入侵檢測中特征選擇技術(shù)的應(yīng)用

1、入侵檢測中特征選擇技術(shù)的應(yīng)用入侵檢測中特征選擇技術(shù)的應(yīng)用入侵檢測技術(shù)通過不斷地對主機(jī)上收集或網(wǎng)絡(luò)上捕獲的數(shù)據(jù)進(jìn)行分析，來發(fā)現(xiàn)攻擊或者異常的網(wǎng)絡(luò)行為，并進(jìn)行有效地響應(yīng)，最大程度地提升網(wǎng)絡(luò)的安全性。入侵檢測技術(shù)具有主動防御的特性，是防火墻等技術(shù)的有效補(bǔ)充，也是網(wǎng)絡(luò)安全體系構(gòu)建過程中不可或缺的重要的組成部分。近年來，伴隨網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)攻擊呈現(xiàn)出多樣化、復(fù)雜化及并發(fā)性等特點(diǎn)，以DDos為代表的大規(guī)模分布式的網(wǎng)絡(luò)攻擊成為主流，海量攻擊數(shù)

2、據(jù)的出現(xiàn)對于入侵檢測的檢測速度和準(zhǔn)確率提出了更高的要求。目前，常用的入侵檢測系統(tǒng)主要通過對網(wǎng)絡(luò)攻擊數(shù)據(jù)的特征分析比對來發(fā)現(xiàn)攻擊行為，然而網(wǎng)絡(luò)數(shù)據(jù)的特征往往很多，這會嚴(yán)重影響入侵檢測的實(shí)時性及性能。將機(jī)器學(xué)習(xí)中的特征選擇技術(shù)應(yīng)用到入侵檢測中，可以去掉一些無關(guān)的冗余的特征，這在一定程度上提高入侵檢測的效率，成為如今入侵檢測技術(shù)研究的一個熱點(diǎn)。1特征選擇技術(shù)1.1特征選擇的概念機(jī)器學(xué)習(xí)是人工智能的核心技術(shù)，在各個領(lǐng)域得到了非常廣泛地應(yīng)用，它通

3、過對訓(xùn)練樣本特征的學(xué)習(xí)來對未知的樣本做出預(yù)測[1]。在實(shí)際的應(yīng)用中，訓(xùn)練數(shù)據(jù)的特征繁多，對數(shù)據(jù)進(jìn)行特征分析、建模所耗費(fèi)的時間會很長；同時，數(shù)據(jù)特征的個數(shù)太多，也會導(dǎo)致建立的模型更加復(fù)雜，不利于使用推廣。特征選擇可以通過相等。子集產(chǎn)生和子集評價是一個循環(huán)重復(fù)執(zhí)行的過程，當(dāng)滿足停止準(zhǔn)則時，將輸出進(jìn)入下一步驗(yàn)證的候選最優(yōu)特征子集。⑷子集驗(yàn)證：通過先驗(yàn)知識、仿真數(shù)據(jù)集或真實(shí)的數(shù)據(jù)集對候選最優(yōu)特征子集進(jìn)行各種不同的測試，并對結(jié)果進(jìn)行分析，驗(yàn)證所選

4、特征子集的有效性。1.3特征選擇的分類在特征選擇的過程中，搜索策略及評價準(zhǔn)則的確定是關(guān)鍵的步驟。根據(jù)所使用的搜索策略及評價函數(shù)的不同，可以對特征選擇方法進(jìn)行分類，以比較不同方法的特點(diǎn)[2]。⑴根據(jù)搜索策略分類在產(chǎn)生特征子集的時候，可以根據(jù)特征搜索方式的不同分為全局最優(yōu)搜索、啟發(fā)式搜索和隨機(jī)搜索三類。全局最優(yōu)搜索，又叫窮舉搜索，它能夠從全部特征集中搜索到每一個特征，最終形成最優(yōu)特征子集，但是計算的開銷較大，計算時間會隨著特征數(shù)量的增加呈指