預(yù)防(Prevention)、威懾(Deterrence)、檢測(cè)(Detection)、誘騙(Deflection)、對(duì)抗(Countermeasures)等六類，并給出它們?cè)谙到y(tǒng)資源保護(hù)中所處的位置[34]，如圖3.1.2所示。從圖3.1.2可以看出，入侵檢測(cè)系統(tǒng)處在防衛(wèi)體系的內(nèi)部關(guān)鍵位置。圖3.1.2入侵檢測(cè)系統(tǒng)在防衛(wèi)體系中的位置3.1.4入侵檢測(cè)的研究特征

現(xiàn)有的入侵檢測(cè)呈現(xiàn)以下的研究特征[5]：

(1)人工智能和機(jī)器學(xué)習(xí)方法在入侵檢測(cè)系統(tǒng)中得到廣泛應(yīng)用。

(2)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)是目前的主流檢測(cè)技術(shù)。3.1.5入侵檢測(cè)的發(fā)展歷程

近年來(lái)，國(guó)內(nèi)也涌現(xiàn)出了一批商用的IDS。其中包括信利公司的系統(tǒng)網(wǎng)際巡警—NP-IDS1100，科友科技公司的網(wǎng)

絡(luò)安全監(jiān)控器—NISDetector，安絡(luò)科技公司的網(wǎng)絡(luò)IDS—NetSentry，啟明星辰公司天闐入侵檢測(cè)與管理系統(tǒng)，安氏

互聯(lián)網(wǎng)安全系統(tǒng)(中國(guó))有限公司的領(lǐng)信IDS，中聯(lián)綠盟信息

技術(shù)(北京)有限公司的“冰之眼”網(wǎng)絡(luò)IDS，等等。

3.2支持向量機(jī)應(yīng)用于入侵檢測(cè)

的可行性分析

從廣義上講，入侵檢測(cè)屬于模式識(shí)別的范疇。模式識(shí)別是運(yùn)用已知信息，按照一定的準(zhǔn)則確定未知樣本的類別屬性，即把某一樣本歸屬于多個(gè)類型中的某一個(gè)。模式識(shí)別通常被看作分類問(wèn)題，研究如何讓機(jī)器從環(huán)境背景中分離出感興趣的模式并對(duì)它們的歸屬做出合理的判斷。入侵檢測(cè)方法一般可以分為濫用檢測(cè)和異常檢測(cè)。3.3基于多分類支持向量機(jī)的入侵檢測(cè)方法

3.3.1C-支持向量分類機(jī)

1.線性硬間隔支持向量分類機(jī)

解決線性可分問(wèn)題的基本途徑是，在正確分劃訓(xùn)練集的超平面中，根據(jù)最大間隔原則，找出最終的決策超平面。下面先給出最大間隔原則的定義[27]。

定義3.3.1(最大間隔原則)考慮訓(xùn)練集給定訓(xùn)練集

(3.3.1)

其中，，，該訓(xùn)練集給出的線性可分的分類問(wèn)題，選擇使得訓(xùn)練集對(duì)于線性函數(shù)

的幾何間隔取最大值的參數(shù)對(duì)，并由此構(gòu)造決策函數(shù)

(3.3.2)根據(jù)最大間隔原則可以得到原始的優(yōu)化問(wèn)題，它是變量w和b的凸二次規(guī)劃問(wèn)題：

(3.3.3)

(3.3.4)為導(dǎo)出原始問(wèn)題(3.3.3)、(3.3.4)的對(duì)偶問(wèn)題，引入Lagrange函數(shù)

(3.3.5)

(3.3.6)

(3.3.7)把式(3.3.6)和式(3.3.7)所示的極值條件代入式(3.3.5)中，并對(duì)它關(guān)于a求極大，就得到如下的對(duì)偶問(wèn)題：

(3.3.8)

(3.3.9)

(3.3.10)對(duì)偶問(wèn)題式(3.3.8)～式(3.3.10)是一個(gè)最大化問(wèn)題。由于在最優(yōu)化方法的研究中常用等價(jià)的最小化問(wèn)題取代最大化問(wèn)題，這里也引進(jìn)與對(duì)偶問(wèn)題式(3.3.8)～式(3.3.10)有相同解集的最小化問(wèn)題：

(3.3.11)

(3.3.12)

(3.3.13)

(3.3.14)

(3.3.15)由此構(gòu)造分類超平面，求得決策函數(shù)

(3.3.16)

其中。

2.線性軟間隔支持向量分類機(jī)

(3.3.17)

(3.3.18)

(3.3.19)

(3.3.20)為了由對(duì)偶問(wèn)題的解得到式(3.3.18)～式(3.3.20)所示的解，先導(dǎo)出它的對(duì)偶問(wèn)題。為此引進(jìn)Lagrange函數(shù)：

(3.3.21)

(3.3.22)

(3.3.23)

(3.3.24)

(3.3.25)

(3.3.26)

(3.3.27)

(3.3.28)

(3.3.29)

3.非線性硬間隔支持向量分類機(jī)

引入從輸入空間到一個(gè)高維內(nèi)積線性空間，一般是Hilbert空間的非線性映射

(3.3.30)

(3.3.31)

(3.3.32)

(3.3.33)設(shè)對(duì)應(yīng)于式(3.3.30)所示的非線性映射的核函數(shù)K為

(3.3.34)

采用式(3.3.34)所示的核函數(shù)K，類似于本章前兩節(jié)相關(guān)結(jié)論的推導(dǎo)，可得式(3.3.32)和式(3.3.33)所示的原始問(wèn)題的對(duì)偶問(wèn)題為

(3.3.35)

(3.3.36)

(3.3.37)

(3.3.38)

(3.3.39)

顯然，根據(jù)上述結(jié)論，從式(3.3.35)～式(3.3.37)所示的對(duì)偶問(wèn)題的一個(gè)解出發(fā)，就能求出式(3.3.32)和式(3.3.33)所示的原始問(wèn)題的一個(gè)解，據(jù)此便可構(gòu)造出決策函數(shù)：

(3.3.40)

4.?C-支持向量分類機(jī)

(3.3.41)另一方面，參考非線性硬間隔分類機(jī)，引進(jìn)從輸入空間到Hilbert空間的非線性映射：

(3.3.42)

(3.3.43)然后在空間中求出一個(gè)超平面，這個(gè)超平面應(yīng)該能正確分劃式(3.3.43)所示的訓(xùn)練集，并使得該訓(xùn)練集關(guān)于這個(gè)超平面的幾何間隔達(dá)到最大，這樣便得到如下的原始問(wèn)題：

(3.3.44)

(3.3.45)

(3.3.46)

其中是一個(gè)懲罰參數(shù)。采用式(3.3.34)所示的核函數(shù)K，類似地，可得式(3.4.44)～式(3.4.46)所示的原始問(wèn)題的對(duì)偶問(wèn)題為：

(3.3.47)

(3.3.48)

(3.3.49)

(3.3.50)

(3.3.51)

其中下標(biāo)。

得到最優(yōu)解；

Step3選取a*的一個(gè)正分量，據(jù)此計(jì)算

；

Step4求得決策函數(shù)。3.3.2多分類支持向量分類機(jī)的構(gòu)造方法

1.一對(duì)多方法

一對(duì)多方法(one-against-restmethod)是支持向量機(jī)處理多類分類問(wèn)題最早使用的方法[69]。其主要思想是構(gòu)造一系列兩類分類器，其中每個(gè)分類器都把其中一類(看做正類)同余下各類(看作負(fù)類)分開(kāi)，然后據(jù)此判斷某個(gè)輸入的歸屬。第i個(gè)支持向量機(jī)需要解決下面的最優(yōu)化問(wèn)題：

(3.3.52)

(3.3.53)

(3.3.54)

(3.3.55)求解上述的最優(yōu)化問(wèn)題后，就可以得到M個(gè)決策函數(shù)：

(3.3.56)

對(duì)于待測(cè)數(shù)據(jù)x，將其輸入這M個(gè)決策函數(shù)中，得到M個(gè)值，測(cè)試數(shù)據(jù)x所屬的類就是決策函數(shù)的最大值所代表的類。

2.一對(duì)一方法對(duì)于第i類和第j類數(shù)據(jù)所構(gòu)成的數(shù)據(jù)集，求解如下的二分類問(wèn)題：

(3.3.57)

(3.3.58)

(3.3.59)

(3.3.60)

3.有向無(wú)環(huán)圖法

4.糾錯(cuò)輸出編碼方法

糾錯(cuò)輸出編碼方法(Error-CorrectingOutputCodes，ECOC)的基本思想為[73]：在多類問(wèn)題中，可以構(gòu)造出一系列兩類問(wèn)題，對(duì)每個(gè)兩類問(wèn)題建立一個(gè)決策函數(shù)，共得到L個(gè)決策函數(shù)，如果這些決策函數(shù)完全正確，M類中每一類對(duì)應(yīng)一個(gè)元素為－1或1的長(zhǎng)度為L(zhǎng)的數(shù)列。按照M類中第1類，第2類，…，第M類的順序，把這些數(shù)列排列起來(lái)，便可得到一個(gè)M行L列的編碼矩陣，例如式(3.3.61)所示矩陣。測(cè)試時(shí)，用L個(gè)決策函數(shù)，得到長(zhǎng)度為L(zhǎng)的數(shù)列，然后將數(shù)列與矩陣相比較，理想情況下，兩類問(wèn)題合理，決策函數(shù)準(zhǔn)確，數(shù)列應(yīng)該與矩陣中一行且僅一行相同，這個(gè)行數(shù)就是輸入的類別。實(shí)際上，兩類決策函數(shù)總是有誤差的，可以設(shè)計(jì)具有合適漢明(即對(duì)應(yīng)位上取值不同的位的數(shù)目)的編碼矩陣，實(shí)現(xiàn)糾錯(cuò)功能。測(cè)試時(shí)，計(jì)算數(shù)列與矩陣中各行的漢明距，取最小漢明距的行對(duì)應(yīng)的類別即為輸入的類別。

(3.3.61)

5.確定多類目標(biāo)函數(shù)方法

確定多類目標(biāo)函數(shù)方法的基本思想為：可以通過(guò)改變支持向量分類器中的原始最優(yōu)化問(wèn)題，使它能同時(shí)計(jì)算出多類分類決策函數(shù)。weston和watkins提出了解決M-類問(wèn)題的一種直接方法[74]，實(shí)質(zhì)上它是兩類SVM分類器的二次優(yōu)化公式的一種自然推廣形式：

(3.3.62)

(3.3.63)

(3.3.64)

(3.3.65)3.3.3異構(gòu)數(shù)據(jù)集上的核函數(shù)

(3.3.66)

其中，為數(shù)據(jù)集上第l個(gè)屬性的標(biāo)準(zhǔn)差。

(3.3.67)

(3.3.68)

(3.3.69)一般地，RBF核函數(shù)為

(3.3.70)

構(gòu)造異構(gòu)數(shù)據(jù)集X上的基于HVDM距離的類RBF核函數(shù)：

(3.3.71)它實(shí)際上是用HVDM距離代替了原RBF核函數(shù)中的歐氏距離，這種改進(jìn)的RBF核隱含的映射如下：

(3.3.72)

即將集合X映射到實(shí)數(shù)空間上的一個(gè)集合，其中·代表所有數(shù)據(jù)點(diǎn)。我們來(lái)構(gòu)造一個(gè)可包含集合X的映射值的內(nèi)積空間。為此，先在這個(gè)變換后的實(shí)數(shù)集上構(gòu)造線性組合式：

(3.3.73)

(3.3.74)3.3.4類RBF核函數(shù)的修正

(3.3.75)

(3.3.76)3.3.5基于類RBF核函數(shù)的多分類支持向量機(jī)

基于類RBF核函數(shù)的多分類支持向量機(jī)，其訓(xùn)練過(guò)程如下：

Step1采用基于HVDM距離的類RBF函數(shù)為核函數(shù)，C-支持向量分類機(jī)算法為基本算法，利用OAO方法構(gòu)造初步的多分類支持向量機(jī)進(jìn)行訓(xùn)練，獲得初步訓(xùn)練模型。

Step2根據(jù)初步訓(xùn)練模型中的支持向量，利用訓(xùn)練數(shù)據(jù)按照式(3.3.75)和(3.3.78)得到修正的類RBF核函數(shù)；

Step3采用修正的類RBF核函數(shù)，并利用OAO方法構(gòu)造最終的多分類支持向量機(jī)進(jìn)行訓(xùn)練，獲得深度訓(xùn)練模型，用于分類。其測(cè)試過(guò)程如下：

Step1根據(jù)深度訓(xùn)練模型對(duì)測(cè)試數(shù)據(jù)按照投票表決策略進(jìn)行分類。

Step2輸出分類結(jié)果。

將上述多分類支持向量機(jī)應(yīng)用于處理網(wǎng)絡(luò)連接信息以進(jìn)行入侵檢測(cè)，這個(gè)過(guò)程如圖3.3.1所示[80]。圖3.3.1基于多分類支持向量機(jī)的入侵檢測(cè)方法為了評(píng)價(jià)上述的檢測(cè)方法，我們從準(zhǔn)確性(Accuracy)、完備性(Completeness)和實(shí)時(shí)性(RealTime)三個(gè)角度出發(fā)，給出如下的性能指標(biāo)來(lái)評(píng)價(jià)基于多分類支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方法的性能。

(1)檢測(cè)率DP，計(jì)算公式為：

(3.3.79)

式中，AS表示測(cè)試數(shù)據(jù)樣本數(shù)目，AA表示被判斷為異常的異常數(shù)據(jù)的樣本數(shù)目。

(2)誤報(bào)率FP，計(jì)算公式為：

(3.3.80)

式中，NA表示被判斷為異常的正常數(shù)據(jù)的樣本數(shù)目，NS表示所有異常數(shù)據(jù)的樣本數(shù)目。

(3)漏報(bào)率FN，計(jì)算公式為：

(3.3.81)

式中，AN表示沒(méi)有被判斷為異常的異常數(shù)據(jù)的樣本數(shù)目。

(4)平均檢測(cè)時(shí)間AT，計(jì)算公式為：

(3.3.82)

式中，T表示總的檢測(cè)時(shí)間，TS表示檢測(cè)數(shù)據(jù)的樣本數(shù)目。3.3.6入侵檢測(cè)實(shí)驗(yàn)和結(jié)果分析

實(shí)驗(yàn)數(shù)據(jù)是在1998年美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)作IDS評(píng)測(cè)時(shí)獲得的數(shù)據(jù)的基礎(chǔ)上恢復(fù)出來(lái)的連接信息[81]，共包含7個(gè)星期的網(wǎng)絡(luò)流量，大約有500萬(wàn)條連接記錄，其中有大量的正常網(wǎng)絡(luò)流量和各種攻擊，具有很強(qiáng)的代表性。共有以下4類攻擊：

(1)?DOS：拒絕服務(wù)攻擊，如SYNFlood，land攻擊等；

(2)?R2L：遠(yuǎn)程權(quán)限獲取，如口令猜測(cè)等；

(3)?U2R：各種權(quán)限提升，如各種本地和遠(yuǎn)程BufferOverflow攻擊等；

(4)?PROBE：各種端口掃描和漏洞掃描。

WenkeLee通過(guò)對(duì)網(wǎng)絡(luò)連接信息集上的數(shù)據(jù)挖掘來(lái)發(fā)現(xiàn)適于檢測(cè)不同類型攻擊的特征集合，即網(wǎng)絡(luò)連接信息集上的特征提取工作。他所采用的方法是首先在正常連接信息集和異常連接信息集上進(jìn)行頻繁場(chǎng)景挖掘，并設(shè)計(jì)了一種用于對(duì)比挖掘出來(lái)的場(chǎng)景模式的算法[82]，該算法通過(guò)對(duì)比正常連接和異常連接中的頻繁模式，找出與入侵相關(guān)的頻繁模式，并用這些模式來(lái)指導(dǎo)特征提取工作，找到適合不同類型攻擊的特征集合。通過(guò)這樣的特征選擇，提取出來(lái)的與入侵檢測(cè)相關(guān)的屬性分為四類共41個(gè)屬性：基本屬性集、內(nèi)容屬性集、流量屬性集、主機(jī)流量屬性集。其中基本屬性集包括連接的持續(xù)時(shí)間、協(xié)議、服務(wù)、發(fā)送字節(jié)數(shù)、接受字節(jié)數(shù)等信息；內(nèi)容屬性集，即用領(lǐng)域知識(shí)獲得與信包內(nèi)容相關(guān)的屬性，如連接中的hot標(biāo)志的個(gè)數(shù)、本連接中失敗登陸次數(shù)、是否成功登陸等；流量屬性集，即基于時(shí)間的與網(wǎng)絡(luò)流量相關(guān)的屬性，這類屬性又分為兩種集合，一種為SameHost屬性集，即在過(guò)去兩秒內(nèi)與當(dāng)前連接具有相同目標(biāo)主機(jī)的連接中，有關(guān)協(xié)議行為、服務(wù)等的一些統(tǒng)計(jì)信息。如：此類連接的數(shù)目、此類連接中存在SYN錯(cuò)誤的連接所占的百分比等，另外一種為SameService屬性集，即在過(guò)去兩秒內(nèi)與當(dāng)前連接具有相同服務(wù)的連接中的一些統(tǒng)計(jì)信息，如此類連接中有SYN錯(cuò)誤的連接所占的百分比、有REJ錯(cuò)誤所占百分比等；主機(jī)流量屬性集，即基于主機(jī)的與網(wǎng)絡(luò)流量相關(guān)的屬性，這類屬性是為了發(fā)現(xiàn)慢速掃描而設(shè)的屬性，獲取的辦法是統(tǒng)計(jì)在過(guò)去的100個(gè)連接中的一些統(tǒng)計(jì)特性而獲得，如過(guò)去100個(gè)連接中與當(dāng)前連接具有相同目的主機(jī)的連接數(shù)、與當(dāng)前連接具有相同服務(wù)的連接所占百分比等。這41個(gè)屬性中既有數(shù)值屬性，又有字符屬性，詳細(xì)信息如表3.3.1所示。

TarunAmbwani采用按類的名稱中字母的先后順序設(shè)定類的標(biāo)記值，而OAO方法在處理兩類具有完全相同的投票數(shù)時(shí)簡(jiǎn)單地選擇具有較小分類標(biāo)記值的那一類，因此我們按照各類數(shù)據(jù)樣本數(shù)與總數(shù)據(jù)樣本數(shù)的比例大小來(lái)確定類的標(biāo)記值，比例越大，標(biāo)記值越小。兩個(gè)數(shù)據(jù)集的詳細(xì)信息見(jiàn)表3.3.2。根據(jù)以上分析結(jié)果，可以總結(jié)出基于多分類支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方法具有以下特點(diǎn)：

(1)采用支持向量機(jī)學(xué)習(xí)方法，解決了入侵檢測(cè)領(lǐng)域中的小樣本學(xué)習(xí)問(wèn)題。

(2)采用基于HVDM距離的類RBF核函數(shù)，使得SVM可以直接處理異構(gòu)的網(wǎng)絡(luò)連接信息。

(3)利用實(shí)際數(shù)據(jù)對(duì)類RBF核函數(shù)進(jìn)行修正，使得應(yīng)用修正后的類RBF核函數(shù)具有更小的支持向量，更加適合實(shí)際的網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題。3.4C-支持向量分類機(jī)和最小二乘支持

向量分類機(jī)在入侵檢測(cè)中的性能對(duì)比

3.4.1最小二乘支持向量分類機(jī)理論

有關(guān)C-支持向量分類機(jī)的理論介紹請(qǐng)參考本章第3節(jié)的相關(guān)內(nèi)容。在此簡(jiǎn)單給出最小二乘支持向量分類機(jī)的相關(guān)理論。

最小二乘支持向量分類機(jī)對(duì)傳統(tǒng)支持向量分類機(jī)進(jìn)行了改進(jìn)，它用二次損失函數(shù)取代傳統(tǒng)支持向量分類機(jī)中的不敏感損失函數(shù)，將不等式約束條件變?yōu)榈仁郊s束[87]。該方法運(yùn)算簡(jiǎn)單，收斂速度快，精度高。

(3.4.1)

(3.4.2)

(3.4.4)

(3.4.5)

(3.4.6)

(3.4.7)

式(3.4.4)～式(3.4.7)可寫(xiě)成一個(gè)線性系統(tǒng)：

(3.4.8)

(3.4.11)3.4.2屬性約簡(jiǎn)

粗糙集在屬性約簡(jiǎn)方面具有強(qiáng)大的功能。為了提高分類的效率，縮短分類時(shí)間，我們采用粗糙集理論對(duì)表3.3.1所示的41個(gè)屬性進(jìn)行了約簡(jiǎn)。這41個(gè)屬性可以分為四類：基本屬性集，內(nèi)容屬性集，流量屬性集和主機(jī)流量屬性集。我們利用ROSETTA軟件對(duì)10percent數(shù)據(jù)集進(jìn)行屬性約簡(jiǎn)，得到了9組屬性集。對(duì)于10percent數(shù)據(jù)集中的4類攻擊，即DOS，U2L，R2L和PROBE，基本屬性的作用非常重要；內(nèi)容屬性對(duì)于檢測(cè)U2R和R2L類攻擊相當(dāng)重要；流量屬性和主機(jī)流量屬性是檢測(cè)DoS和PROBE類攻擊的重要屬性?；谝陨戏治觯覀冞x出了一組新的屬性集，并對(duì)之重新編號(hào)，如表3.4.1所示。我們按照新屬性集對(duì)兩個(gè)數(shù)據(jù)集進(jìn)行處理，使之只含有30個(gè)新屬性[89]。3.4.3性能對(duì)比實(shí)驗(yàn)和結(jié)果分析

在約簡(jiǎn)后的屬性集的基礎(chǔ)上，并參考3.3.6節(jié)相關(guān)的實(shí)驗(yàn)數(shù)據(jù)設(shè)置，我們共進(jìn)行了兩組實(shí)驗(yàn)來(lái)對(duì)比C-支持向量分類機(jī)和最小二乘支持向量分類機(jī)在入侵檢測(cè)中的性能差異(實(shí)驗(yàn)機(jī)器參數(shù)為PⅢ800MHz，內(nèi)存256MB)。實(shí)驗(yàn)一采用基于HVDM距離的類RBF函數(shù)為核函數(shù)，選擇C-支持向量分類機(jī)算法為基本算法，并利用OAO方法構(gòu)造的多分類支持向量機(jī)，訓(xùn)練數(shù)據(jù)為10percent數(shù)據(jù)集，測(cè)試數(shù)據(jù)使用的是correct數(shù)據(jù)集。實(shí)驗(yàn)二除了基本支持向量機(jī)算法為最小二乘支持向量分類機(jī)以外，其他各項(xiàng)均與實(shí)驗(yàn)一相同。兩組實(shí)驗(yàn)的最終結(jié)果如表3.4.2所示。

3.5One-Class支持向量分類機(jī)在

入侵檢測(cè)中的應(yīng)用

3.5.1One-Class支持向量分類機(jī)理論

One-Class支持向量分類機(jī)首先將輸入空間通過(guò)核函數(shù)映射到高維空間，在高維空間將它們與原點(diǎn)盡可能地分開(kāi)。對(duì)于訓(xùn)練數(shù)據(jù)x，f(x)表明了它在高維空間位于超平面的正負(fù)方向，f(x)為正的認(rèn)為是正常類，反之為異常類。

One-Class支持向量分類機(jī)就是求解如下的二次規(guī)劃