[发明专利]一种基于粗糙熵属性约简的入侵检测方法

说明书

技术领域

本发明涉及基于主机系统调用序列分析的入侵检测方法，尤其涉及一种基于粗糙熵的序信息系统属性约简的入侵检测方法。 

背景技术

入侵检测技术是近20年来出现的一种新型网络安全技术。作为防火墙之后的重要安全保障，入侵检测系统能够检测出多种形式的入侵行为，是现代计算机网络安全体系的一个重要组成部分。在网络技术迅速发展、网络安全问题日益突出的环境下，传统的入侵检测系统已经难以满足对越来越复杂的网络攻击的检测任务，其难点之一是入侵检测系统往往难以快速分析处理所搜集的大量数据。入侵检测本质是一种分类的过程，是一种信息识别和检测技术。将人工智能方法应用到入侵检测系统，已经成为入侵检测系统研究的主要方向之一，例如基于粗糙集知识约简的入侵检测技术等。 

粗糙集理论作为一种数据分析处理理论，在1982年由波兰科学家Z.Pawlak提出，是继概率论，模糊集，证据理论之后的又一个处理不确定性的理论工具。它能有效地对数据进行分析和推理，从不精确，不一致和不完整信息中发现隐含的知识，揭示潜在的规律。粗糙集近年来越来越受到重视，是当前国际上人工智能理论及其应用领域中的研究热点之一，其有效性已在许多科学与工程领域的成功应用中得到证实，如临床医疗诊断、模式识别与分类、数据挖掘等。 

属性约简是粗糙集理论应用中的基本问题。Wong.S.K.M和Ziarko.W已经证明找出一个信息系统决策表的最小约简是NP-hard问题，启发式搜索是解决这类问题的一般方法。经典粗糙集是以完备信息系统作为研究对象，以等价关系为基础对论域进行等价类的划分。然而在实际操作中，由于噪声、信息缺损以及属性的偏好信息等因素，基于等价关系的经典粗糙集理论已不再适合。 

为了扩展粗糙集理论的应用领域，许多研究工作就此展开，已经提出了以相容关系、相似关系以及优势关系代替经典粗糙集中的等价关系来划分论域的做法，可以改进属性约简的效果。但这些算法没有考虑利用粗糙熵来构造的属性重要度模型，从而无法通过属性约简来满足入侵检测系统的实时性和预测精度要求。 

发明内容

本发明目的是：提出一种对进程的系统调用序列构建序信息系统模型的方法、基于粗糙熵进行属性约简得到进程分类规则来实施入侵检测的方法，从而提高入侵检测性能。 

本发明的技术方案是：基于粗糙熵属性约简的入侵检测方法，包括如下步骤： 

1)训练阶段： 

a)收集已知类型进程的系统调用序列作为训练集； 

b)统计训练集里某类进程中系统调用的出现概率对其序列作规范化处理，生成短序列集合； 

c)基于属性重要度模型计算短序列的属性重要度并排序； 

d)基于粗糙熵属性约简算法训练出某类型进程分类规则； 

e)重复b、c、d得到训练集中所有类型进程的分类规则，得到进程分类规则集； 

f)结束。 

2)检测阶段 

a)收集待测进程的系统调用序列； 

b)对调用序列进行预处理生成短序列集合； 

c)根据进程分类规则识别进程种类，判断进程是否异常； 

d)结束 

其中步骤1-b具体过程如下： 

1)从训练集中取出尚未得到分类规则的第t类进程的所有系统调用序列集合C，计算其中每种系统调用的出现概率，构建系统调用号与按其概率值严格升序排序后序号值之间的映射Map_t，用排序后的序号值代替原序列中的系统调用号，生成新的序列集合C’； 

2)以长度为K的窗口将C’中每个长序列以步长1滑动截取成多个长度为K的短序列，若某个长序列长度为n，则可得到n-K+1个短序列；构建一个序信息系统I(U，A，V，f)，其中U是对象集，每个短序列都是一个对象；A为属性集，每个对象可表示为K个属性各自取值的向量；f(x，a)是一个信息函数，表示U中对象x的属性a的取值；V为属性值的集合，A中所有属性的值域上存在偏序关系； 

步骤1-c具体过程如下： 

1)根据序信息系统属性重要度模型计算每个属性重要度，公式如下： 

其中，GI是属性或属性集的信息粒度，对于属性集 A为属性集，B的信息粒度计算公式如下： 

其中， 为对象基于属性集B的优势类，x与x_i表示U中对象，计算公式 如下： 

2)按照属性重要度取值对属性集A中的所有属性作降序排序； 

步骤1-d具体过程如下：