一种代价敏感的入侵特征选择算法.pdf

维普资讯 第24卷第4期 电 力 科 学 与 工 程 Vo1．24，No．4 20 2008年 6月 ElectricPowerScienceandEngineering Jun．，2008 一 种代价敏感的入侵特征选择算法 秦 亮，薛巧丽，王保义 (华北电力大学计算机科学与技术学院，河北保定071003) 摘要：入侵特征选择可以有效地提高入侵检测系统的正确率及检测速度 在分析了现有的入侵特征选择算 法只考虑特征个数和特征子集分类能力的缺陷后，提出一种代价敏感的入侵特征选择算法。该算法基于免 疫克隆选择与粗糙集，在分析特征子集的执行代价的基础上，提 出以执行代价和分类能力作为亲和度函数 指导的免疫克隆进化算法。在KDDCUP99数据集上进行 了测试，测试结果证明该算法可以有效地提高分 类准确性，降低 ^侵检测系统的执行代价。 关键词；特征选择；入侵检测；克隆选择；执行代价 中图分类号：TP393 文献标识码：A 征子集就是最容易获取的，也不能说使用这个特征 0 引 言 子集进行检测的计算复杂度就会必然低于其他特征 个数多的特征子集。为了更好地定义入侵特征的度 随着计算机网络技术的发展，网络安全 日益成 量标准，本文引入了特征的执行代价作为评价特征 为人们关注的焦点。．大部分现有的入侵检测系统使 子集一个标准，基于免疫克隆选择算法与粗糙集理 用全部的特征来检测入侵。大量的特征虽然可以在 论，提出一种新的代价敏感的入侵特征选择算法。 一 定程度上提高分析准确性，但是也会增大系统的 时间与空间复杂度。由于时间开销对于实时入侵检 1 相关概念及结论 测系统是非常重要的，所以删除多余的和对分析结 果贡献较小的特征对于提高入侵检测系统的性能有 1．1执行代价 重要意义。研究表明，特征选择可以有效提高入侵 在入侵检测系统中，一部分特征的收集将比其 检测的准确率u 。文献 [1】使用fisher准则作为特 他特征的收集付出更高的代价，然而这些昂贵的特 征属性子集分类能力的判别规则，将特征属性作为 征却包含了更多的对入侵检测有意义的信息。执行 图的节点，使用蚁群算法在节点之间进行随机有哪些信誉好的足球投注网站， 代价考虑的主要问题是抽取和测试被监控的数据流 根据 fisher准则得到最优的特征子集。文献[21中使 时所耗费的时间量和计算资源。将执行代价与时间 用了遗传算法进行特征选择，由于其适应度函数使 联系起来主要是因为实时 IDS必须在入侵的进行 用了KNN方法使得算法的计算准确性有了很大提 过程中检测到入侵并做出反应。把计算资源列入考 高。虽然这种wrapper方法的计算复杂度相对较大， 虑范围的原因是一项资源在同一时间只能被一个任 但也为使用进化类算法进行入侵特征选择提供了良 务占用，而资源是有限的，所以它也是影响执行代 好的思路。文献[31中使用了主成分分析的方法，得 价的一个重要因素。在过去抽取和构造特征分析的 到了一组新的特征。这些方法u叫只是考虑了特征子 基础上，将执行代价分为 4个等级 ： 集的分类能力和特征个数，都默认每个特征的获取 第 1级：能够从第一个包中计算的特征。如： 及计算的难度都是相同的。但是事实并非如此，入 service类型。 侵的特征获取的难度有着很大的不同，计算复杂度 第2级：可以在一个连接的生命周期内任意点 也都不相同，所以特征个数少并不代表得到这个特 计算出的特征。 收稿 日期：2007-08-21． 作者简介：秦亮 (1978一)，男，华北电力大学计算机科学与技术学院硕士研究生 维普资讯 第4期