本發(fā)明涉及網(wǎng)絡(luò)安全防御技術(shù)領(lǐng)域，具體地說(shuō)是一種基于粗糙集理論與WAODE算法的入侵檢測(cè)方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)與計(jì)算機(jī)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)上的信息越來(lái)越多，這使得作為互聯(lián)網(wǎng)信息安全手段之一的入侵檢測(cè)技術(shù)得到越來(lái)越多的重視。入侵檢測(cè)，即是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的入侵行為的察覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)已有的或?qū)崟r(shí)收集的安全日志、審計(jì)日志、網(wǎng)絡(luò)行為等數(shù)據(jù)進(jìn)行分析處理，判斷網(wǎng)絡(luò)中是否存在異常，從而對(duì)入侵進(jìn)行識(shí)別。入侵檢測(cè)通常分為異常檢測(cè)與誤用檢測(cè)兩種。

粗糙集理論是1982年由波蘭的Pawlak教授提出的一種理論，是一種用來(lái)研究不完整數(shù)據(jù)、不確定的知識(shí)表達(dá)、學(xué)習(xí)和歸納的理論方法。粗糙集理論廣泛應(yīng)用于數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、知識(shí)發(fā)現(xiàn)等多個(gè)領(lǐng)域，主要是作為一種不確定數(shù)據(jù)分析研究和推理的工具。其中基于粗糙集的屬性約簡(jiǎn)技術(shù)可以對(duì)屬性進(jìn)行約簡(jiǎn)同時(shí)仍保持較好的分類能力。然而傳統(tǒng)的基于粗糙集的屬性約簡(jiǎn)方法使用的是基于差別矩陣的屬性約簡(jiǎn)，然而對(duì)于入侵檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)，屬性的數(shù)量較大，用于建立模型的數(shù)據(jù)對(duì)象通常也比較多，在計(jì)算差別矩陣過(guò)程中會(huì)占用較多的內(nèi)存和CPU資源，導(dǎo)致入侵檢測(cè)模型更新代價(jià)較大。

貝葉斯分類是在貝葉斯定理的基礎(chǔ)上發(fā)展而來(lái)的分類方法，原本是作為統(tǒng)計(jì)學(xué)方法使用，但隨著近些年數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)技術(shù)的興起，貝葉斯由于原理簡(jiǎn)單、計(jì)算結(jié)果誤差小、應(yīng)用范圍廣而得到了廣泛的應(yīng)用?；谪惾~斯的分類算法主要有樸素貝葉斯與貝葉斯網(wǎng)絡(luò)這兩種方法。樸素貝葉斯方法由于推理能力強(qiáng)、效果穩(wěn)定、相對(duì)誤差較小的優(yōu)點(diǎn)，常常被應(yīng)用到入侵。但樸素貝葉斯方法存在著一些缺陷，如特征屬性之間要求具有獨(dú)立性的約束等，因此許多研究者都在其基礎(chǔ)上提出改進(jìn)方法來(lái)提高分類的效果。在眾多基于樸素貝葉斯的改進(jìn)算法中較為有名的有LBR(Lazy Bayesian Rules)以及SP-TAN(Super Parent TAN)。其中LBR是通過(guò)一種較為復(fù)雜的分類測(cè)試機(jī)制來(lái)提高分類精度的，而SP-TAN則是通過(guò)更準(zhǔn)確地模型來(lái)取得更好的精度，但效率也相對(duì)較低。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提出一種使用粗糙集進(jìn)行屬性約簡(jiǎn)，使用WAODE進(jìn)行分類的的入侵檢測(cè)的方法。在入侵檢測(cè)前，使用已有的連接數(shù)據(jù)作為建立模型的訓(xùn)練集。隨后利用粗糙集理論，對(duì)網(wǎng)絡(luò)連接數(shù)據(jù)實(shí)行基于粗糙集理論的屬性約簡(jiǎn)。然后利用WAODE算法建立入侵檢測(cè)模型。在實(shí)時(shí)入侵檢測(cè)過(guò)程中，對(duì)實(shí)時(shí)數(shù)據(jù)，進(jìn)行屬性約簡(jiǎn)，最后根據(jù)建立好的入侵檢測(cè)模型，對(duì)實(shí)時(shí)的連接數(shù)據(jù)進(jìn)行分類，從而判斷連接是正常連接還是入侵?jǐn)?shù)據(jù)。算法資源消耗較低、易于實(shí)現(xiàn)，且具有較好實(shí)時(shí)性與準(zhǔn)確度。

實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是：

一種基于粗糙集理論與WAODE算法的入侵檢測(cè)方法，它包括以下步驟：

第一步，對(duì)于過(guò)去收集的、已標(biāo)示是正常連接還是某種入侵方式的網(wǎng)絡(luò)連接數(shù)據(jù)進(jìn)行隨機(jī)抽樣，作為建立模型的訓(xùn)練集；

第二步，對(duì)抽樣后的數(shù)據(jù)進(jìn)行數(shù)據(jù)離散化、數(shù)據(jù)均一化等數(shù)據(jù)預(yù)處理工作；

第三步，對(duì)于完成預(yù)處理的數(shù)據(jù)，利用基于粗糙集理論的屬性重要度對(duì)數(shù)據(jù)進(jìn)行屬性約簡(jiǎn)；

第四步，對(duì)于屬性約簡(jiǎn)后的訓(xùn)練集數(shù)據(jù)，利用WAODE算法和約簡(jiǎn)后的訓(xùn)練集數(shù)據(jù)建立分類模型，得到入侵檢測(cè)模型；

第五步，對(duì)于待檢測(cè)的網(wǎng)絡(luò)連接數(shù)據(jù)，將其輸入入侵檢測(cè)模型，利用檢測(cè)模型判斷該數(shù)據(jù)是屬于正常數(shù)據(jù)還是入侵?jǐn)?shù)據(jù)。

本發(fā)明與現(xiàn)有技術(shù)相比，其顯著優(yōu)點(diǎn)為：本發(fā)明基于粗糙集理論、使用屬性依賴度進(jìn)行屬性約簡(jiǎn)的方法，相較于使用差別矩陣的屬性方法，既能提高屬性約簡(jiǎn)的運(yùn)行的速度，也減少了資源消耗。而用于分類的WAODE算法結(jié)合了LBR以及SP-TAN算法的優(yōu)點(diǎn)并考慮了屬性值的重要程度，進(jìn)一步提高了分類器的準(zhǔn)確度與效率。而通過(guò)將基于粗糙集理論的屬性約簡(jiǎn)與基于WAODE算法的分類結(jié)合在一起，既能提高入侵檢測(cè)的效率，減少入侵檢測(cè)系統(tǒng)的資源消耗，同時(shí)能夠保證較高的入侵檢測(cè)準(zhǔn)確度。

附圖說(shuō)明：

圖1是基于粗糙集理論與WAODE算法的入侵檢測(cè)方法的流程圖。

圖2是具體WAODE算法，某屬性計(jì)算的模型圖。

具體實(shí)施方式：

下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的說(shuō)明：

如圖1所示，一種基于粗糙集理論與WAODE算法的入侵檢測(cè)方法，具體步驟如下：

第一步，對(duì)于過(guò)去收集的、已標(biāo)示是正常連接還是某種入侵方式的網(wǎng)絡(luò)連接數(shù)據(jù)進(jìn)行隨機(jī)抽樣，作為建模的訓(xùn)練集；

第二步，對(duì)抽樣后的數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理；

其中，對(duì)于建模的訓(xùn)練集數(shù)據(jù)預(yù)處理方法如下：

步驟1，對(duì)于訓(xùn)練集中某一屬性，若訓(xùn)練集中該屬性數(shù)據(jù)值區(qū)間相比較其他屬性差異過(guò)大，對(duì)該屬性進(jìn)行均一化處理；

步驟2，對(duì)于對(duì)于訓(xùn)練集中某一屬性，若其為連續(xù)型數(shù)據(jù)，對(duì)其進(jìn)行數(shù)據(jù)離散化處理。

第三步，對(duì)于完成預(yù)處理的數(shù)據(jù)，利用粗糙集理論對(duì)其進(jìn)行屬性約簡(jiǎn)；

其中，利用粗糙集理論進(jìn)行屬性約簡(jiǎn)的步驟如下：

步驟1，初始化集合R為空集即令

步驟2，設(shè)定一個(gè)臨時(shí)的集合T，令T＝R；

步驟3，對(duì)于條件屬性集C與屬性集R的差集(C-R)中的每一個(gè)元素x，判斷R與x的并集對(duì)于決策屬性D的屬性依賴度γ_RU{x}(D)是否大于T對(duì)于決策屬性D的屬性依賴度γ_T(D)，如果是，令T＝R∪{x},否則，繼續(xù)判斷下一個(gè)元素，直到(C-R)中元素都判斷一次。

步驟4，令R＝T；

步驟5，判斷集合R對(duì)于決策屬性D的屬性依賴度γ_R(D)是否等于條件屬性集C對(duì)于決策屬性D的屬性依賴度γ_c(D)，如果不是，轉(zhuǎn)到步驟2，否則返回屬性約簡(jiǎn)集R；

其中計(jì)算屬性依賴度的計(jì)算過(guò)程如下(以γ_R(D)為例，計(jì)算γ_RU{x}(D)，γ_RU{x}(D)，γ_R(D)方法與此相同)：

步驟5.1：對(duì)于R中的每個(gè)屬性R_i，將數(shù)據(jù)對(duì)象集U中R_i屬性值相同的數(shù)據(jù)對(duì)象分別構(gòu)成集合，求出U根據(jù)R_i屬性得到的一個(gè)劃分U/R_i；

步驟5.2：對(duì)U關(guān)于屬性集R中的屬性R₁，R₂，...，R_i的劃分集合U/R₁，U/R₂，...，U/R_i，進(jìn)行操作，得到數(shù)據(jù)集U關(guān)于屬性集R的劃分U/R。，其中

步驟5.3：對(duì)于屬性集U關(guān)于屬性集R的劃分U/R以及決策屬性D，求出屬性集R和數(shù)據(jù)集U的子集X的下近似集RX，其中

步驟5.4：對(duì)于下近似集RX，求出屬性集R對(duì)于決策屬性D的正域POS_R(D)，其中POS_R(D)＝U_x∈DRP

步驟5.5：分別求出正域POS_R(D)和數(shù)據(jù)對(duì)象集U的基數(shù)||POS_R(D)||和||U||，則

第四步，對(duì)于屬性約簡(jiǎn)后的訓(xùn)練集數(shù)據(jù)，利用WAODE算法和約簡(jiǎn)后的訓(xùn)練集數(shù)據(jù)建立分類模型，得到入侵檢測(cè)模型；

其中，用WAODE算法和約簡(jiǎn)后的訓(xùn)練集數(shù)據(jù)建立分類模型的步驟如下：

步驟1，對(duì)于屬性約簡(jiǎn)后的訓(xùn)練集的完成屬性約簡(jiǎn)的訓(xùn)練集數(shù)據(jù)，對(duì)于標(biāo)示是正常連接還是某種入侵方式的類屬性中每個(gè)不同的值c_k，掃描所有類屬性(c₁,c₂,c₃…c_k)，分別記錄不同類屬性的樣本數(shù)s₁，s₂，...，s_n,以公式計(jì)算先驗(yàn)概率P(c_k)；

其中，計(jì)算P(c_k)的方法如下：

步驟1.1：掃描所有類屬性(c₁,c₂,c₃…c_k)，分別記錄不同類屬性的樣本數(shù)s₁，s₂…,s_k,

步驟1.2：以如下公式計(jì)算概率P(c_k)；

步驟2，對(duì)于所有的非類屬性的不同取值a_i，計(jì)算a_i與類屬性c_k的聯(lián)合概率P(a_i，c)；

其中，計(jì)算聯(lián)合概率P(a_i，c)的方法如下

步驟2.1：對(duì)于某一個(gè)屬性A，對(duì)于所有訓(xùn)練集中的每種樣本值x＝<A₁＝a₁.A₂＝a₂...A_n＝α_n>,首先選取其中一個(gè)屬性值A(chǔ)_i＝a_i作為根屬性，構(gòu)建一個(gè)分類模型，如圖2所示；

步驟2.2：掃描所有訓(xùn)練數(shù)據(jù)集，然后選擇其中第A_i個(gè)屬性值滿足A_i＝a_i但個(gè)數(shù)不滿足m＝30的屬性，則將其從分類模型中去除掉

步驟2.3：掃描所有訓(xùn)練數(shù)據(jù)集，記錄其中第A_i個(gè)屬性的屬性值為a_i且類為c的樣本在訓(xùn)練集中的數(shù)量F(a_i，c)；

步驟2.4：掃描數(shù)據(jù)集，記錄訓(xùn)練集樣本的數(shù)量N；

步驟2.5：掃描數(shù)據(jù)集，記錄v_i是與根屬性A_i對(duì)應(yīng)的屬性值相同的樣本的數(shù)量；

步驟2.6：掃描數(shù)據(jù)集，記錄類不同取值的數(shù)量k；

步驟2.7：根據(jù)如下公式計(jì)算P(a_i，c),

步驟3，對(duì)于屬性約簡(jiǎn)后的訓(xùn)練集的所有分屬性的不同取值a_j,計(jì)算類屬性c_k與兩個(gè)屬性a_i，a_j之間的條件概率P(a_j|a_i，c)；

其中，計(jì)算P(a_j|a_i，c)的方法如下：

步驟3.1：對(duì)于某一個(gè)屬性A，對(duì)于所有訓(xùn)練集中的每種樣本值x＝<A₁＝a₁.A₂＝a₂....A_n＝a_n＞,首先選取其中一個(gè)屬性值A(chǔ)_i＝a_i作為根屬性，構(gòu)建一個(gè)分類模型，如圖2所示；

步驟3.2：掃描所有訓(xùn)練數(shù)據(jù)集，然后選擇第A_i個(gè)屬性值滿足A_i＝a_i但個(gè)數(shù)不滿足m>＝30的屬性，則將其從分類模型中去除掉

步驟3.3：掃描所有訓(xùn)練數(shù)據(jù)集，記錄其中第A_i個(gè)屬性值為a_i且第A_j個(gè)屬性值為a_j且類為c的樣本在訓(xùn)練集中的數(shù)量F(a_j，a_i，c)；

步驟3.4：掃描數(shù)據(jù)集，記錄訓(xùn)練集樣本的數(shù)量N；

步驟3.5：掃描數(shù)據(jù)集，記錄v_j是與根屬性A_j對(duì)應(yīng)的屬性值相同的樣本的數(shù)量；

步驟3.6：掃描數(shù)據(jù)集，記錄類不同取值的數(shù)量k；

步驟3.7：掃描所有訓(xùn)練數(shù)據(jù)集，記錄其中第A_i個(gè)屬性的屬性值為a_i且類為c的樣本在訓(xùn)練集中的數(shù)量F(a_i，c)；

步驟3.8：根據(jù)以下公式計(jì)算條件概率P(a_j|a_i，c)：

步驟4，根據(jù)公式計(jì)算兩個(gè)屬性之間的互信息I_P(A_i；c)，以I_P(A_i；c)作為屬性A_i權(quán)重W_i

步驟5，根據(jù)如下公式，生成入侵檢測(cè)模型。

第五步，對(duì)于待檢測(cè)的網(wǎng)絡(luò)連接數(shù)據(jù)，將其輸入入侵檢測(cè)模型，判斷該數(shù)據(jù)是屬于正常數(shù)據(jù)還是入侵?jǐn)?shù)據(jù)。