基于安全事间关联分析的反垃圾邮件系统地研究.pdfVIP

全国网络与信息安全技术研讨会’暑泓 2t5 基于安全事件关联分析的反垃圾邮件系统的研究 屈立笳，苏红，涂刚 四，11人学，成都，610065 摘 要：本文介绍了反垃圾邮件系统中埘安仝事件的关联规则挖掘算法发优化。根据目前电子邮件系统的运行现状，提出 电f邮件系统的四层防护模型：抗攻击、阻断垃圾邮件、过滤邮件病毒以及敏感内容过滤，以提高电子邮件系统的稳定性、 可靠性，并极大程度的提高电“f邮件的信噪比。我们通过对大量的垃圾邮件搜集、分类，对各种垃圾邮件的发送行为、方 式、邮件内容、垃圾邮件特征等进行研究建立垃圾邮件行为模式识别模型，以及相关安全事件的关联规则挖摘算法。采用 先进的垃圾邮件识别技术．可以在垃圾邮件请求发送的时候，就根据其产生的安全事件来综合、关联分析井判断出垃圾邮 件发送行为，从而拒绝接收邮件，大大的降低了邮件服务器的处理量，同时很大程度上阻止了病毒邮件和蠕虫邮件的传播。 更新的算法。在提高算法挖掘规则的效率、关联规则的应用进行推广等等方而，有着非常显著的改善。 关键词：关联规则、apriori算法、行为识别、反垃圾邮件、网络安全事件 1引言 随着计算机网络在政府、企业和学校等领域的广泛应用，计算机网络的安全已成为国家和企业所面l临的 重大问题，而目前计算机网络安全技术还处在相对初级的阶段。各种网络安全产品和安全工具的(防火墙、 IDS和反垃圾邮件系统)所产生的安全事件都处在一种分散的初级阶段，没有进行综合的关联分析，无法形 成综合的有实用价值的分析结果，所以，计算机网络安全事件关联分析的研究在技术上是一大突破。 电子邮件(ElectroniC 仆来源于专有电子邮件系统。经历了漫长的过程之后，它现在已经演变成为一个更加复杂并丰富得多的系统， 可以传送声音、图片、图像、文档等多媒体信息，以至于如数据库或帐目报告等更加专业化的文件都可以电 子邮件附件的形式在网上分发。现在，电子邮件已成为许多商家和组织机构的生命血脉。用户可以通过电子 邮件的讨论会进行项目管理，并且有时要根据快速，或洲际的电子邮件信息交换进行重要的决策行动。在邮 件系统为人们的工作和生活带来便利的时候，垃圾邮件却随之而来，而且越来越猖獗。 阁此，我们需要通过一整套行之有效的系统来防止垃圾邮什的泛滥，阻挡那些未经允许的邮件进入崩户的电 子邮箱，节约时间和人力来处理各种各样的垃圾邮件，提高生产效率，同时，更加有利于人们利用电子邮什 进行商务活动，为人们的工作和生活带来更大的便利。 本文研究的钊对电子邮件的安全防护、信息过滤，包括：抗邮件攻击、反垃圾邮件、病毒过滤、非法内容邮 件过滤等四项特色功能。不同于目前单纯的基于内容过滤的反垃圾邮件系统或防病毒系统，它是全新的从提 高电子邮件系统的稳定性、可靠性及提高信息信噪比的角度出发，提出的建立工业标准的电子邮件安全解决 方案。 2安全事件关联规则挖掘算法的优化 21关联规则挖掘的算法 频集理论的递推方法。以后诸多的研究人员对关联规则的挖掘问题进行了大量的研究。他们的工作包括对原 有的算法进行优化，如引入随机采样、并行的思想等。以提高算法挖掘规则的效率：提出各种变体，如泛化 的关联规则、周期关联规则等，对关联规则的应用进行推』。。 翻墨· 奎国网悟与信息安全技术研讨会’皇够w 2．1．1经典频集方法的核心算法(Apriori算法) 两阶段频集思想的方法，将关联规则挖掘算法的设计可以分解为两个子问题： Itemset)。 1)找到所有支持度大于最小支持度的项集(Itemset)，这些项集称为频集(Frequent 2)使用第1步找到的频集产生期望的规则。 采用的是[4]中规则的定义。一旦这些规则被生成，那么只有那些大于用户给定的最小可信度的规则才被留下 来。对于规则右部含两个以上项的规则，在其以后的工作中进行了研究，本文后面考虑的是这种情况。 为了生成所有频集，使用了递推的方法。其核心思想如下： (1)L1={large卜itemsets)： (2) for(k=2；Lk—l≠中：k++)dobegin (3) ／／新的候选集