基于粗糙集理论的入侵检测系统模型研究

摘要:入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全研究方面的热点。粗糙集作为一种新兴的处理模糊和不确定性知识的数学工具,将其应用在入侵检测中具有重要的现实意义。

关键词:入侵检测;粗糙集;网络安全;属性约简

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-01

Research of Intrusion Detection System Model Based on Rough Set Theory

Su Hang,Li Yanqing

(DalianTransportation University,Education Technical Center Network Technology Department,Dalian116028,China)

Abstract:The Intrusion Detection System as a key technology and important means to protect network security has become a hot research area.Rough sets as a new mathematical tool to deal with the fuzzy and uncertain knowledge.It has important practical significance to use it in intrusion detection.

Keywords:Intrusion detection;Rough sets;Network security;Attribute reduction

一、引言

随着计算机网络和信息技术的发展,人们对互联网的使用越来越频繁,这也使得网络安全问题变得越发重要[1]。入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全方面研究的热点和重要方向。

二、粗糙集理论

(一)粗糙集基本概念

1.知识分类的概念

知识是人类通过实践认识到的客观世界的规律性的东西,是人类实践经验的总结和提炼,具有抽象和普遍的特性。人工智能研究中的一个重要概念是智能需要知识。从认知科学的观点来看,可以认为知识来源于人类以及其他物种的分类能力,知识即是将对象进行分类的能力。设 是我们感兴趣的对象组成的有限集合,称为论域。以分类为基础,可以将分类理解为等价关系,而这些等价关系对论域 进行划分。

2.粗糙集及其近似

定义1 设 是对象集, 是 上的等价关系[2]。

(1)称 为近似空间,由 产生的等价类为 ,其中 。

(2)对于任意 ,记 , ,称 为 的下近似, 为 的上近似。

(3)若 ,称 为可定义的集合,否则称 为粗糙集(图1)。

(4) 的 边界域定义为

(5)集合 称为 的 正域, 称为 的 负域。

(二)近似精度与粗糙度

定义设集合 是论域 上的一个关于 的粗糙集,定义 关于 的近似精度为 ,其中 ; 表示集合中所包含元素的数目,称集合的基数或势。

定义 设集合 是论域 上的一个关于 的粗糙集,定义 的 粗糙度为 。如果 ,则集合 关于 是普遍集合;如果 ,则集合 关于 是粗糙集合。

(三)核与约简

属性约简包括两个概念:约简(reduce)和核(core)。属性约简是指关系的最小不可省略子集,而属性的核则是指最重要的关系集。

定义* 对于一给定的决策系统 ,条件属性集合 的约简是 的一个非空子集 。它满足:1, 都是 不可省略的 2则称 是 的一个约简, 中所有约简的集合记作 。

三、入侵检测模型

(一)入侵检测系统

入侵检测系统全称为Intrusion Detection System,简称IDS。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。

(二)粗糙集理论在入侵检测中的应用

本文主要探讨判断当前的网络连接是正常连接还是入侵,实现这个功能的系统模型分为四个部分。第一,数据预处理。主要包括删除重复记录,决策表缺失内容修正,数据离散化。第二,属性约简。采集到的大量数据里面包含了多种信息,但是所有的信息并不是同等重要的,有些时候是冗余的,通过属性约简可以有效去掉冗余信息以便得到更为简捷的决策规则。第三,根据约简结果得到逻辑规则。本文入侵检测系统体系结构如图2所示。

(三)基于信息熵的属性约简改进算法

属性约简部分是基于粗糙集理论的入侵系统模型中非常重要的部分,本文对一种基于信息熵的属性约简算法进行改进,使得算法更高效。文献[3]提出的cebarkcc算法是一种比较典型的基于信息熵的属性约简算法,该算法是建立在决策属性集相对于条件属性集额条件熵的基础上的,以 作为启发式信息,以 作为算法的终止条件。它以决策表核属性集为起点,逐次选择使 最小的非核条件属性 添加到核属性集中,直到满足终止条件 。该算法步骤文献[44]中有详细说明,本文不在细述,现将改进算法步骤描述如下:

Cebarkcc的改进算法:

输入:一个决策表 ,其中, 为论域, 和 分别为条件属性集和决策属性集;

输出:决策表 的一个相对约简 ;

Step1:计算决策表 中决策属性集 相对条件属性集 的条件熵 ;

Step2:计算条件属性集 中相对于决策属性集 的核属性 ,并令 , ;

Step3:

Step3.1:计算条件信息熵 ,转Step3.4;

Step3.2:对 , 中的每个属性计算条件熵 ,求 得到属性 的重要度 ;

Step3.3:选择使 最大的属性 (若同时有多个属性达到最小值,则从中选取一个与 的属性值组合数最少的属性),把 从 中删除,并把 增加到 的尾部;同时从 中删除使 的值为零的属性 ;

Step3.4:如果 ,则转Step4,否则转Step3.2;

Step4:从 的尾部开始,从后向前判别每个属性的 是否可约。如果 ,则从 开始向前的属性都是核属性,不可约,算法终止;否则,如果 ,则 是可约简的,把 从 中删除。

四、结论

一个完善的入侵检测系统是对系统防火墙有益的补充,能够在网络系统受到危害之前拦截和响应入侵。但是现今网络数据量非常大,环境复杂,这就需要入侵检测系统更加智能,能够适应复杂多变的环境。粗糙集能够不需要任何附加信息和先验知识的情况下,对数据进行分析从而得出人们想要的结果。所以将粗糙集理论应用于入侵检测系统是可行而且有效的,本文同时给出了改进的约简算法,该算法较先前算法效率更高,约简效果更好。

参考文献:

[1]肖晓春.基于模型的网络安全风险评估的研究,复旦大学,2008

[2]张文修,仇国芳.基于粗糙集的不确定决策.清华大学出版社

[3]王国胤,于洪,杨大春.基于条件信息熵得决策表约简[J].计算机学报,2002