CN115348100A

CN115348100A - 一种网络入侵特征确定方法及装置

Info

Publication number: CN115348100A
Application number: CN202211004688.1A
Authority: CN
Inventors: 蒋雁梅; 李铮杰; 李凤云; 池纪锋
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2022-08-22
Filing date: 2022-08-22
Publication date: 2022-11-15

Abstract

本发明提供一种网络入侵特征确定方法及装置，涉及数据处理技术领域，可用于金融领域或其他技术领域。所述方法包括：获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。所述装置执行上述方法。本发明实施例提供的网络入侵特征确定方法及装置，实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

Description

一种网络入侵特征确定方法及装置

技术领域

本发明涉及数据处理技术领域，具体涉及一种网络入侵特征确定方法及装置。

背景技术

随着网络复杂性的增加，对银行系统的攻击越来越丰富，没有时间和地域限制，隐蔽性强。对于基于签名的检测方法和基于误用和异常的检测方法，往往存在误报率和漏报率高、检测效率低、不能处理所有协议等问题；对于一些机器学习和深度学习的检测方法，存在由于特征维度高导致的过拟合以及检测速度慢等问题。

发明内容

针对现有技术中的问题，本发明实施例提供一种网络入侵特征确定方法及装置，能够至少部分地解决现有技术中存在的问题。

一方面，本发明提出一种网络入侵特征确定方法，包括：

获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；

获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；

若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。

其中，所述若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，包括：

若确定所述蚁群算法的循环次数达到预设循环次数阈值，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。

若确定所述蚁群算法的所有蚂蚁都经过同一条城市路径，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。

其中，所述根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素，包括：

根据每只蚂蚁经过的所有城市路径确定与经过各城市之间子路径分别对应的目标蚂蚁；

计算所述目标蚂蚁经过的目标城市路径的倒数之和，得到求和结果；

根据与各城市之间子路径分别对应的循环计算之前的信息素、预设信息素蒸发率和所述求和结果对所述循环计算之前的信息素进行更新计算，得到信息素更新结果。

其中，所述获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，包括：

计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，并将各概率按照由小到大的顺序排列；

将0、顺序排列的各概率和1两两依次组合，得到各概率数值区间，并生成0～1之间的随机数；

确定所述随机数所在的目标概率数值区间，将所述目标概率数值区间中与所述随机数最接近的非0非1端点确定为目标概率；

将与所述目标概率对应的目标城市作为每只蚂蚁经过的下一目标城市，并继续执行所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率以及后续步骤，直到遍历完成所有城市。

其中，所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，包括：

分别计算所述已经过当前城市与未经过城市之间的信息素，并将信息启发式因子作为所述信息素的指数进行计算，得到第一指数计算结果；

分别计算所述已经过当前城市与未经过城市之间的城市路径长度的倒数，并将期望启发因子作为所述倒数的指数进行计算，得到第二指数计算结果；

将所述第一指数计算结果与所述第二指数计算结果之积与所有第一指数计算结果与所有第二指数计算结果之积的总和之间的比值，作为每只蚂蚁的已经过当前城市分别与未经过城市之间的概率。

其中，在所述获取多维度的网络入侵特征的步骤之前，所述网络入侵特征确定方法还包括：

对审计记录数据进行数据预处理，得到所述多维度的网络入侵特征。

其中，基于所述网络入侵特征确定方法的异常入侵识别方法，包括：

获取所述目标网络入侵特征；

基于预设异常入侵识别模型对所述目标网络入侵特征进行识别，得到异常入侵识别结果；

其中，所述预设异常入侵识别模型根据网络入侵特征样本数据训练机器学习模型得到。

一方面，本发明提出一种网络入侵特征确定装置，包括：

获取单元，用于获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；

更新单元，用于获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；

确定单元，用于若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。

再一方面，本发明实施例提供一种电子设备，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：

本发明实施例提供一种非暂态计算机可读存储介质，包括：

所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：

本发明实施例提供的网络入侵特征确定方法及装置，获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是本发明实施例提供的蚂蚁算法原理示意图。

图2是本发明实施例提供的蚂蚁算法流程示意图。

图3是本发明一实施例提供的网络入侵特征确定方法的流程示意图。

图4是本发明一实施例提供的特征的说明示意图。

图5是本发明另一实施例提供的特征的说明示意图。

图6是本发明一实施例提供的网络入侵特征确定方法的流程示意图。

图7是本发明一实施例提供的网络入侵特征确定装置的结构示意图。

图8为本发明实施例提供的电子设备实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图1所示，对蚁群算法相关内容说明如下：

蚂蚁觅食者，即蚂蚁被建模为在有界的二维网格上移动的个体。每个蚂蚁个体在网格上的位置，代表其能量预算的值。可以使用五种行为来进行描述:呆在蚂蚁巢中、寻找食物、进食、从另一个巢中取回食物或返回家巢。蚂蚁觅食者与一个单独的巢(“家”巢)相关联，并在返回时贡献它们在觅食之旅中收集到的能量到家巢。觅食者从食物来源获得能量，并将其他巢穴视为食物来源。巢穴在环境中有稳定的位置，并且与能量预算相关联。因为能源预算是相对于初始状态的衡量标准，所以它们可能会变成负数。

每个觅食者应用的行为程序如图1所示。蚂蚁觅食者只有在进入巢穴时才会改变其能量收支。如果觅食者从一个不是它们家的巢穴中获取能量，它们会减少进入巢穴的能量预算。在进入它们的家巢时，觅食者将它们的个体能量预算的符号差加到巢的预算中，并将它们的个体能量预算重置为0。通过这种方式，觅食者在成功的觅食后会为巢的预算增加能量，如果在旅途中找不到食物来源，则会减少能量。

蚁群算法最初是用来解决最优解问题，它可以转化为求解遍历图所有的节点一次，最后返回初始节点，使得连接这些节点的路径长度最短。对于第k只蚂蚁，当前访问的城市为i，对于选择某个备选的城市j的概率为：

式中η(i,j)表示两个城市之间的成本，其值为城市i和城市j之间的路径长度的倒数；τ(i,j)表示路径上的信息素；α表示信息启发式因子，和蚂蚁选择曾经走过的路径的概率成正比，α值越大，随机性越弱；α越小，搜索范围越小，越容易陷入局部最优；β表示期望启发因子，β值越大，越容易选择局部最短路径，收敛速度越快，但是随机性不高。J_k(i)表示蚂蚁未经过城市集合，蚂蚁每走过一个新城市，则从该未经过城市集合中剔除该新城市。μ为未经过城市集合中的第μ个城市。

每条路径上的信息素随时间蒸发，也随着经过的蚂蚁数量的增加而增加。信息素更新如下所示：

m是蚂蚁个数,ρ是预设信息素蒸发率，l_k表示第k只蚂蚁在本轮迭代中走过的路径，L_k表示上述路径的路径长度。

信息素的初始值C可以根据如下公式计算：

C＝m/C^m，n (4)

其中，m表示蚂蚁个数，C^m,n表示基于贪婪算法构造的路径长度之和；如果C太小，算法容易早熟，蚂蚁会很快的全部集中到一条局部最优的路径上。如果C太大，信息素对搜索方向的指导作用太低，也会影响算法性能。

如图2所示，假设迭代次数为N，所有节点之间路径的信息素用pheromone表保存。每只蚂蚁都保存一张已访问城市表(taboo list)和一张未访问城市表(allowed list)。taboo list来存储当前蚂蚁已经经过的城市，在之后的搜索中不能再访问这些城市；allowed list用来存储还未访问过的城市。

图3是本发明一实施例提供的网络入侵特征确定方法的流程示意图，如图3所示，本发明实施例提供的网络入侵特征确定方法，包括：

步骤S1：获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市。

步骤S2：获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素。

步骤S3：若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。

在上述步骤S1中，装置获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市。装置可以是执行该方法的计算机设备，例如可以包括服务器。需要说明是，本发明实施例涉及数据的获取及分析是经用户授权的。

网络入侵的数据集的指标较多，存在大量嘈杂特征，这些特征对分类器的准确性以及速度会产生极大影响。需要能够高效地找到有效特征，对于提高银行数据的入侵检测至关重要。为此，本发明实施例将蚁群算法应用于银行审计记录中的入侵数据集进行特征选择。主要利用如网络流量下的持续时间，字节数，发送和接收的片段或者往返时间等子特征构建出一个无向图，然后将蚂蚁分布在无向图中，并利用蚁群算法找出最优特征的集合。其具体过程描述如图4所示。

初始化蚁群算法中的信息素。一般情况下，信息素矩阵初始化为0。考虑到特征和类别标签之间的关系，可以用余弦相似度的最大值来初始化信息素矩阵，通过两个非零向量的内点积来计算它们之间的余弦角，公式如下：

式中，X和Y表示两个d维特征向量，θ表示向量X和向量Y之间的角度。余弦相似度在[0，1]范围内变化，余弦值为0，意味着两个向量彼此成90度(正交)，并且不相似或不相关；余弦值越接近1，两个向量之间的角度越小，向量之间的相似度越高。为此特征之间的边可使用两个特征之间的余弦值来表示。即图4中的E_i,j。

以3只蚂蚁为例，信息启发式因子α＝1，期望启发因子β＝2，预设信息素蒸发率ρ＝0.5；以4个特征分别记为A～D为例，说明如下：

构建边矩阵，如下式所示：

与该式对应的特征边图如图5所示。

上述矩阵的行、列分别对应特征A～D之间的两两距离，例如AB＝3、AC＝1、AD＝2，以此类推。

对蚂蚁算法进行初始化，具体包括，将特征A～D分别确定为城市A～D，确定蚁群算法中的信息素的初始值，具体包括：

使用贪心算法得到路径(ACDBA)，则根据上述公式(6)得到C^m,n＝1+2+4+3＝10，根据上述公式(4)得到信息素的初始值C＝m/C^m,n＝0.3，则矩阵如下：

也可以采用上述公式(5)计算上述公式中的各矩阵元素。

在上述步骤S2中，装置获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素。为每个蚂蚁随机选择出发特征点，假设蚂蚁1选择特征A，蚂蚁2选择特征B，蚂蚁3选择特征D。

所述获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，包括：

计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，并将各概率按照由小到大的顺序排列；其中，对于第k只蚂蚁，参照上述公式(1)，所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，包括：

分别计算所述已经过当前城市与未经过城市之间的信息素，并将信息启发式因子作为所述信息素的指数进行计算，得到第一指数计算结果；即计算上述公式(1)分子部分中的[τ(i，j)]^α。

分别计算所述已经过当前城市与未经过城市之间的城市路径长度的倒数，并将期望启发因子作为所述倒数的指数进行计算，得到第二指数计算结果；即计算上述公式(1)分子部分中的[η(i，j)]^β。

将所述第一指数计算结果与所述第二指数计算结果之积与所有第一指数计算结果与所有第二指数计算结果之积的总和之间的比值，作为每只蚂蚁的已经过当前城市分别与未经过城市之间的概率。所有第一指数计算结果与所有第二指数计算结果之积的总和对应上述公式(1)分母部分中的

将0、顺序排列的各概率和1两两依次组合，得到各概率数值区间，并生成0～1之间的随机数；以一只蚂蚁1为例，当前特征i＝A，蚂蚁未经过城市集合J_k(i)为{B～D}，根据上述公式(1)计算得到概率如下：

P(B)＝0.033/(0.033+0.3+0.075)＝0.081

P(C)＝0.3/(0.033+0.3+0.075)＝0.74

P(D)＝0.075/(0.033+0.3+0.075)＝0.18

各概率数值区间分别为0～0.081、0.081～0.18、0.18～0.74、0.74～1。如果生成随机数q＝0.05。

确定所述随机数所在的目标概率数值区间，将所述目标概率数值区间中与所述随机数最接近的非0非1端点确定为目标概率；确定q落入在0～0.081中，由于0.05相比于0更接近于0.081，因此，确定0.081为目标概率。

需要说明的是，如果q＝0.03，q落入在0～0.081中，即使0.03相比于0.081更接近于0，由于目标概率限定为非0和非1端点，因此，只可以确定0.081为目标概率。

将与所述目标概率对应的目标城市作为每只蚂蚁经过的下一目标城市，并继续执行所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率以及后续步骤，直到遍历完成所有城市。参照上述举例，目标城市为B，即将目标城市B作为蚂蚁1经过的下一目标城市，同样，假设蚂蚁2选择城市D，蚂蚁3选择城市A。

为每个蚂蚁选择下一访问的特征，同样，本次以蚂蚁1为例，当前城市为i＝B，已经过城市为R^l＝{A,B}，未经过城市J₁(i)＝{C,D}，计算蚂蚁1访问C，D特征的概率，如下：

P(C)＝0.012/(0.012+0.019)＝0.39

P(D)＝0.019/(0.012+0.019)＝0.61

如果再次产生的随机数q＝0.67，则蚂蚁1在C和D组成的轮盘中落在(0.61,1)之间的区域内，因此选择特征D，同样，假设蚂蚁2选择特征D。此时，所有的蚂蚁路径构造完毕，如下所示：

蚂蚁1：A->B->D->C-A

蚂蚁2：B->D->C->A->B

蚂蚁3：D->A->C->B->D

所述根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素，包括：

根据每只蚂蚁经过的所有城市路径确定与经过各城市之间子路径分别对应的目标蚂蚁；参照上述A->B->D->C-A，对于城市之间子路径AB，可以确定蚂蚁1和蚂蚁2中都包括A->B(蚂蚁3中没有A->B)，则确定与城市之间子路径AB对应的目标蚂蚁为蚂蚁1和蚂蚁2。

计算所述目标蚂蚁经过的目标城市路径的倒数之和，得到求和结果；根据上述公式(3)和(6)得到蚂蚁1经过的A->B->D->C-A的倒数为1/10；根据上述公式(3)和(6)得到蚂蚁2经过的B->D->C->A->B的倒数为1/10。求和结果为

根据与各城市之间子路径分别对应的循环计算之前的信息素、预设信息素蒸发率和所述求和结果对所述循环计算之前的信息素进行更新计算，得到信息素更新结果。即参照上述公式(2)根据如下公式计算信息素更新结果：

其中，等号右侧的τ_AB为循环计算之前的信息素。等号左侧的τ_AB为信息素更新结果。同理可以计算得到：

得到如下矩阵：

在上述步骤S3中，装置若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。所述若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，包括：

若确定所述蚁群算法的循环次数达到预设循环次数阈值，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。预设循环次数阈值可以根据实际情况自主设置。预设个数城市可以根据实际情况自主设置。经过1次迭代后，发现各个边的信息素均发生了变化，与初始化的信息素0.3比较，仅有AB和BD的信息素变高，其余低于0.3，可以初步选出ABD三个特征，以此类推，计算出的信息素再进行迭代，最终选出信息素较高的特征(淘汰趋向于0的信息素的特征)。

若确定所述蚁群算法的所有蚂蚁都经过同一条城市路径，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。所有蚂蚁都经过同一条城市路径，即属于停滞状态，可以通过最后的信息素判断是否趋近于0，越趋近于0就表示停滞。

本发明实施例提供的网络入侵特征确定方法，获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

进一步地，所述若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，包括：

若确定所述蚁群算法的循环次数达到预设循环次数阈值，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。可参照上述说明，不再赘述。

本发明实施例提供的网络入侵特征确定方法，进一步能够自主可控地实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

若确定所述蚁群算法的所有蚂蚁都经过同一条城市路径，则选取信息素更新结果数值排名靠前的预设个数城市对应的网络入侵特征作为所述目标网络入侵特征。可参照上述说明，不再赘述。

进一步地，所述根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素，包括：

根据每只蚂蚁经过的所有城市路径确定与经过各城市之间子路径分别对应的目标蚂蚁；可参照上述说明，不再赘述。

计算所述目标蚂蚁经过的目标城市路径的倒数之和，得到求和结果；可参照上述说明，不再赘述。

根据与各城市之间子路径分别对应的循环计算之前的信息素、预设信息素蒸发率和所述求和结果对所述循环计算之前的信息素进行更新计算，得到信息素更新结果。可参照上述说明，不再赘述。

本发明实施例提供的网络入侵特征确定方法，能够准确计算信息素更新结果，保证选择的网络入侵特征的有效性。

进一步地，所述获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，包括：

计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，并将各概率按照由小到大的顺序排列；可参照上述说明，不再赘述。

将0、顺序排列的各概率和1两两依次组合，得到各概率数值区间，并生成0～1之间的随机数；可参照上述说明，不再赘述。

确定所述随机数所在的目标概率数值区间，将所述目标概率数值区间中与所述随机数最接近的非0非1端点确定为目标概率；可参照上述说明，不再赘述。

将与所述目标概率对应的目标城市作为每只蚂蚁经过的下一目标城市，并继续执行所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率以及后续步骤，直到遍历完成所有城市。可参照上述说明，不再赘述。

本发明实施例提供的网络入侵特征确定方法，方便获取蚁群算法中的每只蚂蚁经过的所有城市路径，进一步提高方案运行效率。

进一步地，所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，包括：

分别计算所述已经过当前城市与未经过城市之间的信息素，并将信息启发式因子作为所述信息素的指数进行计算，得到第一指数计算结果；可参照上述说明，不再赘述。

分别计算所述已经过当前城市与未经过城市之间的城市路径长度的倒数，并将期望启发因子作为所述倒数的指数进行计算，得到第二指数计算结果；可参照上述说明，不再赘述。

将所述第一指数计算结果与所述第二指数计算结果之积与所有第一指数计算结果与所有第二指数计算结果之积的总和之间的比值，作为每只蚂蚁的已经过当前城市分别与未经过城市之间的概率。可参照上述说明，不再赘述。

本发明实施例提供的网络入侵特征确定方法，进一步方便计算蚁群算法中的每只蚂蚁经过的所有城市路径，进一步提高方案运行效率。

进一步地，如图6所示，在所述获取多维度的网络入侵特征的步骤之前，所述网络入侵特征确定方法还包括：

对审计记录数据进行数据预处理，得到所述多维度的网络入侵特征。针对银行所有的审计记录数据，包含入侵数据，先进行数据的预处理，对预处理后的特征及其数据使用蚁群算法进行特征选择，选取冗余度最小的特征子集，最后对选择后的特征子集使用机器学习(svm)进行异常入侵的识别。为了验证实验结果的准确性，采用了五重折叠交叉来分别进行训练和测试保证验证的准确率。预处理其步骤如下：

1)将一些标签特征这个转化为数值。

2)删除特征集中的缺失值所在行。

3)对特征数据集进行归一化。

为了提高结果的可信度，采用五重折叠验证的进行验证，折叠交叉验证是一种在机器学习中用于评估机器学习模型性能的统计验证技术。它使用数据集的子集，对其进行训练，然后使用未用于训练的数据集的互补子集来评估模型的性能。它可以保证模型正确地从数据中捕获模式，而不考虑来自数据的干扰。

本发明实施例提供的网络入侵特征确定方法，能够进一步去除冗余数据。

进一步地，本发明实施例提供一种基于网络入侵特征确定方法的异常入侵识别方法，包括：

获取所述目标网络入侵特征；即获取上述特征降维后保留的目标网络入侵特征。

基于预设异常入侵识别模型对所述目标网络入侵特征进行识别，得到异常入侵识别结果；可以输入目标网络入侵特征至预设异常入侵识别模型，将预设异常入侵识别模型的输出结果作为异常入侵识别结果，如果异常入侵识别结果为存在异常入侵，则说明当前网络存在安全隐患；如果异常入侵识别结果为不存在异常入侵，则说明当前网络处于安全状态。

其中，所述预设异常入侵识别模型根据网络入侵特征样本数据训练机器学习模型得到。网络入侵特征样本数据可以经过数据采集、清洗、标准化处理以及标注标签等处理得到，机器学习模型可以包括随机森林分类模型。

训练方法可以采用本领域常规训练方法，不再赘述。

本发明实施例提供的网络入侵特征确定方法，能够进一步快速和准确地进行异常入侵识别。

需要说明的是，本发明实施例提供的网络入侵特征确定方法可用于金融领域，也可用于除金融领域之外的任意技术领域，本发明实施例对网络入侵特征确定方法的应用领域不做限定。

图7是本发明一实施例提供的网络入侵特征确定装置的结构示意图，如图7所示，本发明实施例提供的网络入侵特征确定装置，包括获取单元701、更新单元702和确定单元703，其中：

获取单元701用于获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；更新单元702用于获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；确定单元703用于若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。

具体的，装置中的获取单元701用于获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；更新单元702用于获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；确定单元703用于若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征。

本发明实施例提供的网络入侵特征确定装置，获取多维度的网络入侵特征，将各维度分别对应的网络入侵特征分别确定为蚁群算法中的各城市；获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，并根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素；若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

进一步地，所述确定单元703具体用于：

本发明实施例提供的网络入侵特征确定装置，进一步能够自主可控地实现对多维度的网络入侵特征进行降维处理，进而保证特征应用时系统运行性能效率。

进一步地，所述确定单元703具体用于：

进一步地，所述更新单元702具体用于：

本发明实施例提供的网络入侵特征确定装置，能够准确计算信息素更新结果，保证选择的网络入侵特征的有效性。

进一步地，所述更新单元702具体用于：

本发明实施例提供的网络入侵特征确定装置，方便获取蚁群算法中的每只蚂蚁经过的所有城市路径，进一步提高方案运行效率。

进一步地，所述更新单元702还具体用于：

本发明实施例提供的网络入侵特征确定装置，进一步方便计算蚁群算法中的每只蚂蚁经过的所有城市路径，进一步提高方案运行效率。

进一步地，在所述获取多维度的网络入侵特征的步骤之前，所述网络入侵特征确定装置还用于：

本发明实施例提供的网络入侵特征确定装置，能够进一步去除冗余数据。

进一步地，所述网络入侵特征确定装置还用于：

获取所述目标网络入侵特征。

基于预设异常入侵识别模型对所述目标网络入侵特征进行识别，得到异常入侵识别结果。

本发明实施例提供的网络入侵特征确定装置，能够进一步快速和准确地进行异常入侵识别。

本发明实施例提供网络入侵特征确定装置的实施例具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

图8为本发明实施例提供的电子设备实体结构示意图，如图8所示，所述电子设备包括：处理器(processor)801、存储器(memory)802和总线803；

其中，所述处理器801、存储器802通过总线803完成相互间的通信；

所述处理器801用于调用所述存储器802中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：

本实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述各方法实施例所提供的方法，例如包括：

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在本说明书的描述中，参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种网络入侵特征确定方法，其特征在于，包括：

2.根据权利要求1所述的网络入侵特征确定方法，其特征在于，所述若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，包括：

3.根据权利要求1所述的网络入侵特征确定方法，其特征在于，所述若确定满足预设蚁群算法终止条件，则根据此时的信息素更新结果确定特征降维后保留的目标网络入侵特征，包括：

4.根据权利要求1所述的网络入侵特征确定方法，其特征在于，所述根据所有蚂蚁分别经过的所有城市路径更新所述蚁群算法中的信息素，包括：

5.根据权利要求1所述的网络入侵特征确定方法，其特征在于，所述获取所述蚁群算法中的每只蚂蚁经过的所有城市路径，包括：

6.根据权利要求5所述的网络入侵特征确定方法，其特征在于，所述计算每只蚂蚁的已经过当前城市分别与未经过城市之间的概率，包括：

7.根据权利要求1所述的网络入侵特征确定方法，其特征在于，在所述获取多维度的网络入侵特征的步骤之前，所述网络入侵特征确定方法还包括：

8.一种基于如权利要求1至7任一所述网络入侵特征确定方法的异常入侵识别方法，其特征在于，包括：

获取所述目标网络入侵特征；

9.一种网络入侵特征确定装置，其特征在于，包括：

10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述方法的步骤。