基于SVM的入侵检测系统

支持向量机（SVM）作为一种新型的统计学习模型，在处理小样本和学习机的推广能力上具有很大的优势。该文应用SVM的分类特性来识别网络攻山行为，提出了基于SVM的入侵检测方法。雨点考察了不同SVM核函数和参数选择对检测准确率和实时性的影响。论证了基于SVM的入侵检测在性能和识别率上都明显优于基于BP网络的攻击识别，还就目前商用入侵检测系统存在较高误报率的问题，分析了用SVM来提高其检测实时性和识别准确率的系统框架。     

基于增量支持向量机的DoS入侵检测

提出了一个基于增量学习支持向量机的DoS入侵检测方法,其基本思想是将训练样本库分割成几个互不相交的训练子库,按批次对各个训练子库样本进行训练,每次训练中只保留支持向量,去除非支持向量。与传统的基于支持向量机的入侵检测方法对比的试验表明,该方法在不影响检测性能的同时明显减少了训练时间。     

一种基于快速增量SVM的入侵检测方法

针对基于支持向量机(SVM)的入侵检测方法检测率低、检测速度慢的问题,提出一种基于快速增量SVM的入侵检测方法 B-ISVM。该方法在确定邻界区后筛选其中的样本进行训练,完成分类超平面的初步构造,利用筛选因子提取支持向量,再进行基于KKT条件的增量学习,实现增量SVM分类器的构造。实验结果表明,该方法可以提高入侵检测率和检测速度,拥有更好的分类性能。     

基于云模型的最接近支持向量机增量学习方法*

针对经典支持向量机在增量学习中的不足,提出一种基于云模型的最接近支持向量机增量学习算法。该方法利用最接近支持向量机的快速学习能力生成初始分类超平面,并与k近邻法对全部训练集进行约简,在得到的较小规模的精简集上构建云模型分类器直接进行分类判断。该算法模型简单,不需迭代求解,时间复杂度较小,有较好的抗噪性,能较好地体现新增样本的分布规律。仿真实验表明,本算法能够保持较好的分类精度和推广能力,运算速度较快。     

基于潜在语义模型的SVM入侵检测研究

论文提出了一种基于潜在语义索引(LSI)和支持向量机(SVM)的异常入侵检测方法。选取PARPA’98BSM数据集作为训练数据和测试数据,通过实验比较和分析表明:基于LSI和SVM方法的入侵检测系统具有较高的检测率和较低的虚警率,且能大大减低计算的复杂性,是一种有效的异常识别和检测方法。     

基于SVM主动学习算法的网络入侵检测系统

入侵检测系统已经成为网络安全技术的重要组成部分。然而，传统的异常入侵检测技术需要通过对大量训练样本的学习才能达到较高的检测精度，而大量训练样本集的获取在现实网络环境中是比较困难的。本文研究在网络入侵检测中采用基于支持向量机（SVM）的主动学习算法，解决训练样本获取代价过大带来的问题。通过基于SVM的主动学习算
算法与传统的被动学习算法的对比实验说明，主动学习算法能有效地减少学习样本数及训练时间，能有效地提高入侵检测系统的分类性能。     

应用支持向量机实现增量入侵检测

支持向量机的最大特点是通过有限的训练集样本得到小的误差,保证对独立的测试集保持小的误差,即在先验知识较少的条件下仍然保持良好的推广能力。增量学习是弥补先验知识不足的有效途径。通过对向量机初始训练、增量学习、特征解析等一系列流程的描述,提出了一种小样本下应用支持向量机技术创建的具有增量学习能力的入侵检测系统。     

基于SVM主动学习的入侵检测系统

研究在入侵检测中,采用基于支持向量机(SVM)的主动学习算法,解决小样本下的机器学习问题。该文提出了基于SVM主动学习算法的系统框架及适用于入侵检测系统的SVM主动学习算法,讨论了候选样本集的组成比例、候选样本集数量及核函数的不同参数选取对检测结果的影响。通过实验验证,基于SVM主动学习算法与传统SVM算法相比,能有效地减少学习样本数,提高检测精度。     

基于改进SVM方法的入侵检测

在入侵检测应用中,SVM能够在小样本条件下保持良好的检测状态。该文提出了一种改进的SVM方法,其在特定概率指导下删减训练集中的非有效样本,取得了更优的分类效果,改善了传统SVM训练和分类中存在的高资源占用和时耗过高的状况。对DARPA数据的检测实验表明,该方法在入侵检测上有较好的表现。     

基于KKT和超球结构的增量SVM算法的云架构入侵检测系统

针对传统入侵检测系统(IDS)处理数据负载过重,不支持多主机数据联合分析,以及大规则库维护的问题,提出一种云架构的基于卡罗需-库恩-塔克(KKT)条件和超球结构的增量支持向量机(KS-ISVM)入侵检测系统。将客户端抓取的数据包经过预处理生成样本空间,然后发送至云端使用KS-ISVM进行建模分析,利用KKT条件对增量样本进行筛选,选取违反KKT条件的样本作为有用样本,剔除KKT范围内的所有样本;此外,为了保证剔除的样本为冗余样本,进一步采用超球结构的方法对样本进行第二次筛选,将超球范围内的样本作为有用样本,剔除其余样本;最后将选取的样本进行合并,对SVM进行更新训练。利用KDDCUP99数据进行实验验证,并与SVM、批量支持向量机(Batch-SVM)、互检KKT条件的增量学习(K-ISVM)算法进行对比,结果表明,KS-ISVM具有良好的预测能力和样本淘汰能力,准确率达到90.3%,而SVM、Batch-SVM和K-ISVM三种方法准确率均在89%以下;同时还对并行KS-ISVM进程联合分析,发现单进程的分析时间由6351 s降低到16进程的146 s,分析时间大大降低,说明了多进程的有效性,满足云计算环境中的入侵检测系统对效率和精度的要求。     

基于半监督聚类云模型动态加权的入侵检测方法

针对目前网络入侵检测率低、误报率高的问题,提出一种基于半监督聚类云模型动态加权的入侵检测方法。由于属性对分类贡献程度不同,引入云相对贴近度的概念给出计算属性权重的方法。以半监督聚类算法为基础建立云模型,并对属性使用动态加权,通过对云模型的更新逐渐强化云分类器指导数据的分类。通过实验证明了该方法的可行性与有效性。     

基于KPCA和SVM的网络入侵检测

入侵检测系统是网络安全的重要组成部分。目前的入侵检测算法存在着先验知识少的情况下推广能力差的问题。本文提出了利用核主成分分析（KPCA）和支持向量机（SVM）相结合进行入侵检测的方法。与传统算法相比,本文的方法对网络异常连接有更高的检测率和更强的泛化能力。文章最后在KDDCUP数据集上进行的实验,证明了本文方法的适用性和高效性。     

基于SVM技术的入侵检测

针对日益严重的网络入侵事件,提出了一种新的入侵检测方法．在对网络数据进行深刻的分析和研究的基础上,提出了基于支持向量机的入侵检测方法．首先,对1类SVM进行了必要的改进,使异常点聚集为一类（即环绕原点的一类）．然后,使用抽象化的网络数据对SVM进行训练,生成入侵事件的SVM分类器．实验表明,该方法是行之有效的．     

新型入侵增量识别入侵检测模型

随着计算机和网络技术的不断发展,新的入侵模式不断产生,传统的入侵检测模型难以适应新的入侵模式的变化,致使检测新型入侵困难。为了达到自动进化改进入侵模型,快速监测新型入侵模式的目的,提出一种新型入侵检测增量识别方案。各个监测点具有相互交流机制,通过定期交流自身异常情况信息并判断周围设备通信情况,可以形成局部和全局异常流量的状况,共同进行入侵检测,防止单一主机入侵检测的盲点。根据各个节点收集的信息向堡垒主机反馈数据,形成全局异常值,如果全局异常值达到规定的阈值,判断为出现新型入侵行为。堡垒主机采用了相对分类快速、准确的决策树算法作为入侵分类算法。为了能使决策树分类能够快速自动进化改进,提出一种能够快速自我改进决策树局部的决策树改进方法。对整体环境的仿真实验表明,在基于入侵模式识别异常情况,决策树改进算法在自我进化后,对于加入新型入侵模式的入侵有效识别率可以达到94.09%。     

基于Matlab的RBF入侵检测模型研究

针对目前入侵检测系统不能有效检测未知攻击行为、学习能力较差的问题,根据RBF神经网络的自学习、收敛速度快的特性,将RBF神经网络与入侵检测技术相结合,提出了一种RBF入侵检测模型,并对模型各个组成部分进行了分析,最后采用DAR-PA入侵检测数据库中的部分数据,在Matlab下进行了仿真实验。实验结果表明,此模型具有较高的检测率和较低的误报率,可有效地检测出已知和未知攻击行为,有一定的应用价值。     

一种基于免疫学原理的入侵检测模型

通过对基于免疫原理的入侵检测相关技术的深入研究,提出了一个判断随机模式是否有漏洞的算法.对记忆检测器的冗余问题,借鉴免疫系统的变异原理,对记忆检测器集合进行了优化.在以上研究的基础上设计了一个新的入侵检测系统模型,模型中引入了检测器的亲和力成熟过程、记忆检测器变异以及非完全匹配规则,该模型具有分布性、自适应性以及轻负荷等优点.     

一个高效的包处理入侵检测模型

提出了一个高效率的包处理入侵检测模型.包俘获装置俘获网络数据包就直接对其进行检测,而不是重组这些数据包后进行检测,这样就提高了检测的效率.现有的入侵检测产品为了降低系统的漏报率,均采用包重组机制.提出的模型将包重组机制和数据包关联处理进行结合,该模型在保证了检测攻击完整性的基础上提高了检测系统的效率.     

基于用户行为编码的数据库入侵检测模型

鉴于数据库入侵检测系统中模板的数量不断增加,导致入侵检测效率也随着降低。提出基于用户行为编码的数据库入侵检测模型,该模型通过对提交的SQL进行编码,再利用挖掘方法得出语句中属性内部关系的规则,最后形成用户正常行为规则库,从而取代了模板库,提高了检测的效率。该方法不仅能够有效地防止SQL注入,而且也能检测出合法权限滥用。     

基于多代理的分布式入侵检测系统模型

随着网络技术的不断发展,网络安全问题十分突出。入侵检测技术作为安全防护的重要手段,显得日益重要。大多数入侵检测系统存在误报率高和漏报的问题。此外,由于系统分布在网络的不同位置,不能进行必要的协同工作。针对上述问题,提出一种基于多代理的分布式入侵检测系统模型MADIDS。该系统在我们已有的多代理协同工作平台NHMAS上开发完成,结合基于主机的入侵检测系统和基于网络的入侵检测系统的优点,对常用入侵手段具有较高的检测率和较低的误报率。     

混合杂草算法优化支持向量机的网络入侵检测

为了提高网络入侵检测的正确率,提出一种混合入侵杂草HIWO(hybrid invasive weed optimization)算法优化SVM的网络入侵检测模型(HIWO-SVM)。该模型将SVM参数编码为入侵杂草,并以网络入侵检测率作为杂草种子适应度函数,然后通过模拟杂草入侵种子的空间扩散、生长、繁殖和竞争等过程找到SVM的最优参数。在寻优过程中引入遗传算法交叉操作以增强HIWO算法跳出局部极值的能力,最后根据最优参数建立网络入侵检测模型。在Matlab 2012平台采用KDD CUP 99数据集仿真测试,结果表明HIWO-SVM可以获得满意的网络入侵检测效果。