[发明专利]一种利用RST和SVM进行网络入侵检测的方法

摘要

本发明公开了一种利用RST和SVM进行网络入侵检测的方法，结合单类支持向量机、支持向量机及约略集合理论(RoughSetsTheory,RST),进行网络入侵检测，首先由单类支持向量机把正常流量和孤立流量分离出来，若判断为正常流量，则再使用支持向量机进行二次分类，以判断流量为正常还是攻击流量；若判断为孤立流量，则使用约略集合理论进行个别判断，以提高异常流量分类的正确率。经过反复观察训练，本发明有效提高网络监测的识别性能。

主权项

1.一种利用RST和SVM进行网络入侵检测的方法，其特征在于，它包括如下步骤：⑴ 利用单类支持向量机进行二元分类的特性，将网络流量的数据分类为正常数据流量和孤立数据;⑵ 若判为正常流量则以支持向量机进行二次分类，分类为一般流量或攻击流量，这样避免因过多的孤立流量而影响支持向量机的分类能力;⑶将单一支持向量机判断为孤立的网络数据流量以约略集合理论进行分类;根据孤立的网络数据集建立一个信息系统，根据下式再建一个具有决策属性的信息系统：其中C为条件属性，D为决策属性，A为全部属性;参见图3，RST检测采用二阶段属性缩减方法，训练样本经过第一阶段和第二阶段属性缩减，使用缩减后的属性数和未缩减属性前的样本集进行比较，来评估缩减属性是否会影响其准确率和覆盖率，如果有下降，则进行修改，直到准确率和覆盖率够稳定为止;经由第二阶段条件属性的独立，可以找出所有条件属性对于决策属性的影响程度，分析这些影响程度，可找出删除的条件属性，然后删除;这一步单独考虑每一流量的独有特性，提高孤立流量的检测正确率，并由属性简化而得到重要的决策属性，再以约略集合决定多反应变量的特性，调整决策属性得到最佳分类结果;⑷ 若判定为孤立流量且不在约略集合理论的专家规则中，则直接判定为攻击流量，以避免新形态的攻击流量无法被分类而造成漏报。