在入侵检测研究领域,数据挖掘方法正在被广泛地应用到异常检测和误用检测研究中。基于数据挖掘的入侵检测包括两个关键的步骤:特征提取和检测模型生成。在入侵检测的特征提取研究中,Wenke lee使用改进了的Apriori算法来获得基于网络连接的特征集;Srinivas and Sung提出了基于支持向量机(SVM)的方法,按重要性给这些特征排序,但SVM需要多次重复迭代计算,耗费大量的时间。在入侵检测模型生成研究中,检测模型不仅应该具有高的检测率,而且也应该是易于理解的,但是现存的很多方法很难同时达到这两个目标。举例来说,神经网络能够达到很高的检测率但是检测规则不容易被人理解;决策树能够产生容易理解的规则,但是检测率却不高。 本文中,我们提出使用粗糙集分类算法进行网络入侵检测,先对属性集进行约简,然后以属性的约简为模板生成检测规则。粗糙集分类算法生成的检测规则具有“IF-THEN”的格式,易于理解。在粗糙集的实际应用中,我们碰到的一个主要问题就是生成属性集的最小约简,属性集的约简是具有和整个属性集具有相同的对象分类能力的最小的属性子集。由于计算最小约简是个NP难问题,所以我们使用了基于遗传算法的启发式算法来缩短计算时间,以便得到一个近似的最优解。最后,我们设计了仿真实验来测试基于粗糙集理论的网络入侵检测系统的性能,实验数据为KDDCup99的部分数据。仿真实验表明,该方法对DoS和Probe攻击具有很高的检测率、较低的误检率,并且对U2R和R2L攻击也有较好的检测率。