[发明专利]一种基于决策机和特征选择的快速入侵检测方法

说明书

本发明公开了一种基于决策机和特征选择的快速入侵检测方法，包括如下步骤：1）预处理；2）特征选择；3）构建决策机，并对决策机模型进行训练；4）根据决策机获得重构决策树模型的参数，并重构决策树。这种方法不仅入侵检测识别率高以及训练检测模型时间短，而且提高了入侵检测系统的可解释能力。

技术领域

本发明涉及信息安全领域，具体是一种基于决策机和特征选择的快速入侵检测方法。

背景技术

网络技术快速发展的今天，人们越来越依赖网络进行信息处理。网络给人们带来便捷的同时，也存在这许多安全问题，因此网络安全技术显得尤为重要。其中，入侵检测技术就是一个有效的方式。入侵检测技术可以主动地收集各种网络数据以及用户活动状态等多方面的信息，进行安全性分析，从而及时的发现各种网络入侵行为并做出响应。目前的大多数的入侵检测技术尽管在预测性能上非常的高，但是他们的无论对检测模型还是对检测结果的可解释性能力十分的有限。

发明内容

本发明的目的是针对现有技术中存在的不足，而提供一种基于决策机和特征选择的快速入侵检测方法。这种方法不仅入侵检测识别率高以及训练检测模型时间短，而且提高了入侵检测系统的可解释能力。

实现本发明目的的技术方案是：

一种基于决策机和特征选择的快速入侵检测方法，包括如下步骤：

1)对数据集UNSW-NB15进行预处理，预处理的过程为：

1.1)删除数据集中列名为”id”和”attack_cat”的列；

1.2)对列名为”proto”、”service”和”state”的列进行编码；

1.3)使用最小最大规范化方法对数据进行规范化，最小最大规范化方法定义为

2)使用信息增益方法对数据集进行特征选择，对数据集进行特征选择的过程为：

2.1)使用信息增益对数据集中的数据进行计算，信息增益方法定义为InfoGain＝H(D)-H(D|A),其中

2.2)依据计算结果进行排序，选择信息增益值排前11的特征；

3)构建决策机，并对决策机模型进行训练：

3.1)定义决策机的总体架构，其定义的数学公式为

其中，S为特征矩阵，t为阈值向量，m为决策矩阵，h为第二层的输出，B为模板矩阵；

3.2)根据公式，决策机由4层全连接网络组成：第一层为输入层；第二层定义激活函数为tanh(.)，偏置做最大最小范式限制，最大最小范式限制定义为其中clip(.)为剪裁函数，主要作用是将输入限制在[0,1]区间内；desired＝1×clip(norms,0,1)；第三层根据模板矩阵计算增广模板矩阵，计算公式定义为并以softmax(.)为激活函数计算；第四层为输出层，激活函数为sigmoid(.)；

4)根据决策机获得重构决策树模型的参数，并重构决策树：

4.1)一棵决策二叉树从数学层面可以定义为其中diag(.)将向量映射到对角矩阵；向量x和t是中的实向量；矩阵S为中决策树的特征矩阵；sgn(.)是sign或signum函数；矩阵B是(±1,0)^L×(L-1)中决策树的模板矩阵；对于i＝1,2,···,L，向量B_i是矩阵B的第i行；‖·‖₁是实向量的l₁范数；v是节点向量；

4.2)由决策机模型的第二层可以得到特征矩阵S和阈值向量t；由第三层可以得到模板矩阵B；由第四层可以得到决策矩阵m；