1.一种融合粗糙集与DS证据理论的增量式入侵检测方法,其特征在于:该方法包括以下步骤:S1:从网络监听端口获得网络数据,对网络数据进行预处理,将预处理后的数据传送至建立的增量式检测模型进行入侵检测判断,所述增量式检测模型包括误用检测模块、异常检测模块以及增量式单元;
S2:首先,由误用检测模块对预处理后的数据进行处理,包括采用模式匹配的方式,查询误用规则库中是否存在与之匹配的规则;
S3:误用规则库中若存在与之匹配的规则,则表明遭受攻击,进行报警;反之,交由异常检测模块作进一步处理;
S4:异常检测模块根据误用检测模块传过来的数据与建立的网络正常行为轮廓的偏差程度,为数据的每一个属性特征指定对辨识框架Θ{N,A’}的概率分配函数;并采用DS证据理论多特征融合规则,计算上述特征的融合结果,根据融合的结果判断该数据流是新出现的攻击类型或是正常网络数据;
S5:增量式单元根据步骤S4的融合结果是否大于预设的阈值(P1,P2)作进一步处理,若步骤S4判定结果为新出现的攻击类型的概率P(A)>P1,则提取该数据的特征规则,加入误用检测规则库,反之,仅作报警处理;若步骤S4判定结果为正常网络数据的概率P(N)>P2,则把它作为更新网络正常行为轮廓的数据,反之,仅作为正常数据处理;
在步骤S2中,所述的误用规则库的生成步骤包括:
1)编码,对训练数据集中的字符属性进行数值编码;
2)补全,对训练数据集中缺失的属性值采用该属性的平均值进行补全;
3)量化,采用 algorithm量化训练数据集中属性A∪D的值;
4)约简,利用启发式算法Johnson`s algorithm,从决策系统I=(U,A∪D)中找到使IND(B,D)=IND(A,D)成立的最小属性集B;
5)提取规则,从约简后的决策系统I=(U,B∪D)中提取决策规则,生成最简决策规则库;
A是一个非空的属性集,属性集 D为决策属性,U是一个非空的有限对象集,称为对象空间;关于决策的B不可分关系是指关系IND(B,D)={(x,y)∈U|a∈B,a(x)=a(y)and d∈D,d(x)=d(y)}。
2.根据权利要求1所述的一种融合粗糙集与DS证据理论的增量式入侵检测方法,其特征在于:在步骤S1中,所述对网络数据进行预处理包括对数据的补全、离散、属性约简以及对字符属性的编码。
3.根据权利要求1所述的一种融合粗糙集与DS证据理论的增量式入侵检测方法,其特征在于:在步骤S4中,网络正常行为轮廓是在离线情况下采用大量正常网络数据训练得到;
概率分配函数根据期望偏差函数ξ(x)=|x-E(x)|/σ(x)与建立的网络正常行为轮廓曲线得到,其中,E(x)表示数学期望,σ(x)表示标准差。
4.根据权利要求1所述的一种融合粗糙集与DS证据理论的增量式入侵检测方法,其特征在于:在步骤S5中,所述阈值P1=P2=0.9;阈值P1,P2的设定是为保证误用检测规则库和网络正常行为轮廓的精度。