為了克服入侵檢測系統存在著在先驗知識較少情況的推廣能力差的問題，提出了基于粗糙集理論的入侵檢測方法。利用粗糙理論，建立了系統調用短序列的檢測模型并應用于sendmail調用序列檢測。實驗結果表明：它不需要全部的正常和異常的信息，在給出較少的正常和異常調用序列數據的情況下，能得到較為理想的檢測效果。
關 鍵 詞 粗糙集; 入侵檢測; 網絡安全; 系統調用序列

隨著網絡技術和規模的不斷發展，網絡入侵的風險性和機會也隨之增大，網絡安全成為了人們無法回避的問題。因此為了處理越來越多的敏感信息，入侵檢測也成為了一項非常重要的技術，得到廣泛的重視。
入侵檢測可以看成是一個分類問題，也就是對給定的審計數據進行分類：(1) 什么樣的數據是正常的；(2) 什么樣的數據是異常的。文獻[1]把入侵檢測看作是區分正常和非正常的過程，提出了基于免疫模型的入侵檢測技術。文獻[2]利用神經網絡來提取特征和分類。文獻[3]從數據挖掘技術角度探討了入侵檢測的實現問題。以上方法都需要大量或完備的審計數據集才能達到比較理想的檢測性能，并且訓練時間較長，而在實際中建立入侵檢測模型較困難，這需要考慮在小樣本的情況下，提取審計數據特征，實現入侵檢測。
粗糙集理論(rough set)是20世紀80年代由Pawlack提出的一種處理模糊性與不確定性的數學工具[4]。粗糙集理論建立在分類機制上，將知識理解為對數據的劃分，是在特定空間上由等價關系構成的劃分。粗糙集理論認為知識庫中的知識不是同等重要的，而且還存在冗余，不利于作出正確的決策，它提供了一套比較成熟的在樣本數據集中發現數據屬性之間關系的方法。知識約簡要求在保持知識庫分類和決策能力不變的條件下，刪除不相關或不重要的屬性。在用粗糙集理論進行分析時，先從所有屬性中篩選出反映數據之間本質關系的重要屬性，在基于這些重要屬性來建立規則。因此將粗糙集應用于入侵檢測中，能從有限的正常調用序列樣本集中發現反映數據屬性之間關系的本質特征，更有效地逼近理想的分類模型，并且屬性約簡能得到最小分類檢測規則集，這樣使得基于粗糙集的入侵檢測模型在先驗知識不足的情況下，仍然有較好的檢測率。本文提出了基于粗糙集的入侵檢測模型，并以系統調用序列作為入侵數據，給出了計算機仿真結果。