[发明专利]网络入侵行为特征选择方法、装置及存储介质

说明书

本发明公开了一种网络入侵行为特征选择方法、装置及存储介质，旨在解决现有技术中网络入侵行为的特征选择结果单一、不准确等技术问题。其包括：获取网络入侵行为的原始特征集合；基于互信息对原始特征集合中的特征进行排序，获得第一特征子集；利用人工蜂群算法处理原始特征集合，进行特征筛选，获得第二特征子集；根据第一特征子集和第二特征子集进行特征组合，获得特征选择子集；利用SVM分类器获得特征分类准确度，并根据特征分类准确度循环前述操作，获得最优特征选择子集。本发明能够选择具有高表征能力和行为识别特性的优质特征子集，提高攻击行为检测准确度。

技术领域

本发明涉及一种网络入侵行为特征选择方法、装置及存储介质，属于网络安全的入侵检测技术领域。

背景技术

由于互联网的不断发展和网络入侵事件的不断发生，传统的计算机防御机制，如防火墙、数据加密以及身份验证等安全应用程序已经不能满足计算机网络安全的要求。入侵检测技术作为一种主动识别网络攻击行为、检测和评估计算机系统中的安全威胁的安全技术便应运而生，入侵检测技术中的识别部分是通过对网络数据中的正常行为和攻击行为进行分类，来检测网络数据中的攻击行为。

网络入侵检测所使用的数据大都来自网络的高维数据，并且学习算法训练的分类器的性能也取决于攻击检测数据的特征数量和质量。当检测的数据量巨大时，入侵检测的性能将受到极大的影响。网络数据中大量的对于识别攻击行为贡献较小的特征和无关特征会降低分类的准确性并增加计算复杂度，因此需要进行特征选择。特征选择能够保留对于攻击识别贡献大的特征，过滤无关的数据，选择对于促进识别网络入侵检测最显著的特征，降低特征维数的同时提高分类器的分类性能，进而提升入侵检测技术的可靠性。

网络入侵行为的特征选择包括互信息法、基于元启发式的搜索算法等。使用互信息(Mutual Information，MI)，是通过计算特征与类型标签之间相互依赖值，选择出能够尽可能表征标签特性信息的特征子集，从而对数据进行特征选择的降维处理的；基于互信息的特征选择方法仅根据数据特征的攻击行为标签之间的依赖关系选择特征子集，选出的特征子集单一，不能够适应于不同的学习算法。人工蜂群算法(Artificial Bee Colony，ABC)作为元启发式算法之一，将其应用于网络入侵行为的特征选择中，将数据特征作为蜜源，特征与行为特点的关系作为适应度值，不断搜索、判断和迭代，直至找出最优的特征子集，该特征子集是与攻击行为的判断影响最大的子集；但是人工蜂群算法存在局部随机搜索导致局部解不佳的问题。

发明内容

为了解决现有技术中网络入侵行为的特征选择结果单一、不准确等问题，本发明提出了一种网络入侵行为特征选择方法、装置及存储介质，将互信息MI选择的具有强大攻击行为表征能力的特征子集和人工蜂群算法ABC灵活搜索出的攻击行为识别的特性的特征子集相结合，寻求最优的特征子集，有效提高网络入侵检测的可靠性。

为解决上述技术问题，本发明采用了如下技术手段：

第一方面，本发明提出了一种网络入侵行为特征选择方法，包括如下步骤：

步骤1、获取网络入侵行为的原始特征集合；

步骤2、基于互信息对原始特征集合中的特征进行排序，获得第一特征子集；

步骤3、利用人工蜂群算法处理原始特征集合，进行特征筛选，获得第二特征子集；

步骤4、根据第一特征子集和第二特征子集进行特征组合，获得特征选择子集；

步骤5、基于特征选择子集，利用SVM分类器获得特征分类准确度，并根据特征分类准确度循环步骤2～4，获得最优特征选择子集。