基于粗糙集理论的入侵检测系统模型研究.docVIP

精品论文 参考文献 基于粗糙集理论的入侵检测系统模型研究 苏航，刘延卿 (大连交通大学教育技术中心网络技术部,辽宁大连 116028) 摘要：入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全研究方面的热点。粗糙集作为一种新兴的处理模糊和不确定性知识的数学工具,将其应用在入侵检测中具有重要的现实意义。 关键词：入侵检测；粗糙集；网络安全；属性约简 中图分类号：TN915.08 文献标识码：A 文章编号：1007-9599 (2010) 04-0000-01 Research of Intrusion Detection System Model Based on Rough Set Theory Su Hang,Li Yanqing (DalianTransportation University,Education Technical Center Network Technology Department,Dalian 116028,China) Abstract:The Intrusion Detection System as a key technology and important means to protect network security has become a hot research area.Rough sets as a new mathematical tool to deal with the fuzzy and uncertain knowledge.It has important practical significance to use it in intrusion detection. Keywords:Intrusion detection;Rough sets;Network security;Attribute reduction 一、引言 随着计算机网络和信息技术的发展,人们对互联网的使用越来越频繁,这也使得网络安全问题变得越发重要[1]。入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全方面研究的热点和重要方向。 二、粗糙集理论 （一）粗糙集基本概念 1.知识分类的概念 知识是人类通过实践认识到的客观世界的规律性的东西，是人类实践经验的总结和提炼，具有抽象和普遍的特性。人工智能研究中的一个重要概念是智能需要知识。从认知科学的观点来看，可以认为知识来源于人类以及其他物种的分类能力，知识即是将对象进行分类的能力。设是我们感兴趣的对象组成的有限集合，称为论域。以分类为基础，可以将分类理解为等价关系，而这些等价关系对论域进行划分。 2.粗糙集及其近似 定义1 设是对象集，是上的等价关系[2]。 (1)称为近似空间，由产生的等价类为，其中。 (2)对于任意，记，，称为的下近似，为的上近似。 (3)若，称为可定义的集合，否则称为粗糙集（图1）。 (4)的边界域定义为 (5)集合称为的正域，称为的负域。 （二）近似精度与粗糙度 定义设集合是论域上的一个关于的粗糙集，定义关于的近似精度为，其中；表示集合中所包含元素的数目，称集合的基数或势。 定义 设集合是论域上的一个关于的粗糙集，定义的粗糙度为。 如果，则集合关于是普遍集合；如果，则集合关于是粗糙集合。 （三）核与约简 属性约简包括两个概念：约简（reduce）和核（core）。属性约简是指关系的最小不可省略子集，而属性的核则是指最重要的关系集。 定义* 对于一给定的决策系统，条件属性集合的约简是的一个非空子集。它满足：1 ，都是不可省略的 2 则称是的一个约简，中所有约简的集合记作。 三、入侵检测模型 （一）入侵检测系统 入侵检测系统全称为Intrusion Detection System，简称IDS。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。 （二）粗糙集理论在入侵检测中的应用 本文主要探讨判断当前的网络连接是正常连接还是入侵，实现这个功能的系统模型分为四个部分。第一，数据预处理。主要包括删除重复记录，决策表缺失内容修正，数据离散化。第二，属性约简。采集到的大量数据里面包含了多种信息，但是所有的信息并不是同等重要的，有些时候是冗余的，通过属性约简可以有效去掉冗余信息以便得到更为简捷的决策规则。第三，根据约简结果得到逻辑规则。本文入侵检测系统体系结