CN106453224B

CN106453224B - 基于蚁群分类挖掘过程的网络渗透攻击检测方法

Info

Publication number: CN106453224B
Application number: CN201610566503.4A
Authority: CN
Inventors: 刘云; 张志远; 张振江; 董钟鼎
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2016-07-18
Filing date: 2016-07-18
Publication date: 2019-05-17
Anticipated expiration: 2036-07-18
Also published as: CN106453224A

Abstract

本发明提供了一种基于蚁群分类挖掘过程的网络渗透攻击检测方法。该方法主要包括：在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子；在所述蚁群的路径搜索过程中留置信息素信息，基于所述信息素信息通过设定的概率转移函数搜索所述蚁群的下一步路径；在所述蚁群的全部路径搜索完毕后，将整体距离最短的路径确定为所述蚁群的最佳路径。本发明实的方法综合考虑了蚁群在路径游走选择过程中信息素在每一步的动态更新因素，使得信息素的更新更准确，更符合更新规则。而且设计的评价函数能够保证算法能够及时删除选择出的不好的路径，及时指导蚁群的分类行为，从而可以准确、快速地搜索出最佳路径。

Description

基于蚁群分类挖掘过程的网络渗透攻击检测方法

技术领域

本发明涉及网络攻击检测技术领域，尤其涉及一种基于蚁群分类挖掘过程的网络渗透攻击检测方法。

背景技术

进入信息时代以来，随着网络技术的发展，计算机与互联网走进了千家万户，已经渗透到人们的学习、工作、生活中的方方面面，并对人们生活、企业发展和社会进步产生巨大影响。但是，网络在提供便利的同时，由于其本身的开放性、匿名性、互联性等特征，使得网络容易遭受各种攻击，端口渗透、系统漏洞、钓鱼、木马等网络威胁无处不在，因此，网络安全问题不容忽视，网络安全问题严重影响网络秩序，严重危害着个人、企业、政府、国家的利益。

网络渗透是攻击者常用的一种攻击手段，也是一种综合的高级攻击技术，同时网络渗透也是安全工作者所研究的一个课题，无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test)，其实际上所指的都是同一内容，也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看，前者是攻击者的恶意行为，而后者则是安全工作者模拟入侵攻击测试，进而寻找最佳安全防护方案的正当手段。

网络攻击检测经过多年发展，已经取得了显著的成果。入侵检测的定义被第一次提出是在1980年4月，James Anderson在其论文中提到，可以通过安全审计数据发现网络攻击行为。20世界90年代是网络攻击监测的技术爆发阶段，同时期出现了BRO，CIDF等经典的攻击监测系统。近年来，网络攻击监测的研究主要集中在网络攻击检测的建模、网络攻击检测数据的处理、网络攻击检测的技术与方法研究，其中最重要的是网络攻击检测方法的研究，特别是大数据环境下，基于数据挖掘技术的网络攻击检测方法。

基于蚁群分类挖掘过程的网络渗透攻击检测方法是目前研究的热点。它的基本框架思路是这样的：蚂蚁在觅食的过程中能够感知其他蚂蚁留置的一种叫信息素的存在和强度,然后通过信息素的内容指导自己的运动方向,他们在运动的时候倾向于朝着信息素强度高的方向移动，因为那个方向有着更多的蚂蚁留置的指向信息，对于蚂蚁的运动有更大的指导意义。因此,由大量蚂蚁组成的集体觅食行为就表现出一种信息正反馈现象:某一路径越短,该路径上走过的蚂蚁就越多,所留置的信息素强度也就越大,后来的蚂蚁选择该路径的概率因此就越大。基于蚁群分类的算法将蚂蚁寻找的路径比作分类规则，通过模拟人工智能蚂蚁(攻击搜素者)在觅食空间(攻击数据集空间)中根据留置的信息素(信息素变量函数)进行搜索食物源(攻击目标的分类类别)，经过不断地迭代搜索(分类规则挖掘)过程，那么最终蚁群选择最多的几条路径就是最优的路径(分类规则)。蚁群挖掘出分类规则后，将新数据样本与分类规则进行模式匹配，从而检测网络渗透攻击。但是传统的蚁群分类挖掘算法由于其信息素更新策略比较固定，在进行大规模计算时，其收敛时间过长的特点依然是该算法的一个瓶颈。因此，为了实现对于信息素的自适应动态更新，开发一种快速高效的蚁群分类挖掘算法方案是很有必要的。

发明内容

本发明的实施例提供了一种基于蚁群分类挖掘过程的网络渗透攻击检测方法，以实现高效的蚁群分类挖掘算法。

为了实现上述目的，本发明采取了如下技术方案。

一种基于自适应动态信息素的快速收敛蚁群分类方法，包括：

在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子；

在所述蚁群的路径搜索过程中留置信息素信息，基于所述信息素信息通过设定的概率转移函数搜索所述蚁群的下一步路径；

在所述蚁群的全部路径搜索完毕后，将整体距离最短的路径确定为所述蚁群的最佳路径。

进一步地，所述的在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子，包括：

在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子为：

公式1中，|term_ij|表示目标类别中第i个特征属性取第j个值的样例数目；|trainingset_ij|表示所有分类类别，即整个训练集中第i个特征属性取第j个值的样例总数目。

进一步地，所述的在所述蚁群的路径搜索过程中留置信息素信息，包括：

1：在所述蚁群进行路径搜索之前，对信息素进行初始化设置：

λ_ij ⁽⁰⁾表示在初始时刻，第i个特征属性的第j个值的数据点上的信息素浓度，M_i和N分别代表第i个特征属性的取值个数、特征属性的个数

2：所述蚁群在一个路径的搜索过程完成后，搜索下一个路径之前，进行动态的自适应信息素更新,更新函数为：

所述表示原有信息素，所述Δλ_ij表示新增信息素，所述表示更新后的信息素，α是信息素的挥发率，β表示信息留存率；

式中，x为蚂蚁k走过的边数，d为蚂蚁k走过的边长，m为构成蚁群的蚂蚁总数，Q为常数参量，p(i|1,2,...j)为通过引入路径留存率模型来表示蚁群从属性i选择至位置j时的留存概率；

d(i,j)为本步蚁群走过的路径长度，D(d(1,2,...i),d(1,2,3...j))为蚁群走过的历史总长度的和；

对更新后的信息素进行平滑处理，该平滑处理的公式如下：

所述表示第k+1次迭代时，平滑化之后的初始化新的信息素，所述代表第k次迭代后，特征属性数据空间的老的信息素，上一次规则挖掘的结果对本次挖掘的影响由参数ε决定。

进一步地，所述的基于所述信息素信息通过设定的概率转移函数搜索所述蚁群的下一步路径，包括：

设置转移概率函数为指导蚂蚁进行路径选择的函数，所述转移概率函数的计算公式如下：

P_ij ^(t)表示第i个属性选择第j个值的概率转移值，其中，a、b表示在这个转移过程中对于某条路径的侧重值，λ_ij(t)表示t时刻的信息素，γ_ij(t)表示启动因子；

当满足给定的随机数q<qm时，j＝argmax{[λ_ij(t)][γ_ij(t)]}j∈allowd_(t)，当满足给定的随机数q＞qm的时候，按照概率转移函数选择j，将j加入列表，即按最大的转移概率选择下一步的路径。

进一步地，所述的在所述蚁群的全部路径搜索完毕后，将整体距离最短的路径确定为所述蚁群的最佳路径，包括：

在所述蚁群的全部路径搜索完毕，即都完成了规则的构建之后，将整体路径长度最短的路径确定为所述蚁群的最佳路径，所述整体路径长度l的计算公式如下：

d为蚂蚁k走过的边长，m为蚂蚁总数；

当蚂蚁选择了最佳路径之后，最后的信息素的全局更新为：

进一步地，所述的方法还包括：

当蚂蚁完成一条规则的构建后，要进行规则的评价修剪，在进行规则选取时，蚂蚁对规则的评价函数值进行排序，排序越靠前的规则分类能力越强，反之越弱；将衡量分类质量的规则的评价函数设计为如下公式：

TP表示规则前后都符合条件的样本数；FP表示符合分类规则不符合规则对应条件的样本数；TN表示规则前后都不符合条件的样本数；FN表示不符合分类规则但满足规则对应条件的样本数，Q值越大代表规则的质量越高。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例的基于自适应动态信息素的快速收敛蚁群分类方法综合考虑了蚁群在路径游走选择过程中信息素在每一步的动态更新因素，使得信息素的更新更准确，更符合更新规则。而且设计的评价函数能够保证算法能够及时删除选择出的不好的路径，及时指导蚁群的分类行为，从而可以准确、快速地搜索出最佳路径。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于自适应动态信息素的快速收敛蚁群分类方法的处理流程图；

图2为本发明实施例提供的传统蚁群算法和本发明的算法收敛速度比较示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

网络渗透攻击是一种威胁网络安全的严重的网络攻击行为，有效的监测网络渗透攻击，可以通过基于蚁群分类算法的攻击监测方法来进行。蚁群分类算法是模拟自然界中真实蚁群的觅食行为而形成的一种模拟进化算法。蚂蚁觅食过程中经过的路径作为一定的分类规则，蚁群的最终目标就是从起点出发寻找一条到食物源的最佳路径，蚁群的整个搜索空间就组成了一定的数据集空间。经过多次的迭代搜索之后，蚁群能够找到每个食物源类别的多条分类规则,然后将新数据样本与分类规则进行模式匹配，从而检测网络渗透攻击。

为了克服现有基于蚁群分类规则算法在大规模网络渗透攻击检测情况下收敛慢的问题，本发明实施例重点关注蚁群通讯及联系过程中留置的最重要贡献信息素的特点，提出动态的信息素更新策略，通过引入自适应的动态信息素更新策略，在每一步蚁群选择路径过程中都会动态更新一次信息素。主要思想是使信息素的影响力随着路径的深入而动态减弱，使得各个蚂蚁之间的信息素不会互相干扰过大，影响路径选择效率。通过信息素的动态更新，最终达到算法的全局快速收敛。同时通过设计高效的质量函数，评价并指导分类负责选取。同时本发明实施例设计了高效的评价函数，来指导和强化蚁群的分类能力。

该实施例提供了一种基于自适应动态信息素的快速收敛蚁群分类方法的处理流程如图1所示，包括如下的处理步骤：

步骤S110、在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子。

在蚁群进行搜索路径之前需要初始化一个启动因子，启动因子主要模拟了环境因素对蚂蚁搜寻路径的影响，反应了蚂蚁搜索环境的特征，对蚂蚁的搜索行为起引导作用。启动因子设置为：

公式1中，|term_ij|表示目标类别中第i个特征属性取第j个值的样例数目；|trainingset_ij|表示所有分类类别，即整个训练集中第i个特征属性取第j个值的样例总数目。在蚁群的进化过程中，这个值不变，是在蚁群进行搜索前设定的。

步骤S120、蚁群在搜索过程中留置信息素信息，基于所述信息素信息通过设定的概率转移函数搜索所述蚁群的下一步路径。

指导蚁群搜索行为的转移概率函数是直接指导蚂蚁进行路径选择的函数。上述转移概率函数的公式如下：

公式2里，P_ij(t)表示第i个属性选择第j个值的概率转移值，其中，a、b表示在这个转移过程中对于某条路径的侧重值，λ_ij(t)表示t时刻的信息素，γ_ij(t)表示启动因子。

其中，在本发明设计的转移概率函数中，当满足给定的随机数q<qm时，j＝argmax{[λ_ij(t)][γ_ij(t)]}j∈allowd_(t)，当满足给定的随机数q＞qm的时候，按照概率转移函数选择j，将j加入列表，即按最大的转移概率选择下一步的路径。属性和路径都是抽象的概念，属性i对应第i个蚂蚁，j为属性所有可能值中的第j个人，是为了说明蚁群分类过程的。

信息素是蚂蚁在选择路径并通信过程中留置的最重要的证据，是指导整个蚁群选择最佳路径的关键指导性因素。它与启动因子共同决定蚂蚁的走向。信息素的设置过程包括以下三个方面：

1)整个蚁群进行规则挖掘前，需要对信息素进行归一化的初始化，初始化函数为：

λ_ij(0)表示在初始时刻，第i个特征属性的第j个值的数据点上的信息素浓度；M_i和N还是分别代表第i个特征属性的取值个数、特征属性的个数。

2)在同一次规则挖掘的过程中，一组蚂蚁进行挖掘规则或者挖掘完成后，另一组蚂蚁挖掘规则前，需要进行动态的信息素更新。在本发明中，我们充分考虑蚂蚁在搜索路径过程中路径长度，环境对于信息素影响力大小的影响，提出动态的信息素更新策略。使得信息素在更新过程中因蚂蚁之间重叠路径和互相影响而选择最优路径的概率加大。在蚂蚁行进过程中，首先每走过一个边都要进行一次局部的信息素更新，更新函数为：

函数包含了重要的两个更新因素：原有信息素和新增信息素Δλ_ij。其中，α是信息素的挥发率，因此也表示挥发信息素，β表示信息素的留存概率，这个信息素的留存概率是由蚂蚁在本次游走中经过的边数和边长综合决定的，在本发明提出的动态自适应的信息素更新策略中，只有添加信息素的留存概率才能保证每一步更新的浮动不至于过大而影响最终的更新结果。具体计算由下面公式决定：

式中x为蚂蚁k走过的边数，d为蚂蚁k走过的边长，m为蚂蚁总数(构成蚁群)，Q为一个大的常数参量。p(i|1,2,...j)为通过引入路径留存率模型来表示蚁群从属性i选择至位置j时的留存概率。该模型的具体计算公式如下：

式中分子为本步蚁群走过的路径长度，分母为蚁群走过的路径历史总长度的和。该策略与传统策略相比保证了各蚂蚁所留信息素的均衡性，保证了对搜索的均衡贡献和相互协作，体现出了群体的力量，这是本发明的算法能够大幅度地提高收敛速度的关键之一。

动态自适应更新完毕后，整个蚁群的两次规则挖掘的过程间，通过平滑机制对信息素进行平滑化，信息素平滑处理的公式如下：

上式中，表示第k+1次迭代时，平滑化之后的初始化新的信息素，而代表第k次迭代后，特征属性数据空间的老的信息素。上一次规则挖掘的结果对本次挖掘的影响由参数ε决定。

由于蚁群在进行路径搜索的时候是需要一步一步根据前面提到的信息素函数和转移概率函数指导下进行路径转移的，此时的迭代可以理解为每一步的迭代，由一个位置到骗一个位置。

步骤S130、当蚂蚁完成一条规则的构建后，要进行规则的评价修剪。在进行规则选取时，蚂蚁需要对规则的评价函数值进行排序，排序越靠前的规则分类能力越强，反之越弱。并且在进行信息素更新时，规则质量函数也发挥了重要的作用，规则的质量越高，规则所覆盖的数据点上增加的信息素越多，反之越少。本发明将衡量分类质量的规则的评价函数设计为如下公式：

TP表示规则前后都符合条件的样本数；FP表示符合分类规则不符合规则对应条件的样本数；TN表示规则前后都不符合条件的样本数；FN表示不符合分类规则但满足规则对应条件的样本数。Q值越大代表规则的质量越高。

步骤S140，在所述蚁群的全部路径搜索完毕，即都完成了规则的构建之后，将整体距离最短的路径确定为所述蚁群的最佳路径。

整体路径长度：d为蚂蚁k走过的边长，m为蚂蚁总数(构成蚁群)

当蚂蚁选择了最佳路径之后，最后的信息素的全局更新为：

图2为本发明实施例提供的传统蚁群算法和本发明的算法收敛速度比较示意图，从图2可以看出，本发明实施例的算法收敛速度快于传统蚁群算法。

上一节中，阐述了本发明提出的基于蚁群分类规则挖掘的网络渗透攻击检测算法，通过引入信息素的动态更新策略，设计高效的评价函数，使得算法能够快速收敛，并且可以更好的指导蚁群的分类行为，但是这些内容依然停留在理论阶段，因此，在这一部分通过具体的实例给出蚁群分类规则挖掘的具体实施过程。

仿真过程我们选取了网络上的标准数据集进行实验分析，选取收敛速度、检测率和错误率指标来评价算法性能。

在仿真过程中，主要分为两个部分：

一.数据预处理及验证标准

通过数据除噪、数据降维、数据离散化及归一化的过程将KDD CUP99数据集进行数据预处理，得到预处理后的攻击数据集。然后运用十字交叉验证的方法，将数据平均分为十份，每次抽取其中的九份作为训练集，剩下一份作为测试集，这样执行基于蚁群分类规则挖掘算法的攻击检测十次，最后将这十次实验的平均检测结果作为最终结果。

收敛速度指标以迭代次数为单位进行度量，即从蚁群开始进行攻击检测到结果收敛时蚂蚁在路径中周游的次数。当达到收敛时，周游的次数越少，则表明算法收敛越快，性能越好。算法都分别进行500次迭代。

攻击检测率和错误率指标定义如下：

二，实验过程

根据蚁群算法的基本原理，将蚁群算法用于分类规则的挖掘，从而用于网络攻击检测。在本次仿真中蚁群觅食过程和蚁群挖掘算法的类比如表一所示。

本算法将分类规则的条件模拟为蚂蚁寻找食物所经过的路径，将最终的目标类别模拟为蚂蚁要找的食物源，整个数据集也就是蚂蚁寻找食物的空间，数据点就是蚂蚁经过的地点，将蚂蚁从蚁巢到食物源经过的路径模拟为分类规则，将网络渗透攻击检测转化为一个分类问题，用蚁群挖掘网络攻击的分类规则，再对新样本进行分类规则的模式匹配，从而检测网络渗透攻击行为。

第一步：根据启动因子初始化，将每个边上的信息素初始化为一个小的常数；将150个蚂蚁随机地分配到30个节点上，然后记录出发点，将出发点设置到列表中。

第二步：进行下一个节点的选择。蚂蚁按照概率转移函数，选择下一个节点，并记录该节点。该方法使搜索过程具有多样性。然后每次进行转移的过程都按照概率转移函数进行下个节点(下条路径)的搜索。

第三步：每走完一步，蚂蚁根据文中提出的信息素动态更新策略，进行信息素的局部更新。

第四步：当150只蚂蚁走完所有的路径后找出整体距离最短的路径作为最佳路径并保存。

第五步：选出最佳路径后，对最佳路径上进行信息素的全局更新。

第六步：设置迭代次数，如果未完，清空列表，重复上述过程。

综上所述，本发明实施例的基于自适应动态信息素的快速收敛蚁群分类方法综合考虑了蚁群在路径游走选择过程中信息素在每一步的动态更新因素，使得信息素的更新更准确，更符合更新规则。而且设计的评价函数能够保证算法能够及时删除选择出的不好的路径，及时指导蚁群的分类行为，从而可以准确、快速地搜索出最佳路径。

本发明的方法针对蚁群分类算法中的不足进行了部分改进，首先本算法引入了自适应的动态信息素策略，在每一步的更新过程都会动态更新信息素，重点优化原有算法，其次本算法设计了高效的评价函数，使算法更高效，加快了收敛速度。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种基于蚁群分类挖掘过程的网络渗透攻击检测方法，其特征在于，包括：

在所述蚁群分类挖掘过程中，将蚂蚁寻找的路径比作分类规则，将蚂蚁比作攻击搜素者，将蚂蚁的觅食空间比作攻击数据集空间，将食物源比作攻击目标的分类类别，将蚂蚁的迭代搜索过程比作分类规则挖掘，所述蚁群分类挖掘过程具体包括：

在所述蚁群的路径搜索过程中留置信息素信息，基于所述信息素信息通过设定的概率转移函数搜索所述蚁群的下一步路径，具体处理过程包括：

λ_ij(0)表示在初始时刻，第i个特征属性的第j个值的数据点上的信息素浓度，M_i和N分别代表第i个特征属性的取值个数、特征属性的个数；

对更新后的信息素进行平滑处理，该平滑处理的公式如下：

所述表示第k+1次迭代时，平滑化之后的初始化新的信息素，所述λ_ij ^old(k)代表第k次迭代后，特征属性数据空间的老的信息素，上一次规则挖掘的结果对本次挖掘的影响由参数ε决定；

P_ij(t)表示第i个属性选择第j个值的概率转移值，其中，a、b表示在这个转移过程中对于某条路径的侧重值，λ_ij(t)表示t时刻的信息素，γ_ij(t)表示启动因子；

当满足给定的随机数q<qm时，当满足给定的随机数q＞qm的时候，按照概率转移函数选择j，将j加入列表，即按最大的转移概率选择下一步的路径；

在所述蚁群的全部路径搜索完毕后，将整体距离最短的路径确定为所述蚁群的最佳路径；

将所述最佳路径确定为对应的食物源类别的分类规则，将待检测的数据样本与对应的食物源类别的分类规则进行模式匹配，根据模式匹配结果判断所述待检测的数据样本是否为网络渗透攻击。

2.根据权利要求1所述的方法，其特征在于，所述的在蚁群搜索之前，设置指导所述蚁群的搜索行为的启动因子，包括：

3.根据权利要求2所述的方法，其特征在于，所述的在所述蚁群的全部路径搜索完毕后，将整体距离最短的路径确定为所述蚁群的最佳路径，包括：

d为蚂蚁k走过的边长，m为蚂蚁总数；

当蚂蚁选择了最佳路径之后，最后的信息素的全局更新为：

4.根据权利要求1至3任一项所述的方法，其特征在于，所述的方法还包括：