基于關(guān)聯(lián)規(guī)則挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、數(shù)據(jù)庫系統(tǒng)往往保存著對公司或組織極為重要的數(shù)據(jù)，其重要性和價值對攻擊者有很大的吸引力，受到蓄意攻擊的可能性很大。同時，數(shù)據(jù)庫系統(tǒng)本身的弱點也使其成為易受攻擊的目標(biāo)，如數(shù)據(jù)庫的數(shù)據(jù)經(jīng)常需要更新以及許多數(shù)據(jù)庫提供優(yōu)化接口。
　　 一些傳統(tǒng)的安全機制，如身份認(rèn)證，存取控制，加密等重點在于預(yù)防，是被動的安全機制，無法完全阻止入侵。所以，需要入侵檢測—一種主動的安全機制，把這些傳統(tǒng)安全機制無法阻止的攻擊找出來，并阻斷攻擊?，F(xiàn)在，入侵檢測的

2、研究取得了不少的成果，但是這些研究大多集中在對網(wǎng)絡(luò)和操作系統(tǒng)的入侵檢測上，對數(shù)據(jù)庫的入侵檢測則較少涉及。數(shù)據(jù)庫入侵檢測重點在于檢測數(shù)據(jù)庫內(nèi)部的攻擊，屬于應(yīng)用層的入侵檢測，能對惡意事務(wù)進(jìn)行檢測，這是網(wǎng)絡(luò)和操作系統(tǒng)入侵檢測系統(tǒng)無能為力的。
　　 數(shù)據(jù)挖掘是從大量的、不完整的、有噪聲的、模糊的、隨機的數(shù)據(jù)中，提取隱含在其中的、人們事先不知道的，但又是潛在有用的信息和知識的過程。入侵檢測在本質(zhì)上是一個對審計日志等大量數(shù)據(jù)進(jìn)行數(shù)據(jù)處理的過

3、程，將數(shù)據(jù)挖掘應(yīng)用于入侵檢測中，即使根本不知道各種攻擊手段的作用機制，也可以從安全審計數(shù)據(jù)本身所隱藏的規(guī)律中發(fā)現(xiàn)異常行為，從而使入侵檢測系統(tǒng)具有更好的自學(xué)習(xí)、自適應(yīng)和自我擴展的能力。本文即是將改進(jìn)的關(guān)聯(lián)規(guī)則算法應(yīng)用于數(shù)據(jù)庫的入侵檢測中。本文的主要貢獻(xiàn)如下：
　　 1、對關(guān)聯(lián)規(guī)則挖掘算法FP-Growth進(jìn)行了基于效率的改進(jìn)，提出了MFP-Growth算法。該算法建立事務(wù)-項矩陣表示事務(wù)數(shù)據(jù)庫，并在頻繁模式矩陣上產(chǎn)生條件矩陣來挖掘

4、頻繁模式集合。該方法避免了FP-Growth算法中遞歸產(chǎn)生條件模式樹這一時間開銷大的操作，而且該方法在支持度變化和數(shù)據(jù)更新時，不需要重新掃描數(shù)據(jù)庫，直接在事務(wù)-項矩陣上操作。實驗證明該方法比FP-Growth算法有效。
　　 2、 MFP-Growth算法在數(shù)據(jù)庫入侵檢測中的應(yīng)用研究及優(yōu)化。為了使MFP-Growth算法更好的應(yīng)用于數(shù)據(jù)庫的入侵檢測中，本文對其進(jìn)行了優(yōu)化，引入了屬性相關(guān)支持度和距離度量的概念。屬性相關(guān)支持度保證了

5、規(guī)則庫的完備性，在生成的規(guī)則里就不會漏掉出現(xiàn)頻率低但非常重要的特征屬性。距離度量考慮了數(shù)據(jù)庫模式的數(shù)據(jù)結(jié)構(gòu)特性和用戶行為的語義特性。經(jīng)過優(yōu)化的MFP-Growth算法挖掘的模式更好的表示了數(shù)據(jù)庫用戶的行為模式，提高了入侵檢測的精度。
　　 3、數(shù)據(jù)庫入侵檢測系統(tǒng)原型設(shè)計。本文設(shè)計了數(shù)據(jù)庫入侵檢測系統(tǒng)原型，給出了原型的框架。在數(shù)據(jù)采集中，使用了ORACLE9i的審計日志作為數(shù)據(jù)源；在模式挖掘模塊中使用了經(jīng)過優(yōu)化的MFP-Growt