加權(quán)關(guān)聯(lián)規(guī)則在入侵檢測(cè)中的研究與應(yīng)用.pdf

1、入侵檢測(cè)是網(wǎng)絡(luò)安全的主動(dòng)防御工具，當(dāng)檢測(cè)到入侵行為時(shí)，要求響應(yīng)單元盡可能快速響應(yīng)處理，并記錄其特征，以便于以后的檢測(cè)。由于發(fā)生的入侵行為大多具有相關(guān)性，故入侵行為的相關(guān)性分析是入侵檢測(cè)的重要手段之一，并廣泛應(yīng)用在入侵檢測(cè)系統(tǒng)中。關(guān)聯(lián)規(guī)則挖掘?yàn)槿肭中袨橄嚓P(guān)性分析中的知識(shí)獲取提供了新途徑，它可以從大型事務(wù)或數(shù)據(jù)集中發(fā)現(xiàn)項(xiàng)之間潛在有趣的、有用的關(guān)聯(lián)或關(guān)系。關(guān)聯(lián)規(guī)則挖掘一直是數(shù)據(jù)挖掘中的一個(gè)活躍的研究領(lǐng)域，將其應(yīng)用于入侵檢測(cè)是當(dāng)前的研究熱點(diǎn)。大

2、量研究表明：關(guān)聯(lián)規(guī)則在入侵檢測(cè)系統(tǒng)中的應(yīng)用可以發(fā)現(xiàn)未知的入侵模式，IDS的檢測(cè)率可被提高，然而誤報(bào)率也增加了。產(chǎn)生這種結(jié)果的原因主要是關(guān)聯(lián)規(guī)則中的兩大假設(shè)：數(shù)據(jù)庫中各項(xiàng)目重要性相同；各項(xiàng)目出現(xiàn)頻率相同或相似。然而現(xiàn)實(shí)情況并非如此，因此我們引入了加權(quán)關(guān)聯(lián)規(guī)則，給項(xiàng)目加上權(quán)值來反映其重要性，從而更符合挖掘要求。
　　 本文主要對(duì)加權(quán)關(guān)聯(lián)規(guī)則在入侵檢測(cè)中的應(yīng)用進(jìn)行了研究，針對(duì)國內(nèi)外有關(guān)加權(quán)關(guān)聯(lián)規(guī)則算法進(jìn)行深入研究，并對(duì)當(dāng)前經(jīng)典的加權(quán)關(guān)

3、聯(lián)規(guī)則算法MINWAL(O)算法進(jìn)行了深入分析，指出其不足之處，結(jié)合入侵檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)規(guī)模大和不同特征屬性對(duì)入侵行為的重要性不同，本文在MINWAL(O)算法和FP-Growth算法的基礎(chǔ)上，給出了改進(jìn)的加權(quán)關(guān)聯(lián)規(guī)則算法--WAFP算法，使其不僅可以提高挖掘效率，而且更符合對(duì)入侵?jǐn)?shù)據(jù)的挖掘。在WAFP算法中，本文建立了用于入侵檢測(cè)的層次結(jié)構(gòu)圖，用AHP方法確定項(xiàng)目權(quán)值；通過分析比較MINWAL(O)算法和FP－Growth算法，詳細(xì)說明

4、了WAFP算法的基本思想；并用實(shí)例分析、說明了WAFP樹的構(gòu)建；介紹了如何進(jìn)行加權(quán)關(guān)聯(lián)頻繁規(guī)則挖掘，并引入了比例加權(quán)值對(duì)候選項(xiàng)集進(jìn)行剪枝，減少候選項(xiàng)集的生成。比例加權(quán)值的引入對(duì)于MINWAL(O)算法中將權(quán)值累加和做為項(xiàng)集權(quán)值的方法在一定程度上彌補(bǔ)了MINWAL(O)算法的不足。然后，建立了一個(gè)基于WAFP算法的入侵檢測(cè)模型，并分別介紹了各個(gè)模塊的功能。
　　 最后，本文給出了系統(tǒng)的整體架構(gòu)，并從KDD CUP99數(shù)據(jù)中的“kd