基于信息增益的PSO特征选择权重入侵检测方法及系统与流程
本发明属入侵检测技术领域,涉及基于信息增益的pso特征选择权重入侵检测方法及系统。
背景技术:
粒子群优化(particleswarmoptimization,pso)是一种基于多个智能体的仿生优化算法,它是基于群体的,依据对环境的适应度将群体中的个体移动到较好的区域,依据随机解,通过不断的迭代操作来寻找到最终最优解。它是按照适应度来评价目标解,是根据当前搜索到的最优解来搜寻全局最优解。该算法具有操作简单、精度高、收敛速度快等诸多优点,因而在图像处理、函数优化、大地测量等众多领域都得到了广泛的应用。
粒子群优化算法粒子非常容易陷入局部最优,一旦陷入局部最优,粒子运行的速度几乎没有变化,种群多样性就会快速减小,很难跳出局部最优。
技术实现要素:
为解决上述技术问题,本发明提出了一种基于信息增益的pso特征选择权重入侵检测方法及系统,通过本发明的方案较好地消除了冗余特征,降低了检测数据的维数,加速了检测的效率,使整个入侵检测的性能有了较大的提升。
根据本发明的一个实施例,本发明提供了一种基于信息增益的pso特征选择权重入侵检测的方法,所述方法包括,
步骤s1、获取目标对象数据,形成作为入侵检测的基础数据样本集,并基于覆盖算法对基础数据样本集进行处理,获取测试样本集以及测试样本集的分类结果;
步骤s2、对分类后的测试样本集进行预处理,然后基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集;
步骤s3、分析所述基础数据集,检测出具有攻击行为的数据;
步骤s4、根据所述具有攻击行为的数据作出报警。
优选的,所述步骤s1中获取的目标对象数据包括网络流量数据、系统日志数据、行为日志数据。
优选的,所述基于覆盖算法基于基础数据样本集获取测试样本集以及测试样本集的分类结果,具体为,
步骤s101、根据预先存储的当前的所有目标对象数据内容,建立基于目标对象的数据检测范围,该检测范围包括所有率属于该目标对象的数据类别;
步骤s102、获取目标对象数据后,将基础数据样本集与预先建立的目标对象数据检测范围进行对比,判断获取的目标对象数据是否属于目标对象,如果不属于则剔除,保留所有率属于该目标对象的待检测数据,形成测试样本集;
步骤s103、对测试样本集进行分类,得到分类后的测试样本集。
优选的,对分类后的测试样本集进行预处理,判断所述测试样本集中的数据中是否包含字符型特征,如果是,则将所述具有字符型特征的数据数值化处理。
优选的,所述基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集,包括,
s201、输入所述测试样本集,将所述测试样本集中的数据的每个特征按一预设规则进行排序;
s202、设置一零矩阵p,并进行初始化,将所述特征的权重存放于所述零矩阵中,计算出特征数m;
s203、计算所述分类后样本集基于类别的信息熵以及加入特征后的信息熵;
s204、判断这些特征已经全部加入,如果没有,则返回步骤s203,否则将m个特征按照预设规则进行降序排序,从而形成特征子集。
优选的,所述基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集,还包括,
s205、设定入侵数据的位置、速度变化范围以及最大迭代次数;
s206、获取入侵数据状态信息,提取数据状态特征,粒子群进行初始化操作,每一颗粒子表示一组特征状态子集,利用0和1表示特征集;对当前种群每个粒子的适应度进行计算,挑选出粒子出现的局部最优和全局最优位置,自适应调整惯性权重,对更新后的粒子群适应度值进行运算,对粒子出现的最优位置进行更新;
s207、判断工作的粒子是否已经达到预先设定的迭代次数,如果已经达到,则根据粒子群种群的最优位置获得最优特征子集,否则基于当前粒子群中种群经历过的历史最好位置产生混沌序列,并用混沌序列中的适应度值最优解来代替当前粒子种群中的任一粒子的位置,根据种群最优位置得到最优特征子集。
优选的,所述步骤s3、分析所述基础数据集,检测出具有攻击行为的数据,包括,
s301、预先建立特征数据库,所述特征数据库中存储没有攻击行为的数据,将符合入侵检测的测试样本集中的数据与该数据库中的数据进行对比,判断出具有攻击行为的数据;
s302、将具有攻击行为的数据与预先设置的具有攻击行为的特征数据库进行对比,检测出于该攻击行为对应的属于目标对象的异常行为数据。
根据本发明的又一实施例,本发明还提供了一种基于信息增益的pso特征选择权重入侵检测的系统,所述系统包括:
获取装置,用于获取目标对象数据,形成作为入侵检测的基础数据样本集,并基于覆盖算法对基础数据样本集进行处理,获取测试样本集以及测试样本集的分类结果;
预处理装置,用于对分类后的测试样本集进行预处理,然后基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集;
分析装置,用于分析所述符合入侵检测的测试样本集,检测出具有攻击行为的数据;
报警装置,用于根据所述具有攻击行为的数据作出报警。
采用本发明的方法,要对网络中入侵的数据进行较好的检测,不仅需要检测出入侵数据的维数,还需对入侵数据的特征进行良好的分析.为了尽可能地提高入侵检测的效率,提出了一种将信息增益与粒子群优化算法相互结合的入侵检测模型.实验结果表明:该模型消除了冗余特征,降低了检测数据的维数,加速了检测的效率,使整个入侵检测的性能有了明显的提升,在规模大、维度高的实时检测系统中具有一定的实际应用及借鉴参考价值。
附图说明
图1为本发明提出的基于信息增益的pso特征选择权重入侵检测的方法流程图;
图2为本发明提出的基于信息增益的pso特征选择权重入侵检测系统组成框图。
具体实施方式
以下结合附图对本发明的具体实施方式作出详细说明。
当前网络特征选择方法主要有模拟退火算法、蚁群算法、蛙跳算法、粒子群优化(particleswarmoptimization,pso)算法、遗传算法、杂草算法等特征选择方法。这些算法均有较好的应用,其中pso算法是一种启发式优化算法,实现简单,需调整的参数少,在网络入侵特征选择中应用最为广泛。但是由于pso本身的缺陷易过早收敛和陷入局部极值,影响入侵检测中特征选择性能。与此同时选择的特征对网络入侵检测结果重要程度不相同,但是目前的方法是采用等权处理,没有体现特征之间的差异性,难以准确反映不同特征对预测结果的影响,因此如何合理确定特征的权值,提高网络入侵检测正确率至关重要。
为了提高网络入侵检测正确率和检测效率,本发明提供了一种一种基于信息增益的pso特征选择权重入侵检测的方法,其特征在于,所述方法包括,
步骤s1、获取目标对象数据,目标对象数据包括网络流量数据、系统日志数据、行为日志数据等等,形成作为入侵检测的基础数据样本集,并基于覆盖算法对基础数据样本集进行处理,获取测试样本集以及测试样本集的分类结果。
在本发明的实施例中,基于覆盖算法对基础数据样本集进行处理,获取测试样本集以及测试样本集的分类结果,具体包括了如下内容:
步骤s101、根据预先存储的当前的所有目标对象数据内容,建立基于目标对象的数据检测范围,该检测范围包括所有率属于该目标对象的数据类别;
步骤s102、获取目标对象数据后,将基础数据样本集与预先建立的目标对象数据检测范围进行对比,判断获取的目标对象数据是否属于目标对象,如果不属于则剔除,保留所有率属于该目标对象的待检测数据,形成测试样本集;
步骤s103、对测试样本集进行分类,得到分类后的测试样本集。
步骤s2、对分类后的测试样本集进行预处理,包括,判断所述测试样本集中的数据中是否包含字符型特征,如果是,则将所述具有字符型特征的数据数值化处理。
在本发明的实施例中,为了更好的获取测试样本集,提出了基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集;具体包括如下内容:
s201、输入所述测试样本集,将所述测试样本集中的数据的每个特征按一预设规则进行排序;
s202、设置一零矩阵p,并进行初始化,将所述特征的权重存放于所述零矩阵中,计算出特征数m;
s203、计算所述分类后样本集基于类别的信息熵以及加入特征后的信息熵;
s204、判断这些特征已经全部加入,如果没有,则返回步骤s203,否则将m个特征按照预设规则进行降序排序,从而形成特征子集。
s205、设定入侵数据的位置、速度变化范围以及最大迭代次数;
s206、获取入侵数据状态信息,提取数据状态特征,粒子群进行初始化操作,每一颗粒子表示一组特征状态子集,利用0和1表示特征集;对当前种群每个粒子的适应度进行计算,挑选出粒子出现的局部最优和全局最优位置,自适应调整惯性权重,对更新后的粒子群适应度值进行运算,对粒子出现的最优位置进行更新;
s207、判断工作的粒子是否已经达到预先设定的迭代次数,如果已经达到,则根据粒子群种群的最优位置获得最优特征子集,否则基于当前粒子群中种群经历过的历史最好位置产生混沌序列,并用混沌序列中的适应度值最优解来代替当前粒子种群中的任一粒子的位置,根据种群最优位置得到最优特征子集。
步骤s3、分析所述基础数据集,检测出具有攻击行为的数据;
s301、预先建立特征数据库,所述特征数据库中存储没有攻击行为的数据,将符合入侵检测的测试样本集中的数据与该数据库中的数据进行对比,判断出具有攻击行为的数据;
s302、将具有攻击行为的数据与预先设置的具有攻击行为的特征数据库进行对比,检测出于该攻击行为对应的属于目标对象的异常行为数据。步骤s4、根据所述具有攻击行为的数据作出报警。
根据本发明的一个实施例,本发明还提供了一种基于信息增益的pso特征选择权重入侵检测的系统,所述系统包括:
获取装置,用于获取目标对象数据,形成作为入侵检测的基础数据样本集,并基于覆盖算法对基础数据样本集进行处理,获取测试样本集以及测试样本集的分类结果;
预处理装置,用于对分类后的测试样本集进行预处理,然后基于信息增益度量特征子集的权重以及粒子群优化算法形成符合入侵检测的测试样本集;
分析装置,用于分析所述符合入侵检测的测试样本集,检测出具有攻击行为的数据;
报警装置,用于根据所述具有攻击行为的数据作出报警。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!