本发明专利技术提供一种基于特征选择的入侵检测方法和装置,方法包括以下步骤:获取网络数据并预处理以获得其特征样本,将特征样本随机分为多组,并对每一组均通过FCBF特征选择算法计算以去除冗余特征;将去除后的所有组样本合并成集合A,并将集合A的特征样本分成集合B和集合C,集合B包含至少一个特征样本;在集合C中依次取出一个特征样本,并将该特征样本与所述集合B组成集合D,分别计算集合B、集合D与类别之间的相关性;响应于集合B与类别之间的相关性小于集合D与类别之间的相关性,将集合D替换为新的集合B并返回前一步骤,直到集合C为空以得到用于入侵检测的特征集合。本发明专利技术可以提取相关性较强且稳定的特征集,从而更有效识别网络入侵。
An intrusion detection method and device based on feature selection
【技术实现步骤摘要】
一种基于特征选择的入侵检测方法和装置
本专利技术涉及计算机领域,并且更具体地,涉及一种基于特征选择的入侵检测方法和装置。
技术介绍
随着大数据和云计算的迅速发展,网络入侵手段呈现隐蔽性、静默性的特点,人们对于网络安全的需求日益增加。但随着数据量的增加,主流的网络入侵模型进行入侵识别效率越来越低下。因为这些数据不仅规模庞大,而且维度较高,存在着大量的冗余信息,这些无关的信息会极大降低入侵检测的效果。特征选择是解决这种问题的一种有效手段,良好的特征选择算法可以有效的剔除分类数据中存在的冗余特征或噪声数据,提升入侵检测的速度和准确度。因此性能稳健的特征选择算法对入侵检测的识别是非常重要的。FCBF(FastCorrelation-basedFeatureSelection),基于特征相关性评估的快速特征选择方法,该方法主要包括两个步骤:去除不相干的特征、采用顺序前向搜索算法去除冗余特征。FCBF算法设置阈值,认为特征与类的相关性小于阈值的特征为不相干的特征,因此去除不相干的特征可以极大的降低数据的维度。剩下的相关特征采用顺序前向搜索的算法剔除特征子集中的冗余特征,从而得到最终的特征子集。采用FCBF的算法主要存在的问题是:FCBF特征选择算法在进行特征选择时,把所有的样本同时进行计算,从而得到最终的特征子集。特征选择的过程只执行一次,这种方式得到的特征子集对当前所有样本在特定的评估准则下是有效的。但这种方式得到特征子集容易出现过拟合的情况,一旦样本集合发生变动,特征子集也将不适用新的样本集合,采用原有的特征子集进行分类会导致分类正确率降低。FCBF算法在剔除冗余特征时,判断冗余的条件是:对两个特征Fi、Fj,Fi与类别C之间的相关性大于Fj与类别C之间的相关性,且Fi与Fj之间的相关性大于Fj与类别C之间的相关性。但Fi与Fj之间的相关性与Fj与类别C之间的相关性是没有直接关系的。此时,相关性的特征有可能被当作冗余特征删除,从而导致分类正确率降低。如何在不降低特征选择速度的基础上,降低特征子集过拟合的情况,从而提高入侵检测的准确性成为本专利技术要解决的问题。
技术实现思路
鉴于此,本专利技术实施例的目的在于提出一种基于特征选择的入侵检测方法和装置,在FCBF特征选择算法的基础上进行优化,在不降低计算速度的基础上,选择更为稳定有效的特征子集。基于上述目的,本专利技术实施例的一方面提供了一种基于特征选择的入侵检测方法,包括以下步骤:获取网络数据并对所述数据进行预处理以获得其特征样本,将所述特征样本随机分为多组,并对每一组均通过FCBF特征选择算法计算以去除冗余特征;将所述去除冗余特征后的所有组样本合并成集合A,并将所述集合A中的全部特征样本分成集合B和集合C,所述集合B包含至少一个特征样本;在所述集合C中依次取出一个特征样本,并将所述特征样本与所述集合B组成集合D,分别计算所述集合B、所述集合D与类别之间的相关性;响应于所述集合B与类别之间的相关性小于所述集合D与类别之间的相关性,将所述集合D替换为新的集合B并返回前一步骤,直到所述集合C为空以得到用于入侵检测的特征集合。在一些实施方式中,所述方法还包括:响应于所述集合B与类别之间的相关性不小于所述集合D与类别之间的相关性,使所述集合B不变并返回所述前一步骤,直到所述集合C为空。在一些实施方式中,所述对每一组均通过FCBF特征选择算法计算以去除冗余特征包括:通过FCBF特征选择算法计算每一组中的每个特征样本Fi与类别C的对称不确定性SUic并设定对称不确定性阈值,将每一组中的其与类别C的对称不确定性小于所述阈值的特征样本删除。在一些实施方式中,所述对每一组均通过FCBF特征选择算法计算以去除冗余特征还包括:对于所述进行删除操作后的所述每一组特征样本中的每个特征样本Fi,在所述组中选择所述特征样本Fi后的每个特征样本Fj并计算两者的对称不确定性SUij;响应于SUij≥SUjc且SUic≥SUjc,删除所述组中的特征样本Fj,其中SUjc表示所述特征样本Fj与类别C的对称不确定性,SUic表示所述特征样本Fi与类别C的对称不确定性。在一些实施方式中,所述阈值表示为其中N表示每一组中的特征样本的个数。在一些实施方式中,每个所述集合与类别之间的相关性表示为其中N为特征个数,Avg(SUic)为所述集合中所有特征样本与类别C之间的对称不确定性的平均值,Avg(SUij)为所述集合中的特征样本与特征样本之间的对称不确定性的平均值。在一些实施方式中,将所述去除冗余特征后的所有组样本合并成集合A,并将所述集合A中的全部特征样本分成集合B和集合C,所述集合B包含至少一个特征样本包括:使所述集合B包含一个特征样本。在一些实施方式中,所述方法还包括:对提取得到的所述集合B中的特征样本进行训练和测试,以得到用来识别网络入侵检测的特征子集。本专利技术实施例的另一方面提供了一种基于特征选择的入侵检测装置,包括:至少一个处理器;和存储器,所述存储器存储有处理器可运行的程序代码,所述程序代码在被处理器运行时实施上述任一项所述的方法。本专利技术实施例的又一方面提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被执行时可实施上述任一项所述的方法。本专利技术具有以下有益技术效果:本专利技术实施例提供的一种基于特征选择的入侵检测方法和装置在不降低运算速度下可以选择稳定有效特征子集,用该子集进行分类识别能够提升分类的准确率、有效的捕获攻击网络攻击行为,保障网络环境的安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。图1是根据本专利技术的一种基于特征选择的入侵检测方法的流程图;图2是根据本专利技术一个实施例的基于特征选择的入侵检测方法的流程示意图;图3是根据本专利技术的一种基于特征选择的入侵检测装置的硬件结构示意图。具体实施方式以下描述了本专利技术的实施例。然而,应该理解,所公开的实施例仅仅是示例,并且其他实施例可以采取各种替代形式。附图不一定按比例绘制;某些功能可能被夸大或最小化以显示特定部件的细节。因此,本文公开的具体结构和功能细节不应被解释为限制性的,而仅仅是作为用于教导本领域技术人员以各种方式使用本专利技术的代表性基础。如本领域普通技术人员将理解的,参考任何一个附图所示出和描述的各种特征可以与一个或多个其他附图中所示的特征组合以产生没有明确示出或描述的实施例。所示特征的组合为典型应用提供了代表性实施例。然而,与本专利技术的教导相一致的特征的各种组合和修改对于某些特定应用或实施方式可能是期望的。为使本专利技术的目的、技术方案和优点本文档来自技高网...
【技术保护点】
1.一种基于特征选择的入侵检测方法,其特征在于,包括以下步骤:/n获取网络数据并对所述数据进行预处理以获得其特征样本,将所述特征样本随机分为多组,并对每一组均通过FCBF特征选择算法计算以去除冗余特征;/n将所述去除冗余特征后的所有组样本合并成集合A,并将所述集合A中的全部特征样本分成集合B和集合C,所述集合B包含至少一个特征样本;/n在所述集合C中依次取出一个特征样本,并将所述特征样本与所述集合B组成集合D,分别计算所述集合B、所述集合D与类别之间的相关性;/n响应于所述集合B与类别之间的相关性小于所述集合D与类别之间的相关性,将所述集合D替换为新的集合B并返回前一步骤,直到所述集合C为空以得到用于入侵检测的特征集合。/n
【技术特征摘要】
1.一种基于特征选择的入侵检测方法,其特征在于,包括以下步骤:
获取网络数据并对所述数据进行预处理以获得其特征样本,将所述特征样本随机分为多组,并对每一组均通过FCBF特征选择算法计算以去除冗余特征;
将所述去除冗余特征后的所有组样本合并成集合A,并将所述集合A中的全部特征样本分成集合B和集合C,所述集合B包含至少一个特征样本;
在所述集合C中依次取出一个特征样本,并将所述特征样本与所述集合B组成集合D,分别计算所述集合B、所述集合D与类别之间的相关性;
响应于所述集合B与类别之间的相关性小于所述集合D与类别之间的相关性,将所述集合D替换为新的集合B并返回前一步骤,直到所述集合C为空以得到用于入侵检测的特征集合。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述集合B与类别之间的相关性不小于所述集合D与类别之间的相关性,使所述集合B不变并返回所述前一步骤,直到所述集合C为空。
3.根据权利要求1所述的方法,其特征在于,所述对每一组均通过FCBF特征选择算法计算以去除冗余特征包括:
通过FCBF特征选择算法计算每一组中的每个特征样本Fi与类别C的对称不确定性SUic并设定对称不确定性阈值,将每一组中的其与类别C的对称不确定性小于所述阈值的特征样本删除。
4.根据权利要求3所述的方法,其特征在于,所述对每一组均通过FCBF特征选择算法计算以去除冗余特征还包括:
对于所述进行删除操作后的所述每一组特征样本中的每个特征样本Fi,在所述组中选择所述特征样本Fi后的每个特征样本Fj并计算...
【专利技术属性】
技术研发人员:闫利华,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。