CN107832830A - 基于改进型灰狼优化算法的入侵检测***特征选择方法 - Google Patents

Abstract

本发明公开了一种基于改进型灰狼优化算法的入侵检测***特征选择方法，首先构建样本集，然后获取最优特征子集；本发明采用了最新的智能算法—灰狼算法，且在特征选择方面加以了改进。相比于现有技术，算法本身步骤大大简化，提高现有入侵检测***的检测准确度和***效率，且算法本身就自带控制参数，随着搜索的深入可以自动更换算法的搜索策略，减少了算法陷入局部最优解的概率。

Description

基于改进型灰狼优化算法的入侵检测***特征选择方法

技术领域

本发明属于信息安全技术领域，涉及一种入侵检测***特征选择方法，具体涉及一种基于改进型灰狼优化算法的入侵检测***特征选择方法。

背景技术

在科技高速发展的今天，互联网的使用随处可见，无论从公司的产业链还是工厂的流水线，都会出现互联网的身影。但是随着全球电子商务时代的来临，对信息安全的防护也是越来越重要。几乎所有的公司机构和制造工厂都必须通过互联网连接在一起，而互联网是一个开放的环境，任何形式的攻击都会在互联网上传播，国内外各大站点都会遭受钓鱼网站，木马病毒的入侵攻击。所以，构建一个有效地入侵检测***(IDS)刻不容缓。IDS是用来收集和检测计算机和网络中的入侵攻击。所有的IDS都无外乎都使用了这两种入侵检测方法中的其中一种:基于异常或者基于特征。在基于异常的入侵检测***中，计算机通过收集正常操作行为的数据来构建一个描述正常操作行为特征的模型，然后检测任何有别于该模型的不可接受的行为。基于异常的入侵检测***具有低误报率和检测未知攻击行为的特点。而在基于特征的入侵检测***中，包括正常行为和不正常行为在内的所有操作记录都会被收集起来，然后***通过对当前操作记录和已收集操作记录的对比来检测不明的入侵攻击。

特征选择的目的是从数据中提取出重要的特征，移除冗余的特征。特征选择能够减少数据维度，提高预测性能，减少过拟合和增强对特征和特征值之间的理解等优点。在现实世界中，我们所要分类的数据常常拥有大量冗余的特征，这就意味着数据中的某些特征可以被其他特征所代替，而被代替的特征在分类的过程中可以被移除，更进一步来讲，特征之间的相互联系对分类的输出效果有很大的影响，如果我们能找出之间的联系，那么我们就能挖掘出潜藏在数据中的大量信息。

所有的特征选择算法都可以分为以下三类:过滤式，嵌入式，包裹式。过滤式方法实现将数据集先进行特征选择，然后在训练分类器，两者割裂开来。该方法的关键是找到一种度量特征重要性的方法，比如pearson相关系数，互信息等。然后再根据其度量大小进行排序，选择度量值排序靠前的特征作为分类标准的特征。但是该方法的缺点是忽视了特征之间的相互依赖关系，一方面，排序靠前的特征，如果某些特征之间相关性较强，则相当于引入了冗余的特征。另一方面，排序靠后的特征，虽然其度量值不大，价值不明显，但是与其他特征独立，与其他特征组合在一起，就有很好的预测作用，如此就损失了有价值的特征。嵌入式方法是将特征选择过程融合到学习器训练过程中，两者在统一过程中完成，比如lasso岭回归。包裹式方法的核心思想是在给定了一个训练模型和预测效果的评价方法下，针对特征空间中的不同的特征子集，评价每个子集的预测效果，选择预测效果最好的特征子集作为最终被挑选出来的训练子集。该方法优点是考虑到了特征之间的相互依赖关系，所以通过包裹式方法选择出的特征子集的预测效果要好于过滤式，但是由于特征子集是一个指数级的量级，所以该方法的缺点是计算量较大。所以针对如何高效的搜索整个特征空间，就产生了不同的算法。

遗传算法是第一个被用来解决该问题的智能算法，遗传算法的思想来源于自然界生物群体之间的生殖遗传过程，把优化问题的解看成是一条基因，然后整个种群之间进行基因交流，包括交叉，变异。自然环境可以看成是目标函数，对自然环境有很高适应度的基因将会被保留下来，遗传给下一代。遗传算法具有解决复杂的非线性优化问题的能力。但是遗传算法存在很多缺点比如运算效率低下和容易陷入局部最优解。

灰狼算法(GWO)是被最近投入使用的进化算法，该算法通过模拟狼群捕食猎物的过程，来寻找所要捕食的猎物的位置，也就是优化问题的最优解。本发明就采用了该方法，且在特征选择方面加以了改进。

发明内容

为了解决上述技术问题，本发明提供了一种基于改进型灰狼优化算法的入侵检测***特征选择方法。

本发明所采用的技术方案是：一种基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于，包括以下步骤：

步骤1：输入所抓取的入侵数据，将含有标签的样本组成训练集T；

步骤2：初始化当前迭代次数、狼个体编号、狼群种群大小以及每一头狼个体的位置向量；

步骤3：根据位置向量计算每头狼的编码向量，并根据编码向量计算每一头狼的适应值；

步骤4：设定最大迭代次数为max_iter，根据适应值大小选取前三作为α，β和δ；

步骤5：更新每头狼的编码向量，并重新计算每头狼的适应值；

具体包括以下子步骤：

步骤5.1：初始化算法所需要的全局参数。

步骤5.2：确定并计算需要做交换的向量；

步骤5.3：使用已经规定好的交换策略对向量进行交换；

步骤5.4：对已经进行交换后的向量，使用步骤三中计算适应值的方法计算新向量的适应值。

步骤6：更新α，β和δ的编码向量；

步骤7：判断t是否大于max_iter，若满足条件则输出α的编码向量，否则令t＝t+1后返回执行步骤5。

本发明采用了最新的智能算法—灰狼算法，且在特征选择方面加以了改进。相比于现有技术，算法本身步骤大大简化，提高现有入侵检测***的检测准确度和***效率，且算法本身就自带控制参数，随着搜索的深入可以自动更换算法的搜索策略，减少了算法陷入局部最优解的概率。

本发明采用了最新的智能算法—灰狼算法，且在特征选择方面加以了改进。相比于现有技术，算法本身步骤大大简化，提高现有入侵检测***的检测准确度和***效率，且算法本身就自带控制参数，随着搜索的深入可以自动更换算法的搜索策略，减少了算法陷入局部最优解的概率。

附图说明

图1为本发明实施例的流程图；

图2为本发明实施例中算法运行次数逐渐增长的情况下，使用BGWO进行特征选择后检测错误率和平均特征数的变化情况；

图3为本发明实施例中算法运行次数逐渐增长的情况下，使用EBGWO进行特征选择后检测错误率和平均特征数的变化情况。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种基于改进型灰狼优化算法的入侵检测***特征选择方法，包括以下步骤：

步骤1、输入所抓取的入侵数据，将含有标签的样本组成训练集；

输入所抓取的入侵数据，每一条入侵数据用一个特征向量表示，是指将已经收集到，且已知标签(即是否是入侵行为，是何种入侵行为)的入侵数据，用一条含有许多特征的向量表示，向量的每一维表示该数据的一个特征，网络的入侵数据的特征有很多种，如连接持续时间，协议类型，传送的字节数等。数据特征总数不固定，与入侵检测***所使用的数据包抓取工具有关。

步骤2，初始化算法当前迭代次数，狼个体编号，狼群种群大小以及每一头狼个体的位置向量；

初始化迭代次数t＝1，狼个体初始编号i＝1，设狼群种群大小为K，每一头狼的位置均为入侵检测问题的候选解，对于从i＝1,2，…K的狼个体，在(0,max)内随机初始化狼群中狼i的位置向量向量维数为N，其中max表示狼个体的位置最大值，max可以根据实际情况进行选择，本实施例中设K＝12，max＝1；

步骤3，根据位置向量计算每头狼的编码向量，并根据编码向量计算每一头狼的适应值；

需要找到一个映射函数f，能够将(0,max)区间内的值映射到{0,1}该离散集合中，并且保证在(0,max)中存在一个数δ，使得对于所有的temp1∈(0，δ)和temp2∈[δ,max)，都有f(temp1)<f(temp2)。

根据位置向量计算每头狼的编码向量用如下等式将灰狼的位置从连续的值转变为0、1二进制编码值；

其中position(i,j)表示中第j维的值，bin_position(i,j)表示中第j维的值；

根据狼的二进制编码向量计算狼的适应值，按如下步骤计算:

在狼的编码向量1代表特征被选中，0代表特征未被选中，令训练集T在编码向量对应选中特征下的训练集为T_solve，利用分类器计算将T_solve进行分类后的平均精度(或分类错误率)，将该精度作为狼群编码向量所对应的适应值P_i，其中分类器可以根据实际情况进行选择，本发明中所选用的分类器为KNN分类器，其中分类器中K的值设定为5。

步骤4，设定最大迭代次数为max_iter，根据适应值大小选取前三作为α，β和δ；

设定最大迭代次数max_iter，然后选择适应值P_i最优的狼的编码向量作为α的编码向量。适应值的优良是相对的，和所选取的适应值函数的意义有关，本发明选取的是分类错误率作为狼的适应值，分类错误率越低，表明分类效果越好，就是所选个体狼越优。

故本发明中初始化α，β和δ分为以下三个子步骤:

步骤4.1:选择适应值P_i最低的狼初始化α的编码向量为狼j的编码向量

子步骤4.2:删去j后，再在剩余狼个体中选择适应值P_i最低的狼初始化β的编码向量为狼n的编码向量

子步骤4.3:删去n后，最后在剩余狼个体中选择适应值P_i最低的狼初始化δ的编码向量为狼m的编码向量

步骤5，根据交叉策略更新每头狼的编码向量，并重新计算每头狼的适应值。

该步骤是本发明的核心，也是创新点，本发明在此步改进了现有的灰狼优化算法的缺陷，使得数据特征更进一步的优化，从而使入侵检测***的检车准确度和***效率更进一步的提升。具体实现时首先初始化形式参数m＝1，然后执行以下子步骤：

步骤5.1：初始化d＝1，计算参数a、和

其中t表示当前算法迭代次数，和为取值区间在[0,1]上的随机向量，维度为N；

步骤5.2：确定要计算交换策略函数f()的三个参数x₁,x₂,x₃需要的n值，x₁,x₂,x₃中的第d维的取值为：

表示首领n狼在第d维度的取值，表示所选个体狼在第d维度距离首领n狼的二元距离步长；

n的取值与m有关，满足下的关系：

例如:当计算x₁的第d维的值时，此时m＝1，根据关系式，n＝α，则应该计算的值，然后在来计算的值。故可以确定计算需要先得到n的取值，然后再得到和而表示首领n狼在d维的值，在前述步骤中已经得到确定，所以只需计算出即可。

步骤5.3：计算

其中和表示在第t次迭代中α、β和δ的位置向量，表示狼i在迭代次数为t下的位置向量；

步骤5.4：计算和

其中表示所选个体狼距离所选的个体i狼的连续距离步长，A^d表示中第d维度的值；表示步骤5.3中得出的首领n狼的D向量第d维度的值，rand为[0,1]区间里任意的随机数；

步骤5.5：将带入子步骤5.2中，得出

步骤5.6：重复上述步骤5.1-步骤5.5，直至算出x₁,x₂,x₃；判断d是否等于N，若不相等，d加1后重复上述步骤5.2-步骤5.5，直至算出x_m所有维度的值；

步骤5.7：判断m是否等于3，若不等于，m加1后重复步骤5.1-5.6；

步骤5.8：使用以下更新策略更新狼编码向量中的每一维；

其中和表示x₁,x₂,x₃在第d维的取值，rand表示[0,1]区间里任意的随机数；

步骤5.9：利用更新后的计算狼i新的适应值P_i。

将原始训练集T在编码向量保留其对应选中特征，删除未选中特征，得到新训练集为T_solve。再利用分类器计算将T_solve进行分类后的平均精度(或分类错误率)，将该精度作为狼群编码向量所对应的适应值P_i。

判断在本次迭代中是否已经更新完所有个体的二进制编码向量和适应值，即判断i是否等于种群大小K，若不相等，将i加一后返回步骤5.1，若相等，进行下一步。

步骤6，更新α，β和δ的编码向量。

更新α，β和δ的编码向量的方法为:对更新后的狼个体适应值进行排序，选择适应值前三的三头狼的适应值P_α'，P_β'和P_δ'与原来α，β和δ的适应值P_α，P_β和P_δ进行对应比较，若新适应值P_i'要优于原来适应值P_i，则将所对应的编码向量更新为新适应值所对应的编码向量否则不更新。

步骤7，判断t是否大于max_iter，若满足条件则输出α的编码向量，否则令t＝t+1后返回步骤5。

若t大于max_iter，若满足条件则终止迭代并根据α的编码向量确定最优的特征子集，该α的编码向量代表着最优特征子集的二进制串，1代表特征被选中，0代表特征未被选中，输出中取值为1的维数所对应的特征。

若t不等于max_iter，则表明算法未完成，令t＝t+1后返回步骤5。

本发明的效果可以用一下对比实验来说明

1.仿真条件:

实验所使用的数据集为KDD99网络入侵数据集，将该数据集平均分成两份，一份作为训练集，另一份作为测试集。实验中，各种方法所使用的语言都由matlab实现。

2.实验内容和结果

利用KDDCUP1999数据集作为数据集，使用matlab中KNN算法作为分类器进行检测，然后获取现有的入侵检测特征选择算法BGWO和本发明改进型灰狼优化算法EBGWO两种算法在不同运行次数下入侵检测的检测错误率和数据平均特征选择数作为算法评价。

KDDCUP1999据集包含了25912条样本记录，每条数据有41个特征和一个标签组成，每一个标签代表着一种攻击类型。从中选取前12956条数据作为训练集，后12956条作为测试集。狼群种群个体数设定为12，算法迭代次数max_itr设定为6.实验选用KNN作为分类器，其中K取5.

实验结果如图2，图3所示，图2和图3分别表示了算法运行次数逐渐增长的情况下，使用BGWO和使用EBGWO进行特征选择后检测错误率和平均特征数的变化情况。由图2可知，两种算法运行次数越大，***检测到错误率也就越小，当算法运行200次(第10次试验)时，使用BGWO进行特征选择后的检测的错误率有2.89％，而使用EBGWO进行特征选择后的检测错误率减少到2.73％,EBGWO的检测效果相比于BGWO提高了5.5％。而且还可以看出，当算法运行100次(第5次试验)以上时，使用EBGWO的检测效果要优于使用BGWO，且趋势不断增大。同样，由图3可知，运行次数越大，两种算法所选择的平均特征数目逐渐减少。当进行第10次试验时，使用BGWO所选择的平均特征数有27.2，而使用EBGWO所选择的平均特征数减少到26.2。

综上，相较于BGWO，EBGWO对其二元化策略做出了改进，用遗传算法中的交叉策略代替了传统二元灰狼算法中的位置更新。实验表明,相较于BGWO，EBGWO可以更进一步降低***检测的错误率，减少所选特征数目，进而提高了IDS的运行效率。

相比于现有技术，本发明本身步骤大大简化，提高现有入侵检测***的检测准确度和***效率，且方法本身就自带控制参数，随着搜索的深入可以自动更换算法的搜索策略，减少了方法陷入局部最优解的概率。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (6)

1.一种基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于，包括以下步骤：

步骤1：输入所抓取的入侵数据，将含有标签的样本组成训练集T；

步骤2：初始化当前迭代次数、狼个体编号、狼群种群大小以及每一头狼个体的位置向量；

步骤3：根据位置向量计算每头狼的编码向量，并根据编码向量计算每一头狼的适应值；

步骤4：设定最大迭代次数为max_iter，根据适应值大小选取前三作为α，β和δ；

步骤5：更新每头狼的编码向量，并重新计算每头狼的适应值；

步骤6：更新α，β和δ的编码向量；

步骤7：判断t是否大于max_iter，若满足条件则输出α的编码向量，否则令t＝t+1后返回执行步骤5。

2.根据权利要求1所述的基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于：步骤1中，将已经收集到，且已知标签的入侵数据，用一条含有若干特征的向量表示，向量的每一维表示该数据的一个特征；所述标签的内容包括是否是入侵行为、是何种入侵行为；所述特征包括连接持续时间、协议类型、传送的字节数。

3.根据权利要求1所述的基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于：步骤2中，初始化迭代次数t＝1，狼个体初始编号i＝1，设狼群种群大小为K，每一头狼的位置均为入侵检测问题的候选解，对于从i＝1,2，…K的狼个体，在(0,max)内随机初始化狼群中狼i的位置向量向量维数为N，其中max表示狼个体的位置最大值。

4.根据权利要求3所述的基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于：步骤3中，根据位置向量计算每头狼的编码向量用如下等式将灰狼的位置从连续的值转变为0、1二进制编码值；

<mrow> <mo>&amp;ForAll;</mo> <mi>i</mi> <mo>&amp;ForAll;</mo> <mi>j</mi> <mi> </mi> <mi>b</mi> <mi>i</mi> <mi>n</mi> <mo>_</mo> <mi>p</mi> <mi>o</mi> <mi>s</mi> <mi>i</mi> <mi>t</mi> <mi>i</mi> <mi>o</mi> <mi>n</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mi>f</mi> </mrow> </mtd> <mtd> <mrow> <mi>p</mi> <mi>o</mi> <mi>s</mi> <mi>i</mi> <mi>t</mi> <mi>i</mi> <mi>o</mi> <mi>n</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> <mo>&amp;le;</mo> <mn>0.5</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mi>f</mi> </mrow> </mtd> <mtd> <mrow> <mi>p</mi> <mi>o</mi> <mi>s</mi> <mi>i</mi> <mi>t</mi> <mi>i</mi> <mi>o</mi> <mi>n</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> <mo>&gt;</mo> <mn>0.5</mn> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

其中position(i,j)表示中第j维的值，bin_position(i,j)表示中第j维的值；

根据狼的二进制编码向量计算狼的适应值，具体实现过程是：在狼的编码向量中，1代表特征被选中，0代表特征未被选中，令训练集T在编码向量对应选中特征下的训练集为T_solve，利用分类器计算将T_solve进行分类后的平均精度或分类错误率，将该精度作为狼群编码向量所对应的适应值P_i。

5.根据权利要求3所述的基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于：步骤5中，根据交叉策略更新每头狼的编码向量，并重新计算每头狼的适应值；首先初始化形式参数m＝1，然后执行以下子步骤：

步骤5.1：初始化d＝1,计算参数a、和

<mrow> <mi>a</mi> <mo>=</mo> <mn>2</mn> <mo>-</mo> <mi>t</mi> <mfrac> <mn>2</mn> <mrow> <mi>max</mi> <mo>_</mo> <mi>i</mi> <mi>t</mi> <mi>e</mi> <mi>r</mi> </mrow> </mfrac> <mo>,</mo> <mover> <mi>C</mi> <mo>&amp;RightArrow;</mo> </mover> <mo>=</mo> <mn>2</mn> <mover> <msub> <mi>r</mi> <mn>1</mn> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>,</mo> <mover> <mi>A</mi> <mo>&amp;RightArrow;</mo> </mover> <mo>=</mo> <mn>2</mn> <mi>a</mi> <mo>&amp;CenterDot;</mo> <mover> <msub> <mi>r</mi> <mn>2</mn> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>-</mo> <mi>a</mi> </mrow>

其中t表示当前算法迭代次数，和为取值区间在[0,1]上的随机向量，维度为N；

步骤5.2：确定要计算交换策略函数f()的三个参数x₁,x₂,x₃需要的n值，x₁,x₂,x₃中的第d维的取值为：

<mrow> <msubsup> <mi>x</mi> <mi>m</mi> <mi>d</mi> </msubsup> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mtable> <mtr> <mtd> <mrow> <mi>i</mi> <mi>f</mi> </mrow> </mtd> <mtd> <mrow> <mo>(</mo> <msubsup> <mi>x</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>+</mo> <msubsup> <mi>bstep</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>)</mo> <mo>&amp;GreaterEqual;</mo> <mn>1</mn> </mrow> </mtd> </mtr> </mtable> </mtd> </mtr> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>o</mi> <mi>t</mi> <mi>h</mi> <mi>e</mi> <mi>r</mi> <mi>w</mi> <mi>i</mi> <mi>s</mi> <mi>e</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

<mrow> <mi>n</mi> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mi>&amp;alpha;</mi> </mtd> <mtd> <mrow> <mi>m</mi> <mo>=</mo> <mn>1</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mi>&amp;beta;</mi> </mtd> <mtd> <mrow> <mi>m</mi> <mo>=</mo> <mn>2</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mi>&amp;delta;</mi> </mtd> <mtd> <mrow> <mi>m</mi> <mo>=</mo> <mn>3</mn> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

表示首领n狼在第d维度的取值，表示所选个体狼在第d维度距离首领n狼的二元距离步长；

步骤5.3：计算

<mrow> <mover> <msub> <mi>D</mi> <mi>&amp;alpha;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>=</mo> <mrow> <mo>|</mo> <mrow> <mover> <mi>C</mi> <mo>&amp;RightArrow;</mo> </mover> <mo>&amp;CenterDot;</mo> <mover> <msub> <mi>X</mi> <mi>&amp;alpha;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>-</mo> <msubsup> <mover> <mi>X</mi> <mo>&amp;RightArrow;</mo> </mover> <mi>i</mi> <mi>t</mi> </msubsup> </mrow> <mo>|</mo> </mrow> </mrow>

<mrow> <mover> <msub> <mi>D</mi> <mi>&amp;beta;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>=</mo> <mrow> <mo>|</mo> <mrow> <mover> <mi>C</mi> <mo>&amp;RightArrow;</mo> </mover> <mo>&amp;CenterDot;</mo> <mover> <msub> <mi>X</mi> <mi>&amp;beta;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>-</mo> <msubsup> <mover> <mi>X</mi> <mo>&amp;RightArrow;</mo> </mover> <mi>i</mi> <mi>t</mi> </msubsup> </mrow> <mo>|</mo> </mrow> </mrow>

<mrow> <mover> <msub> <mi>D</mi> <mi>&amp;delta;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>=</mo> <mrow> <mo>|</mo> <mrow> <mover> <mi>C</mi> <mo>&amp;RightArrow;</mo> </mover> <mo>&amp;CenterDot;</mo> <mover> <msub> <mi>X</mi> <mi>&amp;delta;</mi> </msub> <mo>&amp;RightArrow;</mo> </mover> <mo>-</mo> <msubsup> <mover> <mi>X</mi> <mo>&amp;RightArrow;</mo> </mover> <mi>i</mi> <mi>t</mi> </msubsup> </mrow> <mo>|</mo> </mrow> </mrow>

其中和表示在第t次迭代中α、β和δ的位置向量，表示狼i在迭代次数为t下的位置向量；

步骤5.4：计算和

<mrow> <msubsup> <mi>cstep</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>=</mo> <mfrac> <mn>1</mn> <mrow> <mn>1</mn> <mo>+</mo> <msup> <mi>e</mi> <mrow> <mo>-</mo> <mn>10</mn> <mrow> <mo>(</mo> <msup> <mi>A</mi> <mi>d</mi> </msup> <msubsup> <mi>D</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>-</mo> <mn>0.5</mn> <mo>)</mo> </mrow> </mrow> </msup> </mrow> </mfrac> <mo>;</mo> </mrow>

<mrow> <msubsup> <mi>bstep</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mtable> <mtr> <mtd> <mrow> <mi>i</mi> <mi>f</mi> </mrow> </mtd> <mtd> <mrow> <msubsup> <mi>cstep</mi> <mi>n</mi> <mi>d</mi> </msubsup> <mo>&amp;GreaterEqual;</mo> <mi>r</mi> <mi>a</mi> <mi>n</mi> <mi>d</mi> </mrow> </mtd> </mtr> </mtable> </mtd> </mtr> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>o</mi> <mi>t</mi> <mi>h</mi> <mi>e</mi> <mi>r</mi> <mi>w</mi> <mi>i</mi> <mi>s</mi> <mi>e</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

其中表示所选个体狼距离所选的个体i狼的连续距离步长，A^d表示中第d维度的值；表示步骤5.3中得出的首领n狼的D向量第d维度的值，rand为[0,1]区间里任意的随机数；

步骤5.5：将带入子步骤5.2中，得出

步骤5.6：重复上述步骤5.2-步骤5.5，直至算出所有维度的值；判断d是否等于N，若不相等，d加1后重复上述步骤5.2-步骤5.5；

步骤5.7：判断m是否等于3，若不等于，m加1后重复步骤5.1-5.6；

步骤5.8：使用以下更新策略更新狼编码向量中的每一维；

<mrow> <msub> <mi>B</mi> <mi>d</mi> </msub> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <msubsup> <mi>x</mi> <mn>1</mn> <mi>d</mi> </msubsup> </mtd> <mtd> <mtable> <mtr> <mtd> <mrow> <mi>i</mi> <mi>f</mi> </mrow> </mtd> <mtd> <mrow> <mi>r</mi> <mi>a</mi> <mi>n</mi> <mi>d</mi> <mo>&lt;</mo> <mfrac> <mn>1</mn> <mn>3</mn> </mfrac> </mrow> </mtd> </mtr> </mtable> </mtd> </mtr> <mtr> <mtd> <msubsup> <mi>x</mi> <mn>2</mn> <mi>d</mi> </msubsup> </mtd> <mtd> <mrow> <mi>i</mi> <mi>f</mi> <mfrac> <mn>1</mn> <mn>3</mn> </mfrac> <mo>&lt;</mo> <mi>r</mi> <mi>a</mi> <mi>n</mi> <mi>d</mi> <mo>&lt;</mo> <mfrac> <mn>2</mn> <mn>3</mn> </mfrac> </mrow> </mtd> </mtr> <mtr> <mtd> <msubsup> <mi>x</mi> <mn>3</mn> <mi>d</mi> </msubsup> </mtd> <mtd> <mrow> <mi>o</mi> <mi>t</mi> <mi>h</mi> <mi>e</mi> <mi>r</mi> <mi>w</mi> <mi>i</mi> <mi>s</mi> <mi>e</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

其中和表示x₁,x₂,x₃在第d维的取值，rand表示[0,1]区间里任意的随机数；

步骤5.9：利用更新后的计算狼i新的适应值P_i。

6.根据权利要求3所述的基于改进型灰狼优化算法的入侵检测***特征选择方法，其特征在于，步骤6中更新α，β和δ的编码向量的方法为：对更新后的狼个体适应值进行排序，选择适应值前三的三头狼的适应值P_α'，P_β'和P_δ'与原来α，β和δ的适应值P_α，P_β和P_δ进行对应比较，若新适应值P_i'要优于原来适应值P_i，则将所对应的编码向量更新为新适应值所对应的编码向量否则不更新。