基于粗糙集理論的入侵檢測(cè)方法研究

為了克服入侵檢測(cè)系統(tǒng)存在著在先驗(yàn)知識(shí)較少情況的推廣能力差的問(wèn)題，提出了基于粗糙集理論的入侵檢測(cè)方法。利用粗糙理論，建立了系統(tǒng)調(diào)用短序列的檢測(cè)模型并應(yīng)用于sendmail調(diào)用序列檢測(cè)。實(shí)驗(yàn)結(jié)果表明：它不需要全部的正常和異常的信息，在給出較少的正常和異常調(diào)用序列數(shù)據(jù)的情況下，能得到較為理想的檢測(cè)效果。
關(guān) 鍵 詞 粗糙集; 入侵檢測(cè); 網(wǎng)絡(luò)安全; 系統(tǒng)調(diào)用序列

隨著網(wǎng)絡(luò)技術(shù)和規(guī)模的不斷發(fā)展，網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)性和機(jī)會(huì)也隨之增大，網(wǎng)絡(luò)安全成為了人們無(wú)法回避的問(wèn)題。因此為了處理越來(lái)越多的敏感信息，入侵檢測(cè)也成為了一項(xiàng)非常重要的技術(shù)，得到廣泛的重視。
入侵檢測(cè)可以看成是一個(gè)分類問(wèn)題，也就是對(duì)給定的審計(jì)數(shù)據(jù)進(jìn)行分類：(1) 什么樣的數(shù)據(jù)是正常的；(2) 什么樣的數(shù)據(jù)是異常的。文獻(xiàn)[1]把入侵檢測(cè)看作是區(qū)分正常和非正常的過(guò)程，提出了基于免疫模型的入侵檢測(cè)技術(shù)。文獻(xiàn)[2]利用神經(jīng)網(wǎng)絡(luò)來(lái)提取特征和分類。文獻(xiàn)[3]從數(shù)據(jù)挖掘技術(shù)角度探討了入侵檢測(cè)的實(shí)現(xiàn)問(wèn)題。以上方法都需要大量或完備的審計(jì)數(shù)據(jù)集才能達(dá)到比較理想的檢測(cè)性能，并且訓(xùn)練時(shí)間較長(zhǎng)，而在實(shí)際中建立入侵檢測(cè)模型較困難，這需要考慮在小樣本的情況下，提取審計(jì)數(shù)據(jù)特征，實(shí)現(xiàn)入侵檢測(cè)。
粗糙集理論(rough set)是20世紀(jì)80年代由Pawlack提出的一種處理模糊性與不確定性的數(shù)學(xué)工具[4]。粗糙集理論建立在分類機(jī)制上，將知識(shí)理解為對(duì)數(shù)據(jù)的劃分，是在特定空間上由等價(jià)關(guān)系構(gòu)成的劃分。粗糙集理論認(rèn)為知識(shí)庫(kù)中的知識(shí)不是同等重要的，而且還存在冗余，不利于作出正確的決策，它提供了一套比較成熟的在樣本數(shù)據(jù)集中發(fā)現(xiàn)數(shù)據(jù)屬性之間關(guān)系的方法。知識(shí)約簡(jiǎn)要求在保持知識(shí)庫(kù)分類和決策能力不變的條件下，刪除不相關(guān)或不重要的屬性。在用粗糙集理論進(jìn)行分析時(shí)，先從所有屬性中篩選出反映數(shù)據(jù)之間本質(zhì)關(guān)系的重要屬性，在基于這些重要屬性來(lái)建立規(guī)則。因此將粗糙集應(yīng)用于入侵檢測(cè)中，能從有限的正常調(diào)用序列樣本集中發(fā)現(xiàn)反映數(shù)據(jù)屬性之間關(guān)系的本質(zhì)特征，更有效地逼近理想的分類模型，并且屬性約簡(jiǎn)能得到最小分類檢測(cè)規(guī)則集，這樣使得基于粗糙集的入侵檢測(cè)模型在先驗(yàn)知識(shí)不足的情況下，仍然有較好的檢測(cè)率。本文提出了基于粗糙集的入侵檢測(cè)模型，并以系統(tǒng)調(diào)用序列作為入侵?jǐn)?shù)據(jù)，給出了計(jì)算機(jī)仿真結(jié)果。