39、基于信息理论的网络攻击异常分析与防护

基于信息理论的网络攻击异常分析与防护

1. 网络攻击检测基础

网络攻击会对网络服务造成严重影响。在检测网络攻击时，首先需要计算最优特征集。之后，利用遗传算法（GA）训练线性分类函数，以此确定合适的权重，从而针对各种类型的网络攻击（如 DoS、U2R、R2L、probe 攻击）实现恰当的检测率。这个线性函数表示离散和/或离散化特征值的加权求和。

2. 信息理论的特征筛选方法

2.1 特征筛选新方法

有一种新方法能基于每个特征与决策变量之间的互信息，从排序后的特征列表中有效去除无关特征。通过简单的前向选择爬山搜索来获取特征的排序列表，该搜索从空集开始，逐个评估特征，并使其持续搜索到搜索空间的远端。同时，通过成对决策依赖相关性分析去除冗余特征。在减少无关特征后的精简特征排序列表中进行子集特征的评估。

2.2 特征选择技术分类

特征选择技术可根据多种标准进行分类，其中一种流行的分类方式是分为“过滤器”和“包装器”，用于量化特征的价值：
- 过滤器 ：利用训练数据的一般特征来评估属性，且独立于任何学习算法进行操作。
- 包装器 ：通过实际目标学习算法提供的准确性估计来评估属性。不过，包装器模型计算成本较高，因此当特征数量非常大时，过滤器模型通常是更好的选择。

2.3 个体特征评估方法

个体特征评估强调特征与最终决策的相关性，主要有以下两种典型方法：
- 基于信息的特征排序 ：使用决策和特征之间的互信息来评估特征相对于所考虑决策的重要性