一種融合粗糙集與ds證據(jù)理論的增量式入侵檢測方法
【技術領域】
[0001] 本發(fā)明屬于計算機網(wǎng)絡信息安全技術領域,涉及一種融合粗糙集與DS證據(jù)理論的 增量式入侵檢測方法。
【背景技術】
[0002] 隨著計算機網(wǎng)絡的快速發(fā)展以及網(wǎng)絡技術在人們生活中的廣泛應用,使人們?nèi)粘?生活越來越離不開網(wǎng)絡,因此網(wǎng)絡安全也越來越受到人們的重視。隨著黑客技術的不斷發(fā) 展,以及各種網(wǎng)絡病毒的更新?lián)Q代,僅僅依靠防火墻,加密等技術已不能滿足保證網(wǎng)絡安全 的需要。入侵檢測系統(tǒng)(Intrusion Detection System, IDS)作為保護網(wǎng)絡安全的最后一道 防線也逐漸引起人們的廣泛關注。入侵檢測系統(tǒng)通過對主機和網(wǎng)絡中關鍵節(jié)點信息的采 集,根據(jù)對采集信息的分析判斷主機或網(wǎng)絡是否遭受攻擊;具有主動防御的功能,實時監(jiān)控 網(wǎng)絡和主機,維護其安全。入侵檢測方法一般可分為兩大類:誤用檢測(misuse detection) 和異常檢測(anomaly detection)。誤用檢測是通過對大量攻擊類型數(shù)據(jù)的學習,建立攻擊 類型規(guī)則庫,采用特征匹配的方法確定攻擊事件。誤用檢測的優(yōu)點是誤報率低,檢測速度 快;但誤用檢測不能識別攻擊類型規(guī)則庫中沒有的攻擊類型。異常檢測是通過對大量正常 網(wǎng)絡數(shù)據(jù)進行機器學習,建立網(wǎng)絡的正常行為輪廓,根據(jù)偏離正常行為輪廓的程度判斷網(wǎng) 絡是否遭受攻擊。同誤用檢測相比,異常檢測有一定的誤報率,但因為其根據(jù)當前網(wǎng)絡數(shù)據(jù) 與網(wǎng)絡正常行為輪廓的偏差程度判斷網(wǎng)絡是否遭受攻擊,因此具有識別新的攻擊行為的能 力。目前誤用檢測技術在商業(yè)入侵檢測系統(tǒng)應用中比較成熟;異常檢測技術由于其具有識 別新的攻擊類型的能力,也越來越受到人們的關注,是入侵檢測技術的研究熱點之一。
[0003] 目前大多數(shù)入侵檢測系統(tǒng)無論采用誤用檢測技術還是異常檢測技術,大都需要大 量純凈的數(shù)據(jù)進行訓練學習,而這在真實的網(wǎng)絡環(huán)境中是很難得到保證的,且在網(wǎng)絡數(shù)據(jù) 之間往往都存在冗余,影響檢測系統(tǒng)的檢測效率和處理速度,難以滿足高速網(wǎng)絡實時檢測 的需求。網(wǎng)絡數(shù)據(jù)冗余屬性的約簡,以及如何從模糊小樣本數(shù)據(jù)中提取相對精確的規(guī)則,和 建立精確的網(wǎng)絡正常行為輪廓對提高入侵檢測系統(tǒng)的檢測效率和檢測精度是至關重要的。
[0004] 粗糙集理論在屬性約簡和規(guī)則提取方面有完善的理論體系,在入侵檢測中的應用 越來越廣泛。基于粗糙集建立的檢測系統(tǒng)同傳統(tǒng)方法相比,如,神經(jīng)網(wǎng)絡,支持向量機,及κ-NN算法等,粗糙集在知識屬性約簡,提取規(guī)則和處理不確定事件方面有明顯優(yōu)勢,對提高檢 測速率也有一定的促進作用。而DS證據(jù)理論的多特征融合特性能夠克服采用單一特征導致 誤報率較高的缺陷且多特征融合精度較高;但當處理的屬性特征較多時,DS證據(jù)理論多特 征融合算法時間復雜度將呈指數(shù)倍增長,同時也增大證據(jù)沖突的可能性,很難滿足高速網(wǎng) 絡實時檢測的需要。同時,網(wǎng)絡是動態(tài)變化的,若預先建立的規(guī)則庫或網(wǎng)絡正常行為輪廓不 能隨著網(wǎng)絡的變化做出自適應地完善或調(diào)整,檢測系統(tǒng)的檢測精度將會下降。
【發(fā)明內(nèi)容】
[0005] 有鑒于此,本發(fā)明的目的在于提供一種融合粗糙集與DS證據(jù)理論的增量式入侵檢 測方法,該方法將誤用檢測技術和異常檢測技術進行集成,克服了采用單一技術的缺陷,提 高了檢測系統(tǒng)檢測精度和檢測效率;并實現(xiàn)了檢測系統(tǒng)增量式學習的功能,使誤用規(guī)則庫 和網(wǎng)絡的正常行為輪廓能夠隨著網(wǎng)絡的動態(tài)變化得到實時的完善和更新。
[0006] 為了方便對本
【發(fā)明內(nèi)容】
進行詳細描述,現(xiàn)對粗糙集理論中出現(xiàn)的一些概念進行如 下定義:
[0007] 定義1信息系統(tǒng)是一個二元組I = (U,A),其中U是一個非空的有限對象集,稱為對 象空間;A是一個非空的屬性集,每個屬性a確定了一個從對象空間到a的值域Va之間的映 射,即對 aeA,f:U-Va。
[0008] 在信息系統(tǒng)中屬性可以分為條件屬性和決策屬性,當一個信息系統(tǒng)中引入了決策 屬性,8卩:I = (U,A U D),其中D為決策屬性,A n D= Φ,該信息系統(tǒng)就被稱為決策系統(tǒng)。
[0009] 定義2給定信息系統(tǒng)I = (U,A),對于屬性集/P I,定義關系INDa(B) = {(x,y) EU|a £13,&(叉)=&(5〇}為厶中的13不可分關系(13-;[11(118061'11;[13;[1;^5^61&1:;[011)。
[0010] 根據(jù)INDa(B),可以得到U中關于B的一個劃分,得到的知識被稱為I中關于B的知 識。在屬性集A中并不是所有的屬性對知識表示都起作用,去掉那些在知識表示中不起作用 的屬性,可以簡化知識的表示。為了得到最簡的關于決策的知識表示,需要引入關于決策不 可分和決策約簡的概念。
[0011]定義3關于決策的B不可分關系是指關系IND(B,D) = {(x,y) EU|aEB,a(x)=a(y) andd£D,d(x) =d(y)} 〇
[0012] 定義4關于決策的約簡是指決策系統(tǒng)I = (U,AUD)中使IND(B,D) = IND(A,D)成立 的最小屬性集B。
[0013] 在屬性集A中找最簡約簡集是個NP難題,大都根據(jù)粗糙集關于最簡約簡集的定義 采用啟發(fā)性算法進行約簡,本發(fā)明采用Johnson's algorithm。根據(jù)約簡的后知識,可以得 到最簡的決策規(guī)則集;基于決策的約簡B可以得到形為α-邱勺最小決策規(guī)則集,其中,α= Λ aeB(a = a(x)),0=(d = d(x)),x£U。誤用檢測規(guī)則庫正是通過這些最小決策規(guī)則集進行 構建的。
[0014] 為達到上述目的,本發(fā)明提供如下技術方案:
[0015] 一種融合粗糙集與DS證據(jù)理論的增量式入侵檢測方法,該方法包括以下步驟: [0016] S1:從網(wǎng)絡監(jiān)聽端口獲得網(wǎng)絡數(shù)據(jù),對網(wǎng)絡數(shù)據(jù)進行預處理,將預處理后的數(shù)據(jù)傳 送至建立的增量式檢測模型進行入侵檢測判斷,所述增量式檢測模型包括誤用檢測模塊、 異常檢測模塊以及增量式單元;誤用檢測模塊用于檢測大部分常出現(xiàn)的攻擊類型(誤用規(guī) 則庫所包含的攻擊類型);異常檢測模塊用于識別誤用檢測模塊未能識別的新出現(xiàn)的攻擊 類型;增量式單元用于完善誤用檢測模塊的誤用規(guī)則庫和更新異常檢測模塊的網(wǎng)絡正常行 為輪廓;
[0017] S2:首先,由誤用檢測模塊對預處理后的數(shù)據(jù)進行處理,包括采用模式匹配的方 式,查詢誤用規(guī)則庫中是否存在與之匹配的規(guī)則;
[0018] S3:誤用規(guī)則庫中若存在與之匹配的規(guī)則,則表明遭受攻擊,進行報警;反之,交由 異常檢測模塊作進一步處理;
[0019] S4:異常檢測模塊根據(jù)誤用檢測模塊傳過來的數(shù)據(jù)與建立的網(wǎng)絡正常行為輪廓的 偏差程度,為數(shù)據(jù)的每一個屬性特征指定對辨識框架Θ{Ν,Α}的概率分配函數(shù);并采用DS證 據(jù)理論多特征融合規(guī)則,計算上述特征的融合結果,根據(jù)融合的結果判斷該數(shù)據(jù)流是新出 現(xiàn)的攻擊類型或是正常網(wǎng)絡數(shù)據(jù);
[0020] S5:增量式單元根據(jù)步驟S4的融合結果是否大于預設的閾值(P1,P2)作進一步處 理,若步驟S4判定結果為新出現(xiàn)的攻擊類型的概率P(A)>P1,則提取該數(shù)據(jù)的特征規(guī)則,加 入誤用檢測規(guī)則庫,反之,僅作報警處理;若步驟S4判定結果為正常網(wǎng)絡數(shù)據(jù)的概率P(N)> P2,則把它作為更新網(wǎng)絡正常行為輪廓的數(shù)據(jù),反之,僅作為正常數(shù)據(jù)處理。
[0021] 進一步,在步驟S1中,所述對網(wǎng)絡數(shù)據(jù)進行預處理包括對數(shù)據(jù)的補全、離散、屬性 約簡以及對字符屬性的編碼。
[0022] 進一步,在步驟S2中,所述的誤用規(guī)則庫的生成步驟包括:
[0023] 1)編碼,對訓練數(shù)據(jù)集中的字符屬性進行數(shù)值編碼;
[0024] 2)補全,對訓練數(shù)據(jù)集中缺失的屬性值采用該屬性的平均值進行補全;
[0025] 3)量化,采用Wive algor ithm量化訓練數(shù)據(jù)集中屬性A U D的值;
[0026] 4)約簡,利用啟發(fā)式算法Johnson's algorithm,從決策系統(tǒng)1 = (U,A U D)中找到 使1勵0,〇) = 1勵以,〇)成立的最小屬性集8;