摘要:该文采用粗糙集的属性约简,去除冗余属性,减少数据样本维数;再通过改进LS-SVM训练数据样本,建立入侵检测分类器,以达到高效实用的检测目的,通过实验结果表明,结合粗糙集和改进LS-SVM的入侵检测方法获得了较高的检测精度和检测效率,是一种具有应用前景的检测技术。
关键词:入侵检测;粗糙集理论;支持向量机
中图分类号:TP393.8文献标识码:A文章编号:1009-3044(2012)15-3542-04
A New Intrusion Detection Method Research
LIU Qi-chen1,2, SHI Rong-hua1
(1.College of Information Science and Engineering, Central South University, Changsha 410083, china; 2.Hunan Chemical Vocational Technology College, Zhuzhou 412004, china)
Abstract: Using the attribute reduction of rough set to remove the redundant attributes, reducing the dimension of data samples; through improved LS-SVM training data samples, the establishment of intrusion detection classifier, in which to achieve the efficient and practical testing purposes, the experiment shows that the combination of rough sets and improved LS-SVM intrusion detection method to obtain a high detection accuracy and detection efficiency, this detection technology has great application prospects .
Key words: intrusion detection; rough sets theory; support vector machines
入侵检测的概念首先由James P.Anderson提出,Anderson在80年代早期对入侵的定义是[1]:所谓入侵是指在未经授权的情况下,试图访问信息、存取信息、篡改信息或破坏系统使其达到不可靠、不可用的行为。其中,入侵包括了Anderson提出的三类威胁:(1)外部入侵者,系统的非授权用户;(2)内部入侵者,超越合法权限的系统授权用户;(3)违法者,在计算机系统上执行非法活动的合法用户[2]。同时入侵还包括非法程序的威胁,如蠕虫病毒、木马程序等,一系列频繁访问和扫描系统漏洞及配置信息的活动。后来,Heady也给出了入侵的解释,即入侵是指有关试图破坏信息资源的完整性、机密性及可用性的活动集合[3]。
粗糙集(RS,Rough Set)理论是一种处理非精确、不完整信息的有效工具,它能对数据进行分析、推理,从中发现潜在的规则,特别是从大量的、无规律的网络数据中发现有价值的信息,并去粗取精,获取约简后的数据。
支持向量机(SVM,Support Vector Machine)是一种能在训练样本数较小的情况下,解决有限样本及非线性问题中具有较高效率和较好泛化能力的算法;SVM是基于统计学基础的机器学习方法,克服了基于神经网络等方法的局部极小、结构选择困难、先验知识不足的情况下推广能力差等缺点[4],是研究入侵检测领域的新方法,并已有了一定的研究成效。最小二乘支持向量机(LS-SVM)最早由Suykens等人提出,它是将目标函数由一次方改为二次方,并将约束条件由不等式变换为等式条件,将QP问题转化为线性求解问题,其求解速度比SVM更快、效率更高,但是丢失了SVM稀疏性的特点。改进LS-SVM是基于统计分析,继承了LS-SVM检测速度快的优点,同时最大程度保留SVM稀疏性的优点,进一步提高系统的检测性能。通过研究,本文提出基于粗糙集和改进最小二乘支持向量机进行入侵检测。
