劉其琛 施榮華

摘要：該文采用粗糙集的屬性約簡(jiǎn)，去除冗余屬性，減少數(shù)據(jù)樣本維數(shù)；再通過改進(jìn)LS-SVM訓(xùn)練數(shù)據(jù)樣本，建立入侵檢測(cè)分類器，以達(dá)到高效實(shí)用的檢測(cè)目的，通過實(shí)驗(yàn)結(jié)果表明，結(jié)合粗糙集和改進(jìn)LS-SVM的入侵檢測(cè)方法獲得了較高的檢測(cè)精度和檢測(cè)效率，是一種具有應(yīng)用前景的檢測(cè)技術(shù)。

關(guān)鍵詞：入侵檢測(cè)；粗糙集理論；支持向量機(jī)

中圖分類號(hào)：TP393.8文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)15-3542-04

A New Intrusion Detection Method Research

LIU Qi-chen1,2, SHI Rong-hua1

(1.College of Information Science and Engineering, Central South University, Changsha 410083, china; 2.Hunan Chemical Vocational Technology College, Zhuzhou 412004, china)

Abstract: Using the attribute reduction of rough set to remove the redundant attributes, reducing the dimension of data samples; through improved LS-SVM training data samples, the establishment of intrusion detection classifier, in which to achieve the efficient and practical testing purposes, the experiment shows that the combination of rough sets and improved LS-SVM intrusion detection method to obtain a high detection accuracy and detection efficiency, this detection technology has great application prospects .

Key words: intrusion detection; rough sets theory; support vector machines

入侵檢測(cè)的概念首先由James P.Anderson提出，Anderson在80年代早期對(duì)入侵的定義是[1]：所謂入侵是指在未經(jīng)授權(quán)的情況下，試圖訪問信息、存取信息、篡改信息或破壞系統(tǒng)使其達(dá)到不可靠、不可用的行為。其中，入侵包括了Anderson提出的三類威脅：(1)外部入侵者，系統(tǒng)的非授權(quán)用戶；(2)內(nèi)部入侵者，超越合法權(quán)限的系統(tǒng)授權(quán)用戶；(3)違法者，在計(jì)算機(jī)系統(tǒng)上執(zhí)行非法活動(dòng)的合法用戶[2]。同時(shí)入侵還包括非法程序的威脅，如蠕蟲病毒、木馬程序等，一系列頻繁訪問和掃描系統(tǒng)漏洞及配置信息的活動(dòng)。后來，Heady也給出了入侵的解釋，即入侵是指有關(guān)試圖破壞信息資源的完整性、機(jī)密性及可用性的活動(dòng)集合[3]。

粗糙集（RS，Rough Set）理論是一種處理非精確、不完整信息的有效工具，它能對(duì)數(shù)據(jù)進(jìn)行分析、推理，從中發(fā)現(xiàn)潛在的規(guī)則，特別是從大量的、無(wú)規(guī)律的網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)有價(jià)值的信息，并去粗取精，獲取約簡(jiǎn)后的數(shù)據(jù)。

支持向量機(jī)(SVM,Support Vector Machine)是一種能在訓(xùn)練樣本數(shù)較小的情況下，解決有限樣本及非線性問題中具有較高效率和較好泛化能力的算法；SVM是基于統(tǒng)計(jì)學(xué)基礎(chǔ)的機(jī)器學(xué)習(xí)方法，克服了基于神經(jīng)網(wǎng)絡(luò)等方法的局部極小、結(jié)構(gòu)選擇困難、先驗(yàn)知識(shí)不足的情況下推廣能力差等缺點(diǎn)[4]，是研究入侵檢測(cè)領(lǐng)域的新方法，并已有了一定的研究成效。最小二乘支持向量機(jī)（LS-SVM）最早由Suykens等人提出，它是將目標(biāo)函數(shù)由一次方改為二次方，并將約束條件由不等式變換為等式條件，將QP問題轉(zhuǎn)化為線性求解問題，其求解速度比SVM更快、效率更高，但是丟失了SVM稀疏性的特點(diǎn)。改進(jìn)LS-SVM是基于統(tǒng)計(jì)分析，繼承了LS-SVM檢測(cè)速度快的優(yōu)點(diǎn)，同時(shí)最大程度保留SVM稀疏性的優(yōu)點(diǎn)，進(jìn)一步提高系統(tǒng)的檢測(cè)性能。通過研究，本文提出基于粗糙集和改進(jìn)最小二乘支持向量機(jī)進(jìn)行入侵檢測(cè)。