一種基于gpu和svm的網(wǎng)絡入侵檢測方法
【專利摘要】本發(fā)明涉及一種基于GPU和SVM的網(wǎng)絡入侵檢測方法�����,該方法基于GPU和CPU協(xié)同工作模式和序貫最小分解算法,設計并行SVM分類算法���,對網(wǎng)絡數(shù)據(jù)進行訓練�����,建立入侵檢測模型��,實現(xiàn)對網(wǎng)絡數(shù)據(jù)進行異常檢測���,具體包括以下步驟:SVM入侵檢測模型訓練建立步驟��,根據(jù)網(wǎng)絡數(shù)據(jù)訓練集�,基于SVM序貫最小分解算法訓練入侵檢測模型,獲得SVM入侵檢測模型的最優(yōu)參數(shù)�����;測試分類步驟�,采用訓練好的SVM入侵檢測模型進行測試分類,對網(wǎng)絡數(shù)據(jù)測試集進行入侵檢測����。與現(xiàn)有技術相比�,本發(fā)明具有提高訓練測試速度�����、提高入侵檢測速度等優(yōu)點����。
【專利說明】—種基于GPU和SVM的網(wǎng)絡入侵檢測方法
【技術領域】
[0001]本發(fā)明涉及一種入侵檢測技術,尤其是涉及一種基于GPU和SVM的網(wǎng)絡入侵檢測方法���。
【背景技術】
[0002]隨著各種計算機網(wǎng)絡攻擊手段的復雜化����、多元化�����、智能化���,如果只是單純依賴傳統(tǒng)的操作系統(tǒng)加固技術和防火墻隔離技術等靜態(tài)防御���,已經(jīng)難以勝任網(wǎng)絡安全的需要。網(wǎng)絡安全技術也在與網(wǎng)絡攻擊的不斷對抗中持續(xù)發(fā)展。網(wǎng)絡安全是計算機科學的一個非常重要的組成部分�����,網(wǎng)絡安全的發(fā)展對整個計算機科學的發(fā)展有著非凡的意義����。入侵檢測技術作為網(wǎng)絡安全系統(tǒng)的一種重要的動態(tài)防護手段,能夠辨別出計算機網(wǎng)絡的非法或惡意攻擊行為���,并對其作出相應的反應���,作為網(wǎng)絡安全的一項保障技術,和繼防火墻之后的第二道安全閘門�����,入侵檢測技術是互聯(lián)網(wǎng)安全非常重要的核心技術之一���,它在擴展系統(tǒng)管理員的安全管理能力的同時可以提高系統(tǒng)安全結構的完整性。入侵檢測實質上是分類問題�����,采用機器學習方法構造檢測模型可以檢測主機或者是網(wǎng)絡中的未知攻擊或已知攻擊的變種。支持向最機(SVM)源于統(tǒng)計學習VC維理論和結構風險最小化原理���,具有分類效果好�、全局最優(yōu)等優(yōu)點���,已逐步應用到入侵檢測領域��。但是SVM學習過程需要求解一個二次規(guī)劃問題����,時間復雜度至少是���,不適合處理大規(guī)模網(wǎng)絡入侵檢測問題���。雖然通過有效的啟發(fā)式方法將原先的二次優(yōu)化問題分解成一系列問題,可以減少SVM的訓練時間�,但對于高維海量數(shù)據(jù),SVM訓練時間仍然較長�。
【發(fā)明內容】
[0003]本發(fā)明的目的就是為了克服上述現(xiàn)有技術存在的缺陷而提供一種提高訓練測試速度、提高入侵檢測速度的基于G·PU和SVM的網(wǎng)絡入侵檢測方法�。
[0004]本發(fā)明的目的可以通過以下技術方案來實現(xiàn):
[0005]一種基于GPU和SVM的網(wǎng)絡入侵檢測方法,該方法基于GPU和CPU協(xié)同工作模式和序貫最小分解算法�,設計并行SVM分類算法����,對網(wǎng)絡數(shù)據(jù)進行訓練����,建立入侵檢測模型,實現(xiàn)對網(wǎng)絡數(shù)據(jù)進行異常檢測��,具體包括以下步驟:
[0006]SVM入侵檢測模型建立步驟�;
[0007]訓練步驟,根據(jù)網(wǎng)絡數(shù)據(jù)訓練集��,基于SVM序貫最小分解算法訓練SVM入侵檢測模型�����,獲得SVM入侵檢測模型的最優(yōu)參數(shù)���;
[0008]測試分類步驟��,采用訓練好的SVM入侵檢測模型進行測試分類,對網(wǎng)絡數(shù)據(jù)測試集進行入侵檢測����。
[0009]所述的SVM入侵檢測模型為:
I,,
[0010]min f (a) =-a1 Qa + p! a
α2
[0011]subject to yT α =0,0 ^ Qi^C, i=l, 2,...,1[0012]其中���,α=[α ρ...,Oi,..., α J 為拉格朗日乘子向量�����,ρ=[_1, -1,..._1]T, y 為指示向量���,yi e R1且yi e {1,-1} ,Q為IXI的半正定矩陣,Q中的元索Qij = YiYjK(XiiXj),K(xi�����; Xj) ^ Φ (Xi)ΤΦ (Xj)為核函數(shù)����,函數(shù)Φ O將訓練向量Xi從輸入空間映射到高維特征空間�����,C為懲罰因子����;
[0013]利用原始對偶關系,得到?jīng)Q策函數(shù)為:
[0014]
【權利要求】
1.一種基于GPU和SVM的網(wǎng)絡入侵檢測方法��,其特征在于,該方法基于GPU和CPU協(xié)同工作模式和序貫最小分解算法���,設計并行SVM分類算法�����,對網(wǎng)絡數(shù)據(jù)進行訓練���,建立入侵檢測模型,實現(xiàn)對網(wǎng)絡數(shù)據(jù)進行異常檢測�,具體包括以下步驟: SVM入侵檢測模型建立步驟: 訓練步驟,根據(jù)網(wǎng)絡數(shù)據(jù)訓練集�,基于SVM序貫最小分解算法訓練SVM入侵檢測模型,獲得SVM入侵檢測模型的最優(yōu)參數(shù)����; 測試分類步驟,采用訓練好的SVM入侵檢測模型進行測試分類����,對網(wǎng)絡數(shù)據(jù)測試集進行入侵檢測。
2.根據(jù)權利要求1所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法�,其特征在于,所述的SVM入侵檢測模型為:
3.根據(jù)權利要求2所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法����,其特征在于,所述的訓練步驟具體包括以下子步驟: DCPU接收網(wǎng)絡數(shù)據(jù)訓練集并導入GPU中��;
2)置迭代次數(shù)k=l,初始化 a ^[0,0,...0]T, G1= [-1, -1,...-1]T, G = Υ,(α)是 f ( a )的梯度��; 3)判斷當前ak是否滿足終止條件����,若是,則執(zhí)行步驟7)��,若否�,則執(zhí)行步驟4): 4)通過工作集選擇 算法獲得一個兩元素的工作集仏Λc〖!,...,/}�,并復制到CPU中; 5)通過以下公式更新ak中a1��、a j以及Gt, t=l,..., 1:
4.根據(jù)權利要求3所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法�����,其特征在于��,所述的步驟3)中����,終止條件具體如下: m(ak)-M(ak)≤ ε 其中 ε 為誤差閾值
5.根據(jù)權利要求4所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法��,其特征在于�����,所述的工作集選擇算法具體為:
對于所有的 t���、s, t=l,..., I, s=l,..., I,定義:
6.根據(jù)權利要求3所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法,其特征在于�����,所述的測試分類步驟包括以下子步驟: IODCPU接收網(wǎng)絡數(shù)據(jù)測試集����,將網(wǎng)絡數(shù)據(jù)測試集和模型文件導入GPU中; 102)通過以下公式計算決策函數(shù)�����,對網(wǎng)絡數(shù)據(jù)測試集進行分類:
7.根據(jù)權利要求6所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法����,其特征在于����,所述的步驟5)中�����,更新Gt通過SPRG計算框架實現(xiàn)�����,所述的SPRG計算框架具體為: a)分散����,指所有線程將數(shù)據(jù)從globalmemory按對應地址順序載入各個線程塊的shared memory 中的過程����; b)并行歸約,指歸約操作在 各個線程塊的sharedmemory中并行執(zhí)行的過程����; c)聚集,指將每個線程塊中的歸約結果按對應地址順序從sharedmemory寫入globalmemory中的過程�; d)重復步驟a)和b),直至所 有數(shù)據(jù)只需在一個線程塊的sharedmemory中進行歸約,得到的最終結果寫入global memory。
8.根據(jù)權利要求7所述的一種基于GPU和SVM的網(wǎng)絡入侵檢測方法�����,其特征在于����,所述的步驟102)中,決策函數(shù)中的求和通過SPRG計算框架實現(xiàn)���。
【文檔編號】H04L29/06GK103685268SQ201310670702
【公開日】2014年3月26日 申請日期:2013年12月10日 優(yōu)先權日:2013年12月10日
【發(fā)明者】張雪芹, 張毅峰, 顧春華 申請人:華東理工大學