(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112653711A(43)申请公布日2021.04.13(21)申请号202110012498.3(22)申请日2021.01.06(71)申请人河海大学地址211100江苏省南京市江宁区佛城西路8号(72)发明人李臣明张安婷戴媛媛陈忠昊高红民(74)专利代理机构南京纵横知识产权代理有限公司32224代理人董建林(51)Int.Cl.H04L29/06(2006.01)G06K9/62(2006.01)G06N3/00(2006.01)权利要求书3页说明书11页附图2页(54)发明名称网络入侵行为特征选择方法、装置及存储介质(57)摘要本发明公开了一种网络入侵行为特征选择方法、装置及存储介质，旨在解决现有技术中网络入侵行为的特征选择结果单一、不准确等技术问题。其包括：获取网络入侵行为的原始特征集合；基于互信息对原始特征集合中的特征进行排序，获得第一特征子集；利用人工蜂群算法处理原始特征集合，进行特征筛选，获得第二特征子集；根据第一特征子集和第二特征子集进行特征组合，获得特征选择子集；利用SVM分类器获得特征分类准确度，并根据特征分类准确度循环前述操作，获得最优特征选择子集。本发明能够选择具有高表征能力和行为识别特性的优质特征子集，提高攻击行为检测准确度。CN112653711ACN112653711A权利要求书1/3页1.一种网络入侵行为特征选择方法，其特征在于，包括如下步骤：步骤1、获取网络入侵行为的原始特征集合；步骤2、基于互信息对原始特征集合中的特征进行排序，获得第一特征子集；步骤3、利用人工蜂群算法处理原始特征集合，进行特征筛选，获得第二特征子集；步骤4、根据第一特征子集和第二特征子集进行特征组合，获得特征选择子集；步骤5、基于特征选择子集，利用SVM分类器获得特征分类准确度，并根据特征分类准确度循环步骤2～4，获得最优特征选择子集。2.根据权利要求1所述的一种网络入侵行为特征选择方法，其特征在于，网络入侵行为的原始特征集合为F＝{f1,f2,...,fi,...,fn}，其中，fi表示原始特征集合F中的第i个特征，i＝1,2,…,n，n为原始特征集合F中特征的数量。3.根据权利要求2所述的一种网络入侵行为特征选择方法，其特征在于，步骤2的具体操作如下：根据网络入侵行为的特征标签计算原始特征集合F中每个特征与特征标签R的互信息值，具体计算公式如下：其中，I(fi；R)表示特征fi与特征标签R的互信息值，p(fi,R)表示特征fi与特征标签R的联合概率分布，p(fi)表示特征fi的边缘概率分布，p(R)表示特征标签R的边缘概率分布；从原始特征集合中选取互信息值最大的特征fmax，并将特征fmax从原始特征集合转存到第一特征子集；根据当前阶段原始特征集合F中剩下的特征和第一特征子集，依次计算F中剩下的每个特征的冗余惩罚项：其中，fm表示当前阶段F中剩下的第m个特征，fm≠fmax，f′m表示特征fm的冗余惩罚项，W1表示第一特征子集，W1＝{w1,w2,...,wj,...,wu}，wj表示第一特征子集中的第j个特征，j＝1,2,…,u，u为当前阶段第一特征子集中的特征个数，I(wj；R)表示特征wj和特征标签R的互信息值，I(fm；R)表示特征fm和特征标签R的互信息值，I(fm；wj)表示特征fm和特征wj的互信息值；根据冗余惩罚项计算当前阶段原始特征集合F中剩下的每个特征与特征标签R的惩罚后的互信息值，并从当前阶段的原始特征集合中选取惩罚后的互信息值最大的特征转存到第一特征子集：其中，f表示当前阶段的原始特征集合中惩罚后的互信息值最大的特征；重复计算冗余惩罚项、惩罚后的互信息值，并按照惩罚后的互信息值选择原始特征集合中的特征，直到将原始特征集合中的所有特征按顺序存入第一特征子集。4.根据权利要求2所述的一种网络入侵行为特征选择方法，其特征在于，步骤3的具体2CN112653711A权利要求书2/3页操作如下：步骤301、利用原始特征集合作为人工蜂群算法的蜜源集合，根据蜜源集合初始化人工蜂群算法的初始蜜源种群，并初始化控制参数和迭代次数；步骤302、针对当前蜜源种群中的每一个当前蜜源，利用雇佣蜂进行局部搜索，生成一个新蜜源，并利用观察蜂计算新蜜源的选择概率；步骤303、当新蜜源的选择概率大于预设值，则比较新蜜源与当前蜜源的适应度值，进行当前蜜源更新，并将迭代次数加1，进入步骤306；当前蜜源更新的方程如下：其中，vs表示当前蜜源，vt表示新蜜源，fit(vt)表示新蜜源的适应度值，fit(vs)表示当前蜜源的适应度值，vt,vs∈F且vt≠vs；步骤304、当新蜜源的选择概率不大于预设值，将控制参数和迭代次数都加1；步骤305、利用侦察蜂判