[发明专利]一种融合粗糙集与DS证据理论的增量式入侵检测方法

说明书

本发明涉及一种融合粗糙集与DS证据理论的增量式入侵检测方法，属于网络信息安全领域；本方法针对检测系统难以满足高速网络实时检测的需求以及检测精度不高的问题，采用粗糙集理论对网络数据流进行预处理以减少冗余数据，提高检测速率。从约简的数据集中提取误用规则集，通过模式匹配的方式来识别大部分的攻击类型进而实现误用检测；该方法中采用了误用检测模块，异常检测模块和增量式单元，所述异常检测模块基于DS证据理论实现，用于检测误用规则库中未包含的攻击类型；所述增量式单元用于完善误用规则库和使建立的网络正常行为轮廓得到实时的更新。本发明提高了检测系统的检测效率和检测精度，尤其对新出现的攻击类型。

技术领域

本发明属于计算机网络信息安全技术领域，涉及一种融合粗糙集与DS证据理论的增量式入侵检测方法。

背景技术

随着计算机网络的快速发展以及网络技术在人们生活中的广泛应用，使人们日常生活越来越离不开网络，因此网络安全也越来越受到人们的重视。随着黑客技术的不断发展，以及各种网络病毒的更新换代，仅仅依靠防火墙，加密等技术已不能满足保证网络安全的需要。入侵检测系统(Intrusion Detection System,1DS)作为保护网络安全的最后一道防线也逐渐引起人们的广泛关注。入侵检测系统通过对主机和网络中关键节点信息的采集，根据对采集信息的分析判断主机或网络是否遭受攻击；具有主动防御的功能，实时监控网络和主机，维护其安全。入侵检测方法一般可分为两大类：误用检测(misuse detection)和异常检测(anomaly detection)。误用检测是通过对大量攻击类型数据的学习，建立攻击类型规则库，采用特征匹配的方法确定攻击事件。误用检测的优点是误报率低，检测速度快；但误用检测不能识别攻击类型规则库中没有的攻击类型。异常检测是通过对大量正常网络数据进行机器学习，建立网络的正常行为轮廓，根据偏离正常行为轮廓的程度判断网络是否遭受攻击。同误用检测相比，异常检测有一定的误报率，但因为其根据当前网络数据与网络正常行为轮廓的偏差程度判断网络是否遭受攻击，因此具有识别新的攻击行为的能力。目前误用检测技术在商业入侵检测系统应用中比较成熟；异常检测技术由于其具有识别新的攻击类型的能力，也越来越受到人们的关注，是入侵检测技术的研究热点之一。

目前大多数入侵检测系统无论采用误用检测技术还是异常检测技术，大都需要大量纯净的数据进行训练学习，而这在真实的网络环境中是很难得到保证的，且在网络数据之间往往都存在冗余，影响检测系统的检测效率和处理速度，难以满足高速网络实时检测的需求。网络数据冗余属性的约简，以及如何从模糊小样本数据中提取相对精确的规则，和建立精确的网络正常行为轮廓对提高入侵检测系统的检测效率和检测精度是至关重要的。

粗糙集理论在属性约简和规则提取方面有完善的理论体系，在入侵检测中的应用越来越广泛。基于粗糙集建立的检测系统同传统方法相比，如，神经网络，支持向量机，及K-NN算法等，粗糙集在知识属性约简，提取规则和处理不确定事件方面有明显优势，对提高检测速率也有一定的促进作用。而DS证据理论的多特征融合特性能够克服采用单一特征导致误报率较高的缺陷且多特征融合精度较高；但当处理的属性特征较多时，DS证据理论多特征融合算法时间复杂度将呈指数倍增长，同时也增大证据冲突的可能性，很难满足高速网络实时检测的需要。同时，网络是动态变化的，若预先建立的规则库或网络正常行为轮廓不能随着网络的变化做出自适应地完善或调整，检测系统的检测精度将会下降。

发明内容

有鉴于此，本发明的目的在于提供一种融合粗糙集与DS证据理论的增量式入侵检测方法，该方法将误用检测技术和异常检测技术进行集成，克服了采用单一技术的缺陷，提高了检测系统检测精度和检测效率；并实现了检测系统增量式学习的功能，使误用规则库和网络的正常行为轮廓能够随着网络的动态变化得到实时的完善和更新。

为了方便对本发明内容进行详细描述，现对粗糙集理论中出现的一些概念进行如下定义：