CN105897517A - 一种基于svm的网络流量异常检测方法 - Google Patents

Abstract

本发明公开一种基于SVM的网络流量异常检测方法，其包括：读取历史网络流量数据；提取历史网络流量数据的网络流量特征；将网络流量特征进行数据标准化；对网络流量特征进行约简，得到精简优化的特征子集；利用SVM对最优特征子集进行训练，得到SVM分类器；对处理后的在线的测试网络流量数据加入SVM分类器中，用SVM分类器计算，得到最终的分类结果，判定处理后的在线的测试网络流量数据是否为异常网络流量数据。与现有技术相比，本发明用PCA‑TS方法对网络流量特征数据进行特征约简降维，并选择最优的特征子集。避免了“维数灾难”带来分类检测时间长、效率低、占用更大的储存空间的问题；而且为后续处理降低处理时间，提高了分类器的分类精度。

Description

一种基于SVM的网络流量异常检测方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于SVM的网络流量异常检测方法。

背景技术

伴随着移动通信网络的普及和时代的开启，我国移动互联网进入了蓬勃发展的阶段，然而随着互联网技术日渐成熟和市场规模不断扩大，产生了大量的网络流量数据，该数据具有价值高、维数大等特点，在使用和储存过程中，极易成为黑客的攻击目标。近几年，互联网中的各种攻击异常频繁发生，严重威胁着网络的正常使用，互联网安全的重要性越发凸显。因此如何及时有效地检测网络异常，保证安全的网络环境具有重要的意义。网络流量异常是指网络流量行为偏离其正常行为的情形。随着网络规模不断扩大，复杂性不断增加，网络流量异常对网络性能的影响越来越大。因而如何准确、快速地检测出网络流量异常，并做出合理的响应，是保证网络安全的前提条件之一。

鉴于上述缺陷，本发明创作者经过长时间的研究和试验,最终获得了本发明。

发明内容

本发明的目的在于提供一种基于SVM的网络流量异常检测方法用以克服上述技术缺陷。

为实现上述目的，本发明采用的技术方案在于：提供了一种基于SVM的网络流量异常检测方法，该方法包括以下步骤：

步骤S1，读取历史网络流量数据；

步骤S2，提取所述历史网络流量数据的网络流量特征；

步骤S3，将所述网络流量特征进行数据标准化；

步骤S4，对所述网络流量特征进行约简，得到精简优化的特征子集；

步骤S5，利用SVM对所述最优特征子集进行训练，得到SVM分类器，即最优分类超平面；

步骤S6，对处理后的在线的测试网络流量数据加入所述SVM分类器中，用所述SVM分类器计算，得到最终的分类结果，判定处理后的在线的测试网络流量数据是否为异常网络流量数据。

较佳的，所述步骤S4中，是采用PCA-TS方法对所述网络流量特征进行约简，得到精简优化的特征子集，所述PCA-TS方法为下述两步的结合：

步骤a，利用主成分分析算法去除网络流量数据的冗余性和弱属性，进而降低维数，得到约简特征集；

步骤b，利用禁忌搜索算法对约简特征集进行优化，以最大分类信息为目标，得到最优特征子集。

较佳的，所述PCA-TS方法具体包括如下步骤：

步骤S41，置空禁忌表并设置初始化参数：禁忌长度L_J，最大迭代次数D_max，最大改进次数G_max；

步骤S42，使用PCA对历史网络流量数据进行约简，得到约简特征集T＝{T₁,T₂,…,T_P},p为约简后特征集的数量；

步骤S43，对特征集T进行二进制编码，得到初始解R₀，即选取初始的特征子集；

步骤S44，设置终止条件，当达到D_max时，停止搜索；当通过G_max寻找最优解无改进时，停止搜索；

步骤S45，判断是否满足终止条件，如果满足终止条件，结束运算，输出最优特征子集；如果不满足，则转到步骤S46；

步骤S46，初始解代入领域范围内计算领域解，并通过目标函数选择出最佳的候选解；

步骤S47，判断候选解是否满足特赦规则，若满足，则更新禁忌表中的最优解，并转到步骤S44；如果不满足，则转到步骤S48；

步骤S48，计算候选解的禁忌属性，选择非禁忌对象的最优值替换禁忌表的最初值，并转到步骤S44；

步骤S49，结束，输出最优特征子集。

较佳的，所述步骤S42具体包括以下步骤：

步骤S421，读取经处理后的历史网络流量数据X＝(x₁,x₂,…,x_n)，有N个样本，原始特征个数为n；

步骤S422，求相关系数矩阵C，其中是特征x_i的数据向量， 是特征x_i的均值；

步骤S423，求相关系数矩阵C的特征方程det(λE-C)＝0的特征根，并且满足λ₁≥λ₂≥…≥λ_n＞0；

步骤S424，确定主成分的个数p，p<n，从而达到降维的目的，其中θ一般取值范围为[85％,95％]；

步骤S425，计算λ_i对应的特征向量η_i，其中，i＝1,2,…,p；

步骤S426，约简特征集T_i的数据向量为其中η_ij表示第i个特征向量的第j维。

较佳的，所述步骤S5具体包括以下步骤：

步骤S51，读取样本集S＝{(X_i,y_i)|i＝12,…,N}，X_i∈R^q,y_i∈{+1,-1}，其中+1、-1分别表示网络流量数据的正常、异常，q是特征子集的维数，R^q是指X_i是q维的实数；

步骤S52，线性判别函数的一般为g(x)＝(w·Φ(x))+b，对应的分类超平面为(w·Φ(x))+b＝0，其中(w·Φ(x))是法向量w和Φ(x)的内积表示，Φ输入空间R^q到一个Hilbert空间的变换；

步骤S53，找到一个最优分类超平面以最大间隔将两类数据分开，最大间隔的距离为利用极大化间隔思想得到：

$\underset{w,b,\mathrm{\&xi;}}{\min }\frac{1}{2}\left|\right|w|{|}^2+c\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&xi;}}_i$

s.t.y_i((w·Φ(X_i))+b)＞1-ξ_i,i＝1,2,…,N

ξ_i≥0，i＝1,2,…,N (1)

其中向量ξ＝(ξ₁,ξ₂,…,ξ_N)^T体现样本集被错分的程度，引进的惩罚因子c作为综合和两个目标的权重；

步骤S54，用Lagrange乘子α＝(α₁,α₂,…,α_N)^T将公式(1)转化为有约束的函数极值问题:

$\begin{array}{cc}\underset{\mathrm{\&alpha;}}{\min }& \frac{1}{2}\underset{i=1}{\overset{N}{\&Sigma;}}\underset{j=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_j{y}_i{y}_{j}K(X_i,X_j)-\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i\\ s.t.& \underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{y}_i=0\\ & 0\&le;{\mathrm{\&alpha;}}_i\&le;c,i=1,2,\mathrm{...},N\end{array}$

其中核函数K(X_i,X_j)＝(Φ(X_i)·Φ(X_j))；

步骤S55，求所述有约束的函数极值问题，得到任意解α^*＝(α₁ ^*,α₂ ^*,…,α_N ^*)^T，则最大间隔方法得到的最优解：

$w^{*}=\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_i\mathrm{\&Phi;}\left(X_i\right)$

$b^{*}=y_j-\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_{i}K(X_i,X_j),j\&Element;\left\{j\right|0<{{\mathrm{\&alpha;}}_i}^{*}<c\};$

步骤S56，得到最优分类超平面为(w^*·Φ(x))+b^*＝0。

较佳的，步骤S6具体为：处理后的测试网络流量数据为X′＝(x₁′,x₂′,…,x_p′)，若(w^*·Φ(X′))+b^*＞0，则X′是正常网络流量数据；若(w^*·Φ(X′))+b^*＜0，则X′是异常网络流量数据。

与现有技术比较本发明的有益效果在于：本申请提供的一种基于SVM的网络流量异常检测方法，具有以下优点：

(1)用PCA-TS结合方法对网络流量特征数据进行特征约简降维，并选择最优的特征子集。这不仅避免了“维数灾难”带来分类检测时间长、效率低、占用更大的储存空间的问题；而且训练优化后的特征集，为后续处理降低处理时间，提高了分类器的分类精度。

(2)相对于多种分类器，比如：神经网络、决策树、朴素贝叶斯等，SVM方法在分类器性能在有较大提升，并且具有高分类精度的优势，从而提高检测出异常网络流量数据的准确性。

(3)利用历史数据离线训练和流量数据的在线分类，能立刻反馈异常网络流量数据，及时采取对应策略，保证网络安全。

附图说明

图1为本发明提供的一种基于SVM的网络流量异常检测方法的流程图；

图2为步骤S4中PCA-TS方法的流程图。

具体实施方式

为便于进一步理解本发明的技术内容，下面结合附图对本发明作进一步说明。

如图1所示，为本发明提供的一种基于SVM的网络流量异常检测方法的流程图，该方法包括如下步骤：

步骤S1，读取历史网络流量数据。

步骤S2，提取所述历史网络流量数据的网络流量特征。

网络流量特征主要是统计特征，包括报文和流的属性，这些统计特征用特征向量表示，如一条网络流数据X，基于该流的特征描述可表示为X＝(x₁,x₂,…,x_n)，其中x_i代表第i个特征。

步骤S3，将所述网络流量特征进行数据标准化。便于统一每个特征的量纲，有利于特征约简和优化。

网络流量提取的特征中，包含不同数据类型:名词型和数值型等，且不同特征量纲也不同，这种差异会影响分类精度，所以需要将样本的属性值转换为标准的取值空间。

先利用公式(1)求出样本中每个特征的均值mean(i)，

$mean\left(i\right)=\frac{1}{N}\underset{k=1}{\overset{N}{\&Sigma;}}{X}_i^k---\left(1\right)$

再利用公式(2)求出样本中每个特征的标准差std(i)，

$std\left(i\right)=\sqrt{\frac{1}{N-1}\underset{k=1}{\overset{N}{\&Sigma;}}{(X_i^k-mean(i\left)\right)}^2}---\left(2\right)$

再利用公式(3)求出样本中每个特征标准化后的值

${\mathrm{norm}}_i^k=\frac{X_i^k-mean\left(i\right)}{std\left(i\right)}---\left(3\right)$

其中，N为样本数，表示第k个样本的第i个特征的值。

步骤S4，利用PCA-TS方法对所述网络流量特征进行约简，得到精简优化的特征子集。

PCA-TS方法为下述两步的结合：

步骤a，利用主成分分析(PCA)算法去除网络流量数据的冗余性和弱属性，进而降低维数，得到约简特征集。

步骤b，利用禁忌搜索(TS)算法对约简特征集进行优化，以最大分类信息为目标，得到最优特征子集。

用该方法能够减少网络流量高维特征空间冗余和选择最优特征子集，为后续的分类训练检测提供低维和有效的流量特征属性。

步骤S5，利用支持向量机(SVM)对所述最优特征子集进行训练，得到SVM分类器，即最优分类超平面。

步骤S6，对处理后的在线的测试网络流量数据加入SVM分类器中，用SVM分类器计算，得到最终的分类结果，判定处理后的在线的测试网络流量数据是否为异常网络流量数据。所述处理是指对在线的测试网络流量数据进行特征提取、标准化、主成分分析降维和选择最优特征。

如图2所示，为步骤S4中PCA-TS方法的流程图，步骤S4中PCA-TS方法具体包括如下步骤：

步骤S41，置空禁忌表并设置初始化参数：禁忌长度L_J，最大迭代次数D_max，最大改进次数G_max。

步骤S42，使用PCA对历史网络流量数据进行约简，得到约简特征集T＝{T₁,T₂,…,T_P},p为约简后特征集的数量。

步骤S43，对特征集T进行二进制编码，得到初始解R₀，即选取初始的特征子集。

步骤S44，设置终止条件，当达到D_max时，停止搜索；当通过G_max寻找最优解无改进时，停止搜索。

步骤S45，判断是否满足终止条件，如果满足终止条件，结束运算，输出最优特征子集；如果不满足，则转到步骤S46。

步骤S46，初始解代入领域范围内计算领域解，并通过目标函数选择出最佳的候选解。

步骤S47，判断候选解是否满足特赦规则，若满足，则更新禁忌表中的最优解，并转到步骤S44；如果不满足，则转到步骤S48。

步骤S48，计算候选解的禁忌属性，选择非禁忌对象的最优值替换禁忌表的最初值，并转到步骤S44。

步骤S49，结束，输出最优特征子集。

其中，步骤S42中PCA主要思想是利用数据集统计性质的特征空间变换，将一个数据维数较高且互相关联的数据集进行降维，使原始空间转换为新的主成分空间，且各主成分互不相关。具体包括以下步骤：

步骤S421，读取经处理后的历史网络流量数据X＝(x₁,x₂,…,x_n)，有N个样本，原始特征个数为n。

步骤S422，求相关系数矩阵C，其中是特征x_i的数据向量， 是特征x_i的均值。

步骤S423，求相关系数矩阵C的特征方程det(λE-C)＝0的特征根，并且满足λ₁≥λ₂≥…≥λ_n＞0。

步骤S424，确定主成分的个数p，p<n，从而达到降维的目的，其中θ一般取值范围为[85％,95％]。

步骤S425，计算λ_i对应的特征向量η_i，其中，i＝1,2,…,p。

步骤S426，约简特征集T_i的数据向量为其中η_ij表示第i个特征向量的第j维。

禁忌搜索(TS)算法是人工智能的一种体现，是局部领域搜索的一种扩展。通过引入一个灵活的存储结构和相应的禁忌准则来避免迂回搜索，并通过特赦准则来赦免一些被禁忌的优良状态，进而保证多样化的有效探索为了最终实现全局优化。邻域是沿用局部邻域搜索的思想，用于实现邻域搜索。候选解是在当前解的领域范围内寻找满足不禁忌条件和目标函数最优的可行解。禁忌表包括禁忌对象和禁忌长度，体现了算法避免迂回搜索的特点。特赦准则，则是对优良状态的奖励，它是对禁忌策略的一种放松。

步骤S5具体包括以下步骤：

步骤S51，读取样本集S＝{(X_i,y_i)|i＝12,…,N}，X_i∈R^q,y_i∈{+1,-1}，其中+1、-1分别表示网络流量数据的正常、异常，q是特征子集的维数，R^q是指X_i是q维的实数。

步骤S52，线性判别函数的一般为g(x)＝(w·Φ(x))+b，对应的分类超平面为(w·Φ(x))+b＝0，其中(w·Φ(x))是法向量w和Φ(x)的内积表示，Φ输入空间R^q到一个Hilbert空间的变换。

步骤S53，找到一个最优分类超平面以最大间隔将两类数据分开，最大间隔的距离为利用极大化间隔思想得到：

$\underset{w,b,\mathrm{\&xi;}}{\min }\frac{1}{2}\left|\right|w|{|}^2+c\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&xi;}}_i$

s.t.y_i((w·Φ(X_i))+b)＞1-ξ_i,i＝1,2,…,N

ξ_i≥0，i＝1,2,…,N (4)

其中向量ξ＝(ξ₁,ξ₂,…,ξ_N)^T体现样本集被错分的程度，引进的惩罚因子c作为综合和两个目标的权重。

步骤S54，用Lagrange乘子α＝(α₁,α₂,…,α_N)^T将公式(4)转化为有约束的函数极值问题:

$\begin{array}{cc}\underset{\mathrm{\&alpha;}}{\min }& \frac{1}{2}\underset{i=1}{\overset{N}{\&Sigma;}}\underset{j=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_j{y}_i{y}_{j}K(X_i,X_j)-\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i\\ s.t.& \underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{y}_i=0\\ & 0\&le;{\mathrm{\&alpha;}}_i\&le;c,i=1,2,\mathrm{...},N\end{array}$

其中核函数K(X_i,X_j)＝(Φ(X_i)·Φ(X_j))。

步骤S55，求所述有约束的函数极值问题，得到任意解α^*＝(α₁ ^*,α₂ ^*,…,α_N ^*)^T，则最大间隔方法得到的最优解：

$w^{*}=\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_i\mathrm{\&Phi;}\left(X_i\right)$

$b^{*}=y_j-\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_{i}K(X_i,X_j),j\&Element;\left\{j\right|0<{{\mathrm{\&alpha;}}_i}^{*}<c\}$

步骤S56，得到最优分类超平面为(w^*·Φ(x))+b^*＝0。

步骤S6具体为：处理后的测试网络流量数据为X′＝(x₁′,x₂′,…,x_p′)，若(w^*·Φ(X′))+b^*＞0，则X′是正常网络流量数据；若(w^*·Φ(X′))+b^*＜0，则X′是异常网络流量数据。

本发明提供的一种基于SVM的网络流量异常检测方法具体以下优点：

(4)用PCA-TS结合方法对网络流量特征数据进行特征约简降维，并选择最优的特征子集。这不仅避免了“维数灾难”带来分类检测时间长、效率低、占用更大的储存空间的问题；而且训练优化后的特征集，为后续处理降低处理时间，提高了分类器的分类精度。

(5)相对于多种分类器，比如：神经网络、决策树、朴素贝叶斯等，SVM方法在分类器性能在有较大提升，并且具有高分类精度的优势，从而提高检测出异常网络流量数据的准确性。

(6)利用历史数据离线训练和流量数据的在线分类，能立刻反馈异常网络流量数据，及时采取对应策略，保证网络安全。

以上所述仅为本发明的较佳实施例，对本发明而言仅仅是说明性的，而非限制性的。本专业技术人员理解，在本发明权利要求所限定的精神和范围内可对其进行许多改变，修改，甚至等效，但都将落入本发明的保护范围内。

Claims (6)

1.一种基于SVM的网络流量异常检测方法，其特征在于，该方法包括以下步骤：

步骤S1，读取历史网络流量数据；

步骤S2，提取所述历史网络流量数据的网络流量特征；

步骤S3，将所述网络流量特征进行数据标准化；

步骤S4，对所述网络流量特征进行约简，得到精简优化的特征子集；

步骤S5，利用SVM对所述最优特征子集进行训练，得到SVM分类器，即最优分类超平面；

步骤S6，对处理后的在线的测试网络流量数据加入所述SVM分类器中，用所述SVM分类器计算，得到最终的分类结果，判定处理后的在线的测试网络流量数据是否为异常网络流量数据。

2.根据权利要求1所述的一种基于SVM的网络流量异常检测方法，其特征在于，所述步骤S4中，是采用PCA-TS方法对所述网络流量特征进行约简，得到精简优化的特征子集，所述PCA-TS方法为下述两步的结合：

步骤a，利用主成分分析算法去除网络流量数据的冗余性和弱属性，进而降低维数，得到约简特征集；

步骤b，利用禁忌搜索算法对约简特征集进行优化，以最大分类信息为目标，得到最优特征子集。

3.根据权利要求2所述的一种基于SVM的网络流量异常检测方法，其特征在于，所述PCA-TS方法具体包括如下步骤：

步骤S41，置空禁忌表并设置初始化参数：禁忌长度L_J，最大迭代次数D_max，最大改进次数G_max；

步骤S42，使用PCA对历史网络流量数据进行约简，得到约简特征集T＝{T₁,T₂,…,T_P},p为约简后特征集的数量；

步骤S43，对特征集T进行二进制编码，得到初始解R₀，即选取初始的特征子集；

步骤S44，设置终止条件，当达到D_max时，停止搜索；当通过G_max寻找最优解无改进时，停止搜索；

步骤S45，判断是否满足终止条件，如果满足终止条件，结束运算，输出最优特征子集；如果不满足，则转到步骤S46；

步骤S46，初始解代入领域范围内计算领域解，并通过目标函数选择出最佳的候选解；

步骤S47，判断候选解是否满足特赦规则，若满足，则更新禁忌表中的最优解，并转到步骤S44；如果不满足，则转到步骤S48；

步骤S48，计算候选解的禁忌属性，选择非禁忌对象的最优值替换禁忌表的最初值，并转到步骤S44；

步骤S49，结束，输出最优特征子集。

4.根据权利要求3所述的一种基于SVM的网络流量异常检测方法，其特征在于，所述步骤S42具体包括以下步骤：

步骤S421，读取经处理后的历史网络流量数据X＝(x₁,x₂,…,x_n)，有N个样本，原始特征个数为n；

步骤S422，求相关系数矩阵C，其中是特征x_i的数据向量， 是特征x_i的均值；

步骤S423，求相关系数矩阵C的特征方程det(λE-C)＝0的特征根，并且满足λ₁≥λ₂≥…≥λ_n＞0；

步骤S424，确定主成分的个数p，p<n，从而达到降维的目的，其中θ一般取值范围为[85％,95％]；

步骤S425，计算λ_i对应的特征向量η_i，其中，i＝1,2,…,p；

步骤S426，约简特征集T_i的数据向量为其中η_ij表示第i个特征向量的第j维。

5.根据权利要求4所述的一种基于SVM的网络流量异常检测方法，其特征在于，所述步骤S5具体包括以下步骤：

步骤S51，读取样本集S＝{(X_i,y_i)|i＝12,…,N}，X_i∈R^q,y_i∈{+1,-1}，其中+1、-1分别表示网络流量数据的正常、异常，q是特征子集的维数，R^q是指X_i是q维的实数；

步骤S52，线性判别函数的一般为g(x)＝(w·Φ(x))+b，对应的分类超平面为(w·Φ(x))+b＝0，其中(w·Φ(x))是法向量w和Φ(x)的内积表示，Φ输入空间R^q到一个Hilbert空间的变换；

步骤S53，找到一个最优分类超平面以最大间隔将两类数据分开，最大间隔的距离为利用极大化间隔思想得到：

$\begin{array}{cc}\underset{w,b,\mathrm{\&xi;}}{min}& \frac{1}{2}\left|\right|w|{|}^2+c\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&xi;}}_i\end{array}$

s.t.y_i((w·Φ(X_i))+b)＞1-ξ_i,i＝1,2,…,N

ξ_i≥0，i＝1,2,…,N (1)

其中向量ξ＝(ξ₁,ξ₂,…,ξ_N)^T体现样本集被错分的程度，引进的惩罚因子c作为综合和两个目标的权重；

步骤S54，用Lagrange乘子α＝(α₁,α₂,…,α_N)^T将公式(1)转化为有约束的函数极值问题:

$\begin{array}{cc}\underset{\mathrm{\&alpha;}}{\min }& \frac{1}{2}\underset{i=1}{\overset{N}{\&Sigma;}}\underset{j=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_j{y}_i{y}_{j}K(X_i,X_j)-\underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i\end{array}$

$\begin{array}{cc}s.t.& \underset{i=1}{\overset{N}{\&Sigma;}}{\mathrm{\&alpha;}}_i{y}_i=0\end{array}$

0≤α_i≤c,i＝1,2,…,N

其中核函数K(X_i,X_j)＝(Φ(X_i)·Φ(X_j))；

步骤S55，求所述有约束的函数极值问题，得到任意解

α^*＝(α₁ ^*,α₂ ^*,…,α_N ^*)^T，则最大间隔方法得到的最优解：

$w^{*}=\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_i\mathrm{\&Phi;}\left(X_i\right)$

$b^{*}=y_j-\underset{i=1}{\overset{N}{\&Sigma;}}{{\mathrm{\&alpha;}}_i}^{*}{y}_{i}K(X_i,X_j),j\&Element;\left\{j\right|0<{{\mathrm{\&alpha;}}_i}^{*}<c\};$

步骤S56，得到最优分类超平面为(w^*·Φ(x))+b^*＝0。

6.根据权利要求5所述的一种基于SVM的网络流量异常检测方法，其特征在于，步骤S6具体为：处理后的测试网络流量数据为X′＝(x₁′,x₂′,…,x_p′)，若(w^*·Φ(X′))+b^*＞0，则X′是正常网络流量数据；若(w^*·Φ(X′))+b^*＜0，则X′是异常网络流量数据。