基于关联规则的计算机入侵检测方法.docVIP

基于关联规则的计算机入侵检测方法 　　摘 要：网络安全问题是全世界都在关注的问题。互联网是人们生活中必不可少的一部分，包含着人们工作、学习生活的各种不同信息。因此，保证互联网信息安全一直是计算机学者研究的重点课题。入侵方式的不断升级，也促进了入侵检测方法的不断更新。对此，文章对基于关联规则的计算机入侵检测方法进行了详细的介绍，简单讨论了网络入侵检测技术的现状和发展。 　　关键词：关联规则；计算机；入侵检测 　　引言 　　现在的部分入侵检测系统仍基于入侵模式的匹配进行工作，随着入侵模式的不断升级，入侵检测方法也需要有所突破，才能及时应对不同的网络异常攻击。现在的计算机学者需要不断完善现行入侵检测系统中存在的规则不完善、不准确，容易误判等问题，研究更新入侵检测的方法。 　　1 网络入侵检测技术 　　网络入侵检测技术是主动对网络进行安全防御的技术，能够在不影响网络性能的条件下有效防止网络异常攻击。入侵检测是从网络系统环境中获取多方面信息，通过整理分析，对正常行为和异常行为进行有效的监测。入侵检测系统由入侵软件和计算机及网络等硬件组成，是对传统的防御技术防火墙的补充，是网络安全的第二道防线。 　　入侵检测最早采用统计学的相关知识和规则模式来监测入侵行为，后来网络安全监控系统的出现，使入侵检测的相关研究逐步发展为两个方向：一个是对网络进行检测，另一方面是针对主机和系统进行监测。随着各种异常行为和攻击的多样化，网络入侵检测技术也不断在完善，相关的研究成果也相应运用到网络入侵检测系统中，进行网络安全的保护。 　　2 关联规则概念及算法 　　关联规则的概念最早在1993年提出，主要研究对原有的计算机算法进行优化，旨在找到各项数据间的关系。利用关联规则有一些主要的算法：Apriori算法、Apriori-TFP算法、改进的Apriori-TFP算法、FP-growth算法等等。 　　Apriori算法结构简单，容易理解，不需要进行复杂的推导，是最经典的利用关联规则的算法。由于它压缩了候选项集的大小，在许多情况下，具有很好的性能。不过Apriori依然存在两方面的缺陷：Apriori算法在迭代过程中产生大量的候选项集，占据了较大的内存；在挖掘大容量的数据库时，大量的扫描也会带来巨大的开销。Apriori-TFP算法减少了Apriori算法的运算时间，提高了运算的效率，是对Apriori算法的改进。改进的Apriori-TFP算法是对Apriori-TFP算法的改进，不仅解决了Apriori算法里产生大量候选项集占据了过多内存以及运算时间较长的问题，而且使Apriori-TFP算法中生成的P树和T树的结点数减少了。FP-growth算法于2000年被提出，基于FP-tree的结构，完全脱离了产生候选项集的传统方式，运用紧缩的结构来储存全部的数据信息。FP-growth算法不会产生大量候选项集，其运算效率比Apriori算法高出很多，极大节省了运算时间，对于搜索挖掘大容量复杂数据库时具有明显的优势。不过FP-growth算法会生成条件数据库和条件FP-tree，占用很大部分的内存，所以通常使用于单维的关联规则中。 　　3 基于关联规则的计算机入侵检测 　　基于关联规则的计算机入侵检测首先要通过设计WAFP入侵检测模型来完成。WAFP模型会先对网络中获取的一些数据进行第一步干预，将干预后的数据录入到数据库中，然后WAFP模型对这个数据进行行为的判定，确定是否为入侵行为，进行后续的处理或者记录下该行为的信息详情。整体的WAFP入侵检测模型有主要几个模块进行工作：数据采集模块、数据预处理模块、WAFP检测代理模块和决策响应模块。 　　数据采集模块负责最开始进行的数据采集工作，在网络中收集不同用户行为的信息，采集到大量、准确的信息数据，对于后期入侵检测系统的工作更加便捷，入侵行为发现的可能也就越大。数据预处理模块的工作就是对采集的数据进行第一次干预，原始数据通常有信息不完整、冗余、含有与关联规则无关的内容等特点，数据预处理就是将这些数据进行干预，之后把整理好的数据统一存储并传递给下一部分。WAFP检测模块是对处理好的数据进行行为分析，运用关联规则挖掘，通过与规则库中的规则数据进行对比，来判定是否为入侵行为。决策响应模块是对WAFP检测模块工作的补充，通过关联规则对入侵行为进行检测，并且做出相应的决策来处理信息数据，进行相关的防护措施。如果系统响应模块无法判断是否为入侵行为，则报告给计算机安全员进行后续处理。 　　4 计算机入侵检测现状及发展 　　从20世纪80年代起，入侵检测的相关研究就已经开展了，入侵检测的相关技术一直是计算机学者关注与研究的重点。传统的入侵检测方法是运用多个探测器或者传感器收集网络信息，再交由中央控制