基于模糊关联规则挖掘网络异常入侵检测研究.docVIP

基于模糊关联规则挖掘网络异常入侵检测研究 　　摘要：针对关联规则挖掘中存在的边界问题，研究了模糊关联规则挖掘算法，该算法用模糊集代替区间来处理多值属性。实验结果表明，利用模糊关联规则挖掘可以有效发现异常，提高了网络异常入侵检测的准确度。 　　关键词：模糊集合；模糊关联规则；入侵检测 　　中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 19-0000-02 　　Study on the Network Intrusion Detection Based on Fuzzy Association Rule Mining 　　Li Lianhuan 　　(Nanyang Medical College,Nanyang473061,China) 　　Abstract:In order to solve the problem of boundary when compartmentalizing in association-rules mining,the application of fuzzy association-rules mining was researched.this algorithm uses fuzzy sets instead of intervals to handle multi-valued attributes.Experimental results show that the use of fuzzy association rules can effectively detect anomalies,improve network anomaly intrusion detection accuracy. 　　Keywords:Fuzzy Sets;Fuzzy Association-Rules;Intrusion Detection 　　随着计算机网络的日益发展，入侵检测[1]技术已取得了长足的进步，但是现有的检测模型构造过程很大程度上依赖于系统构造者的领域知识和经验，面对复杂的网络环境，系统往往不全面、不精确，存在准确率低、高误报率和高漏报率等问题。将模糊关联规则挖掘[2]运用到入侵检测中有效的解决了这个问题。 　　一、模糊集合定义 　　模糊集合[3]是客观存在的模糊概念的必然反映。在一个模糊集合中，某些元素是否属于这个模糊集合并不是非此即彼的，既不能认为这些元素完全属于某个集合，也不能认为它们完全不属于某个集合，而是处于一种亦此亦彼、模棱两可的状态。我们用单位闭区间[0，1]中的某个值来表示该元素隶属于这个集合的一种程度，这个值就称为隶属度[4]。 　　二、模糊关联规则挖掘算法 　　设I={i1，i2，...，im}代表数据库中出现的所有属性的集合，其中每个ij（1≤j≤m）表示一个类别属性或者多值模糊属性。规定f（ij）表示所有类别的数目（如果ij是类别属性）或模糊集的数目（如果ij是多值模糊属性），mij（l，v）表示值V对属性ij的第l个模糊集ij的隶属程度。从定义可以得出：如果ij是类别属性，则mij（l，v）=0或mij（l，v）=1；如果ij是多值模糊属性，则0≤mij（l，v）≤1。 　　在模糊关联规则的挖掘中，我们用模糊集代替区间，支持计数是通过数据项对各个属性的隶属度来计算，是一个介于0和1之间的实数。事务ti的属性ijk，j表示属性集I中的第j个属性，k表示与ij关联的模糊集集合中第k个模糊集的支持计数即为数据项tij对于模糊属性ijk的隶属度mij（k，tij）。 　　设一个事务T={T.i1，T.i2，…，T.im}，T.ij（1≤j≤m）表示第j个属性的值，它可以映射为{（l，mij（l，T.ij））?O1≤l≤f（aj）}然而，如果ij是模糊的，那么事物T中相应项对ij所有模糊集的隶属度之和有的时候不等于1。因此在这里采用一种“标准化”过程对隶属度进行归1。 　　 　　对于任一属性ijk，将全部事务对该属性的支持计数相加后除以总的事务数n，即可以得到该属性的支持度： 　　 　　在得到所有属性的支持度后，将支持度小于指定min_sup的项删除，便得到了频繁1-项集L。下面的步骤和传统关联规则挖掘相似。首先对频繁（k-1）-项集Lk-1，进行连接运算，得到候选k-项集Ck；其次，修剪（Prune）步骤，对Ck进行剪枝。剪枝主要包括两个部分的内容：首先删除Ck中含有同一模糊属性的项集，这样的项集对于最后产生关联规则是没有实际意义的；其次删除Ck+，中含有非频繁子项集的项集。通过剪枝，可以降低计算量，提高算法的执行效率。 　　对于一个项目集Xk{item1=c1，item2=c2，…，item