从检测方法来说，入侵检测技术可分为基于误用的和基于异常的入侵检测两大类。基于误用的入侵检测技术以模式匹配作为发现入侵事件特征的主要手段，而基于异常的入侵检测技术一般通过各种数学工具建立出系统正常行为和异常行为的模型，然后通过检查事件是否符合系统正常行为模型的标准来判断该事件是否异常。基于异常的入侵检测常常使用人工智能技术。Rough集理论是近年来发展较快的一个模糊数学分支，它在数据挖掘，人工智能，知识分类等领域显示出越来越强大的应用潜力。而基于异常的入侵检测技术目前正处于发展阶段，尚未成熟。正因如此，将Rough集理论中的数据挖掘与分类技术应用到计算机系统行为的检测中，从中发现可疑事件，是一个很有前景的研究方向。本文提出了一个基于Rough集理论的入侵检测系统(RSIDS)，它利用Rough集理论对网络流进行检测分析，并发现攻击。实验研究了不同的Rough集决策规则生成算法对入侵检测样本的处理性能，以及在数据集规模很大时算法的处理效率问题。研究结果表明该系统具有较好的检测效率和良好的扩展性。