技術領域

本發明涉及基于主機系統調用序列分析的入侵檢測方法，尤其涉及一種基于粗糙熵的序信息系統屬性約簡的入侵檢測方法。?

背景技術

入侵檢測技術是近20年來出現的一種新型網絡安全技術。作為防火墻之后的重要安全保障，入侵檢測系統能夠檢測出多種形式的入侵行為，是現代計算機網絡安全體系的一個重要組成部分。在網絡技術迅速發展、網絡安全問題日益突出的環境下，傳統的入侵檢測系統已經難以滿足對越來越復雜的網絡攻擊的檢測任務，其難點之一是入侵檢測系統往往難以快速分析處理所搜集的大量數據。入侵檢測本質是一種分類的過程，是一種信息識別和檢測技術。將人工智能方法應用到入侵檢測系統，已經成為入侵檢測系統研究的主要方向之一，例如基于粗糙集知識約簡的入侵檢測技術等。?

粗糙集理論作為一種數據分析處理理論，在1982年由波蘭科學家Z.Pawlak提出，是繼概率論，模糊集，證據理論之后的又一個處理不確定性的理論工具。它能有效地對數據進行分析和推理，從不精確，不一致和不完整信息中發現隱含的知識，揭示潛在的規律。粗糙集近年來越來越受到重視，是當前國際上人工智能理論及其應用領域中的研究熱點之一，其有效性已在許多科學與工程領域的成功應用中得到證實，如臨床醫療診斷、模式識別與分類、數據挖掘等。?

屬性約簡是粗糙集理論應用中的基本問題。Wong.S.K.M和Ziarko.W已經證明找出一個信息系統決策表的最小約簡是NP-hard問題，啟發式搜索是解決這類問題的一般方法。經典粗糙集是以完備信息系統作為研究對象，以等價關系為基礎對論域進行等價類的劃分。然而在實際操作中，由于噪聲、信息缺損以及屬性的偏好信息等因素，基于等價關系的經典粗糙集理論已不再適合。?

為了擴展粗糙集理論的應用領域，許多研究工作就此展開，已經提出了以相容關系、相似關系以及優勢關系代替經典粗糙集中的等價關系來劃分論域的做法，可以改進屬性約簡的效果。但這些算法沒有考慮利用粗糙熵來構造的屬性重要度模型，從而無法通過屬性約簡來滿足入侵檢測系統的實時性和預測精度要求。?

發明內容

本發明目的是：提出一種對進程的系統調用序列構建序信息系統模型的方法、基于粗糙熵進行屬性約簡得到進程分類規則來實施入侵檢測的方法，從而提高入侵檢測性能。?

本發明的技術方案是：基于粗糙熵屬性約簡的入侵檢測方法，包括如下步驟：?

1)訓練階段：?

a)收集已知類型進程的系統調用序列作為訓練集；?

b)統計訓練集里某類進程中系統調用的出現概率對其序列作規范化處理，生成短序列集合；?

c)基于屬性重要度模型計算短序列的屬性重要度并排序；?

d)基于粗糙熵屬性約簡算法訓練出某類型進程分類規則；?

e)重復b、c、d得到訓練集中所有類型進程的分類規則，得到進程分類規則集；?

f)結束。?

2)檢測階段?

a)收集待測進程的系統調用序列；?

b)對調用序列進行預處理生成短序列集合；?

c)根據進程分類規則識別進程種類，判斷進程是否異常；?

d)結束?

其中步驟1-b具體過程如下：?

1)從訓練集中取出尚未得到分類規則的第t類進程的所有系統調用序列集合C，計算其中每種系統調用的出現概率，構建系統調用號與按其概率值嚴格升序排序后序號值之間的映射Map_t，用排序后的序號值代替原序列中的系統調用號，生成新的序列集合C’；?

2)以長度為K的窗口將C’中每個長序列以步長1滑動截取成多個長度為K的短序列，若某個長序列長度為n，則可得到n-K+1個短序列；構建一個序信息系統I(U，A，V，f)，其中U是對象集，每個短序列都是一個對象；A為屬性集，每個對象可表示為K個屬性各自取值的向量；f(x，a)是一個信息函數，表示U中對象x的屬性a的取值；V為屬性值的集合，A中所有屬性的值域上存在偏序關系；?

步驟1-c具體過程如下：?

1)根據序信息系統屬性重要度模型計算每個屬性重要度，公式如下：?

其中，GI是屬性或屬性集的信息粒度，對于屬性集?A為屬性集，B的信息粒度計算公式如下：?

其中，?為對象基于屬性集B的優勢類，x與x_i表示U中對象，計算公式?如下：?

2)按照屬性重要度取值對屬性集A中的所有屬性作降序排序；?

步驟1-d具體過程如下：?