CN113420291B - 基于权重集成的入侵检测特征选择方法 - Google Patents

Abstract

本发明公开了一种基于权重集成的入侵检测特征选择方法，首先采用方差选择法从入侵检测数据集将冗余特征的数据删除，将处理得到的入侵检测数据集划分为数据集A和数据集B，将数据集A输入预设的每个特征选择方法进行特征选择，并确定所选择特征在该特征选择方法中的评分，然后采用入侵检测数据集对每个特征选择方法分别进行入侵检测测试，并且统计该特征选择方法对应的入侵检测结果的准确率，根据入侵检测结果准确率确定每个特征选择方法的特征选择结果的权重，根据权重对特征选择结果进行集成，对选择出的特征进行相关性分析，删除多余特征，得到最终的特征选择结果。本发明可提高集成效果，最终选择得到的特征集合鲁棒性更强，进而提高入侵检测精度。

Description

基于权重集成的入侵检测特征选择方法

技术领域

本发明属于入侵检测技术领域，更为具体地讲，涉及一种基于权重集成的入侵检测特征选择方法。

背景技术

互联网的普及推动了社会的进步和发展，但是网络环境也在不断恶化，网络中入侵的强度与频率不断上升，近些年各个规模的攻击都出现了增长，给社会和人民带来了很大的损失。因此需要入侵检测来防御异常攻击，而入侵检测中重要的一环就是特征选择。这是因为入侵检测样本维度过高含有冗余特征，需要特征选择来降低维度，并提取其中的重要特征，提高入侵检测的效率和准确率。

入侵检测特征选择方法有很多种方式完成，其中被广泛使用的具体方法是皮尔逊相关系数法、方差选择法、稳定性选择(Stability selection，STA)、递归特征消除法(Recursive Feature Elimination，RFE)、Lasso正则化方法(LSO)、随机森林(Randomforest，RF)、极端随机树(Extremely Randomized Trees，ET)、梯度增强(GradientBoosting，GB)。有的入侵检测进行特征选择时将多个特征选择方法集成进行特征选择，但是这些集成方法大多只是将特征选择结果进行简单的投票或是求平均来选择最终特征，而不同的方法对数据集的适应度不同，选择的特征对分类性能的影响也不同，这种方式往往无法达到理想的集成效果。

所以本发明根据不同特征选择方法对入侵检测数据集的适应性，提出一种基于权重集成的入侵检测特征选择方法，根据入侵检测效果给予特征选择方法不同的权重，对效果好的特征选择方法给予大的权重，增强对最终结果的正面影响，减弱效果差的特征选择方法的负面影响，得到更好的集成效果。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于权重集成的入侵检测特征选择方法，根据入侵检测效果给予特征选择方法不同的权重，提高集成效果，进而提高入侵检测精度。

为实现上述发明目的，本发明基于权重集成的入侵检测特征选择方法包括以下步骤：

S1：对于入侵检测数据集中的每个特征，分别计算每个特征的数据方差，将特征根据方差从小到大进行排列，将前R个特征作为冗余特征，从入侵检测数据集中将冗余特征的数据删除；

S2：将步骤S1处理得到的入侵检测数据集划分为数据集A和数据集B；

S3：根据需要设置K个特征选择方法，将数据集A输入每个特征选择方法进行特征选择，得到K个特征集合φ_k，k＝1,2,…,K；并且采用如下方法得到所选择特征在该特征选择方法中的评分：

对于特征集合φ_k中的特征，如果该特征选择方法的输出为特征重要性分数，则对特征集合φ_k中各个特征的重要性分数进行归一化，将归一化后的重要性分数作为特征的评分；如果该特征选择方法的输出为特征重要性序列，则记特征集合φ_k中各个特征在重要性序列中的序号为i，i＝1,2,…,|φ_k|，|φ_k|表示特征集合φ_k中的特征数量，采用如下公式计算得到特征i的评分s_i,k：

S4：对于每个特征选择方法，分别采用以下方法进行入侵检测测试：

从数据集A中提取出特征集合φ_k中特征数据构成数据集A′，将数据集A′作为训练样本对预设的入侵检测模型进行训练，然后从数据集B提取出特征集合φ_k中特征数据构成数据集B′，将数据集B′作为测试样本由训练好的入侵检测模型进行入侵检测，并且统计该特征选择方法对应的入侵检测结果的准确率acc_k；

S5：根据K个特征选择方法所对应的入侵检测结果的准确率acc_k进行权重设置，入侵检测结果的准确率acc_k越高，该特征选择方法的权重ω_k越大；

S6：将K个特征集合φ_k进行合并得到特征集合Φ，对于特征集合Φ中的特征n，采用如下公式计算得到其集成后的评分S_n：

其中，s_n,k表示特征n在第k个特征选择方法中的评分，当

时，s_n,k＝0；

将特征集合Φ中的特征按照评分S_n从大到小进行排列，选择前M个特征作为集成后的特征选择结果，M的值根据实际需要确定；

S7：根据入侵检测数据集计算步骤S6选择出的M个特征两两之间的皮尔逊相关系数，将皮尔逊相关系数大于阈值的特征划分为一个特征分组，从每组特征中选择一个特征进行保留，删除其余特征，将处理后保留的特征作为最终的特征选择结果。

本发明基于权重集成的入侵检测特征选择方法，首先采用方差选择法从入侵检测数据集将冗余特征的数据删除，将处理得到的入侵检测数据集划分为数据集A和数据集B，将数据集A输入预设的每个特征选择方法进行特征选择，并确定所选择特征在该特征选择方法中的评分，然后采用入侵检测数据集对每个特征选择方法分别进行入侵检测测试，并且统计该特征选择方法对应的入侵检测结果的准确率，根据入侵检测结果准确率确定每个特征选择方法的特征选择结果的权重，根据权重对特征选择结果进行集成，对选择出的特征进行相关性分析，删除多余特征，得到最终的特征选择结果。

本发明采用多种特征选择方法分别进行入侵检测特征选择以及入侵检测测试，根据入侵检测效果给予特征选择方法不同的权重，提高集成效果，最终选择得到的特征集合鲁棒性更强，进而提高入侵检测精度。

附图说明

图1是本发明基于权重集成的入侵检测特征选择方法的具体实施方式流程图；

图2是本实施例中两种特征选择方法输出的特征重要性评分示意图；

图3是本实施例中集成评分示意图；

图4是本实施例中25个特征的相关矩阵热力图；

图5是本次实验验证中基于RFE+STA、STA和RFE进行特征选择时的入侵检测准确率对比图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图1是本发明基于权重集成的入侵检测特征选择方法的具体实施方式流程图。如图1所示，本发明基于权重集成的入侵检测特征选择方法的具体步骤包括：

S101：删除冗余特征：

对于入侵检测数据集中的每个特征，分别计算每个特征的数据方差，将特征根据方差从小到大进行排列，将前R个特征作为冗余特征，从入侵检测数据集中将冗余特征的数据删除。

方差较小的特征难以体现入侵检测数据的特征，其存在对于最终的入侵检测贡献不大，反而会增加后续处理难度，因此需要先进行删除。

S102：数据集划分：

将步骤S101处理得到的入侵检测数据集划分为数据集A和数据集B。

S103：特征预选择：

根据需要设置K个特征选择方法，将数据集A输入每个特征选择方法进行特征选择，得到K个特征集合φ_k，k＝1,2,…,K。并且采用如下方法得到所选择特征在该特征选择方法中的评分：

对于特征集合φ_k中的特征，如果该特征选择方法的输出为特征重要性分数，则对特征集合φ_k中各个特征的重要性分数进行归一化，将归一化后的重要性分数作为特征的评分；如果该特征选择方法的输出为特征重要性序列(如基于递归特征消除的方法)，则记特征集合φ_k中各个特征在重要性序列中的序号为i，i＝1,2,…,|φ_k|，|φ_k|表示特征集合φ_k中的特征数量，由于一般重要性越大的特征的排序越靠前，因此采用如下公式计算得到特征i的评分s_i,k：

S104：入侵检测测试：

对于每个特征选择方法，分别采用以下方法进行入侵检测测试：

从数据集A中提取出特征集合φ_k中特征数据构成数据集A′，将数据集A′作为训练样本对预设的入侵检测模型进行训练，然后从数据集B提取出特征集合φ_k中特征数据构成数据集B′，将数据集B′作为测试样本由训练好的入侵检测模型进行入侵检测，并且统计该特征选择方法对应的入侵检测结果的准确率acc_k。

S105：权重设置：

根据K个特征选择方法所对应的入侵检测结果的准确率acc_k进行权重设置，入侵检测结果的准确率acc_k越高，该特征选择方法的权重ω_k越大。

本实施例中权重ω_k采用以下方法计算得到：

S106：特征选择结果集成：

将K个特征集合φ_k进行合并得到特征集合Φ，对于特征集合Φ中的特征n，采用如下公式计算得到其集成后的评分S_n：

其中，s_n,k表示特征n在第k个特征选择方法中的评分，当

时，s_n,k＝0。

将特征集合Φ中的特征按照评分S_n从大到小进行排列，选择前M个特征作为集成后的特征选择结果，M的值根据实际需要确定。

S107：删除相关特征：

根据入侵检测数据集计算步骤S106选择出的M个特征两两之间的皮尔逊相关系数，将皮尔逊相关系数大于阈值的特征划分为一个特征分组，从每组特征中选择一个特征进行保留，删除其余特征，将处理后保留的特征作为最终的特征选择结果。

本实施例中，特征分组采用特征聚类方法根据皮尔逊相关系数确定。在对每组特征进行特征选择时，选择集成后评分最大的特征进行保留。

为了更好地说明本发明的技术效果，采用具体实例对本发明进行实验验证。本次实验验证是在CentOS7系统，处理器为Intel Core i3-4170，3.10GHz核心，内存12G的计算机上进行编码并实验的。在anaconda的开发环境中，安装NVIDIS GPU等环境完成了实验。

本次实验验证使用的入侵检测数据集是KDD99数据集，该数据集是一个模拟的美国空军局域网，以尽可能贴近真实网络环境收集了9个星期得到的网络连接数据集。每个网络连接记录包含了1个类别标签和41个固定特征属性。特征列表由连续型和离散型变量组成，有9个离散型，剩下的为连续型。类别标签表示连接正常或异常，异常类别有4大类具有比较明显特征的网络攻击。训练数据集包含22种攻击类型，分布在500万条记录中。测试数据集有相同的22种攻击类型，以及更多的17种额外的攻击类型，例如mailbomb、mcan和snmpgetattack等，分布在31029条记录中。这些是未知攻击，将测试模型的能力，以检测新的未知变种攻击，有助于检验入侵检测的泛化能力。

本次实验验证中使用10％的数据集进行训练测试，共有135973个样本，每个样本包含41个特征。这些特征要么是分类的，要么是数字类型的。其中有125973个训练集样本，剩下的为测试集，均为41维特征列加上1维的标签列。而由于原始入侵检测数据集中的特征向量字符型和数值型混杂，需要进行诸如数据清洗、字符编码、无量纲化等预处理。

本次实验验证中特征选择方法采用RFE(Recursive feature elimination，递归式特征消除)算法和STA(Stability selection，稳定性选择)算法，算法参数采用常规设置即可。

接下来采用本发明进行入侵检测特征选择方法。首先采用方差选择法，先将包括'protocol_type'在内的9个离散类型特征筛出，对剩下的特征计算标准差，将方差较小的前5个特征作为冗余特征的数据删除。表1是本实施例中方差较小的前5个特征列表。

特征名	方差
		num_outbound_cmds	0.000000
urgent	0.014366
		num_shells	0.022181
root_shell	0.036603
		num_failed_logins	0.045239

表1

经过本步骤，特征维度由41维降为36维。

接下来使用RFE和STA的分别进行特征选择，计算特征的评分。图2是本实施例中两种特征选择方法输出的特征重要性评分示意图。如图2所示，纵轴是36维特征的特征名称，横轴是得分加权叠加，两种方法的得分分别用不同的颜色标注，黑色代表STA的特征重要性分数值，灰色代表RFE的特征重要性分数值。

接下来根据入侵检测结果的准确率设置权重，计算集成后的评分，并进行排序。图3是本实施例中集成评分示意图。根据实际需要设置所需特征数量M，然后根据集成评分进行特征选择即可。一般来说，可以根据实验确定最优的特征数量M。本实施例中经过实验发现最佳特征数量为15-25个，因此设置M＝25。

最后对选择出的25个特征进行相关性分析，即计算它们两两之间的皮尔逊相关系数。图4是本实施例中25个特征的相关矩阵热力图。对图4进行分析可知，rerror_rate，dst_host_rerror_rate，srv_rerror_rate，dst_host_srv_rerror_rate这组特征以及dst_host_srv_serror_rate，srv_serror_rate，serror_rate，dst_host_serror_rate这组特征相关系数都超过了0.9，说明具有很强的相关性，根据集成后的评分，将每组特征中评分排名最高的dst_host_rerror_rate和srv_serror_rate特征留下，其他特征为多余特征需要删除。

可见，根据本发明入侵检测特征选择方法，特征由41维降为19维。降维后的特征进行独热编码后维度为84维，没经过特征选择前为112维，降低了特征的维度，提高了入侵检测的性能。

接下来采用三种入侵检测算法：KNN(K-nearest neighbor classification，K近邻分类)、NB(

Bayes，朴素贝叶斯)、RF(Random Forest，随机森林)，设计消融试验，对特征选择前后入侵检测算法的训练时间和检测准确率进行对比。表2是本次实验验证中消融实验结果对比表。

表2

如表2所示，所有进行特征选择的入侵检测机器学习算法的结果都比不进行特征选择的结果好。从时间上看，可以看出对于单个入侵检测分类算法来说，NB、RF、KNN使用经过权重集成特征选择方法选择后的特征子集进行训练，时间明显低于直接使用完整入侵检测数据集对应的时间，使用本发明的算法表现明显好于未进行特征选择的算法。说明经过本发明的特征选择后，数据处理的维度有很大改善，有效加快了入侵检测数据处理和计算的速度。

最后对本次实验验证中本RFE和STA两种特征选择方法基于权重集成(即RFE+STA)和RFE、STA两种方法单独使用时入侵检测模型的入侵检测准确率进行对比。图5是本次实验验证中基于RFE+STA、STA和RFE进行特征选择时的入侵检测准确率对比图。如图5所示，采用本发明对两种特征选择方法的选择结果进行集成后，比两种入侵选择方法单独使用时，入侵检测模型的入侵检测准确率更优。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (4)

1.一种基于权重集成的入侵检测特征选择方法，其特征在于，包括以下步骤：

S1：对于入侵检测数据集中的每个特征，分别计算每个特征的数据方差，将特征根据方差从小到大进行排列，将前R个特征作为冗余特征，从入侵检测数据集中将冗余特征的数据删除；

S2：将步骤S1处理得到的入侵检测数据集划分为数据集A和数据集B；

S3：根据需要设置K个特征选择方法，将数据集A输入每个特征选择方法进行特征选择，得到K个特征集合φ_k，k＝1,2,…,K；并且采用如下方法得到所选择特征在该特征选择方法中的评分：

对于特征集合φ_k中的特征，如果该特征选择方法的输出为特征重要性分数，则对特征集合φ_k中各个特征的重要性分数进行归一化，将归一化后的重要性分数作为特征的评分；如果该特征选择方法的输出为特征重要性序列，则记特征集合φ_k中各个特征在重要性序列中的序号为i，i＝1,2,…,|φ_k|，|φ_k|表示特征集合φ_k中的特征数量，采用如下公式计算得到特征i的评分s_i,k：

S4：对于每个特征选择方法，分别采用以下方法进行入侵检测测试：

从数据集A中提取出特征集合φ_k中特征数据构成数据集A′，将数据集A′作为训练样本对预设的入侵检测模型进行训练，然后从数据集B提取出特征集合φ_k中特征数据构成数据集B′，将数据集B′作为测试样本由训练好的入侵检测模型进行入侵检测，并且统计该特征选择方法对应的入侵检测结果的准确率acc_k；

S5：根据K个特征选择方法所对应的入侵检测结果的准确率acc_k进行权重设置，入侵检测结果的准确率acc_k越高，该特征选择方法的权重ω_k越大；

S6：将K个特征集合φ_k进行合并得到特征集合Φ，对于特征集合Φ中的特征n，采用如下公式计算得到其集成后的评分S_n：

其中，s_n,k表示特征n在第k个特征选择方法中的评分，当

时，s_n,k＝0；

将特征集合Φ中的特征按照评分S_n从大到小进行排列，选择前M个特征作为集成后的特征选择结果，M的值根据实际需要确定；

S7：根据入侵检测数据集计算步骤S6选择出的M个特征两两之间的皮尔逊相关系数，将皮尔逊相关系数大于阈值的特征划分为一个特征分组，从每组特征中选择一个特征进行保留，删除其余特征，将处理后保留的特征作为最终的特征选择结果。

2.根据权利要求1所述的入侵检测特征选择方法，其特征在于，所述步骤S5中权重ω_k采用以下方法计算得到：

3.根据权利要求1所述的入侵检测特征选择方法，其特征在于，所述步骤S7中特征分组采用特征聚类方法确定。

4.根据权利要求1所述的入侵检测特征选择方法，其特征在于，所述步骤S7中每组特征中选择集成后评分最大的特征。

Images