第3期 顾成杰，等：结合粗糙集和禁忌搜索的网络流量特征选择 ·257. 初始化参数 使用粗糙集得到网络流量特征子集， 作为禁忌搜索的初始解 将网络流量特征子集川二进制编码形式 表示，生成初始解，并且将禁忌表置空 判断是否满足终止条件 Y N 利加初始解的邻域函数获得所有邻域解】 通过计算各个解的评价值得到若干候选解 N 判断是否满足特敖准则 将满足特放准则的解作为当前解，其对应的对象 替换最早进人禁忌表巾的对象，更新最优解 计算候选解对应的各对象的禁忌属性，选择候选解中非禁忌对象的最优 状态为新的当前解，并用该对象替换最早进入禁忌表巾的对象 结束算法，输出最优网络流量特征子集 图1结合粗糙集和禁忌搜索的网络流量特征选择方法流程 Fig.1 The flow chart of feature selection of network traffic using rough set and tabu search 采用这2个属性.使用粗糙集进行特征属性约简时， 2实验验证 要求属性值用离散数据表示，因此还需要对各个属 2.1实验数据集 性值进行离散化、 为了验证所提出的特征选择算法的有效性，通 表1实验数据集统计信息 过实验来验证.实验数据集的选择非常重要，经过分 Table 1 Statistics of Moore_Set 析和比较，采用剑桥大学Moore教授等人使用的网 类别 应用名称 流数目所占比例/% 络流量实验数据集n],记为Moore_.Set.该数据集采 WWW http,https 328091 86.910 自2003年8月20日0时至24时流经某生物学研 MAIL Imap,pop3,smtp 28567 7.567 究所网络出口的双向网络流量，通过采样提取出10 BULK ftp 11539 3.056 个平均抽样时间大约是1680s的子集，形成实验数 DATABASE oracle,mysql 2648 0.701 据集.该实验数据集中共包含了377526个网络流样 SERVER ident,ntp,x11,dns 2099 0.556 P2P kazaa,bittorrent 2094 0.555 本，被分成10种类型，每种类型所包含的应用名称、 ATTACK worm,virus 1793 0.475 每类网络流的数量和所占比例见表1. MEDIA real,media player 1152 0.305 Moore_Set中每条网络流样本都是从一条完整 INT telnet,ssh,rlogin 110 0.029 的TCP双向流抽象而来，包含248项属性，其中第1 GAME half-life 8 0.002 项属性和第2项属性分别是该流的源端口号和目的 总计 26种 377526 100 端口号.为了避免端口信息对分类的影响，本文没有