CN113010884B - 一种入侵检测***中的实时特征过滤方法 - Google Patents

一种入侵检测***中的实时特征过滤方法 Download PDF

Info

Publication number
CN113010884B
CN113010884B CN202110200444.XA CN202110200444A CN113010884B CN 113010884 B CN113010884 B CN 113010884B CN 202110200444 A CN202110200444 A CN 202110200444A CN 113010884 B CN113010884 B CN 113010884B
Authority
CN
China
Prior art keywords
feature
data
value
intrusion detection
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110200444.XA
Other languages
English (en)
Other versions
CN113010884A (zh
Inventor
张清华
李新太
高满
庞国弘
赵凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202110200444.XA priority Critical patent/CN113010884B/zh
Publication of CN113010884A publication Critical patent/CN113010884A/zh
Application granted granted Critical
Publication of CN113010884B publication Critical patent/CN113010884B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/26Visual data mining; Browsing structured data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明属于数据挖掘领域,具体涉及一种入侵检测***中的实时特征过滤方法,该方法包括:周期性获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻流入***特征与目标决策类的相关性数值;将计算出的相关性数值与设定的阈值进行比较,根据比较结果对入侵检测数据执行不同的策略;本发明针对不同特征采取不同的特征执行策略,进一步对不满足“高相关”特征准则的,采用特征互补检测策略,可以使得模型选择更多有价值的特征,提升模型的分类精度。

Description

一种入侵检测***中的实时特征过滤方法
技术领域
本发明属于数据挖掘领域,具体涉及一种入侵检测***中的实时特征过滤方法。
背景技术
随着信息技术、网络技术和生物科学等领域的发展,出现了越来越多的入侵检测***数据,而如何在庞大、复杂、繁多的入侵检测***数据中获取有价值的信息是当前研究的重点与难点。一方面,海量数据可以让用户更好地理解事物,为数据分析与判断提供了基础;另一方面,高维数据中包含了许多重要的信息,但是该信息存在冗余、无关以及干扰信息,使得在进行数据挖掘时,会出现很多问题。当数据的特征维度超过一定值后,分类器性能会随着数据维度的增加而降低,当数据的特征维度高达一定值时,就会引发“维数灾难”,如下图1所示。
为了避免维数灾难,挖掘出入侵检测***数据中的有效信息,需要降低数据维度,而特征选择便是维数约简中一种常用且有效的方法。特征选择是通过去除数据集中不相关和冗余的信息来获得最优特征子集的过程。而对于传统的特征选择方法中,需要提前收集入侵检测的特征数据进行离线处理,然后进行数据挖掘与知识获取。而在现实实际应用场景下,入侵检测***中的特征数据随着时间的不断推移,以流的形式到达,特征数量不断增加,特征空间持续变化。因此,如何在入侵检测***中实现实时特征过滤,即在线流特征选择,具有重要作用。
目前,在进行线流特征选择过程中,采用粗糙集理论对数据的相关性进行处理;通过关系数据库分类归纳形成概念和规则,通过不分明关系的分类以及分类对于目标的近似实现知识发现。在目前基于粗糙集理论的在线流特征选择研究方法中,方法的主要框架主分为两个阶段:(1)在线相关性分析阶段:主要分析当前时刻新流入的特征与目标决策类之间的相关性,从而达到去除不相关特征的目的;(2)在线冗余性分析阶段:主要分析当前时刻新特征流入以后,目前选择的特征集合中是否存在冗余特征,利用属性约简策略对当前集合中进行冗余特征的剔除;以上的步骤,使得在实时动态特征流的过程中得到一个高相关、低冗余的特征子集。
目前的研究方法中,在线相关性分析阶段为满足“高相关”特征准则,对于新流入的特征不符合该准则的采取剔除策略,即不再使用该新特征。“高相关”特征准则是利用当前时刻选择的特征集合,通过计算每一个特征与目标决策类之间的相关性,对所有计算得到的相关性数值进行求和取平均,然后将该平均值作为下一轮新流入的特征是否可以进入第二阶段的基线。虽然在一定程度上,“高相关”特征准则可以每次选择与目标决策类高度相关的特征,但却忽略了特征互补的优势。
发明内容
为解决以上现有技术存在的问题,本发明提出了一种入侵检测***中的实时特征过滤方法,该方法包括:周期性获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻流入***特征与目标决策类的相关性数值;将计算出的相关性数值与设定的阈值进行比较,根据比较结果对入侵检测特征数据执行不同的策略;所述不同的策略包括:对高于设定阈值的入侵特征数据进行属性约简策略;对低于设定阈值的入侵检测特征数据进行特征互补检测策略;所述设定的阈值为t-1时刻流入***特征集合中每个特征数据与目标决策类的相关性数值的均值。
优选的,获取的入侵检测数据包括:访问***敏感文件和目录的次数、用户访问次数以及访问控制文件的次数。
优选的,对数据进行预处理的过程包括剔除特殊值数据值、对数据进行标准化处理、对数据进行归一化处理以及数据拆分处理,将归一化后的入侵检测数据转换为决策信息表。
优选的,提取预处理后入侵检测数据特征的过程包括:对于获取的入侵检测数据进行初步特征选择,去掉取值变化较小的特征;即在样本数据下所有实例对象中一个特征对应唯一一个数值,当样本数据中的一个离散型特征下所有实例对象的取值均为0时,则不能对该特征进行分类,则认为该特征无效,直接剔除该特征,重新等待新数据特征的流入;否则为有效特征数据,进入特征分流的过程。
优选的,设定阈值的过程包括:
S1:获取入侵检测数据集,对该数据集进行预处理,得到训练集;
S2:周期性提取训练集中数据的特征信息,并将每一周期保留的特征信息进行集合,得到当前时刻的特征集;
S3:计算特征集中每个特征与目标决策类的相关性数值,然后对所有的相关性数值进行求和取平均值,将该平均值作为初始阈值。
进一步的,计算每个特征与目标决策类的相关性数值的过程包括:
步骤1:采用欧氏距离公式计算样本数据中实例对象xi与其余对象在特征子集S下的距离,对得到的距离进行由近到远的排序,得到实例对象xi下排序后的距离集合NB(xi)=<x(i,1),x(i,2),...,x(i,j),...,x(i,n-1)>;
步骤2:根据排序后的距离集合NB(xi)确定实例对象xi的拐点x(i,k),将对象xi到对象x(i,k)之间的样本作为xi的邻域;
步骤3:根据对象xi的邻域对xi进行划分,若对象xi与邻域内对象的目标决策类标签一致,则对象xi划分到正域,否则划分为边界域;
步骤4:重复上述步骤1-3,直到样本数据中的所有实例对象都分别被划分到正域或边界域为止;
步骤5:根据上述得到的正域实例对象集合POSS(D),计算在特征集合S下,特征集合S与决策目标类D的相关性数值:;即
Figure BDA0002948470940000031
其中|·|表示一个集合的基数,|POSS(D)|表示在特征集合S下划分到正域的实例对象个数,|U|表示所有对象实例的总个数。
进一步的,确定对象xi的拐点过程包括:在排序后的距离集合NB(xi)中计算实例对象xi与其他实例对象之间的密度值,由于距离集合NB(xi)的对象之间满足Δ(xi,x(i,1))≤Δ(xi,x(i,2))≤...≤Δ(xi,x(i,j))≤...≤Δ(xi,x(i,n-1)),则密度值计算公式为Density(xi,x(i,k))=Δ(xi,x(i,k))/k,寻找第一次出现密度值呈下降趋势的实例对象x(i,k),该对象x(i,k)为对象xi的拐点。
优选的,执行属性简约策略的过程包括:
步骤1:将新流入的特征f添加到特征集合S中,同时计算此时在特征集合S∪f下与目标决策类D之间的相关性数值
Figure BDA0002948470940000041
步骤2:根据特征集合中的每个特征与目标决策类之间的相关性数值进行降序排序,并从前往后依次删除每个特征,计算删除该特征后,剩余特征与目标决策类之间的相关性数值,得到与γ{S∪f}(D)之间的差值,记为θ;
步骤3:判断θ值的大小,如果满足θ等于0,则删除该特征,否则保留该特征。
优选的,执行特征互补检测策略的过程包括:
步骤1:计算特征集合S与目标决策类D之间的相关性数值γbefore,计算公式为:
Figure BDA0002948470940000042
步骤2:将新流入的特征f添加到特征集合S中,计算此时特征集合S∪f与目标决策类之间的相关性数值γafter,计算公式为
Figure BDA0002948470940000043
步骤3:如果满足γafter大于γbefore的条件,则保留该新流入的特征,否则删除该特征。
本发明的优点:
1、采用本发明的方法可以在入侵检测***实时环境下进行特征过滤,从而可以帮助用户对实时过滤的特征进行更好地评估与考察。
2、本发明针对不同特征采取不同的特征执行策略,进一步对不满足“高相关”特征准则的,采用特征互补检测策略,可以使得模型选择更多有价值的特征,提升模型的分类精度。
附图说明
图1为本发明的特征维数与分类器性能的关系图;
图2为本发明的实时特征过滤方法流程图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在不付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种入侵检测***中的实时特征过滤方法,该方法包括:周期性获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻流入***特征与目标决策类的相关性数值;将计算出的相关性数值与设定的阈值进行比较,根据比较结果对入侵检测特征数据执行不同的策略;所述不同的策略包括:对高于设定阈值的入侵特征数据进行属性约简策略;对低于设定阈值的入侵检测特征数据进行特征互补检测策略;所述设定的阈值为t-1时刻流入***特征集合中每个特征数据与目标决策类的相关性数值的均值。
一种入侵检测***中的实时特征过滤方法的具体实施例,如图2所示,该方法为:实时获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻新流入特征与目标决策类之间的相关性数值,将该值记为A;计算t-1时刻的特征集合中每个特征与目标决策类之间的相关性数值的均值,将该值记为B;判断A与B的大小,当A大于等于B时,则采用后向搜索属性约简技术剔除冗余特征,并移除t时刻内特征集合中冗余的特征,输出t时刻符合要求的特征集合;当A小于B时,则采用特征互补检测策略进行特征筛选,若筛选后的总体特征集合的相关性指标提升,则输出t时刻符合要求的特征集合,否则移除新流入的特征;当没有新特征流入***时,结束***。
从企业的数据库中周期性采集入侵检测***的数据,所述入侵检测***的数据包括:访问***敏感文件和目录的次数、用户访问次数以及访问控制文件的次数等等。
对数据进行预处理的过程包括对特殊值进行数据剔除处理、对数据进行标准化处理、对数据进行归一化处理、和数据拆分处理等,将归一化后的入侵检测数据转换为决策信息表<U,C,D>,其中,U={x1,x2,...,xn}表示样本集合,C={f1,f2,...,fm}表示条件特征集合,D表示目标决策类集合。
可选的,本发明选取四列数据进行分析,其中生成的决策信息表如下表所示:
表1决策信息表
Figure BDA0002948470940000061
其中U={x1,x2,...x8},C={f1,f2,f3,f4},D={d}={-1,1},且“1”代表正常,“-1”代表异常。
计算每个时间戳的决策信息,计算的表达式为:
St=(U,{Ct|t=1,2,...,m}∪D,V,f)
其中,t表示每个时间戳,
Figure BDA0002948470940000062
表示领域问题中所有对象的集合,称为论域,Nt表示对象的个数;
Figure BDA0002948470940000063
表示在每个t时间戳下的特征集合,Mt表示特征的个数,D表示目标决策类集合,V表示每一特征的值域,f:U×A→V是一个信息函数,对每一个对象的每一个属性赋予一个信息值,且A=C∪D。
在实时特征过滤过程中,每个新特征随着每个时间戳依次流入,但论域中的对象个数不变,即t′>t,Mt′>Mt,而Nt=Nt′。为满足入侵检测***特征实时产生的过程,在每个t时刻依次读取信息***的每个特征数据。
计算每个新流入特征与目标决策类之间的相关性。为了计算相关性数值,引入一种通过密度获得邻域的方法。假定NB(xi)表示对象xi所有的邻域在特征子集B由距离从近到远的排序NB(xi)=<x(i,1),x(i,2),...,x(i,j),...,x(i,n-1)>,定义对象xi到邻域x(i,k)的密度为Density(xi,x(i,k)),假定密度值第一次下降趋势则为拐点x(i,k),那么使用对象xi到拐点x(i,k)之间的样本作为xi的邻域,即IPB(xi)={x(i,1),x(i,2),...,x(i,k-1)}。其中计算密度的公式为:
Figure BDA0002948470940000071
其中,Δ(xi,x(i,k))表示对象xi到其余对象之间的距离。
得到每个对象的邻域样本后,对其计算得到属于下近似集的样本集合。给定一个邻域近似空间
Figure BDA0002948470940000072
对于
Figure BDA0002948470940000073
X有关于邻域关系R的上下近似集分别定义为:
Figure BDA0002948470940000079
Figure BDA0002948470940000074
下近似集也称为正域,表示为POS(x)。
然后每个新流入特征与目标决策类之间的相关性。给定
Figure BDA0002948470940000078
B对D的相关程度定义为相关性,即γB(D)=|POSB(D)|/|U|。
在t1时刻,流入特征为f1;首先在特征f1下计算x1的邻域,分别计算x1到xi(i≠1)之间的所有距离,计算该距离公式为:
Figure BDA0002948470940000075
Figure BDA0002948470940000076
Figure BDA0002948470940000077
Figure BDA0002948470940000081
Figure BDA0002948470940000082
Figure BDA0002948470940000083
Figure BDA0002948470940000084
根据对象之间的距离对对象进行由近到远的排序,得到
Figure BDA0002948470940000085
Figure BDA0002948470940000086
进行密度计算,即Density(x1,x2)=2/1=2,Density(x1,x3)=1,那么x3为第一个拐点,则x1的密度邻域为IPB(x1)={x2}。以上述相同的方法分别计算出每个对象xi(i=1,...,8)的邻域关系,从而得到在特征f1下与目标决策类D之间的相关性为
Figure BDA0002948470940000087
对于第一次新流入的特征,因为当前时刻选择的集合为空集,所以直接保留,即在t1时刻,特征集合为C1={f1}。
执行特征互补检测策略的具体过程包括:在t2时刻,流入特征f2,计算特征f2的相关性数值为
Figure BDA0002948470940000088
对于前一时刻的选择的特征集合C,计算特征集合C下的每一个特征的相关性数值,然后进行求和取平均,将该平均值作为特征分流的基线。此时,计算特征集合的平均相关性,其公式为:
Figure BDA0002948470940000089
由于
Figure BDA00029484709400000810
则表示特征f2不满足“高相关”特征准则,所以特征f2采取特征互补检测策略,即加入该特征f2以后,相关性数值是否是增加的趋势。加入特征f2,此时C2={f1,f2},计算此时C2特征集合下与目标决策类D的之间的相关性数值为
Figure BDA00029484709400000811
与原始的特征集合C1相比,没有提升,即
Figure BDA00029484709400000812
所以特征f2剔除。即在t2时刻,特征集合为C2={f1}。在t3时刻,流入特征f3,计算特征f3的相关性数值为
Figure BDA00029484709400000813
因满足“高相关”特征准则,即
Figure BDA00029484709400000814
则对于特征f3采取属性约简策略。
执行属性简约策略的具体过程包括:给定一个信息***St=(U,C∪D,V,f),子集C和D分别表示条件属性集和决策属性集,对于
Figure BDA0002948470940000091
如果A是C的一个约简,则需要满足以下条件:
γ(A,D)=γ(C,D)
Figure BDA0002948470940000092
其中,γ(.)表示属性集合与目标决策类之间的相关性数值,A表示条件属性集的约简集合,C表示条件属性集,D表示决策属性集,A′表示任意属性。
在此阶段,利用后向搜索的策略进行约简,先将此时特征集合的按照相关性进行降序排序,得到C3={f3,f1};计算在C3集合下的相关性,得到
Figure BDA0002948470940000093
删除特征f1,整体的相关性变为0.5,并保留特征f1;利用相同方法对f3进行删除,得到的相关性有变化,为0.3958,保留特征f3。即在t3时刻,特征集合为C3={f3,f1}。
在t4时刻,流入特征f4,计算特征f4的相关性数值为
Figure BDA0002948470940000094
当前特征集合C3下的平均相关性值为
Figure BDA0002948470940000095
因f4满足“高相关”特征准则,所以采取属性约简策略。以相同的方式按照每一特征与目标决策类之间的相关性进行降序排序,得到C4={f4,f3,f1},
Figure BDA0002948470940000096
通过后向约简策略得到删除C4集合中的任一特征,相关性都有所变化,分别为
Figure BDA0002948470940000097
Figure BDA0002948470940000098
Figure BDA0002948470940000099
此时所有的特征均不删除。在t4时刻,得到的特征集合为C4={f1,f3,f4}。
以上所举实施例,对本发明的目的、技术方案和优点进行了进一步的详细说明,所应理解的是,以上所举实施例仅为本发明的优选实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种入侵检测***中的实时特征过滤方法,其特征在于,包括:周期性获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻流入***特征与目标决策类的相关性数值;将计算出的相关性数值与设定的阈值进行比较,根据比较结果对入侵检测特征数据执行不同的策略;所述不同的策略包括:对高于设定阈值的入侵特征数据进行属性约简策略;对低于设定阈值的入侵检测特征数据进行特征互补检测策略;所述设定的阈值为t-1时刻流入***特征集合中每个特征数据与目标决策类的相关性数值的均值;
计算每个特征与目标决策类的相关性数值的过程包括:
步骤1:采用欧氏距离公式计算样本数据中实例对象xi与其余对象在特征子集S下的距离,对得到的距离进行由近到远的排序,得到实例对象xi下排序后的距离集合NB(xi)=<x(i,1),x(i,2),...,x(i,j),...,x(i,n-1)>;
步骤2:根据排序后的距离集合NB(xi)确定实例对象xi的拐点x(i,k),将对象xi到对象x(i,k)之间的样本作为xi的邻域;
确定对象的拐点的过程包括:在排序后的距离集合NB(xi)中计算实例对象xi与其他实例对象之间的密度值,由于距离集合NB(xi)的对象之间满足Δ(xi,x(i,1))≤Δ(xi,x(i,2))≤...≤Δ(xi,x(i,j))≤...≤Δ(xi,x(i,n-1)),则密度值计算公式为Density(xi,x(i,k))=Δ(xi,x(i,k))/k,寻找第一次出现密度值呈下降趋势的实例对象x(i,k),该对象x(i,k)为对象xi的拐点;
步骤3:根据对象xi的邻域对xi进行划分,若对象xi与邻域内对象的目标决策类标签一致,则对象xi划分到正域,否则划分为边界域;
步骤4:重复上述步骤1-3,直到样本数据中的所有实例对象都分别被划分到正域或边界域为止;
步骤5:根据上述得到的正域实例对象集合POSS(D),计算在特征集合S下,特征集合S与决策目标类D的相关性数值;即
Figure FDA0003745284860000021
其中|·|表示一个集合的基数,|POSS(D)|表示在特征集合S下划分到正域的实例对象个数,|U|表示所有对象实例的总个数;
执行属性约简策略的过程包括:
步骤1:将新流入的特征f添加到特征集合S中,同时计算此时在特征集合S∪f下与目标决策类D之间的相关性数值
Figure FDA0003745284860000022
步骤2:根据特征集合中的每个特征与目标决策类之间的相关性数值进行降序排序,并从前往后依次删除每个特征,计算删除该特征后,剩余特征与目标决策类之间的相关性数值,得到与γ{S∪f}(D)之间的差值,记为θ;
步骤3:判断θ值的大小,如果满足θ等于0,则删除该特征,否则保留该特征;
执行特征互补检测策略的过程包括:
步骤1:计算特征集合S与目标决策类D之间的相关性数值γbefore,计算公式为:
Figure FDA0003745284860000023
其中,|POSS(D)|表示在特征集合S下划分到正域的实例对象个数,|U|表示所有对象实例的总个数;
步骤2:将新流入的特征f添加到特征集合S中,计算此时特征集合S∪f与目标决策类之间的相关性数值γafter,计算公式为
Figure FDA0003745284860000024
步骤3:如果满足γafter大于γbefore的条件,则保留该新流入的特征,否则删除该特征。
2.根据权利要求1所述的一种入侵检测***中的实时特征过滤方法,其特征在于,获取的入侵检测数据包括:访问***敏感文件和目录的次数、用户访问次数以及访问控制文件的次数。
3.根据权利要求1所述的一种入侵检测***中的实时特征过滤方法,其特征在于,对数据进行预处理的过程包括剔除特殊值数据值、对数据进行标准化处理、对数据进行归一化处理以及数据拆分处理,将归一化后的入侵检测数据转换为决策信息表。
4.根据权利要求1所述的一种入侵检测***中的实时特征过滤方法,其特征在于,提取预处理后入侵检测数据特征的过程包括:对于获取的入侵检测数据进行初步特征选择,去掉取值变化较小的特征;即在样本数据下所有实例对象中一个特征对应唯一一个数值,当样本数据中的一个离散型特征下所有实例对象的取值均为0时,则不能对该特征进行分类,则认为该特征无效,直接剔除该特征,重新等待新数据特征的流入;否则为有效特征数据,进入特征分流的过程。
5.根据权利要求1所述的一种入侵检测***中的实时特征过滤方法,其特征在于,设定阈值的过程包括:
S1:获取入侵检测数据集,对该数据集进行预处理,得到训练集;
S2:周期性提取训练集中数据的特征信息,并将每一周期保留的特征信息进行集合,得到当前时刻的特征集;
S3:计算特征集中每个特征与目标决策类的相关性数值,对所有的相关性数值进行求和取平均值,将该平均值作为初始阈值。
CN202110200444.XA 2021-02-23 2021-02-23 一种入侵检测***中的实时特征过滤方法 Active CN113010884B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110200444.XA CN113010884B (zh) 2021-02-23 2021-02-23 一种入侵检测***中的实时特征过滤方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110200444.XA CN113010884B (zh) 2021-02-23 2021-02-23 一种入侵检测***中的实时特征过滤方法

Publications (2)

Publication Number Publication Date
CN113010884A CN113010884A (zh) 2021-06-22
CN113010884B true CN113010884B (zh) 2022-08-26

Family

ID=76407178

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110200444.XA Active CN113010884B (zh) 2021-02-23 2021-02-23 一种入侵检测***中的实时特征过滤方法

Country Status (1)

Country Link
CN (1) CN113010884B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114358989A (zh) * 2021-12-07 2022-04-15 重庆邮电大学 一种基于标准差和交互信息的慢性疾病特征选择方法
CN116933161A (zh) * 2023-09-19 2023-10-24 天津市金超利达科技有限公司 一种基于云计算的热量表数据分析***及方法

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431416A (zh) * 2008-12-10 2009-05-13 南京邮电大学 一种应用于数据网格的协同学习入侵检测方法
CN102420723A (zh) * 2011-12-14 2012-04-18 南京邮电大学 一种面向多类入侵的异常检测方法
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN103795723A (zh) * 2014-01-28 2014-05-14 河南科技大学 一种分布式物联网安全态势感知方法
CN105245498A (zh) * 2015-08-28 2016-01-13 中国航天科工集团第二研究院七〇六所 一种基于粗糙集的攻击挖掘和检测方法
CN106778252A (zh) * 2016-08-05 2017-05-31 南京理工大学 基于粗糙集理论与waode算法的入侵检测方法
CN108052968A (zh) * 2017-12-08 2018-05-18 哈尔滨工程大学 一种qsfla-svm的感知入侵检测方法
CN108197656A (zh) * 2018-01-04 2018-06-22 西南交通大学 一种基于cuda的属性约简方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
WO2019075338A1 (en) * 2017-10-12 2019-04-18 Charles River Analytics, Inc. CYBERVACCIN AND METHODS AND SYSTEMS FOR DEFENSE AGAINST PREDICTIVE MALICIOUS SOFTWARE
CN110222706A (zh) * 2019-04-28 2019-09-10 中国科学院计算机网络信息中心 基于特征约简的集成分类方法、装置及存储介质
CN111553127A (zh) * 2020-04-03 2020-08-18 河南师范大学 一种多标记的文本类数据特征选择方法及装置
CN111651755A (zh) * 2020-05-08 2020-09-11 中国联合网络通信集团有限公司 入侵检测方法和装置
CN111726349A (zh) * 2020-06-16 2020-09-29 桂林电子科技大学 基于ga优化的gru并行网络流量异常检测方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431416A (zh) * 2008-12-10 2009-05-13 南京邮电大学 一种应用于数据网格的协同学习入侵检测方法
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN102420723A (zh) * 2011-12-14 2012-04-18 南京邮电大学 一种面向多类入侵的异常检测方法
CN103795723A (zh) * 2014-01-28 2014-05-14 河南科技大学 一种分布式物联网安全态势感知方法
CN105245498A (zh) * 2015-08-28 2016-01-13 中国航天科工集团第二研究院七〇六所 一种基于粗糙集的攻击挖掘和检测方法
CN106778252A (zh) * 2016-08-05 2017-05-31 南京理工大学 基于粗糙集理论与waode算法的入侵检测方法
WO2019075338A1 (en) * 2017-10-12 2019-04-18 Charles River Analytics, Inc. CYBERVACCIN AND METHODS AND SYSTEMS FOR DEFENSE AGAINST PREDICTIVE MALICIOUS SOFTWARE
CN108052968A (zh) * 2017-12-08 2018-05-18 哈尔滨工程大学 一种qsfla-svm的感知入侵检测方法
CN108197656A (zh) * 2018-01-04 2018-06-22 西南交通大学 一种基于cuda的属性约简方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
CN110222706A (zh) * 2019-04-28 2019-09-10 中国科学院计算机网络信息中心 基于特征约简的集成分类方法、装置及存储介质
CN111553127A (zh) * 2020-04-03 2020-08-18 河南师范大学 一种多标记的文本类数据特征选择方法及装置
CN111651755A (zh) * 2020-05-08 2020-09-11 中国联合网络通信集团有限公司 入侵检测方法和装置
CN111726349A (zh) * 2020-06-16 2020-09-29 桂林电子科技大学 基于ga优化的gru并行网络流量异常检测方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Application of CART decision tree combined with PCA algorithm in intrusion detection;Miao Li 等;《2017 8th IEEE International Conference on Software Engineering and Service Science》;20180423;38-41 *
Knowledge Distance Measure for the Multigranularity Rough Approximations of a Fuzzy Concept;Jie Yang 等;《IEEE Transactions on Fuzzy Systems》;20190502;第28卷(第4期);706-717 *
基于属性重要度的风险决策粗糙集属性约简;张清华 等;《控制与决策》;20160425;第31卷(第7期);1199-1205 *
基于粗糙集和离群点挖掘的网络入侵检测研究;王莎莎;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150415(第4期);I139-180 *
基于粗糙集的属性约简及其应用研究;刘明霄;《中国优秀硕士学位论文全文数据库 信息科技辑》;20070615(第6期);I140-103 *

Also Published As

Publication number Publication date
CN113010884A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN107577688B (zh) 基于媒体信息采集的原创文章影响力分析***
CN109492026B (zh) 一种基于改进的主动学习技术的电信欺诈分类检测方法
Guevara et al. diverse: an R Package to Analyze Diversity in Complex Systems.
CN107798033B (zh) 一种公安领域案件文本的分类方法
CN110825877A (zh) 一种基于文本聚类的语义相似度分析方法
CN113010884B (zh) 一种入侵检测***中的实时特征过滤方法
CN112488716B (zh) 一种异常事件检测***
TW201426578A (zh) 匿名資料集的產生方法及裝置與風險評估方法及裝置
CN110134719B (zh) 一种结构化数据敏感属性的识别与分类分级方法
CN110377605B (zh) 一种结构化数据的敏感属性识别与分类分级方法
CN111556016B (zh) 一种基于自动编码器的网络流量异常行为识别方法
CN110688549B (zh) 一种基于知识体系图谱构建的人工智能分类方法与***
CN102521534B (zh) 一种基于粗糙熵属性约简的入侵检测方法
CN111680225A (zh) 基于机器学习的微信金融消息分析方法及***
CN115048464A (zh) 用户操作行为数据的检测方法、装置及电子设备
Tamilselvi et al. Handling duplicate data in data warehouse for data mining
CN110990384B (zh) 一种大数据平台bi分析方法
JP5929532B2 (ja) イベント検出装置、イベント検出方法およびイベント検出プログラム
CN111625578A (zh) 适用于文化科技融合领域时间序列数据的特征提取方法
CN116578734A (zh) 一种基于clip的概率嵌入组合检索方法
CN111507878B (zh) 一种基于用户画像的网络犯罪嫌疑人侦查方法及***
Mishra et al. Improving the efficacy of clustering by using far enhanced clustering algorithm
Liu et al. A novel Kalman Filter based shilling attack detection algorithm
Mishra et al. Crime Prediction Using Fuzzy c-means Algorithm
CN112100670A (zh) 一种基于大数据的隐私数据分级保护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant