(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210926471.X (22)申请日 2022.08.03 (71)申请人 南京大学 地址 210023 江苏省南京市栖霞区仙林大 道163号 (72)发明人 钱超　程子航　尚昊璞　 (74)专利代理 机构 南京乐羽知行专利代理事务 所(普通合伙) 32326 专利代理师 李玉平 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) G06N 3/12(2006.01) (54)发明名称 用于构建网络入侵检测系统的多目标演化 特征选择方法 (57)摘要 本发明公开一种用于构建网络入侵检测系 统的多目标演化特征选择方法， 将网络入侵检测 中的特征选择问题建模成一个三目标优化问题， 同时优化特征数量、 分类准确率和检测率， 并使 用多目标演化算法来求解此优化问题。 这种建模 方式解决了以往的方法忽略检测率这一重要指 标， 从而导致构建的入侵检测系统在实际应用上 漏掉大量网络入侵的问题。 在 多个网络入侵数据 集上的实验表明， 本发明的建模 方式优于以往 方 法， 对异常攻击的检测率有明显提高。 权利要求书2页 说明书8页 附图4页 CN 115296898 A 2022.11.04 CN 115296898 A 1.一种用于构建网络入侵检测系统的多目标演化特征选择方法， 其特征在于， 将网络 入侵检测中的特征选择问题建模成一个三 目标优化问题， 即最小化特征数量， 最大化分类 准确率以及最大化对异常攻击的检测率， 并使用多目标演化算法来求解三 目标优化问题； 三目标优化问题， 如下： 其中， 用长度为n的0 ‑1串x∈{0,1}n表示所选择的特定 特征子集， 其中1代表对应位的特 征被选择， 0代表对应位特征不被选择； 第一个目标 ‑Size(x)是特征子集大小的相反数， 第 二个目标Accur acy(x)是在相应特征子集上训练的包裹式分类器的准确率， 第三个目标DR (x)是在相应特 征子集上训练的包裹式分类 器对异常的检测率。 2.根据权利要求1所述的用于构建网络入侵检测系统的多目标演化特征选择方法， 其 特征在于， 引入在多目标优化中对解的支配关系的定义： 对于 两个解x和x ’， 如果， (1)对任意目标函数， x在该目标函数 上的值都不小于x ′在该目标 上的值； (2)存在某一个目标函数， x在该目标函数 上的值大于x ′在该目标 上的值； 则称解x支配解x ′。 3.根据权利要求1所述的用于构建网络入侵检测系统的多目标演化特征选择方法， 其 特征在于， 采用的多目标演化 为NSGA‑II， 特征选择方法， 包含以下步骤： 步骤1： 给定原始网络入侵数据集D， 数据集D中每条记录是一个网络事件， 包含多种描 述网络链接的特征， 记特征总数为L； 每一条记录都存在标签记录其属于正常或攻击； 对原 始网络入侵数据集D进行 预处理； 步骤2： 将原始网络入侵数据集D划分为训练集Dtrain、 验证集Dval和测试集Dtest， 每个划 分中样本包 含的特征同原始数据集 一致； 步骤3： 特征选择； 从描述网络事件的记录的多种特征中挑选出部分特征组成特征子 集， 实现步骤如下： 步骤3.1： 种群初始化； 演化算法使用0 ‑1串来表示解， 每个解代表一个特定的特征子 集， 其中0 ‑1串的长度等于特征总数L， 0代表对应位的特征不选， 1代表对应位的特征被选 取； 初始化过程即为0 ‑1串的生成过程， 初始种群大小为 N； 步骤3.2： 选择、 交叉和变异； 从大小为N的父代种群中使用二元锦标赛选择挑出两个父 代个体， 对两个父代个体进行均匀交叉和逐位变异 生成两个子代个体； 此过程重复进 行， 直 到生成N个子代个 体； 此时每 个子代个 体以0‑1串的形式代 表一个特定的特 征子集； 步骤3.3： 适应度评估； 通过在每个个体对应的特征子集上训练包裹式分类器的评估， 来判断解的优劣； 训练集Dtrain被用于分类器的训练， 验证集Dval被用于分类器的评估， 包含 三个目标函数的评估： 特 征子集大小， 模型在验证集Dval上的分类准确率及异常检测率； 步骤3.4： 生存选择； 根据 步骤3.3中适应度评估的结果， 通过快速非支配排序和拥挤距 离从N个父代个 体和N个子代个 体中挑选出N个 个体组成新 一代种群； 步骤3.5： 判断终止条件； 如果未达到多目标演化算法设定的终止条件， 则重复步骤 3.2‑3.4， 否则返回最后一代种群中的非支配解 集； 步骤4： 在实际应用时， 根据应用场景需要， 从得到的非支配解集中选择一个特征子集 用于入侵检测系统的构建。权　利　要　求　书 1/2 页 2 CN 115296898 A 24.根据权利要求3所述的用于构建网络入侵检测系统的多目标演化特征选择方法， 其 特征在于， 根据选择的特征子 集， 使用CART决策树， 逻辑回归或随机森林算法在训练集Dtrain 上训练分类模型， 从而构建出入侵检测系统； 最终， 在测试集Dtest上对入侵检测系统进行评 估， 得到最终构建的入侵检测系统的性能。 5.根据权利要求3所述的用于构建网络入侵检测系统的多目标演化特征选择方法， 其 特征在于， 多目标演化 算法NSGA ‑II可替换为 NSGA‑III或MOEA/D的多目标演化 算法。 6.一种计算机设备， 其特征在于： 该计算机设备包括存储器、 处理器及存储在存储器上 并可在处理器上运行的计算机程序， 处理器执行上述计算机程序时实现如权利要求1 ‑5中 任一项所述的用于构建网络入侵检测系统的多目标演化特 征选择方法。 7.一种计算机可读存储介质， 其特征在于： 该计算机可读存储介质存储有执行如权利 要求1‑5中任一项 所述的用于构建 网络入侵检测系统的多目标演化特征选择方法的计算机 程序。权　利　要　求　书 2/2 页 3 CN 115296898 A 3