基于关联规则的计算机入侵检测方法.docVIP

基于关联规则的计算机入侵检测方法.doc

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于关联规则的计算机入侵检测方法.doc

基于关联规则的计算机入侵检测方法   摘 要:网络安全问题是全世界都在关注的问题。互联网是人们生活中必不可少的一部分,包含着人们工作、学习生活的各种不同信息。因此,保证互联网信息安全一直是计算机学者研究的重点课题。入侵方式的不断升级,也促进了入侵检测方法的不断更新。对此,文章对基于关联规则的计算机入侵检测方法进行了详细的介绍,简单讨论了网络入侵检测技术的现状和发展。   关键词:关联规则;计算机;入侵检测   引言   现在的部分入侵检测系统仍基于入侵模式的匹配进行工作,随着入侵模式的不断升级,入侵检测方法也需要有所突破,才能及时应对不同的网络异常攻击。现在的计算机学者需要不断完善现行入侵检测系统中存在的规则不完善、不准确,容易误判等问题,研究更新入侵检测的方法。   1 网络入侵检测技术   网络入侵检测技术是主动对网络进行安全防御的技术,能够在不影响网络性能的条件下有效防止网络异常攻击。入侵检测是从网络系统环境中获取多方面信息,通过整理分析,对正常行为和异常行为进行有效的监测。入侵检测系统由入侵软件和计算机及网络等硬件组成,是对传统的防御技术防火墙的补充,是网络安全的第二道防线。   入侵检测最早采用统计学的相关知识和规则模式来监测入侵行为,后来网络安全监控系统的出现,使入侵检测的相关研究逐步发展为两个方向:一个是对网络进行检测,另一方面是针对主机和系统进行监测。随着各种异常行为和攻击的多样化,网络入侵检测技术也不断在完善,相关的研究成果也相应运用到网络入侵检测系统中,进行网络安全的保护。   2 关联规则概念及算法   关联规则的概念最早在1993年提出,主要研究对原有的计算机算法进行优化,旨在找到各项数据间的关系。利用关联规则有一些主要的算法:Apriori算法、Apriori-TFP算法、改进的Apriori-TFP算法、FP-growth算法等等。   Apriori算法结构简单,容易理解,不需要进行复杂的推导,是最经典的利用关联规则的算法。由于它压缩了候选项集的大小,在许多情况下,具有很好的性能。不过Apriori依然存在两方面的缺陷:Apriori算法在迭代过程中产生大量的候选项集,占据了较大的内存;在挖掘大容量的数据库时,大量的扫描也会带来巨大的开销。Apriori-TFP算法减少了Apriori算法的运算时间,提高了运算的效率,是对Apriori算法的改进。改进的Apriori-TFP算法是对Apriori-TFP算法的改进,不仅解决了Apriori算法里产生大量候选项集占据了过多内存以及运算时间较长的问题,而且使Apriori-TFP算法中生成的P树和T树的结点数减少了。FP-growth算法于2000年被提出,基于FP-tree的结构,完全脱离了产生候选项集的传统方式,运用紧缩的结构来储存全部的数据信息。FP-growth算法不会产生大量候选项集,其运算效率比Apriori算法高出很多,极大节省了运算时间,对于搜索挖掘大容量复杂数据库时具有明显的优势。不过FP-growth算法会生成条件数据库和条件FP-tree,占用很大部分的内存,所以通常使用于单维的关联规则中。   3 基于关联规则的计算机入侵检测   基于关联规则的计算机入侵检测首先要通过设计WAFP入侵检测模型来完成。WAFP模型会先对网络中获取的一些数据进行第一步干预,将干预后的数据录入到数据库中,然后WAFP模型对这个数据进行行为的判定,确定是否为入侵行为,进行后续的处理或者记录下该行为的信息详情。整体的WAFP入侵检测模型有主要几个模块进行工作:数据采集模块、数据预处理模块、WAFP检测代理模块和决策响应模块。   数据采集模块负责最开始进行的数据采集工作,在网络中收集不同用户行为的信息,采集到大量、准确的信息数据,对于后期入侵检测系统的工作更加便捷,入侵行为发现的可能也就越大。数据预处理模块的工作就是对采集的数据进行第一次干预,原始数据通常有信息不完整、冗余、含有与关联规则无关的内容等特点,数据预处理就是将这些数据进行干预,之后把整理好的数据统一存储并传递给下一部分。WAFP检测模块是对处理好的数据进行行为分析,运用关联规则挖掘,通过与规则库中的规则数据进行对比,来判定是否为入侵行为。决策响应模块是对WAFP检测模块工作的补充,通过关联规则对入侵行为进行检测,并且做出相应的决策来处理信息数据,进行相关的防护措施。如果系统响应模块无法判断是否为入侵行为,则报告给计算机安全员进行后续处理。   4 计算机入侵检测现状及发展   从20世纪80年代起,入侵检测的相关研究就已经开展了,入侵检测的相关技术一直是计算机学者关注与研究的重点。传统的入侵检测方法是运用多个探测器或者传感器收集网络信息,再交由中央控制

文档评论(0)

yingzhiguo + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:5243141323000000

1亿VIP精品文档

相关文档