基于粒计算与异常点挖掘的网络入侵检测研究

在深入研究粒计算、异常点挖掘理论的基础上，针对入侵检测系统采样数据的不精确性、不完整性、不确定性的特征，鉴于目前入侵检测系统存在检测率低、智能性差等问题，发挥粒计算理论粒度化不精确性、不完整性、不确定性数据的优势，采用异常点挖掘方法检测网络入侵的异常行为，实现基于粒计算与异常点挖掘方法的入侵检测系统，提高入侵检测系统的检测率与智能性。研究入侵检测系统的数据粒化方法，采用等价关系粒化离散型数据，采用邻域关系粒化连续型数据，并探讨系统处理的合适粒度。研究入侵检测系统的特征选择方法，采用蚁群算法进行特征选择，优化系统性能。研究异常点挖掘方法，采用知识粒度距离度量异常行为，提高系统检测率。研究入侵检测系统的多粒度动态学习机制，适应入侵攻击模式的变化，提高系统智能性。本课题的研究将粒计算理论与异常点挖掘方法应用到网络信息安全领域，为入侵检测研究提供一种新的解决方法，具有重要的理论研究与实际应用价值。

粒计算的模型主要有粗糙集模型、模糊集模型与商空间模型。研究了粒计算的粗糙集模型，针对经典粗糙集模型难以处理连续型数据的问题，采用邻域关系粒度化入侵检测数据集，提出邻域熵的概念，用来度量数据的不确定性。研究了数据的粒化问题，采用二进制数对数据集进行粒化，把集合运算转化为二进制数粒计算，提高了算法效率。研究了入侵检测数据集的知识约简问题：提出了基于幂树的最小属性约简方法，该方法采用树的知识表示，提高了约简效率；提出了基于邻域关系的知识约简方法，适用于处理连续型的数据集；从粒计算的观点出发，提出基于相对知识粒度的决策表约简。研究了基于知识粒度的异常数据挖掘技术与基于信息熵的异常数据挖掘技术。研究了知识的粒度性，提出采用知识粒度来进行异常数据的挖掘。研究了熵的不确定性度量方法，提出基于粗糙熵的异常数据挖掘方法，进一步研究了邻域关系下的异常点挖掘，提出基于邻域关系的信息熵异常挖掘方法。研究了基于距离的离群点检测（异常点挖掘）技术。针对传统的基于距离的离群点检测方法不能有效地处理具有离散型属性数据集的问题，在基于距离的离群点检测方法中引入粗糙集理论，利用粗糙集解决离散型数据的处理问题。研究了基于粒计算理论中邻域粗糙集模型的特征选择方法。为了避免传统粗糙集特征选择方法所必需的离散化过程带来的信息损失，将邻域粗糙集特征选择方法应用于特征选取领域，提出了基于邻域粗糙集的特征选择方法。研究了群智能算法，提出基于鱼群算法的粗糙集特征选择方法，与蚁群算法进行比较，具有收敛速度快的特点。研究了基于熵理论的决策树算法在网络入侵检测中的应用。采用基于相对决策熵的属性重要性以及粗糙集中的属性依赖性来选择属性，利用粗糙集中的属性约简技术来删除冗余的属性，降低算法的计算复杂性，并将该算法应用于网络入侵检测。在入侵检测数据集上的实验表明，该算法比传统的基于信息熵的算法具有更高的检测率。