Research on Intrusion Detection Method Based on Rough Set Theory

In order to overcome the problem of poor generalization ability of intrusion detection systems in the case of less prior knowledge, an intrusion detection method based on rough set theory is proposed. Using rough set theory, a detection model for short system call sequences is established and applied to sendmail call sequence detection. Experimental results show that it does not require all normal and abnormal information, and can achieve relatively ideal detection results when given less normal and abnormal call sequence data. Keywords Rough set; Intrusion detection; Network security; System call sequence With the continuous development of network technology and scale, the risk and opportunity of network intrusion are also increasing, and network security has become an issue that people cannot avoid. Therefore, in order to handle more and more sensitive information, intrusion detection has also become a very important technology and has received widespread attention. Intrusion detection can be regarded as a classification problem, that is, to classify the given audit data: (1) what kind of data is normal; (2) what kind of data is abnormal. Reference [1] regards intrusion detection as a process of distinguishing between normal and abnormal, and proposes an intrusion detection technology based on immune model. Reference [2] uses neural network to extract features and classify. Reference [3] discusses the implementation of intrusion detection from the perspective of data mining technology. All of the above methods require a large or complete audit data set to achieve relatively ideal detection performance, and the training time is long. In practice, it is difficult to establish an intrusion detection model. This requires considering the extraction of audit data features and the realization of intrusion detection in the case of small samples. Rough set theory is a mathematical tool proposed by Pawlack in the 1980s to deal with fuzziness and uncertainty [4]. Rough set theory is based on the classification mechanism and understands knowledge as the division of data, which is a division composed of equivalence relations in a specific space. Rough set theory believes that the knowledge in the knowledge base is not equally important and there is redundancy, which is not conducive to making correct decisions. It provides a relatively mature method for discovering the relationship between data attributes in sample data sets. Knowledge reduction requires deleting irrelevant or unimportant attributes while keeping the knowledge base classification and decision-making capabilities unchanged. When using rough set theory for analysis, first select the important attributes that reflect the essential relationship between data from all attributes, and then establish rules based on these important attributes. Therefore, applying rough sets to intrusion detection can discover the essential characteristics that reflect the relationship between data attributes from a limited set of normal call sequence samples, more effectively approximate the ideal classification model, and attribute reduction can obtain the minimum classification detection rule set, so that the intrusion detection model based on rough sets still has a good detection rate when prior knowledge is insufficient. This paper proposes an intrusion detection model based on rough sets, and uses system call sequences as intrusion data, and gives computer simulation results.