[发明专利]一种基于灰狼算法特征选择的入侵检测系统建模方法、系统及装置

说明书

一种基于灰狼算法特征选择的入侵检测系统建模方法，属于特征选择的入侵检测系统建模领域。解决了目前网络入侵检测模型特征选择困难的问题。本发明对NSL‑KDD通信流量数据集进行预处理，重点是需要对流量数据进行哑变量以及归一化等方法进行处理，以适应决策树、神经网络等算法的本质要求；建立灰狼搜索群体，利用决策树算法按搜索个体对流量数据集进行建模；定义损失函数，据此对搜索个体进行排序；按照灰狼算法策略进行搜索群体的进化，之后重复步骤除定义损失函数上述所有步骤，当模型损失达到要求或迭代次数达到极限时，停止嵌入式特征选择，并得到最优的特征组合，建立最优入侵检测模型。本发明主要促进了入侵检测建模技术的发展与应用。

技术领域

本发明涉及工业控制系统信息安全领域，尤其涉及特征选择的入侵检测系统建模领域。

背景技术

工业互联网的普及使得原先封闭的工控网络逐渐开放对外通信的接口，将导致过去并不重视网络安全的工控网络面临严重的入侵风险。一般的入侵检测技术会基于预先收集的攻击签名库对已知网络攻击类型进行识别，但难以抵御未知或变种网络攻击。近年来，依托于模式识别等技术的入侵检测建模技术逐渐推广。它基于决策树、神经网络等理论对系统正常通信状态进行建模描述，用以区分系统信息流中的异常行为。然而，针对不同系统进行入侵检测建模需要确定通信流量状态的特征选取。这依赖于从业人员的经验，对于模型性能上限起到决定作用，相关特征选择算法的缺失制约了入侵检测建模技术的发展和应用。

发明内容

本发明的目的是解决目前网络入侵检测模型特征选择困难，对从业人员经验要求较高的现状，提出一种基于灰狼算法的网络流量特征选择方法，从而根据目标网络通信系统与建模方式，得到最优的流量特征。

一种基于灰狼算法特征选择的入侵检测系统建模方法，包括如下步骤：

（1） 对NSL-KDD通信流量数据集中的流量数据进行哑变量处理以及数据归一化方法预处理，生成NSL-KDD标准流量数据集，适应决策树算法、神经网络算法的本质要求；

所述的NSL-KDD通信流量数据集包括正常流量样本与异常流量样本；

（2） 利用决策树算法按搜索个体对NSL-KDD标准流量数据集进行建模，建立灰狼搜索群体；

（3） 定义损失函数，根据损失函数对搜索个体进行排序；

（4） 利用连续域灰狼算法策略进行灰狼搜索群体的进化，重复步骤（1），步骤（2）以及步骤（4），直到灰狼搜索群体损失达到要求或迭代次数达到极限；

（5）当灰狼搜索群体损失达到要求或迭代次数达到极限时，停止嵌入式特征选择，并得到最优的特征组合，通过决策树分类器建立基于最优特征组合的入侵检测模型。

所述对NSL-KDD通信流量数据集中的流量数据进行哑变量以及归一化等方法预处理，用于适应决策树算法、神经网络算法等算法的本质要求，NSL-KDD通信流量数据集中的流量数据预处理方法为：

NSL-KDD通信流量数据集中的流量数据由38个数值型特征和3个字符串型特征组成；

3个字符串类型的特征为“protocol_type”、“service”、“flag”，其中，“protocol_type”具有3种不同状态，“service”有70种不同状态，“flag”有1种不同状态；

利用独热编码对3个字符串类型的特征进行哑变量处理，例如：对于表示协议类型的“protocol_type”，它包括“TCP”、“UDP”及“ICMP”三种状态，则可将一维“protocol_type”特征标签扩展至三维，以“001” 描述“TCP”状态，以“010” 描述“UDP”状态，以“100” 描述“ICMP”状态；

按独热编码进行哑变量化，数据集维数将由41维扩充至122维；