CN111355733B - 一种基于svm算法的震害信息入侵检测系统和检测方法 - Google Patents

Abstract

本发明提供了一种基于SVM算法的震害信息入侵检测系统和检测方法，包括解析模块、分类模块和传感器，传感器的信号输出端与分类模块的信号输入端连接，每个分类模块的信号输出端分别与解析模块的信号输入端连接，每个分类模块的双向信号收发端分别与其他分类模块的双向信号收发端连接；通过建立和优化SVM模型，分类并过滤传感器数据包中的无用数据，实现快速、准确地对震害信息进行入侵检测的功能。

Description

一种基于SVM算法的震害信息入侵检测系统和检测方法

技术领域

本发明属于入侵检测技术领域，具体涉及一种基于SVM算法的震害信息入侵检测系统和检测方法。

背景技术

剧烈的地壳板块运动会导致的地质灾害，对震害区域的居民的生产、生活产生严重影响。为尽快了解震害区域的范围、震害烈度、持续时间，以及居民的伤亡情况、精神状况、建筑损坏情况和道桥通畅情况，需要实时采集震害区域的各类数据，并尽快进行分类汇总，便于分析和使用；同时在互联网传输有用信息的过程中，存在被黑客攻击和电脑病毒入侵的风险，也存在由于网络波动造成的信息损失和重复的风险。针对上述情况，需要对获取到的信息预先进行有用信息和无用信息的分类，并过滤掉无用信息，目前用于地震监测预报行业的信息入侵检测系统采用了包括神经网络算法、非法入侵识别算法和结合特征分析的WEB入侵检测算法等，但神经网络算法在高维空间的检测精度低；非法入侵识别算法只能识别恶意信息，对其他类别的无用信息的检测效果不明显；结合特征分析的WEB入侵检测算法的计算量大，消耗系统资源多。

发明内容

本发明要解决的技术问题是：提供一种基于SVM算法的震害信息入侵检测系统和检测方法，用于分类并过滤传感器数据包中的无用数据，实现快速、准确地对震害信息进行入侵检测的功能。

本发明为解决上述技术问题所采取的技术方案为：一种基于SVM算法的震害信息入侵检测系统，包括解析模块、分类模块和传感器；M、n、i、j分别为自然数，i∈{1，2，…，M}，j∈{1，2，…，n}，分类模块有M个，传感器分为M组，每组分别有N₁、N₂、…、N_n个传感器；第iN_j个传感器的信号输出端与第i个分类模块的信号输入端连接，每个分类模块的信号输出端分别与解析模块的信号输入端连接，每个分类模块的双向信号收发端分别与其他M-1个分类模块的双向信号收发端连接；

传感器用于获取地壳板块的运动信息并发送给分类模块；

分类模块包括过滤单元和功能单元，功能单元的命令输出端与过滤单元的命令输入端连接；过滤单元用于对收到的传感器数据包进行分类、过滤并发送给解析模块，并与其他分类模块交换训练数据包；功能单元用于驱动过滤单元工作、监控传感器的在线情况并向解析模块发送索引信息；

解析模块包括依次串连的网络通讯协议解析单元、数据包封装协议解析单元和存储单元；网络通讯协议解析单元用于对收到的分类数据包按网络通讯协议解码并发送给数据包封装协议解析单元；数据包封装协议解析单元用于对收到的信息进行数据包封装协议解码并发送到存储单元；存储单元用于将解码信息与索引信息融合为震害信息并存储到数据库中。

按上述方案，过滤单元包括串连的恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元，恶意信息过滤单元用于识别并拦截包括黑客攻击和网络病毒造成的恶意信息，损坏信息过滤单元用于去掉通信过程中造成的损坏信息，冗余信息过滤单元用于去网络延时造成的重复信息并将过滤后的分类数据包发送给解析模块；过滤单元还包括第一缓存单元，第一缓存单元用于缓存收到的传感器数据包并作为训练数据包发送给其他分类模块，同时接收其他分类模块发送的训练数据包。

进一步的，过滤单元还包括备用单元，备用单元用于根据收到的训练数据对过滤单元的训练优化结果来构建备用过滤单元，并将备用过滤单元串连在冗余信息过滤单元与解析模块之间。

按上述方案，还包括上位机，上位机包括输出设备；上位机用于接收分类模块和解析模块发送的状态信息并通过输出设备实时显示给操作人员。

进一步的，功能单元包括数据引擎和通信报警单元；数据引擎通过向过滤单元发送控制信号以驱动过滤单元工作；数据引擎通过接收过滤单元发回的反馈信号判断传感器的在线情况，若传感器工作正常则数据引擎向解析模块发送与传感器数据包对应的索引信息，若传感器工作不正常则数据引擎通过通信报警单元向上位机发送通信报警信息。

进一步的，存储单元包括第二缓存单元和索引单元，索引单元用于接收数据引擎发送的索引信息并转发给第二缓存单元，第二缓存单元用于将融合数据包封装协议解析单元发送的解码信息和索引信息融合为震害信息并发送给数据库；解析模块还包括数据报警单元，数据报警单元用于接收并判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

一种基于SVM算法的震害信息入侵检测方法，包括以下步骤：

S1：建立包括解析模块、分类模块和传感器的震害信息入侵检测系统，设M、n、i、j分别为自然数，i∈{1，2，…，M}，j∈{1，2，…，n}，分类模块有M个，传感器分为M组，每组分别有N₁、N₂、…、N_n个传感器；第iN_j个传感器采集地壳板块的运动信息，并封装为传感器数据包发送给第i个分类模块；每个分类模块的信号输出端分别与解析模块的信号输入端连接，每个分类模块的双向信号收发端分别与其他M-1个分类模块的双向信号收发端连接；

S2：将传感器数据包中的数据点映射到特征向量空间，在分类模块的过滤单元中建立SVM模型，采用高斯核函数选取最优的超平面划分数据点，使超平面两侧的数据点到超平面的距离最大且相等；在第i个分类模块的空闲时段读取过滤单元的第一缓存单元中缓存的训练数据包训练并优化SVM模型，直至收到第iN_j个传感器发送的传感器数据包，将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他分类模块，然后执行步骤S3；

S3：采用步骤S2得到的SVM模型对传感器数据包进行分类、过滤，并将得到的分类数据包发送给解析模块；

S4：解析模块依次根据网络通讯协议和数据包封装协议解析分类数据包，并将得到的震害信息存入数据库。

进一步的，步骤S2包括以下步骤：

S21：设i∈{1，2，…，n}，传感器数据包中的信息为a_i，则传感器获取到的信息集合为A＝{a₁，a₂，…，a_n}；设x_i为a_i的特征向量，方差为σ，则选取将变量x映射到高维特征向量空间的高斯核函数RBF为

将集合A映射到高维特征向量空间得到特征向量集合X＝{x₁，x₂，…，x_n}；设平面法向量为w，截距为b，则构造超平面

Y(w^Tx+b)＝0，

使集合X中对应震害信息中的有用信息的点在超平面的一侧

Y(w^Tx+b)＞0，

使集合X中对应震害信息中的无用信息的点在超平面的另一侧

Y(w^Tx+b)＜0，

完成SVM模型的建立；

S22：将其他分类模块发来的训练数据包缓存在第一缓存单元中，判断第i个分类模块是否收到第iN_j个传感器发送的传感器数据包，若未收到则读取第一缓存单元中缓存的训练数据包训练并优化SVM模型；

设集合X中距离最近的两个点的向量为支持向量，设两个支持向量到超平面的距离为1，为使超平面两侧的数据点到超平面的距离r最大且相等，则将超平面优化为

且

Y(w^Tx+b)≥1；

将x_i经SVM模型分类后的结果与训练数据的真实分类结果比较，若正确率不满足设定要求，则调整核函数的方差σ、读取第一缓存单元中缓存的训练数据包继续优化SVM模型；若正确率满足设定要求则等待传感器数据包；

若收到传感器数据包，则将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他分类模块，然后执行步骤S3。

进一步的，步骤S3包括以下步骤：

S31：分类模块的功能单元内设有数据引擎，数据引擎向过滤单元发送驱动信号并等待，若收到过滤单元发送的反馈信号则向解析模块发送索引信息；若在设定时间内未收到反馈信号则判断通信故障，并通过功能单元内的通信报警单元向上位机发送通信报警信息；

S32：设特征向量x_i对应的松弛变量为θ_j，j∈{1，2，…，m}，惩罚系数为P，将超平面函数改进为

Y(w^Tx_i+b)+θ_j≥1；

分别在恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元中调整θ_j和P的取值，使过滤单元分类模块从传感器数据包中分离并过滤掉恶意信息、损坏信息和冗余信息；

S33：分类模块将分类后的分类数据包和索引信息发送给解析模块。

进一步的，步骤S4包括以下步骤：

S41：解析模块的网络通讯协议解析单元根据IP协议对分类数据包进行解码，并发送给数据包封装协议解析单元；

S42：数据包封装协议解析单元分别根据CMP协议、UDP协议和TCP协议对收到的数据包进行解包，将得到的解码信息存入存储单元的第二缓存单元；存储单元的索引单元将收到的索引信息转发给第二缓存单元，第二缓存单元将解码信息和索引信息融合为震害信息并存入数据库；

S42：数据包封装协议解析单元将解码信息发送给解析模块的数据报警单元，数据报警单元判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

本发明的有益效果为：

1.本发明的一种基于SVM算法的震害信息入侵检测系统和检测方法通过建立和优化SVM模型，分类并过滤传感器数据包中的无用数据，实现快速、准确地对震害信息进行入侵检测的功能。

2.本发明通过调整SVM模型参数，分别构建针对黑客攻击和电脑病毒入侵造成的恶意信息、通信过程中造成的损坏信息和网络延时造成的重复信息的分类过滤模块，对上述无用信息实现了准确分类和过滤的功能。

3.本发明的计算量较小，对系统资源的消耗小，硬件成本小，便于推广和应用。

附图说明

图1是本发明实施例的功能框图。

图2是本发明实施例的分类模块的功能框图。

图3是本发明实施例的解析模块的功能框图。

图4是本发明实施例的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

参见图1，本发明的一种基于SVM算法的震害信息入侵检测系统的实施例包括传感器、分类模块、解析模块和上位机，其中传感器包括设置在各测震观测点中的地壳运动加速度计、垂直摆和伸缩仪等，分类模块加载在各区域服务器中，解析模块和上位机加载在中心服务器中；设置一台中心服务器，5台区域服务器，每台区域服务器对应50个测震观测点，测震观测点、区域服务器与中心服务器的序号对应关系如下表所示：

表1

测震观测点的信号发送端与对应的区域服务器的信号接收端连接，区域服务器的信号发送端与中心服务器的信号接收端连接，每个区域服务器的双向信号收发端挂接在局域网中，区域服务器之间通过局域网收发信息。

地壳运动加速度计、垂直摆和伸缩仪等传感器用于获取地壳板块的运动信息并发送给区域服务器的分类模块。

分类模块包括过滤单元和功能单元，功能单元的命令输出端与过滤单元的命令输入端连接。过滤单元用于对收到的传感器数据包进行分类、过滤并发送给解析模块，并与其他分类模块交换训练数据包；过滤单元包括串连的恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元，恶意信息过滤单元用于识别并拦截包括黑客攻击和网络病毒造成的恶意信息，损坏信息过滤单元用于去掉通信过程中造成的损坏信息，冗余信息过滤单元用于去网络延时造成的重复信息并将过滤后的分类数据包发送给解析模块；过滤单元还包括第一缓存单元和备用单元，第一缓存单元用于缓存收到的传感器数据包并作为训练数据包发送给其他区域服务器的分类模块，同时接收区域服务器的分类模块发送的训练数据包；备用单元用于根据收到的训练数据对过滤单元的训练优化结果来构建备用过滤单元，并将备用过滤单元串连在冗余信息过滤单元与解析模块之间。功能单元用于驱动过滤单元工作、监控传感器的在线情况并向中心服务器的解析模块发送索引信息；功能单元包括数据引擎和通信报警单元；数据引擎通过向过滤单元发送控制信号以驱动过滤单元工作；数据引擎通过接收过滤单元发回的反馈信号判断传感器的在线情况，若传感器工作正常则数据引擎向解析模块发送与传感器数据包对应的索引信息，若传感器工作不正常则数据引擎通过通信报警单元向上位机发送通信报警信息。

解析模块包括依次串连的网络通讯协议解析单元、数据包封装协议解析单元和存储单元；网络通讯协议解析单元用于对收到的分类数据包按网络通讯协议解码并发送给数据包封装协议解析单元；数据包封装协议解析单元用于对收到的信息进行数据包封装协议解码并发送到存储单元。存储单元用于将解码信息与索引信息融合为震害信息并存储到数据库中；存储单元包括第二缓存单元和索引单元，索引单元用于接收数据引擎发送的索引信息并转发给第二缓存单元，第二缓存单元用于将融合数据包封装协议解析单元发送的解码信息和索引信息融合为震害信息并发送给数据库；解析模块还包括数据报警单元，数据报警单元用于接收并判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

上位机包括输出设备用于显示人机交互界面；上位机用于接收分类模块和解析模块发送的包括通信报警信息和数据报警信息的状态信息并通过输出设备实时显示给操作人员。

一种基于SVM算法的震害信息入侵检测方法，包括以下步骤：

S1：建立包括一台加载有解析模块和上位机中心服务器、5台加载有分类模块的区域服务器、每台区域服务器分别对应的50个测震观测点的震害信息入侵检测系统，测震观测点的信号发送端与对应的区域服务器的信号接收端连接，区域服务器的信号发送端与中心服务器的信号接收端连接，每个区域服务器的双向信号收发端挂接在局域网中，区域服务器之间通过局域网收发信息；测震观测点中的传感器采集地壳板块的运动信息，并封装为传感器数据包发送给区域服务器的分类模块；

S2：将传感器数据包中的数据点映射到特征向量空间，在分类模块的过滤单元中建立SVM模型，采用高斯核函数选取最优的超平面划分数据点，使超平面两侧的数据点到超平面的距离最大且相等；在当前区域服务器的空闲时段读取过滤单元的第一缓存单元中缓存的训练数据包训练并优化SVM模型，直至收到对应的测震观测点中的传感器发送的传感器数据包，将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他分类模块，然后执行步骤S3，具体包括以下步骤：

S21：设i∈{1，2，3，4}，传感器数据包中的数据a_i包括震害发生时间a₁、震害中心坐标a₂、震害范围a₃和震害烈度a₄，则传感器获取到的信息集合为A＝{a₁，a ₂，a₃，a ₄}；设x_i为a_i的特征向量，方差为σ，则选取将变量x映射到高维特征向量空间的高斯核函数RBF为

将集合A映射到高维特征向量空间得到特征向量集合X＝{x₁，x₂，x₃，x₄}；设平面法向量为w，截距为b，则构造超平面

Y(w^Tx+b)＝0，

使集合X中对应震害信息中的有用信息的点在超平面的一侧

Y(w^Tx+b)＞0，

使集合X中对应震害信息中的无用信息的点在超平面的另一侧

Y(w^Tx+b)＜0，

完成SVM模型的建立；

S22：将其他区域服务器发来的训练数据包缓存在第一缓存单元中，判断当前区域服务器是否收到对应的测震观测点发送的传感器数据包，若未收到则读取第一缓存单元中缓存的训练数据包训练并优化SVM模型；

设集合X中距离最近的两个点的向量为支持向量，设两个支持向量到超平面的距离为1，为使超平面两侧的数据点到超平面的距离r最大且相等，则将超平面优化为

且

Y(w^Tx+b)≥1；

将x_i经SVM模型分类后的结果与训练数据的真实分类结果比较，若正确率不满足设定要求，则调整核函数的方差σ、读取第一缓存单元中缓存的训练数据包继续优化SVM模型，直至正确率满足设定要求，并等待传感器数据包；

若收到传感器数据包，则将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他区域服务器，然后执行步骤S3。

S3：采用步骤S2得到的SVM模型对传感器数据包进行分类、过滤，并将得到的分类数据包发送给中心服务器，具体包括以下步骤：

S31：分类模块的功能单元内设有数据引擎，数据引擎向过滤单元发送驱动信号并等待，若收到过滤单元发送的反馈信号则向解析模块发送索引信息；若在设定时间内未收到反馈信号则判断通信故障，并通过功能单元内的通信报警单元向上位机发送通信报警信息；

S32：设特征向量x_i对应的松弛变量为θ_j，j∈{1，2，…，m}，惩罚系数为P，将超平面函数改进为

Y(w^Tx_i+b)+θ_j≥1；

分别在恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元中调整θ_j和P的取值，使过滤单元分类模块从传感器数据包中分离并过滤掉恶意信息、损坏信息和冗余信息；

S33：区域服务器将分类后的分类数据包和索引信息发送给中心服务器。

S4：中心服务器的解析模块依次根据网络通讯协议和数据包封装协议解析分类数据包，并将得到的震害信息存入震害信息数据库，具体包括以下步骤：

S41：解析模块的网络通讯协议解析单元根据IP协议对分类数据包进行解码，并发送给数据包封装协议解析单元；

S42：数据包封装协议解析单元分别根据CMP协议、UDP协议和TCP协议对收到的数据包进行解包，将得到的解码信息存入存储单元的第二缓存单元；存储单元的索引单元将收到的索引信息转发给第二缓存单元，第二缓存单元将解码信息和索引信息融合为震害信息并存入震害信息数据库；

S42：数据包封装协议解析单元将解码信息发送给解析模块的数据报警单元，数据报警单元判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

准备1000条传感器获取的信息集合A＝{a₁，a₂，a₃，a₄}，并用少量包含恶意信息、损坏信息和冗余信息的无用信息替换信息集合A中的数据，采用本发明的实施例进行入侵检测，误检率在1％以下，对比WEB入侵检测算法的误检率大于10％和神经网络算法的误检率接近20％，本发明的检测准确率更高；本发明能检测非恶意信息的无用信息，对比非法入侵识别算法只能识别恶意信息，本发明对数据的处理范围更广；本发明的检测时间小于10ms，对比WEB入侵检测算法和神经网络算法的检测时间均大于20ms，本发明的数据处理能力更强，占用系统资源更小。

以上实施例仅用于说明本发明的设计思想和特点，其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施，本发明的保护范围不限于上述实施例。所以，凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰，均在本发明的保护范围之内。

Claims (10)

1.一种基于SVM算法的震害信息入侵检测系统，其特征在于：

包括解析模块、分类模块和传感器；M、n、i、j分别为自然数，i∈{1，2，…，M}，j∈{1，2，…，n}，分类模块有M个，传感器分为M组，每组分别有N₁、N₂、…、N_n个传感器；第iN_j个传感器的信号输出端与第i个分类模块的信号输入端连接，每个分类模块的信号输出端分别与解析模块的信号输入端连接，每个分类模块的双向信号收发端分别与其他M-1个分类模块的双向信号收发端连接；传感器用于获取地壳板块的运动信息并发送给分类模块；

分类模块包括过滤单元和功能单元，功能单元的命令输出端与过滤单元的命令输入端连接；过滤单元用于对收到的传感器数据包进行分类、过滤并发送给解析模块，并与其他分类模块交换训练数据包；

过滤单元中建立有SVM模型，采用高斯核函数选取最优的超平面划分数据点，使超平面两侧的数据点到超平面的距离最大且相等；

设特征向量x_i对应的松弛变量为θ_j，j∈{1，2，…，m}，惩罚系数为P，则超平面函数为

Y(w^Tx_i+b)+θ_j≥1；

功能单元用于驱动过滤单元工作、监控传感器的在线情况并向解析模块发送索引信息；

解析模块包括依次串连的网络通讯协议解析单元、数据包封装协议解析单元和存储单元；网络通讯协议解析单元用于对收到的分类数据包按网络通讯协议解码并发送给数据包封装协议解析单元；数据包封装协议解析单元用于对收到的信息进行数据包封装协议解码并发送到存储单元；存储单元用于将解码信息与索引信息融合为震害信息并存储到数据库中。

2.根据权利要求1所述的一种基于SVM算法的震害信息入侵检测系统，其特征在于：过滤单元包括串连的恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元，恶意信息过滤单元用于识别并拦截包括黑客攻击和网络病毒造成的恶意信息，损坏信息过滤单元用于去掉通信过程中造成的损坏信息，冗余信息过滤单元用于去网络延时造成的重复信息并将过滤后的分类数据包发送给解析模块；过滤单元还包括第一缓存单元，第一缓存单元用于缓存收到的传感器数据包并作为训练数据包发送给其他分类模块，同时接收其他分类模块发送的训练数据包。

3.根据权利要求2所述的一种基于SVM算法的震害信息入侵检测系统，其特征在于：过滤单元还包括备用单元，备用单元用于根据收到的训练数据对过滤单元的训练优化结果来构建备用过滤单元，并将备用过滤单元串连在冗余信息过滤单元与解析模块之间。

4.根据权利要求1所述的一种基于SVM算法的震害信息入侵检测系统，其特征在于：还包括上位机，上位机包括输出设备；上位机用于接收分类模块和解析模块发送的状态信息并通过输出设备实时显示给操作人员。

5.根据权利要求4所述的一种基于SVM算法的震害信息入侵检测系统，其特征在于：功能单元包括数据引擎和通信报警单元；数据引擎通过向过滤单元发送控制信号以驱动过滤单元工作；数据引擎通过接收过滤单元发回的反馈信号判断传感器的在线情况，若传感器工作正常则数据引擎向解析模块发送与传感器数据包对应的索引信息，若传感器工作不正常则数据引擎通过通信报警单元向上位机发送通信报警信息。

6.根据权利要求4所述的一种基于SVM算法的震害信息入侵检测系统，其特征在于：存储单元包括第二缓存单元和索引单元，索引单元用于接收数据引擎发送的索引信息并转发给第二缓存单元，第二缓存单元用于将融合数据包封装协议解析单元发送的解码信息和索引信息融合为震害信息并发送给数据库；解析模块还包括数据报警单元，数据报警单元用于接收并判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

7.一种基于SVM算法的震害信息入侵检测方法，其特征在于：包括以下步骤：

S1：建立包括解析模块、分类模块和传感器的震害信息入侵检测系统，设M、n、i、j分别为自然数，i∈{1，2，…，M}，j∈{1，2，…，n}，分类模块有M个，传感器分为M组，每组分别有N₁、N₂、…、N_n个传感器；第iN_j个传感器采集地壳板块的运动信息，并封装为传感器数据包发送给第i个分类模块；每个分类模块的信号输出端分别与解析模块的信号输入端连接，每个分类模块的双向信号收发端分别与其他M-1个分类模块的双向信号收发端连接；

S2：将传感器数据包中的数据点映射到特征向量空间，在分类模块的过滤单元中建立SVM模型，采用高斯核函数选取最优的超平面划分数据点，使超平面两侧的数据点到超平面的距离最大且相等；

设特征向量x_i对应的松弛变量为θ_j，j∈{1，2，…，m}，惩罚系数为P，则超平面函数为

Y(w^Tx_i+b)+θ_j≥1；

在第i个分类模块的空闲时段读取过滤单元的第一缓存单元中缓存的训练数据包训练并优化SVM模型，直至收到第iN_j个传感器发送的传感器数据包，将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他分类模块，然后执行步骤S3；

S3：采用步骤S2得到的SVM模型对传感器数据包进行分类、过滤，并将得到的分类数据包发送给解析模块；

S4：解析模块依次根据网络通讯协议和数据包封装协议解析分类数据包，并将得到的震害信息存入数据库。

8.根据权利要求7所述的一种基于SVM算法的震害信息入侵检测方法，其特征在于：步骤S2包括以下步骤：

S21：设i∈{1，2，…，n}，传感器数据包中的信息为a_i，则传感器获取到的信息集合为A＝{a₁，a₂，…，a_n}；设x_i为a_i的特征向量，方差为σ，则选取将变量x映射到高维特征向量空间的高斯核函数RBF为

将集合A映射到高维特征向量空间得到特征向量集合X＝{x₁，x₂，…，x_n}；设平面法向量为w，截距为b，则构造超平面

Y(w^Tx+b)＝0，

使集合X中对应震害信息中的有用信息的点在超平面的一侧

Y(w^Tx+b)＞0，

使集合X中对应震害信息中的无用信息的点在超平面的另一侧

Y(w^Tx+b)＜0，

完成SVM模型的建立；

S22：将其他分类模块发来的训练数据包缓存在第一缓存单元中，判断第i个分类模块是否收到第iN_j个传感器发送的传感器数据包，若未收到则读取第一缓存单元中缓存的训练数据包训练并优化SVM模型；

设集合X中距离最近的两个点的向量为支持向量，设两个支持向量到超平面的距离为1，为使超平面两侧的数据点到超平面的距离r最大且相等，则将超平面优化为

且

Y(w^Tx+b)≥1；

将x_i经SVM模型分类后的结果与训练数据的真实分类结果比较，若正确率不满足设定要求，则调整核函数的方差σ、读取第一缓存单元中缓存的训练数据包继续优化SVM模型；若正确率满足设定要求则等待传感器数据包；

若收到传感器数据包，则将传感器数据包缓存在第一缓存单元中作为训练数据包发送给其他分类模块，然后执行步骤S3。

9.根据权利要求8所述的一种基于SVM算法的震害信息入侵检测方法，其特征在于：步骤S3包括以下步骤：

S31：分类模块的功能单元内设有数据引擎，数据引擎向过滤单元发送驱动信号并等待，若收到过滤单元发送的反馈信号则向解析模块发送索引信息；若在设定时间内未收到反馈信号则判断通信故障，并通过功能单元内的通信报警单元向上位机发送通信报警信息；

S32：设特征向量x_i对应的松弛变量为θ_j，j∈{1，2，…，m}，惩罚系数为P，将超平面函数改进为

Y(w^Tx_i+b)+θ_j≥1；

分别在恶意信息过滤单元、损坏信息过滤单元和冗余信息过滤单元中调整θ_j和P的取值，使过滤单元分类模块从传感器数据包中分离并过滤掉恶意信息、损坏信息和冗余信息；

S33：分类模块将分类后的分类数据包和索引信息发送给解析模块。

10.根据权利要求9所述的一种基于SVM算法的震害信息入侵检测方法，其特征在于：步骤S4包括以下步骤：

S41：解析模块的网络通讯协议解析单元根据IP协议对分类数据包进行解码，并发送给数据包封装协议解析单元；

S42：数据包封装协议解析单元分别根据CMP协议、UDP协议和TCP协议对收到的数据包进行解包，将得到的解码信息存入存储单元的第二缓存单元；存储单元的索引单元将收到的索引信息转发给第二缓存单元，第二缓存单元将解码信息和索引信息融合为震害信息并存入数据库；

S42：数据包封装协议解析单元将解码信息发送给解析模块的数据报警单元，数据报警单元判断解码信息是否满足预设要求，若不满足则数据报警单元向上位机发送数据报警信息，若否则不发送数据报警信息。

Images