基于关联规则的入侵检测方法.pdf.pdfVIP

第 3O卷第 3期 凯里学院学报 Vol_3O No．3 2012年 6月 JournalofKailiUniversity Jun．2O12 · 计算机 · 基于关联规则的入侵检测方法 吴冬妮 (凯里学院信息工程学院，贵州 凯里 556011) 摘 要 ：针对关联规则 Apriori算法存在的局 限性 ，提 出了利用杂凑树结构来存储侯选项集，以 减少存储空间．同时通过一定的规则属性忽略一些数据来减少扫描的事务数据量 以提高检测的 速度．通过 KDDCUP1999数据集进行测试，证明了该算法的有效性． 关键词 ：入侵检测 ；关联规则 ；Apriori算法 论文编码 ：Doi：10．3969／i．issn．1673—9329．2012．03．35 0 弓l言 1 关联规则的算法描述 Internet的快速发展 ，使得人们之 间的信息交互 1．1 关联规 则 变得越来越方便快捷 ，而 由此产生的网络安全 问题也 关联规则[¨]：设 卜= {il，i2，……， }是全体 变得越来越严峻．入侵检测 IDS(intrusiondetection 数据项的集合 ，简称项集 ，D为全体数据事务集 ，每 system)是一种主动 的网络安全 防御技术 ，已成为 网 个数据事务 T有唯一 的TID标识 ，且 1r J，其 中项 络安全研究的热点．IDS是致力于实时的入侵检测 ， 集 x、y，x ，，y j，且 xny=咖，那么关联规则 在确保 网络性能的条件下，对 网络的各种攻击行为进 可表示为 X y的逻辑蕴含式．关联规则挖掘 的 目 行检测 ，从而能实时的保护网络安全 问题．入侵检测 的是找出数据库 中不同数据项集之 间存在 的潜在关 系统根据检测方法 的不 同可 以分为误用检测和异常 系的规则． 检测[11．误用检测根据建立 的已知入侵攻击行为的 支持度 (support)[11]：在数据事务集 D 中包含项 特征库来匹配检测 中的入侵行为 ，相 同则判断为人 侵．这种检测方法能检测 出已知 的入侵攻击 ，但对未 集X 的事务数与D 的比，也就是 X在 D 中出现的概 知的入侵攻击却无能为力，从而导致误报率较高．异 率 ，表示为 P (x)，关联规则 X y的支持度就为P 常检测是建立网络 中正常行为 的特征库来作为判断 (XUy)．长度为 是的项集称为 k阶项集 ，事先给定 检测中入侵行为的依据 ，检测 出的行为与特征库匹配 一 个最小支持数(minsup或 )，如果 k阶项集的支持 则判断正常，不匹配则判断为人侵 ，此种检测方法对 度 P，(是)≥s，就称 是为大项集 ，或者是频繁项集 ，k阶 于未知的入侵攻击行为可以进行判断． 频繁项集的集合表示为L^． 入侵检测系统的优劣主要是通过检测率和误报 置信度 (confidence)[1]：关联规则 X Y的支 率 2项 指 标来 衡 量 的，尽 可 能 的使检 测 率 接 近 持度就为P，(XUy)，那么规则 X Y的置信度就是 100％，误报率接近 0，很多学者都做 了相应 的研究和