基于粗糙集的公共網(wǎng)絡(luò)入侵檢測(cè)方法研究

龐幫艷+張艷敏

摘 要： 傳統(tǒng)方法在對(duì)公共網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)時(shí)存在冗余度高、維數(shù)大、精確度差等問題。為了提高公共網(wǎng)絡(luò)安全防護(hù)的實(shí)時(shí)性和有效性，提出一種基于優(yōu)化粗糙集理論的公共網(wǎng)絡(luò)檢測(cè)方法。針對(duì)有入侵風(fēng)險(xiǎn)的數(shù)據(jù)進(jìn)行檢測(cè)和篩選，在粗糙集（RS）概念基礎(chǔ)上對(duì)其精度進(jìn)行優(yōu)化，減少信息的丟失，運(yùn)用MDLP運(yùn)算準(zhǔn)則完成對(duì)數(shù)據(jù)的離散化處理，使用遺傳算法進(jìn)行數(shù)據(jù)約簡(jiǎn)，導(dǎo)出數(shù)據(jù)分類規(guī)則并識(shí)別出入侵?jǐn)?shù)據(jù)。仿真試驗(yàn)結(jié)果表明，所提出的入侵?jǐn)?shù)據(jù)檢測(cè)方法，在入侵檢測(cè)率和誤差率方面?zhèn)鹘y(tǒng)算法更為有效。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)； 離散化處理； 遺傳算法； 數(shù)據(jù)約簡(jiǎn)

中圖分類號(hào)： TN711?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）04?0028?04

Research of public network intrusion detection method based on rough set theory

PANG Bangyan， ZHANG Yanmin

（Basic Teaching Department， Shangqiu Institute of Tecnology， Shangqiu 476000， China）

Abstract： Traditional method exists high redundancy， large dimension， poor accuracy and so on in the process of public network intrusion data detection. In order to improve the real?time performance and effectiveness of public network security protection， a public network detection method based on the improved rough set theory is put forward to detect and screen the data which has invasion risk， optimize the detecting accuracy based on rough set concept， and reduce the information loss. The MDLP operational criterion is adopted to complete the discretization processing of the data. The genetic algorithm is used to carry on the data reduction， derive data classification rules and identify the intrusion data. The simulation results show that the proposed intrusion data detection method is more effective in the aspects of intrusion detection rate and error rate in comparison with the traditional algorithm.

Keywords： network intrusion data detection； neural network； genetic algorithm； data reduction

0 引 言

近年來信息技術(shù)迅猛發(fā)展，公共網(wǎng)絡(luò)已逐漸成為全世界范圍內(nèi)最重要的基礎(chǔ)設(shè)施之一，對(duì)社會(huì)各個(gè)方面及人類的生產(chǎn)生活方式產(chǎn)生了巨大的影響。網(wǎng)絡(luò)代表的開放式信息平臺(tái)是現(xiàn)代信息社會(huì)的發(fā)展趨勢(shì)，但網(wǎng)絡(luò)的開放性同樣會(huì)帶來風(fēng)險(xiǎn)，尤其是和大眾聯(lián)系緊密的公共網(wǎng)絡(luò)。公共網(wǎng)絡(luò)攻擊行為時(shí)有發(fā)生， 客觀上迫切要求建立有效的入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)經(jīng)過幾十年的發(fā)展， 有一定的進(jìn)步，但傳統(tǒng)方法存在時(shí)效性和精簡(jiǎn)性不足的問題。文獻(xiàn)[1]提出入侵檢測(cè)系統(tǒng)的基礎(chǔ)是抽象模型模式匹配，盡管在某些領(lǐng)域內(nèi)也取得了一些進(jìn)步，但是隨著公共網(wǎng)絡(luò)的發(fā)展和壯大及惡意入侵方式的多樣化，這種方法已經(jīng)不適應(yīng)目前公共網(wǎng)絡(luò)的發(fā)展趨勢(shì)要求。本文提出的方法基于優(yōu)化粗糙集理論對(duì)網(wǎng)絡(luò)入侵原始數(shù)據(jù)進(jìn)行處理和分析[2?4]。運(yùn)用MDLP運(yùn)算準(zhǔn)則完成對(duì)入侵?jǐn)?shù)據(jù)的離散化處理[5?6]，使用遺傳算法對(duì)數(shù)據(jù)進(jìn)行屬性約簡(jiǎn)，降低維數(shù)、去除冗余[7?8]， 將導(dǎo)出數(shù)據(jù)分類規(guī)則并對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行報(bào)警處理，試驗(yàn)證明了本文提出方法能夠提高數(shù)據(jù)的檢測(cè)率，降低誤報(bào)警次數(shù)，運(yùn)算簡(jiǎn)捷同時(shí)易于理解[1]。

1 基于優(yōu)化RS入侵檢測(cè)方法研究

1.1 優(yōu)化粗糙集理論

本文將基于優(yōu)化粗糙集理論用于實(shí)現(xiàn)對(duì)公共網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測(cè)。粗糙集理論是一種數(shù)學(xué)工具，主要描述不完整性和不確定性。可以有效地對(duì)各種不完整、不一致、不精確數(shù)據(jù)信息進(jìn)行處理，還能夠通過分析和推理數(shù)據(jù)信息，揭示出潛在規(guī)律和隱含其中的知識(shí)。粗糙集理論最顯著的特點(diǎn)是不需要其他任何的先驗(yàn)知識(shí)，僅利用數(shù)據(jù)本身提供的信息可以完成檢測(cè)。粗糙集理論開辟了一條全新的路徑來處理攻擊檢測(cè)樣本數(shù)據(jù)中不易分辨的數(shù)據(jù)。通常粗糙集方法和模型包括條件屬性和決策屬性，在不丟失信息前提下對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，應(yīng)用同樣知識(shí)進(jìn)行最小條件屬性集約簡(jiǎn)，保持決策系統(tǒng)相同分類能力的最簡(jiǎn)形式本文。優(yōu)化粗糙集相關(guān)原理如下：

（1） 給定公共網(wǎng)絡(luò)數(shù)據(jù)集合X和數(shù)據(jù)集合Y，其中集合Y是集合X的是等價(jià)關(guān)系，在X基礎(chǔ)對(duì)Y進(jìn)行劃分，命名為知識(shí)，記為。設(shè)定四元組表達(dá)系統(tǒng)，U為對(duì)象的非空有限集合為論域；R是屬性的非空有限集合；V：Va，Va，Va是屬性a的值域；f 是一個(gè)信息函數(shù)，aR，xU，f（x，a）Va。

（2） 給定基于公共網(wǎng)絡(luò)數(shù)據(jù)的關(guān)系系統(tǒng)L=（X，Y） 是知識(shí)庫(kù)，Y是X上等價(jià)關(guān)系的一個(gè)族集，X 為論域；令ZX，Y為X上的一個(gè)等價(jià)關(guān)系。Z的X下近似值：

YZ={H}

Z的Y上近似值：

YZ={HQ≠}

（3） 集合EF，如果E獨(dú)立，ind（E）=ind（F）， E為F的一個(gè)約簡(jiǎn)。F中所有必要關(guān)系集合記作CORE（F）。核與約簡(jiǎn)有如下關(guān)系：

CORE（F）=RED（N）

（4） 設(shè)定W=（K，R，V，f）為知識(shí)系統(tǒng)，O=PQ，

PQ= ，Q是條件屬性集，O是決策屬性集，P和Q構(gòu)成決策表。若Q和T是公式，則QT，QT。令公式 P→Q為決策規(guī)則，Q和T表達(dá)一種因果關(guān)系成為規(guī)則前、后件。

（5） 對(duì)粗糙集優(yōu)化的實(shí)現(xiàn)流程是通過修正和調(diào)整閾值各項(xiàng)參數(shù)，對(duì)傳統(tǒng)粗糙集理論的近似邊界的嚴(yán)格定義進(jìn)行寬泛化處理。量度不確定是優(yōu)化粗糙集最大特點(diǎn)，評(píng)價(jià)一個(gè)決策規(guī)則是否有效，可以使用兩個(gè)指標(biāo)來評(píng)價(jià)其優(yōu)劣： 覆蓋度和準(zhǔn)確度。其定義式分別為式（1）和式（2）：

對(duì)粗糙集的優(yōu)化處理能夠使其覆蓋度和準(zhǔn)確度提高。

在上述優(yōu)化粗糙集原理中，屬性知識(shí)和數(shù)據(jù)集合被認(rèn)為是分類能力。粗糙集理論的主要思想是在保持分類能力不變的前提下利用等價(jià)關(guān)系來對(duì)對(duì)象集合進(jìn)行劃分，通過對(duì)數(shù)據(jù)的預(yù)處理、離散化、知識(shí)約簡(jiǎn)，得出問題的分類規(guī)則和決策。由于粗糙集邊界經(jīng)過優(yōu)化即寬泛化處理，覆蓋度和準(zhǔn)確度都有所提高，能夠更好地實(shí)現(xiàn)對(duì)入侵?jǐn)?shù)據(jù)檢測(cè)和識(shí)別。

1.2 公共網(wǎng)絡(luò)入侵檢測(cè)方法研究

基于優(yōu)化粗糙集的公共網(wǎng)絡(luò)入侵檢測(cè)實(shí)現(xiàn)流程，如圖1所示，主要是根據(jù)獲取的網(wǎng)絡(luò)數(shù)據(jù)連接通過對(duì)公共網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行篩選和分析，將進(jìn)入數(shù)據(jù)庫(kù)的原始數(shù)據(jù)進(jìn)行離散化處理和遺傳數(shù)據(jù)約簡(jiǎn)，產(chǎn)生規(guī)則集來檢測(cè)實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)是攻擊數(shù)據(jù)還是正常連接。

公共網(wǎng)絡(luò)數(shù)據(jù)入侵檢測(cè)流程中對(duì)原始數(shù)據(jù)進(jìn)行離散化處理和屬性約簡(jiǎn)是最為重要的步驟。包含入侵風(fēng)險(xiǎn)原始數(shù)據(jù)從公共網(wǎng)絡(luò)進(jìn)入數(shù)據(jù)接收器是不完備和缺失的，由于原始數(shù)據(jù)的不完備和缺失導(dǎo)致數(shù)據(jù)信息系統(tǒng)不完備，進(jìn)入數(shù)據(jù)庫(kù)的各種不同的待處理的數(shù)據(jù)以離散的表現(xiàn)形式存在。運(yùn)用基于優(yōu)化的粗糙集方法首先需要對(duì)這些原始數(shù)據(jù)進(jìn)行預(yù)處理然后對(duì)數(shù)據(jù)進(jìn)行屬性約簡(jiǎn)。對(duì)數(shù)據(jù)的預(yù)處理即根據(jù)原始數(shù)據(jù)的數(shù)值缺失和不全是離散值的情況特點(diǎn)對(duì)數(shù)據(jù)進(jìn)行離散化處理。

在對(duì)公共網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵檢測(cè)過程中，MDLD是一種有效的數(shù)據(jù)信息離散化處理方法，該方法相對(duì)獨(dú)立地按照每個(gè)屬性的作用，將其持續(xù)地獲取數(shù)據(jù)值范圍分成合適數(shù)量和寬度的子區(qū)間，分類嫡設(shè)定包含m個(gè)類別的數(shù)據(jù)集U，分布概率分別為數(shù)據(jù)集U的m個(gè)類別分類嫡如下：

（3）

分類嫡是描述上述數(shù)據(jù)集類別的精度，屬性A對(duì)S劃分后的嫡設(shè)屬性W將U分為n個(gè)子集分類嫡為每個(gè)子集U′的嫡加權(quán)和比較如式（4）～式（7）所示：

（4）

其中：

（5）

（6）

（7）

從以上數(shù)學(xué)公式可以推理得出擁有最高信息增益的數(shù)據(jù)屬性是給定集合中具有最高區(qū)分度的屬性，具有最高增益的離散域值也具有最高的區(qū)分度。通過以上的數(shù)學(xué)方法就完成對(duì)粗糙集的數(shù)據(jù)缺失和非全部離散值的問題進(jìn)行了離散化處理。

預(yù)處理完畢后對(duì)數(shù)據(jù)屬性約簡(jiǎn)是實(shí)現(xiàn)入侵?jǐn)?shù)據(jù)檢測(cè)的下一個(gè)重要步驟，數(shù)據(jù)約簡(jiǎn)可以減少信息的處理量和存儲(chǔ)量?；趦?yōu)化粗糙集的數(shù)據(jù)約簡(jiǎn)是通過對(duì)屬性排序并計(jì)算其重要性而實(shí)現(xiàn)的。在復(fù)雜的數(shù)據(jù)關(guān)系中找出與原始數(shù)據(jù)具有相同或相似辨別能力的相關(guān)屬性的最小集合，實(shí)現(xiàn)信息約簡(jiǎn)找出數(shù)據(jù)庫(kù)中最簡(jiǎn)潔、最適用的知識(shí)規(guī)則。運(yùn)用遺傳算法作全局最優(yōu)點(diǎn)搜索，識(shí)別最優(yōu)算法參數(shù)和初始狀態(tài)，可以以更短的時(shí)間得到更優(yōu)的屬性集約簡(jiǎn)。

本文采用遺傳算法對(duì)數(shù)據(jù)集進(jìn)行約簡(jiǎn)，其基本流程把控制序列編碼為一個(gè)染色體，通過遺傳算法來產(chǎn)生控制序列。由于遺傳搜索是從決策表的屬性核出發(fā)，并在整個(gè)進(jìn)化過程中保持不變。選取適應(yīng)度函數(shù)：需要滿足條件屬性對(duì)決策屬性依賴度最大和條件屬性個(gè)數(shù)最少這兩個(gè)條件，才能在屬性集是最小約簡(jiǎn)。對(duì)應(yīng)的函數(shù)關(guān)系如下：

（8）

式中：A為二進(jìn)制串長(zhǎng)度；CARD（x）表示個(gè)體數(shù)量；B（x）表示條件屬性對(duì)決策屬性的依賴度。通過對(duì)算子的選擇、交叉和變異，最終實(shí)現(xiàn)穩(wěn)態(tài)繁殖，將屬性核加入初始種群，減小了搜索范圍，同時(shí)交叉和變異不會(huì)破壞基因位并可以加快收斂速度，保證入侵?jǐn)?shù)據(jù)屬性集是最小約簡(jiǎn)。

通過優(yōu)化粗糙集對(duì)數(shù)據(jù)進(jìn)行分辨和規(guī)則提取后，數(shù)據(jù)的準(zhǔn)確度和覆蓋度都有所提高，證明粗糙集經(jīng)過優(yōu)化的有效性，對(duì)生成的規(guī)則進(jìn)行過濾和提取，去除置信度低的、冗余的規(guī)則。提取規(guī)則的流程是從經(jīng)過處理的決策表中抽取出以規(guī)則形式表述的知識(shí)，將某些去掉后不影響決策結(jié)果生成的規(guī)則過濾掉。按照以上的流程和最終提取的規(guī)則就完成了對(duì)公共網(wǎng)絡(luò)數(shù)據(jù)入侵?jǐn)?shù)據(jù)的入侵檢測(cè)，按照形成的規(guī)則檢測(cè)出可疑數(shù)據(jù)并對(duì)入侵報(bào)警。

2 試驗(yàn)結(jié)果與分析

本文通過仿真試驗(yàn)分別對(duì)基于優(yōu)化粗糙集公共網(wǎng)絡(luò)入侵檢測(cè)方法和主成分分析（PCA）入侵檢測(cè)算法進(jìn)行了效果對(duì)比。

通過試驗(yàn)證明本文提出的設(shè)計(jì)方法有較高的檢測(cè)率、更加低的誤報(bào)率，同時(shí)訓(xùn)練時(shí)間上要比其他算法要低，本文提出的算法具有精確性和有效性。試驗(yàn)數(shù)據(jù)來自網(wǎng)絡(luò)入侵檢測(cè)評(píng)判數(shù)據(jù)庫(kù)，包含了30余種數(shù)據(jù)攻擊類型如PROBING類型，U2R類型，DDoS等類型。將實(shí)驗(yàn)數(shù)據(jù)分成3組，數(shù)據(jù)的選擇如表1所示。

表1 試驗(yàn)數(shù)據(jù)

為了驗(yàn)證本文算法對(duì)網(wǎng)絡(luò)入侵檢測(cè)性能具有更明顯的有效性，試驗(yàn)對(duì)PCA算法和基于優(yōu)化粗糙集公共網(wǎng)絡(luò)入侵檢測(cè)方法的有效性進(jìn)行了充分的數(shù)據(jù)對(duì)比。實(shí)驗(yàn)結(jié)果如表2～表4 所示。

在U2R型數(shù)據(jù)入侵檢測(cè)中PCA方法的檢測(cè)率、誤差率和訓(xùn)練時(shí)間分別為86.93%，44.81%，0.51 s；而基于優(yōu)化粗糙集的公共網(wǎng)絡(luò)檢測(cè)系統(tǒng)在這三個(gè)指標(biāo)的對(duì)比中都具有優(yōu)勢(shì)，檢測(cè)率提高到95.28%，誤差率大幅度降低到28.23%，時(shí)間縮短到0.29 s。通過數(shù)據(jù)對(duì)比，本文提出的方法在應(yīng)對(duì)U2R型數(shù)據(jù)攻擊時(shí)具有優(yōu)勢(shì)。

應(yīng)對(duì)PROBING型數(shù)據(jù)入侵檢測(cè)中PCA方法的檢測(cè)率、誤差率和訓(xùn)練時(shí)間分別為82.26%，40.23%，0.56 s。而基于優(yōu)化粗糙集的公共網(wǎng)絡(luò)檢測(cè)系統(tǒng)在這三個(gè)指標(biāo)的對(duì)比中都具有優(yōu)勢(shì)，檢測(cè)率也同樣具有優(yōu)勢(shì)，三個(gè)指標(biāo)分別可以達(dá)到93.12%，27.96%和0.21 s。

DDoS是一種新型的更具破壞性的攻擊方式，是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比以前更大的規(guī)模來進(jìn)攻公共網(wǎng)絡(luò)。從表4的數(shù)據(jù)來看，在應(yīng)對(duì)新型的數(shù)據(jù)入侵傳統(tǒng)的PCA算法在檢測(cè)率、誤差率和訓(xùn)練時(shí)間上顯示出的時(shí)效性更差。而相反基于優(yōu)化粗糙集的神經(jīng)網(wǎng)絡(luò)算法在以上指標(biāo)表現(xiàn)時(shí)更為有效。

從以上 3個(gè)表中可以很明顯看出，不論是3種數(shù)據(jù)類型中的哪一種，本文所提出的基于優(yōu)化粗糙集神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)算法模型的檢測(cè)率比PCA算法模型在效率和精確度方面有明顯的提高，而且模型的誤報(bào)率以及平均檢測(cè)時(shí)間也要比PCA模型要低，仿真試驗(yàn)表明本文提出基于優(yōu)化RS入侵檢測(cè)方法能夠在很大程度上提高公共網(wǎng)絡(luò)的安全入侵檢測(cè)可靠性，將提出的基于優(yōu)化RS的公共網(wǎng)絡(luò)入侵方法用于公共網(wǎng)絡(luò)入侵行為是一個(gè)行之有效的方案。

入侵檢測(cè)率指標(biāo)是衡量入侵檢測(cè)方法是否行之有效的最重要指標(biāo)，通過仿真試驗(yàn)對(duì)本文提出的方法和PCA方法應(yīng)對(duì)常見的攻擊方式得出的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)繪制成檢測(cè)率綜合比較圖，如圖2所示，本文提出的方法綜合檢測(cè)率在90%以上，在應(yīng)對(duì)常見網(wǎng)絡(luò)數(shù)據(jù)攻擊行為時(shí)具有良好的有效性。

基于粗糙集的公共網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)利用網(wǎng)絡(luò)工具箱進(jìn)行測(cè)試和訓(xùn)練，實(shí)驗(yàn)得到的均方根誤差如圖3所示。

從實(shí)驗(yàn)的仿真結(jié)果可以看出，將基于優(yōu)化粗糙集公共網(wǎng)絡(luò)入侵方法用于數(shù)據(jù)入侵檢測(cè)，較為明顯地降低了系統(tǒng)的誤報(bào)率，提高了各種攻擊類型的檢測(cè)率和目標(biāo)精度，而且速度較快、收斂容易，有效地改進(jìn)了公共網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能。

本文的試驗(yàn)分別對(duì)基于優(yōu)化粗糙集公共網(wǎng)絡(luò)入侵檢測(cè)方法和主成分分析（ PCA）入侵檢測(cè)算法進(jìn)行了數(shù)據(jù)對(duì)比可以看出本文提出的設(shè)計(jì)方法有高檢測(cè)率、低的誤報(bào)率，和更短的訓(xùn)練時(shí)間。試驗(yàn)證明本文提出的方法更加實(shí)用和有效。

3 結(jié) 語

伴隨公共網(wǎng)絡(luò)數(shù)據(jù)入侵問題的凸顯，有效入侵檢測(cè)成為公共網(wǎng)絡(luò)安全中一個(gè)極為重要的課題。針對(duì)傳統(tǒng)公共網(wǎng)絡(luò)入侵檢測(cè)原始數(shù)據(jù)精確度低、數(shù)據(jù)量大、維數(shù)多、入侵檢測(cè)系統(tǒng)誤報(bào)率、漏報(bào)率偏高的現(xiàn)狀，在深入研究入粗糙集理論的基礎(chǔ)上，本文提出將優(yōu)化粗糙集理論應(yīng)用于公共網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)。經(jīng)過大量仿真實(shí)驗(yàn)結(jié)果證明本文提出的方法是一種高效率、高檢測(cè)率的網(wǎng)絡(luò)入侵檢測(cè)方法，這種優(yōu)化設(shè)計(jì)入侵檢測(cè)系統(tǒng)將會(huì)有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1] ZHANG Lianhua， ZHANG Guanhua， YU Lang， et al. Intrusion detection using rough set classification [J]. Journal of Zhejiang University Science， 2004， 5（9）： 1076?1086.

[2] LEE W， STOLFO S J， MOK K. Data mining in workflow environments： Experiences in intrusion detection [C]//Proceedings of the 1999 Conference on Knowledge Discovery and Data Mining（KDD99）. AC： CAM Press，1999： 111?120.

[3] 王永全.入侵檢測(cè)系統(tǒng)（IDS）的研究現(xiàn)狀和展望[J].通信技術(shù)，2008，41（11）：139?143.

[4] WELCH C D J， LATHROP M S D. A Survey of 802： Wireless security threats and security mechanisms [R]. West Point， NewYork： United states Military Academy， 2003.

[5] 馬海峰，宋進(jìn)峰，岳新.遺傳算法優(yōu)化的混合神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].通信技術(shù)，2009，42（9）：106?108.

[6] 王文莉，侯麗敏.基于領(lǐng)域粗糙集的入侵檢測(cè)[J].傳感器與微系統(tǒng)，2010，29（6）：36?38.

[7] 薛瀟，劉以安，魏敏.一種入侵檢測(cè)的分類方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（30）：98?100.

[8] 劉道群，孫慶和.基于遺傳神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型[J].激光雜志，2005，26（6）：73?74.