【技术实现步骤摘要】
一种基于灰狼算法特征选择的入侵检测系统建模方法、系统及装置
[0001]本专利技术涉及工业控制系统信息安全领域,尤其涉及特征选择的入侵检测系统建模领域。
技术介绍
[0002]工业互联网的普及使得原先封闭的工控网络逐渐开放对外通信的接口,将导致过去并不重视网络安全的工控网络面临严重的入侵风险。一般的入侵检测技术会基于预先收集的攻击签名库对已知网络攻击类型进行识别,但难以抵御未知或变种网络攻击。近年来,依托于模式识别等技术的入侵检测建模技术逐渐推广。它基于决策树、神经网络等理论对系统正常通信状态进行建模描述,用以区分系统信息流中的异常行为。然而,针对不同系统进行入侵检测建模需要确定通信流量状态的特征选取。这依赖于从业人员的经验,对于模型性能上限起到决定作用,相关特征选择算法的缺失制约了入侵检测建模技术的发展和应用。
技术实现思路
[0003]本专利技术的目的是解决目前网络入侵检测模型特征选择困难,对从业人员经验要求较高的现状,提出一种基于灰狼算法的网络流量特征选择方法,从而根据目标网络通信系统与建模方式,得到最
【技术保护点】
【技术特征摘要】
1.一种基于灰狼算法特征选择的入侵检测系统建模方法,其特征在于,包括:(1)对NSL
‑
KDD通信流量数据集中的流量数据进行哑变量处理以及数据归一化方法预处理,生成NSL
‑
KDD标准流量数据集,适应决策树算法、神经网络算法的本质要求;所述的NSL
‑
KDD通信流量数据集包括正常流量样本与异常流量样本;(2)利用决策树算法按搜索个体对NSL
‑
KDD标准流量数据集进行建模,建立灰狼搜索群体;(3)定义损失函数,根据损失函数对搜索个体进行排序;(4)利用连续域灰狼算法策略进行灰狼搜索群体的进化,重复步骤(1),步骤(2)以及步骤(4),直到灰狼搜索群体损失达到要求或迭代次数达到极限;(5)当灰狼搜索群体损失达到要求或迭代次数达到极限时,停止嵌入式特征选择,并得到最优的特征组合,通过决策树分类器建立基于最优特征组合的入侵检测模型。2.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法,其特征在于,所述对NSL
‑
KDD通信流量数据集中的流量数据进行哑变量处理以及数据归一化方法预处理方法为:利用独热编码对字符串类型的特征进行哑变量处理,按独热编码进行哑变量化,数据集维数由41维扩充至122维;采用Z
‑
Score标准化的方式对数据集进行归一化处理:其中,x为特征下的一个样本值,μ为该特征的样本均值,σ为该特征的样本标准差。3.根据权利要求2所述的一种基于灰狼算法特征选择的入侵检测系统建模方法,其特征在于,所述NSL
‑
KDD通信流量数据集中的的流量数据包括:NSL
‑
KDD通信流量数据集中的的流量数据由38个数值型特征和3个字符串类型的特征组成;3个字符串类型的特征为“protocol_type”、“service”、“flag”,其中,“protocol_type”具有3种状态,“service”有70种状态,“flag”有1种状态。4.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法,其特征在于,所述利用决策树算法按搜索个体对NSL
‑
KDD标准流量数据集进行建模过程为:搜索个体对应特征组合的二进制编码;算法最大迭代次数为100次,搜索个体数为10个;以基尼系数作为选择标准构建CART分类树:CART分类树由根节点、子节点、叶节点组成,通过当前未用于分类属性的基尼系数不断对NSL
‑
KDD标准流量数据集进行划分,直至当前子节点只包含单一类别的样本或满足递归约束条件,其递归约束条件为划分到要求的精度下为止,此时CART分类树的生长过程结束;当前待划分NSL
‑
KDD标准流量数据集S中的样本类别为Ci(i=1,
…
,n),概率分布的基尼系数计算式为:其中p
i
为当前待划分NSL
‑
KDD标准流量数据集中类别Ci所占比例;
当CART分类树以特征属性M将S划分为S1、S2时,对应的基尼系数计算式为:5.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法,其特征在于,所述损失函数为:其中,fitn...
【专利技术属性】
技术研发人员:赵志衡,胡琦渊,罗思婕,刘勇,
申请(专利权)人:哈尔滨工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。