基于改进灰狼优化算法的入侵检测特征选择方法

摘要

本发明提供了一种基于改进灰狼优化算法的入侵检测特征选择方法，利用柯西变异和Levy飞行对狼群进行扰动，跳出局部最优，提高全局搜索的能力，进而得到最佳特征子集，提高入侵检测的准确率。本发明在灰狼种群初始化时，使用Logistic混沌映射，提高初始灰狼种群的质量，提高算法挖掘能力；在灰狼种群更新时进行扰动，一定程度上弥补了陷入局部最优的缺点，提升全局搜索能力；最终训练出特征数较少的最佳特征子集，带入测试集后，得到的检测准确率更高。

说明书

技术领域

本发明涉及灰狼优化算法和用于分类识别的kNN等相关技术，属于入侵检测系统中寻求最优特征子集的方法。

背景技术

在网络安全风险日益增加的时代中，安全防护手段也越来越多。其中，入侵检测技术因为可以有效检测已知和未知攻击，同时具有识别和预警的能力，成为业界公认的最安全、最常用的防护措施之一。尽管入侵检测系统根据分类标准不同而有各式各样的分类，但大多存在检测效率低下等问题。随着网络流量数据量呈指数增长，网络攻击者的入侵频率和复杂程度也在不断提高，导致在高维度网络流量难以精准检测出攻击或异常，时间成本也伴随数据量的增加呈指数增长。对网络流量数据分析后发现，网络流量存在的数据特征虽多，但冗余无效的特征也不在少数，剔除冗余特征，对高维网络流量实现降维，可以有效减少时间成本，增加准确率。

特征选择是使高维流量数据降维的最好办法，从特征中选择最有代表性的、最有价值的特征子集，进而实现降维。特征选择算法的类别可以看作三类，过滤式，包裹式，嵌入式。过滤式是先进行特征选择，再训练分类器，在选择特征子集的过程中，不涉及任何算法；而包裹式则是在选择特征子集时，增加各种智能算法，从由所有特征组成的解空间中，找到最优的一组特征子集，包裹式算法也是目前研究最广泛的特征选择算法；嵌入式则是将二者混合，把特征选择的过程当作训练分类器的一个环节。

灰狼作为自然界顶级的掠食者，喜欢群居而且具有严格的社会等级制度，因此，在灰狼群体中，能够明确区分最强、等级最高的领导狼。灰狼优化算法则模仿灰狼的群居狩猎行为模式，加以改进，包围猎物，也就是最优适应度，每一只狼代表一种特征子集方案。这种算法具有较强的收敛性，同时因涉及参数少，具有易实现的优点，但也存在易陷入局部最优的问题。基于灰狼优化算法的特征选择是包裹式特征选择类型，在解空间搜索最优特征子集时，利用灰狼优化算法，以几组特征子集为基点，在附近展开搜索，最终得到最优特征子集，实现高维流量数据的降维，减少成本，提高入侵检测准确率，实现网络防御效率的快速提升。

发明内容

本发明是为了在入侵检测过程中，减少因数据特征数量多、存在冗余特征等因素导致最终入侵检测结果精度低、速度慢的问题。传统的入侵检测依靠现有的技术进行流量数据等的检测，对繁杂的数据特征，利用灰狼优化算法进行特征子集的选择，但目前该算法存在陷入局部最优的问题，影响最佳特征子集的选择和最终的准确率。本发明提出了一种结合柯西变异和Levy飞行的灰狼优化算法的入侵检测特征选择技术，利用柯西变异和Levy飞行对狼群进行扰动，跳出局部最优，提高全局搜索的能力，进而得到最佳特征子集，提高入侵检测的准确率。

本发明的目的是这样实现的，具体步骤如下：

步骤1：从KDD Cup 99数据集中获取80％作为训练集，20％作为测试集。入侵检测分类技术选择kNN技术，k为5。k表示K个最近的邻居，每个样本都可以用它最接近的K个邻近值来代表。

步骤2：设置改进灰狼算法的参数。狼群数目N为30，最大迭代次数T为50，初始化种群，以向量X表示当前灰狼的位置，维数为所选数据集的特征数目41，初始化生成第一代灰狼种群。

步骤3：将所有灰狼种群位置转化为二进制，以0.5为界，每一维中，超过0.5则设为1，表示选择该维代表的特征；否则设为0，表示不选择该维代表的特征。

步骤4：将得到的二进制灰狼种群向量组，将对应的特征选择方案代入kNN训练集中，以此选择相应特征数据。

步骤5：对步骤4中获取的特征数据进行训练，得到准确率

步骤6：计算此特征子集的适应度

步骤7：对步骤6中计算出的各个特征子集方案的适应度值后，进行排序，最小的三个值设为三匹领导狼α，β，γ。在这三匹狼中，用α表示头狼，也就是适应度最好的狼，在该过程中属于当前最好特征子集；β狼是适应度第二好的狼，服从于头狼，属于当前次好的特征子集；γ狼是第三好的狼，服从于α，β狼，属于当前第三好的特征子集。

步骤8：生成一个[0,1)的随机数，以确定α，β，γ狼的扰动策略。以0.5为界，随机数在[0,0.5]范围内执行步骤8.1，否则，执行步骤8.2。

步骤8.1：依次对α，β，γ进行柯西变异扰动，得到新的位置

步骤8.2：依次对α，β，γ进行柯西变异扰动，得到新的位置

步骤8.3：根据步骤8.1或8.2得到的结果计算相应适应度值，保存更新前三匹狼的位置和适应度值。

步骤9：灰狼包围猎物的模型为X(t+1)＝X

步骤10：在每次迭代过程中，保留目前种群中的最好三匹灰狼，计算候选狼的位置。使用以下公式得到下一代灰狼种群位置。D

步骤11：对所有灰狼进行柯西变异扰动，

步骤12：重复步骤3至步骤12，直至达到最大迭代次数。

步骤13：在kNN测试时，利用得到的最佳特征子集提取测试集数据，进行检测分析。

与现有的技术相比，本发明的有益效果是：

在灰狼种群初始化时，使用Logistic混沌映射，提高初始灰狼种群的质量，提高算法挖掘能力；在灰狼种群更新时进行扰动，一定程度上弥补了陷入局部最优的缺点，提升全局搜索能力；最终训练出特征数较少的最佳特征子集，带入测试集后，得到的检测准确率更高。

附图说明

图1为本发明的方法流程示意图；

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述。

图1为本发明所述的一种基于柯西变异的灰狼优化算法的入侵检测特征选择方法流程示意图。该方法的具体实施步骤包括：

1.从KDD Cup 99中随机抽取数据，其中80％作为训练集，20％作为测试集。

2.设置灰狼优化算法所用的所有参数，利用Logisitic混沌映射初始化灰狼种群。

3.将得到的初始灰狼种群对应的特征选择方案带入kNN模型中，对训练集进行特征提取并训练，得到具体的准确率

4.对这3匹狼进行Levy飞行

5.利用扰动后的α，β，γ狼，更新所有灰狼的位置，

6.对当前灰狼种群进行柯西变异扰动，得到下一代灰狼种群。

7.对该种群进行适应度值

8.判断是否达到最大迭代次数，若未达到要求，则返回至第4步，按顺序进行每一步，如此循环直至达到最大迭代次数后跳出循环，完成最佳特征子集的搜索。

9.根据上述得到的最佳特征子集，将KDD Cup99测试集中的数据进行特征提取，并利用kNN进行检测，得到测试准确率。