IDS中对系统日志的模糊关联规则挖掘探究.pdfVIP

No．5A 第30卷第5A期 昆明理工大学学报(理工版) voI．30 ：盟王：!盆 2：：型薯坠==|翟：尘譬i：匹兰=：型王坐==垃5耋：：===：磐里：型=曹：22：：：：唑 mS中对系统日志的模糊关联规则挖掘研究 秦江华1，陈建华2 (1．昆明冶金高等专科学校北校区工程技术系，云南昆明650204；2．云南大学信息学院，云南昆明650091) 摘要：论述了如何将模糊集合理论引入关联规则挖掘并应用于入侵检测系统中，以提高入侵检 测系统的性能．并以系统日志信息的挖掘为倒，验证了模糊关联规则挖掘应用于入侵检测系统的 可行性． 关键词：入侵检测；系统日志；模糊关联规则 中图分类号：TP301．6文献标识码：A Iksearchon Associati帆RlllesofData in inIDS Fuzzy MiningSystemLog QINJbna．hual。CHENJian．hua2 of (1．DepanmentEngineed“g∞d1镜hnology，NonhemC锄pus，KunmingMetauu。gy 2．FacLIItyofIr血珊鲥on，YunnaIluⅡiversiIy，KurImjng650091，chi瑚) a而cIediscusseshowtotheintroducethe mIesintoassociadonrLlIesof Abstract：This mini”gfuz2y船sociation data and itinIDSt0 IhefuncⅡonsofIDS．wealso the of themin— miningapply improve pmvefeasibilit)tapplyi“g mle8inIDs data ofinfoⅡnationinthe by 109够anex啪ple． ing如z2y聃sociation taking山emining system detection associationmles Keyw盯ds：IDs(inⅡusionsyst唧)；system log；fu2zy 0引言 随着Intemet的发展，信息安全问题受到了人们的重视，成为信息化社会的焦点．面对越来越多的网 络入侵与攻击，目前常用的安全技术有防火墙技术、数据加密技术、访问控制技术、认证技术、安全漏洞扫 描技术、人侵检测技术等．其中入侵检测技术作为一种动态的监控、预防和抵御入侵行为的安全机制，是动 态安全技术中最核心的技术之一． 入侵是指任何企图危及资源的完整性、机密性和可用性的活动．人侵检测就是识别那些非授权使用计 算机系统的个体(如黑客)和虽然有合法授权但滥用其权限的用户(如内部攻击)．根据检测方法，入侵检测 分为两类：异常检测和滥用检测．根据检测的数据来源，入侵检测系统可以分为基于主机的入侵检测系统 和基于网络的入侵检测系统． 现有的入侵检测系统(IDs)大多采用模式匹配技术(滥用检测)，这种技术可扩展性和适应性比较差，不 能检测未知攻击，而且升级费用昂贵、速度慢．异常检测技术大多采用统计学或人工智能等方法来建立用户 正常行为模式，通过比较用户行为与正常行为模式之间的差异得出检测结果．在入侵检测系统的智能化和自 动化方面还需要发展异常检测技术，而数据挖掘(D8taMin吨)技术则是应用于异常检测的最重要技术． 数据挖掘是一种决策支持过程，一般指从大量的数据中自动地提取有效的未知新模式的探索、分析过 程．其作用是寻找数据间潜在的关联，做出归纳推理，以此为基础自动做出预测决