(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113839926A(43)申请公布日2021.12.24(21)申请号202111017356.2(22)申请日2021.08.31(71)申请人哈尔滨工业大学地址150001黑龙江省哈尔滨市南岗区西大直街92号(72)发明人赵志衡胡琦渊罗思婕刘勇(74)专利代理机构哈尔滨市阳光惠远知识产权代理有限公司23211代理人张宏威(51)Int.Cl.H04L29/06(2006.01)H04L12/24(2006.01)G06N3/00(2006.01)G06N3/04(2006.01)G06K9/62(2006.01)权利要求书3页说明书10页附图1页(54)发明名称一种基于灰狼算法特征选择的入侵检测系统建模方法、系统及装置(57)摘要一种基于灰狼算法特征选择的入侵检测系统建模方法，属于特征选择的入侵检测系统建模领域。解决了目前网络入侵检测模型特征选择困难的问题。本发明对NSL‑KDD通信流量数据集进行预处理，重点是需要对流量数据进行哑变量以及归一化等方法进行处理，以适应决策树、神经网络等算法的本质要求；建立灰狼搜索群体，利用决策树算法按搜索个体对流量数据集进行建模；定义损失函数，据此对搜索个体进行排序；按照灰狼算法策略进行搜索群体的进化，之后重复步骤除定义损失函数上述所有步骤，当模型损失达到要求或迭代次数达到极限时，停止嵌入式特征选择，并得到最优的特征组合，建立最优入侵检测模型。本发明主要促进了入侵检测建模技术的发展与应用。CN113839926ACN113839926A权利要求书1/3页1.一种基于灰狼算法特征选择的入侵检测系统建模方法，其特征在于，包括：(1)对NSL‑KDD通信流量数据集中的流量数据进行哑变量处理以及数据归一化方法预处理，生成NSL‑KDD标准流量数据集，适应决策树算法、神经网络算法的本质要求；所述的NSL‑KDD通信流量数据集包括正常流量样本与异常流量样本；(2)利用决策树算法按搜索个体对NSL‑KDD标准流量数据集进行建模，建立灰狼搜索群体；(3)定义损失函数，根据损失函数对搜索个体进行排序；(4)利用连续域灰狼算法策略进行灰狼搜索群体的进化，重复步骤(1)，步骤(2)以及步骤(4)，直到灰狼搜索群体损失达到要求或迭代次数达到极限；(5)当灰狼搜索群体损失达到要求或迭代次数达到极限时，停止嵌入式特征选择，并得到最优的特征组合，通过决策树分类器建立基于最优特征组合的入侵检测模型。2.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法，其特征在于，所述对NSL‑KDD通信流量数据集中的流量数据进行哑变量处理以及数据归一化方法预处理方法为：利用独热编码对字符串类型的特征进行哑变量处理，按独热编码进行哑变量化，数据集维数由41维扩充至122维；采用Z‑Score标准化的方式对数据集进行归一化处理：其中，x为特征下的一个样本值，μ为该特征的样本均值，σ为该特征的样本标准差。3.根据权利要求2所述的一种基于灰狼算法特征选择的入侵检测系统建模方法，其特征在于，所述NSL‑KDD通信流量数据集中的的流量数据包括：NSL‑KDD通信流量数据集中的的流量数据由38个数值型特征和3个字符串类型的特征组成；3个字符串类型的特征为“protocol_type”、“service”、“flag”，其中，“protocol_type”具有3种状态，“service”有70种状态，“flag”有1种状态。4.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法，其特征在于，所述利用决策树算法按搜索个体对NSL‑KDD标准流量数据集进行建模过程为：搜索个体对应特征组合的二进制编码；算法最大迭代次数为100次，搜索个体数为10个；以基尼系数作为选择标准构建CART分类树：CART分类树由根节点、子节点、叶节点组成，通过当前未用于分类属性的基尼系数不断对NSL‑KDD标准流量数据集进行划分，直至当前子节点只包含单一类别的样本或满足递归约束条件，其递归约束条件为划分到要求的精度下为止，此时CART分类树的生长过程结束；当前待划分NSL‑KDD标准流量数据集S中的样本类别为Ci(i＝1,…,n)，概率分布的基尼系数计算式为：其中pi为当前待划分NSL‑KDD标准流量数据集中类别Ci所占比例；2CN113839926A权利要求书2/3页当CART分类树以特征属性M将S划分为S1、S2时，对应的基尼系数计算式为：5.根据权利要求1所述的一种基于灰狼算法特征选择的入侵检测系统建模方法，其特征在于，所述损失函数为：其中，fitness指置信度；AC指当前模型在测试集上表现的准确率；feature_selected指当前搜索个体选择的特征数；f