1.一种入侵检测系统中的实时特征过滤方法,其特征在于,包括:周期性获取入侵检测数据,对获取的数据进行预处理;提取预处理后入侵检测数据的特征,计算t时刻流入系统特征与目标决策类的相关性数值;将计算出的相关性数值与设定的阈值进行比较,根据比较结果对入侵检测特征数据执行不同的策略;所述不同的策略包括:对高于设定阈值的入侵特征数据进行属性约简策略;对低于设定阈值的入侵检测特征数据进行特征互补检测策略;所述设定的阈值为t‑1时刻流入系统特征集合中每个特征数据与目标决策类的相关性数值的均值。
2.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,获取的入侵检测数据包括:访问系统敏感文件和目录的次数、用户访问次数以及访问控制文件的次数。
3.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,对数据进行预处理的过程包括剔除特殊值数据值、对数据进行标准化处理、对数据进行归一化处理以及数据拆分处理,将归一化后的入侵检测数据转换为决策信息表。
4.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,提取预处理后入侵检测数据特征的过程包括:对于获取的入侵检测数据进行初步特征选择,去掉取值变化较小的特征;即在样本数据下所有实例对象中一个特征对应唯一一个数值,当样本数据中的一个离散型特征下所有实例对象的取值均为0时,则不能对该特征进行分类,则认为该特征无效,直接剔除该特征,重新等待新数据特征的流入;否则为有效特征数据,进入特征分流的过程。
5.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,设定阈值的过程包括:
S1:获取入侵检测数据集,对该数据集进行预处理,得到训练集;
S2:周期性提取训练集中数据的特征信息,并将每一周期保留的特征信息进行集合,得到当前时刻的特征集;
S3:计算特征集中每个特征与目标决策类的相关性数值,对所有的相关性数值进行求和取平均值,将该平均值作为初始阈值。
6.根据权利要求5所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,计算每个特征与目标决策类的相关性数值的过程包括:步骤1:采用欧氏距离公式计算样本数据中实例对象xi与其余对象在特征子集S下的距离,对得到的距离进行由近到远的排序,得到实例对象xi下排序后的距离集合NB(xi)=
步骤2:根据排序后的距离集合NB(xi)确定实例对象xi的拐点x(i,k),将对象xi到对象x(i,k)之间的样本作为xi的邻域;
步骤3:根据对象xi的邻域对xi进行划分,若对象xi与邻域内对象的目标决策类标签一致,则对象xi划分到正域,否则划分为边界域;
步骤4:重复上述步骤1‑3,直到样本数据中的所有实例对象都分别被划分到正域或边界域为止;
步骤5:根据上述得到的正域实例对象集合POSS(D),计算在特征集合S下,特征集合S与决策目标类D的相关性数值;即 其中|·|表示一个集合的基数,|POSS(D)|表示在特征集合S下划分到正域的实例对象个数,|U|表示所有对象实例的总个数。
7.根据权利要求6所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,确定对象xi的拐点过程包括:在排序后的距离集合NB(xi)中计算实例对象xi与其他实例对象之间的密度值,由于距离集合NB(xi)的对象之间满足Δ(xi,x(i,1))≤Δ(xi,x(i,2))≤...≤Δ(xi,x(i,j))≤...≤Δ(xi,x(i,n‑1)),则密度值计算公式为Density(xi,x(i,k))=Δ(xi,x(i,k))/k,寻找第一次出现密度值呈下降趋势的实例对象x(i,k),该对象x(i,k)为对象xi的拐点。
8.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,执行属性约简策略的过程包括:
步骤1:将新流入的特征f添加到特征集合S中,同时计算此时在特征集合S∪f下与目标决策类D之间的相关性数值
步骤2:根据特征集合中的每个特征与目标决策类之间的相关性数值进行降序排序,并从前往后依次删除每个特征,计算删除该特征后,剩余特征与目标决策类之间的相关性数值,得到与γ{S∪f}(D)之间的差值,记为θ;
步骤3:判断θ值的大小,如果满足θ等于0,则删除该特征,否则保留该特征。
9.根据权利要求1所述的一种入侵检测系统中的实时特征过滤方法,其特征在于,执行特征互补检测策略的过程包括:
步骤1:计算特征集合S与目标决策类D之间的相关性数值γbefore,计算公式为:其中,|POSS(D)|表示在特征集合S下划分到正域的实例对象个数,|U|表示所有对象实例的总个数;
步骤2:将新流入的特征f添加到特征集合S中,计算此时特征集合S∪f与目标决策类之间的相关性数值γafter,计算公式为步骤3:如果满足γafter大于γbefore的条件,则保留该新流入的特征,否则删除该特征。