[发明专利]一种基于嵌入式特征选择架构的通信网络入侵检测方法

说明书

本发明涉及一种基于嵌入式特征选择架构的通信网络入侵检测方法，所述方法包括：S1：智能体训练：首先对待检测通信网络的历史传输数据进行数据处理，再对嵌入式智能体进行训练，筛选出通信数据的特征属性，并训练得到满足收敛精度要求的嵌入式智能体；S2：在线监测：利用满足训练收敛准确率要求的嵌入式智能体，在线监测通信通道的实时传输数据；包括：通信通道的实时传输进行数据处理，再对通信网络是否存在入侵信号进行判定，并得出判定结果。本发明引入嵌入式特征选择方法，在智能体训练阶段通过将特性属性辨识与检测智能体训练融合一体，大幅简化了检测智能体辨识实施流程，有效提高了检测效率。

技术领域

本发明涉及通信网络安全领域，更具体地，涉及一种基于嵌入式特征选择架构的通信网络入侵检测方法。

背景技术

通信网络入侵检测是通信网络安全领域研究的重点，其研究重点在于通过对通信网络传输数据的特征属性进行检测，辨识异常传输内容，防范可能的通信网络入侵行为。通信网络传输数据的特征属性是通信网络入侵检测对象，如何从通信网络传输数据庞大的属性中筛选出关键的特征属性，并设计高效高精度的在线监测智能体，是通信网络入侵检测研究的重点。

传统模式下，通信网络入侵检测往往采用包裹式特征选择架构的特征属性辨识方法。如图1所示，为包裹式特征选择结构基本流程图。包裹式特征选择的典型特征在于特征属性筛选或调整、监测智能体训练两个步骤是两个相对独立的步骤。首先按照一定原则从通信网络传输数据的庞大属性库中选择一定比例的属性作为特征属性；接着基于上述属性，利用历史数据对检测智能体进行训练；最后对检测智能体的监测效果进行判定，若满足收敛性要求则输出，否则返回特征属性筛选阶段，对特征属性进行调整。

实际上，特征属性与智能体辨识之间具有耦合特性，即所选择的特征属性将影响检测智能体的训练过程，而检测智能体的辨识方法也取决于所选择的特征属性。由于包裹式特征选择将特征属性筛选和检测智能体训练两个步骤解耦，将导致实际训练过程中往往需要经过反复的迭代训练，才能获得符合检测准确性要求的智能体和与之匹配的特征属性。

发明内容

本发明为克服上述现有技术所述的通信网络入侵检测效率不够高的缺陷，提供一种基于嵌入式特征选择架构的通信网络入侵检测方法。

所述方法包括：

S1：智能体训练：首先对待检测通信网络的历史传输数据进行数据处理，再对嵌入式智能体进行训练，筛选出通信数据的特征属性，并训练得到满足收敛精度要求的嵌入式智能体；

S2：在线监测：利用满足训练收敛准确率要求的嵌入式智能体，在线监测通信通道的实时传输数据；包括：通信通道的实时传输进行数据处理，再对通信网络是否存在入侵信号进行判定，并得出判定结果。

优选地，S1和S2中的数据处理具体为：将数据的属性数值进行处理，结合嵌入式智能体训练需要，可将其规范化为离散数值型数据；

所谓规范化数据是指将通信通道传输的数据序列中属性值转换为能够用于数据分析的离散型数据的过程。一般来说通信通道中传输数据的属性有三种典型的数据类型，第一种为字符型，即是以给定范围的字符出现；第二种为连续数据型，即是在一定范围内连续取值；第三种为离散数据型，在一定范围内可取离散数值。本发明中针对三种类型的数据，所设计的规范化过程包括：字符转化、标幺化、离散化三个阶段；

字符转化：对于取值为字符类型的通信网络传输数据根据其字符数值对应转化为离散化的整数值；

标幺化：将连续数值型通信网络传输数据属性，根据其取值范围，将其转化为0-1范围内的数值，转化公式可表示为：

（1）

式（1）中，为标幺化前后第i项属性的取值，分别为取值的上下限；