[发明专利]基于信息增益的PSO特征选择权重入侵检测方法及系统

权利要求书

1.一种基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述方法包括，

步骤S1、获取目标对象数据，形成作为入侵检测的基础数据样本集，并基于覆盖算法对基础数据样本集进行处理，获取测试样本集以及测试样本集的分类结果；

步骤S2、对分类后的测试样本集进行预处理，然后基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集；

步骤S3、分析所述符合入侵检测的测试样本集，检测出具有攻击行为的数据；

步骤S4、根据所述具有攻击行为的数据作出报警。

2.根据权利要求1所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述步骤S1中获取的目标对象数据包括网络流量数据、系统日志数据、行为日志数据。

3.根据权利要求2所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述基于覆盖算法对基础数据样本集进行处理，获取测试样本集以及测试样本集的分类结果，具体为，

步骤S101、根据预先存储的当前的所有目标对象数据内容，建立基于目标对象的数据检测范围，该检测范围包括所有率属于该目标对象的数据类别；

步骤S102、获取目标对象数据后，将基础数据样本集与预先建立的目标对象数据检测范围进行对比，判断获取的目标对象数据是否属于目标对象，如果不属于则剔除，保留所有率属于该目标对象的待检测数据，形成测试样本集；

步骤S103、对测试样本集进行分类，得到分类后的测试样本集。

4.根据权利要求1所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，对分类后的测试样本集进行预处理包括，判断所述测试样本集中的数据中是否包含字符型特征，如果是，则将所述具有字符型特征的数据数值化处理。

5.根据权利要求3所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集，包括，

S201、输入所述测试样本集，将所述测试样本集中的数据的每个特征按一预设规则进行排序；

S202、设置一零矩阵P，并进行初始化，将所述特征的权重存放于所述零矩阵中，计算出特征数m；

S203、计算所述分类后样本集基于类别的信息熵以及加入特征后的信息熵；

S204、判断这些特征已经全部加入，如果没有，则返回步骤S203，否则将m个特征按照预设规则进行降序排序，从而形成特征子集。

6.根据权利要求5所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集，还包括，

S205、设定入侵数据的位置、速度变化范围以及最大迭代次数；

S206、获取入侵数据状态信息，提取数据状态特征，粒子群进行初始化操作，每一颗粒子表示一组特征状态子集，利用0和1表示特征集；对当前种群每个粒子的适应度进行计算，挑选出粒子出现的局部最优和全局最优位置，自适应调整惯性权重，对更新后的粒子群适应度值进行运算，对粒子出现的最优位置进行更新；

S207、判断工作的粒子是否已经达到预先设定的迭代次数，如果已经达到，则根据粒子群种群的最优位置获得最优特征子集，否则基于当前粒子群中种群经历过的历史最好位置产生混沌序列，并用混沌序列中的适应度值最优解来代替当前粒子种群中的任一粒子的位置，根据种群最优位置得到最优特征子集。

7.根据权利要求1所述的基于信息增益的PSO特征选择权重入侵检测方法，其特征在于，所述步骤S3、分析所述基础数据集，检测出具有攻击行为的数据，包括，

S301、预先建立特征数据库，所述特征数据库中存储没有攻击行为的数据，将符合入侵检测的测试样本集中的数据与该数据库中的数据进行对比，判断出具有攻击行为的数据；

S302、将具有攻击行为的数据与预先设置的具有攻击行为的特征数据库进行对比，检测出于该攻击行为对应的属于目标对象的异常行为数据。

8.一种基于信息增益的PSO特征选择权重入侵检测的系统，其特征在于，所述系统包括：

获取装置，用于获取目标对象数据，形成作为入侵检测的基础数据样本集，并基于覆盖算法对基础数据样本集进行处理，获取测试样本集以及测试样本集的分类结果；

预处理装置，用于对分类后的测试样本集进行预处理，然后基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集；分析装置，用于分析所述符合入侵检测的测试样本集，检测出具有攻击行为的数据；

报警装置，用于根据所述具有攻击行为的数据作出报警。