本发明专利技术公开了一种用于优化网络入侵检测性能的特征选择方法,包括:获取来自网络的流量数据及其类别标签集合{c
【技术实现步骤摘要】
一种用于优化网络入侵检测性能的特征选择方法和系统
本专利技术属于网络安全
,更具体地,涉及一种用于优化网络入侵检测性能的特征选择方法和系统。
技术介绍
近年来网络环境复杂多变,随之产生的网络数据特征也越来越复杂,并呈现出高维度且类别不平衡的特点,这导致网络入侵检测系统的存储负担增加,同时入侵检测分类器的性能下降。特征选择(Featureselection)作为一种常用的降维手段,其在不改变原始特征分布的前提下,从大量的特征中选择有用的特征。因此,将特征选择应用到网络入侵检测中也成为近年来的研究重点。然而,现有的用于网络入侵检测的特征选择方法均存在一些不可忽略的缺陷:第一,其无法处理超高维且不平衡的数据,从而造成特征选择时间过长和入侵检测准确率下降;第二,其通常集中在选择重要的特征、以及剔除冗余或不相关特征上,而没有考虑特征之间的协同关系,这会导致错误删除一些原本具有协同关系的特征,进而导致入侵检测性能下降。
技术实现思路
针对现有技术的以上缺陷或改进需求,本专利技术提供了一种用于优化网络入侵检测性能的特征选择方法和系统,其目的在于,解决现有特征选择方法由于无法处理超高维且不平衡的数据,从而造成特征选择时间过长和入侵检测准确率下降的技术问题,以及由于没有考虑特征之间的协同关系,导致错误删除一些原本具有协同关系的特征,进而导致入侵检测性能下降的技术问题。为实现上述目的,按照本专利技术的一个方面,提供了一种用于优化网络入侵检测性能的特征选择方法,包括以下步骤:(1)获取来自网络的流量数据及其类别标签集合{c1,c2},利用网络分析工具对该流量数据进行处理,以得到多个网络数据特征构成的原始特征集F={F1,F2,...,FN},其中N表示原始特征集中的网络数据特征总数,c1表示流量数据的类别为正常,c2表示流量数据的类别为异常。(2)将步骤(1)得到的原始特征集F划分为多个特征片段,其中每个特征片段中的网络数据特征数量n等于:其中c表示特征片段总数;(3)针对步骤(2)得到的每个特征片段i而言,初始化空的特征集Si以及空的冗余敏感特征集对该特征片段、特征集Si以及冗余敏感特征集进行特征选择处理,以得到与每个特征片段i对应的、更新后的特征集Si和冗余敏感特征集其中i∈[1,c];(4)将步骤(3)得到的所有特征片段对应的、更新后的特征集汇总到特征集S中,将步骤(3)得到的所有特征片段对应的、更新后的冗余敏感特征集汇总到冗余敏感特征集Sw中,从而得到最终选出的特征集S和Sw。优选地,步骤(1)中使用的网络分析工具可以是WireShark、tcpdump、或WireEdit。优选地,步骤(3)包括以下子步骤:(3-1)设置计数器cnt=每个特征片段中的网络数据特征数量n;(3-2)判断计数器cnt是否大于0,如果是则过程结束,否则进入步骤(3-3);(3-3)计算特征片段pi中每个网络数据特征Fk的协同排序系数CDJk:其中k∈[1,n],表示特征集Si中的第v个网络数据特征,v∈[1,特征集Si中的网络特征总数],ave表示取均值,表示网络数据特征Fk与特征集Si中的第v个网络数据特征结合在一起时,与类别标签cm的互信息,当特征选择初始阶段网络数据特征的数目为0时,初始的平均互信息为1,DJk表示网络数据特征Fk的最小化成本函数的变化,m的取值为1或2;(3-4)针对计算特征片段pi而言,计算其中每个网络数据特征Fk与类别标签cm的加权对称不确定性WSU(Fk,cm)、以及每个网络数据特征Fk与特征片段pi中其他每一个网络数据特征Fj之间的加权对称不确定性WSU(Fk,Fj),其中j≠k,且有j∈[1,特征片段pi中当前剩余的网络特征总数];(3-5)针对计算特征片段pi而言,将最大的协同排序系数对应的网络数据特征加入到特征集Si中,将该最大的协同排序系数对应的网络数据特征从该特征片段pi中删除,根据步骤(3-4)得到的加权对称不确定性WSU(Fk,cm)和WSU(Fk,Fj)计算特征片段pi中每个网络数据特征Fk的加权冗余敏感值WREDUk,将最小的加权冗余敏感值对应的特征网络数据特征添加到冗余敏感特征集中,并将最小的加权冗余敏感值对应的网络数据特征从该特征片段pi中删除;(3-6)设置计数器cnt=当前特征片段中剩余的特征数量,并返回步骤(3-2);优选地,加权冗余敏感值WREDUk的计算过程为:按照本专利技术的另一方面,提供了一种用于优化网络入侵检测性能的特征选择系统,包括:第一模块,用于获取来自网络的流量数据及其类别标签集合{c1,c2},利用网络分析工具对该流量数据进行处理,以得到多个网络数据特征构成的原始特征集F={F1,F2,...,FN},其中N表示原始特征集中的网络数据特征总数,c1表示流量数据的类别为正常,c2表示流量数据的类别为异常。第二模块,用于将第一模块得到的原始特征集F划分为多个特征片段,其中每个特征片段中的网络数据特征数量n等于:其中c表示特征片段总数;第三模块,用于针对第二模块得到的每个特征片段i而言,初始化空的特征集Si以及空的冗余敏感特征集对该特征片段、特征集Si以及冗余敏感特征集进行特征选择处理,以得到与每个特征片段i对应的、更新后的特征集Si和冗余敏感特征集其中i∈[1,c];第四模块,用于将第三模块得到的所有特征片段对应的、更新后的特征集汇总到特征集S中,将第三模块得到的所有特征片段对应的、更新后的冗余敏感特征集汇总到冗余敏感特征集Sw中,从而得到最终选出的特征集S和Sw。总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:(1)本专利技术由于采用了步骤(2)到(4),其采用划分特征片段和并行处理特征片段的方法,因此能够解决现有特征选择方法中无法处理超高维度网络数据的技术问题;(2)本专利技术由于采用了步骤(3-3),其将待选择的特征与已选的特征之间的相互增益,与添加待选特征后的最小化成本函数的变化相结合,来作为特征的重要性度量,因此能够解决现有特征选择方法由于没有考虑特征之间的协同关系,导致错误删除一些原本具有协同关系的特征,进而导致入侵检测性能下降的技术问题;(3)本专利技术由于采用了步骤(3-4)到(3-5),其借助加权对称不确定性的概念,提出一种新的特征冗余度判断指标-加权冗余敏感值,因此能够解决现有特征选择方法的特征冗余度判断不充分和不能很好适应不平衡网络数据的技术问题。附图说明图1是本专利技术用于优化网络入侵检测性能的特征选择方法的整体示意图。图2是本专利技术用于优化网络入侵检测性能的特征选择方法的流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本文档来自技高网...
【技术保护点】
1.一种用于优化网络入侵检测性能的特征选择方法,其特征在于,包括以下步骤:/n(1)获取来自网络的流量数据及其类别标签集合{c
【技术特征摘要】
1.一种用于优化网络入侵检测性能的特征选择方法,其特征在于,包括以下步骤:
(1)获取来自网络的流量数据及其类别标签集合{c1,c2},利用网络分析工具对该流量数据进行处理,以得到多个网络数据特征构成的原始特征集F={F1,F2,...,FN},其中N表示原始特征集中的网络数据特征总数,c1表示流量数据的类别为正常,c2表示流量数据的类别为异常。
(2)将步骤(1)得到的原始特征集F划分为多个特征片段,其中每个特征片段中的网络数据特征数量n等于:
其中c表示特征片段总数;
(3)针对步骤(2)得到的每个特征片段i而言,初始化空的特征集Si以及空的冗余敏感特征集对该特征片段、特征集Si以及冗余敏感特征集进行特征选择处理,以得到与每个特征片段i对应的、更新后的特征集Si和冗余敏感特征集其中i∈[1,c];
(4)将步骤(3)得到的所有特征片段对应的、更新后的特征集汇总到特征集S中,将步骤(3)得到的所有特征片段对应的、更新后的冗余敏感特征集汇总到冗余敏感特征集Sw中,从而得到最终选出的特征集S和Sw。
2.根据权利要求1所述的用于优化网络入侵检测性能的特征选择方法,其特征在于,步骤(1)中使用的网络分析工具可以是WireShark、tcpdump、或WireEdit。
3.根据权利要求1或2所述的用于优化网络入侵检测性能的特征选择方法,其特征在于,步骤(3)包括以下子步骤:
(3-1)设置计数器cnt=每个特征片段中的网络数据特征数量n;
(3-2)判断计数器cnt是否大于0,如果是则过程结束,否则进入步骤(3-3);
(3-3)计算特征片段pi中每个网络数据特征Fk的协同排序系数CDJk:
其中k∈[1,n],表示特征集Si中的第v个网络数据特征,v∈[1,特征集Si中的网络特征总数],ave表示取均值,表示网络数据特征Fk与特征集Si中的第v个网络数据特征结合在一起时,与类别标签cm的互信息,当特征选择初始阶段网络数据特征的数目为0时,初始的平均互信息为1,DJk表示网络数据特征Fk的最小化成本函数的变化,m的取值为1或2;
(3-4)针对计算特征片段pi而言,计算其中每...
【专利技术属性】
技术研发人员:李肯立,时晴,刘刚,阳王东,肖国庆,廖清,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。