我们研究了基于流的入侵检测中的特征选择（FS）方法，并提出了一种确定性的混合FS算法，该算法结合了互信息（MI）、随机森林（Random-Forest）和XGBoost的重要性评估方法，通过单阈值简单搜索进行优化。利用CIC-IDS-2017、CSE-CIC-IDS2018和NF-UNSW-NB15数据集，在安全防护协议下评估了十种特征选择技术与六种集成方法的性能。结果表明，这种混合FS算法在减少特征数量（例如从78个特征减少到31个特征）的同时，性能始终优于或至少与最佳的单个特征选择方法相当，并且运行时间也有所缩短。吞吐量提高了约9–10%，每个流的延迟从0.44毫秒（50%置信水平）降至0.40毫秒，以及1.40毫秒（99%置信水平）。平均95%的置信区间下，该算法的误报率（FPR）降低了15–19%，在每小时处理10万个流量的情况下，每小时虚假警报数量减少了22次。与代表性的PSO/GA混合算法相比，我们的算法在相似的延迟下实现了小幅但稳定的宏观F1分数提升以及15–25%的FPR降低。我们通过明确的FGSM特征空间威胁模型和DeepPackGen配置验证了算法的对抗鲁棒性，并通过轻量级措施发现了跨数据集的偏差问题。24小时的安全操作中心（SOC）回放显示，该算法在提高分析师工作效率（每天节省2.5–3.7小时）的同时，没有牺牲宏观F1分数或平均精确度（AUROC）。研究结果表明，确定性、紧凑型的特征选择算法是适用于实时入侵检测（IDS）的实用选择，特别是在关注尾部延迟和警报数量的情况下。