為了克服入侵檢測系統(tǒng)存在著在先驗知識較少情況的推廣能力差的問題，提出了基于粗糙集理論的入侵檢測方法。利用粗糙理論，建立了系統(tǒng)調用短序列的檢測模型并應用于sendmail調用序列檢測。實驗結果表明：它不需要全部的正常和異常的信息，在給出較少的正常和異常調用序列數(shù)據(jù)的情況下，能得到較為理想的檢測效果。
關 鍵 詞 粗糙集; 入侵檢測; 網絡安全; 系統(tǒng)調用序列

隨著網絡技術和規(guī)模的不斷發(fā)展，網絡入侵的風險性和機會也隨之增大，網絡安全成為了人們無法回避的問題。因此為了處理越來越多的敏感信息，入侵檢測也成為了一項非常重要的技術，得到廣泛的重視。
入侵檢測可以看成是一個分類問題，也就是對給定的審計數(shù)據(jù)進行分類：(1) 什么樣的數(shù)據(jù)是正常的；(2) 什么樣的數(shù)據(jù)是異常的。文獻[1]把入侵檢測看作是區(qū)分正常和非正常的過程，提出了基于免疫模型的入侵檢測技術。文獻[2]利用神經網絡來提取特征和分類。文獻[3]從數(shù)據(jù)挖掘技術角度探討了入侵檢測的實現(xiàn)問題。以上方法都需要大量或完備的審計數(shù)據(jù)集才能達到比較理想的檢測性能，并且訓練時間較長，而在實際中建立入侵檢測模型較困難，這需要考慮在小樣本的情況下，提取審計數(shù)據(jù)特征，實現(xiàn)入侵檢測。
粗糙集理論(rough set)是20世紀80年代由Pawlack提出的一種處理模糊性與不確定性的數(shù)學工具[4]。粗糙集理論建立在分類機制上，將知識理解為對數(shù)據(jù)的劃分，是在特定空間上由等價關系構成的劃分。粗糙集理論認為知識庫中的知識不是同等重要的，而且還存在冗余，不利于作出正確的決策，它提供了一套比較成熟的在樣本數(shù)據(jù)集中發(fā)現(xiàn)數(shù)據(jù)屬性之間關系的方法。知識約簡要求在保持知識庫分類和決策能力不變的條件下，刪除不相關或不重要的屬性。在用粗糙集理論進行分析時，先從所有屬性中篩選出反映數(shù)據(jù)之間本質關系的重要屬性，在基于這些重要屬性來建立規(guī)則。因此將粗糙集應用于入侵檢測中，能從有限的正常調用序列樣本集中發(fā)現(xiàn)反映數(shù)據(jù)屬性之間關系的本質特征，更有效地逼近理想的分類模型，并且屬性約簡能得到最小分類檢測規(guī)則集，這樣使得基于粗糙集的入侵檢測模型在先驗知識不足的情況下，仍然有較好的檢測率。本文提出了基于粗糙集的入侵檢測模型，并以系統(tǒng)調用序列作為入侵數(shù)據(jù)，給出了計算機仿真結果。