入侵检测在线规则生成模型.pdf

第29卷第9期 计 算 机 学 报 V01．29No．9 OFCOMPUTERS sept．2006 2006年9月 CHINESEJOURNAL 入侵检测在线规则生成模型 郭山清 谢 立 曾英佩 (南京大学计算机软件新技术国家重点实验室 南京 210093) (南京大学计算机科学与技术系 南京 210093) 摘要利用机器学习算法，如sVM、神经网络等，进行入侵检测已取得很大进展，但检测结果难于理解的问题已 影响到这些检测算法的广泛使用．文章在对已知的关联算法进行比较分析的基础上，提出了一种针对入侵检测结 果的实时规则在线生成方法，以提高对检测结果的理解，降低入侵所带来的损失．在定义局部支持度、全局可信度、 cITree和Ix-Tree树结构的基础上，设计了直接产生仅与当前发生的攻击相关的规则集的规则生成算法．该方法 解决了当前主流关联规则生成算法应用到入侵检测结果集的过程中所存在的多遍扫描(至少两遍)、攻击数据的非 均衡分布所带来的大量无效规则的产生和两阶段规则生成方法使得在第一阶段产生了众多与最后生成的规则集 无关的频繁集等问题．经过实验表明，文中所提出的方法在规则生成和时间效率方面都显示出了良好的性能． 关键词规则生成；入侵检测；关联规则；分类规则 中图法分类号TP301 AnonlineRuleGenerationModelforIntrusionDetection LiZENG GU0 XIE Shan_Qing Ying—Pei NowZ 210093) (Sfn据KPyL口6Drn￡ory，0rSo^甜nrPTk如加￡Dgy，N口巧抽g‰而Prs赴y，N口可砌g SciPnfennd了_娩oZogy，Nn唧ing 210093) (De加rfmPn￡D，Comp￡Pr L胁iuPrsi缈，N口可ing Abstract hasbeenmadein machine suchasSVIⅥandneural Progress using learningtechniques networksforintrusion butthenon—understandabledetectionresultshave detection， prevented In those from utilized．this authorsforwardanovel algorithmsbeingthoroughly paper，the put oriented wasbasedonthe associationrulesextraction huge—data method，which popular algorithm and attheresult ofintrusion bu订dreal—timerulesfor theunder— targeted detection，to enha