本發明公開了一種基于改進SVM多分類的網絡入侵檢測方法，包括數據的獲取和預處理，預處理主要是將數據經過清洗、標準化、歸一化之后，得到適合應用的數據；數據的分類，并載入SVM分類器，將數據分為兩組載入分類器，一組直接輸出，一組則進入另一個步驟；BP決策，將SVM分類器中的一種結果載入進BP神經網絡，利用神經網絡來進一步確定數據的類型，得出分類結果。以往SVM分類器面對多分類問題決策復雜，步驟繁多，而直接應用BP神經網絡實現分類則會出現大量冗余的計算過程。本發明簡化了在多分類問題上，決策的步驟，節省了計算資源，可以更好的將分類結果呈現出來。

技術領域

本發明涉及一種基于改進SVM多分類的網絡入侵檢測方法，屬于網絡入侵檢測技術領域。

背景技術

隨著網絡技術的發展和新型網絡的應用，面對日益復雜的網絡環境和網絡攻擊方式，傳統的網絡安全技術已難以滿足目前人們對于網絡安全和信息安全的需求，因此，網絡入侵檢測成為當前研究的一個熱點。

近年來，機器學習應用于網絡入侵檢測領域的研究已經受到越來越多的關注。與傳統入侵檢測方法不同的是，它是通過對入侵檢測問題重新剖解分析，將其轉變為對模式識別和分類問題的研究，采用機器學習算法構建分類器，對網絡中的正常行為和異常行為進行分類，有效地提高了檢測率、降低了誤報率。而支持向量機(SVM)是機器學習中較為常見的用于問題分類的方法，但其存在的問題是對于二元問題有著良好的分類效果，對于多元問題采取的策略也是將多元轉換為多組二元問題來解決的，類似于二叉樹的策略。這種做法簡單易理解，但對于更為復雜的多元問題，且每類問題的關聯性相似度較強的，則不易被有效檢測出來。

發明內容

本發明為了解決現有技術中存在的問題，提供一種提高了多元分類的效率，簡化了多元分類的拓撲結構，節省了計算資源的基于改進SVM多分類的網絡入侵檢測方法。

為了達到上述目的，本發明提出的技術方案為：一種基于改進SVM多分類的網絡入侵檢測方法，包括如下步驟：

步驟一、獲取數據并對數據進行預處理；

步驟二、將預處理后的數據分為正常和攻擊的二元數據類型，所述攻擊數據包括若干分類類型，將數據經過SVM輸出二元分類結果，若分類結果為正常類型，則直接輸出；若分類結果為攻擊類型，則將分類數據代入BP神經網絡；

步驟三、構建三層BP神經網絡，BP神經網絡的輸入層節點數a、隱含層節點數h、輸出節點數c，其中，h＝2a+1；將分類數據輸入BP神經網絡得到輸出結果。

對上述技術方案的進一步設計為：數據的預處理包括數據清洗、數據標準化和歸一化處理。

數據標準化采用Z-score方法對數值型特征進行標準化處理：

其中，r為標準化前的數值，z為標準化后的值，μ為數據平均值，s為標準差。

數據歸一化是按下述規則將數據映射到區間[0,1]，

其中，x為歸一化后的值，zmax為標準化后的最大值，zmin為標準化后的最小值。

所述BP神經網絡隱含層神經元之間設置有權重系數，分類數據輸入BP神經網絡后將權重系數與輸入數據相乘得到預測值，將預測值f(xi)與對應的真實值f(xi)’按下式求得預測誤差，

e_i＝|f(x_i)-f(x_i)'|

其中，e_i為預測誤差；