[发明专利]一种融合粗糙集与DS证据理论的增量式入侵检测方法

摘要

本发明涉及一种融合粗糙集与DS证据理论的增量式入侵检测方法，属于网络信息安全领域；本方法针对检测系统难以满足高速网络实时检测的需求以及检测精度不高的问题，采用粗糙集理论对网络数据流进行预处理以减少冗余数据，提高检测速率。从约简的数据集中提取误用规则集，通过模式匹配的方式来识别大部分的攻击类型进而实现误用检测；该方法中采用了误用检测模块，异常检测模块和增量式单元，所述异常检测模块基于DS证据理论实现，用于检测误用规则库中未包含的攻击类型；所述增量式单元用于完善误用规则库和使建立的网络正常行为轮廓得到实时的更新。本发明提高了检测系统的检测效率和检测精度，尤其对新出现的攻击类型。

主权项

1.一种融合粗糙集与DS证据理论的增量式入侵检测方法，其特征在于：该方法包括以下步骤：S1：从网络监听端口获得网络数据，对网络数据进行预处理，将预处理后的数据传送至建立的增量式检测模型进行入侵检测判断，所述增量式检测模型包括误用检测模块、异常检测模块以及增量式单元；S2：首先，由误用检测模块对预处理后的数据进行处理，包括采用模式匹配的方式，查询误用规则库中是否存在与之匹配的规则；S3：误用规则库中若存在与之匹配的规则，则表明遭受攻击，进行报警；反之，交由异常检测模块作进一步处理；S4：异常检测模块根据误用检测模块传过来的数据与建立的网络正常行为轮廓的偏差程度，为数据的每一个属性特征指定对辨识框架Θ{N,A’}的概率分配函数；并采用DS证据理论多特征融合规则，计算上述特征的融合结果，根据融合的结果判断该数据流是新出现的攻击类型或是正常网络数据；S5：增量式单元根据步骤S4的融合结果是否大于预设的阈值(P1，P2)作进一步处理，若步骤S4判定结果为新出现的攻击类型的概率P(A)>P1，则提取该数据的特征规则，加入误用检测规则库，反之，仅作报警处理；若步骤S4判定结果为正常网络数据的概率P(N)>P2，则把它作为更新网络正常行为轮廓的数据，反之，仅作为正常数据处理；在步骤S2中，所述的误用规则库的生成步骤包括：1)编码，对训练数据集中的字符属性进行数值编码；2)补全，对训练数据集中缺失的属性值采用该属性的平均值进行补全；3)量化，采用algorithm量化训练数据集中属性A∪D的值；4)约简，利用启发式算法Johnson`s algorithm，从决策系统I＝(U,A∪D)中找到使IND(B,D)＝IND(A,D)成立的最小属性集B；5)提取规则，从约简后的决策系统I＝(U,B∪D)中提取决策规则，生成最简决策规则库；A是一个非空的属性集，属性集D为决策属性，U是一个非空的有限对象集，称为对象空间；关于决策的B不可分关系是指关系IND(B,D)＝{(x,y)∈U|a∈B,a(x)＝a(y)and d∈D,d(x)＝d(y)}。