本發明屬于數據挖掘領域，具體涉及一種入侵檢測系統中的實時特征過濾方法，該方法包括：周期性獲取入侵檢測數據，對獲取的數據進行預處理；提取預處理后入侵檢測數據的特征，計算t時刻流入系統特征與目標決策類的相關性數值；將計算出的相關性數值與設定的閾值進行比較，根據比較結果對入侵檢測數據執行不同的策略；本發明針對不同特征采取不同的特征執行策略，進一步對不滿足“高相關”特征準則的，采用特征互補檢測策略，可以使得模型選擇更多有價值的特征，提升模型的分類精度。

技術領域

本發明屬于數據挖掘領域，具體涉及一種入侵檢測系統中的實時特征過濾方法。

背景技術

隨著信息技術、網絡技術和生物科學等領域的發展，出現了越來越多的入侵檢測系統數據，而如何在龐大、復雜、繁多的入侵檢測系統數據中獲取有價值的信息是當前研究的重點與難點。一方面，海量數據可以讓用戶更好地理解事物，為數據分析與判斷提供了基礎；另一方面，高維數據中包含了許多重要的信息，但是該信息存在冗余、無關以及干擾信息，使得在進行數據挖掘時，會出現很多問題。當數據的特征維度超過一定值后，分類器性能會隨著數據維度的增加而降低，當數據的特征維度高達一定值時，就會引發“維數災難”，如下圖1所示。

為了避免維數災難，挖掘出入侵檢測系統數據中的有效信息，需要降低數據維度，而特征選擇便是維數約簡中一種常用且有效的方法。特征選擇是通過去除數據集中不相關和冗余的信息來獲得最優特征子集的過程。而對于傳統的特征選擇方法中，需要提前收集入侵檢測的特征數據進行離線處理，然后進行數據挖掘與知識獲取。而在現實實際應用場景下，入侵檢測系統中的特征數據隨著時間的不斷推移，以流的形式到達，特征數量不斷增加，特征空間持續變化。因此，如何在入侵檢測系統中實現實時特征過濾，即在線流特征選擇，具有重要作用。

目前，在進行線流特征選擇過程中，采用粗糙集理論對數據的相關性進行處理；通過關系數據庫分類歸納形成概念和規則，通過不分明關系的分類以及分類對于目標的近似實現知識發現。在目前基于粗糙集理論的在線流特征選擇研究方法中，方法的主要框架主分為兩個階段：(1)在線相關性分析階段：主要分析當前時刻新流入的特征與目標決策類之間的相關性，從而達到去除不相關特征的目的；(2)在線冗余性分析階段：主要分析當前時刻新特征流入以后，目前選擇的特征集合中是否存在冗余特征，利用屬性約簡策略對當前集合中進行冗余特征的剔除；以上的步驟，使得在實時動態特征流的過程中得到一個高相關、低冗余的特征子集。

目前的研究方法中，在線相關性分析階段為滿足“高相關”特征準則，對于新流入的特征不符合該準則的采取剔除策略，即不再使用該新特征。“高相關”特征準則是利用當前時刻選擇的特征集合，通過計算每一個特征與目標決策類之間的相關性，對所有計算得到的相關性數值進行求和取平均，然后將該平均值作為下一輪新流入的特征是否可以進入第二階段的基線。雖然在一定程度上，“高相關”特征準則可以每次選擇與目標決策類高度相關的特征，但卻忽略了特征互補的優勢。

發明內容

為解決以上現有技術存在的問題，本發明提出了一種入侵檢測系統中的實時特征過濾方法，該方法包括：周期性獲取入侵檢測數據，對獲取的數據進行預處理；提取預處理后入侵檢測數據的特征，計算t時刻流入系統特征與目標決策類的相關性數值；將計算出的相關性數值與設定的閾值進行比較，根據比較結果對入侵檢測特征數據執行不同的策略；所述不同的策略包括：對高于設定閾值的入侵特征數據進行屬性約簡策略；對低于設定閾值的入侵檢測特征數據進行特征互補檢測策略；所述設定的閾值為t-1時刻流入系統特征集合中每個特征數據與目標決策類的相關性數值的均值。

優選的，獲取的入侵檢測數據包括：訪問系統敏感文件和目錄的次數、用戶訪問次數以及訪問控制文件的次數。

優選的，對數據進行預處理的過程包括剔除特殊值數據值、對數據進行標準化處理、對數據進行歸一化處理以及數據拆分處理，將歸一化后的入侵檢測數據轉換為決策信息表。