基于粗糙集理论的入侵检测方法研究

为了克服入侵检测系统存在着在先验知识较少情况的推广能力差的问题，提出了基于粗糙集理论的入侵检测方法。利用粗糙理论，建立了系统调用短序列的检测模型并应用于sendmail调用序列检测。实验结果表明：它不需要全部的正常和异常的信息，在给出较少的正常和异常调用序列数据的情况下，能得到较为理想的检测效果。
关 键 词 粗糙集; 入侵检测; 网络安全; 系统调用序列

随着网络技术和规模的不断发展，网络入侵的风险性和机会也随之增大，网络安全成为了人们无法回避的问题。因此为了处理越来越多的敏感信息，入侵检测也成为了一项非常重要的技术，得到广泛的重视。
入侵检测可以看成是一个分类问题，也就是对给定的审计数据进行分类：(1) 什么样的数据是正常的；(2) 什么样的数据是异常的。文献[1]把入侵检测看作是区分正常和非正常的过程，提出了基于免疫模型的入侵检测技术。文献[2]利用神经网络来提取特征和分类。文献[3]从数据挖掘技术角度探讨了入侵检测的实现问题。以上方法都需要大量或完备的审计数据集才能达到比较理想的检测性能，并且训练时间较长，而在实际中建立入侵检测模型较困难，这需要考虑在小样本的情况下，提取审计数据特征，实现入侵检测。
粗糙集理论(rough set)是20世纪80年代由Pawlack提出的一种处理模糊性与不确定性的数学工具[4]。粗糙集理论建立在分类机制上，将知识理解为对数据的划分，是在特定空间上由等价关系构成的划分。粗糙集理论认为知识库中的知识不是同等重要的，而且还存在冗余，不利于作出正确的决策，它提供了一套比较成熟的在样本数据集中发现数据属性之间关系的方法。知识约简要求在保持知识库分类和决策能力不变的条件下，删除不相关或不重要的属性。在用粗糙集理论进行分析时，先从所有属性中筛选出反映数据之间本质关系的重要属性，在基于这些重要属性来建立规则。因此将粗糙集应用于入侵检测中，能从有限的正常调用序列样本集中发现反映数据属性之间关系的本质特征，更有效地逼近理想的分类模型，并且属性约简能得到最小分类检测规则集，这样使得基于粗糙集的入侵检测模型在先验知识不足的情况下，仍然有较好的检测率。本文提出了基于粗糙集的入侵检测模型，并以系统调用序列作为入侵数据，给出了计算机仿真结果。