1 前言
随着internet的飞速发展,网络安全问题变得日趋重要。因此,入侵检测作为一种网络安全手段受到了越来越多的关注并逐渐成为动态安全技术中的核心技术。对于入侵检测有两种衡量的标准:检测率和误报率。一个优秀的入侵检测系统要求检测率尽可能高且误报率尽可能低,传统的入侵检测系统是首先建立一个包含各种已知网络入侵方法和系统缺陷的入侵模式数据库,然后在收集到的网络活动信息中寻找与数据库项目匹配的蛛丝马迹。若匹配成功则入侵发生,否则即为正常数据。这说明入侵检测系统的检测率与入侵模式数据库的完整程度紧密相关,同时误报率与入侵模式的精确度也是密不可分。入侵模式数据库包含的入侵模式越精确越完整,检测率也就越高;检测率越高,误报率也就越低。目前,传统的入侵模式数据库是由手工方式构建的且仅包含已知的入侵模式,因而不能检测到未知入侵手段,从而限制了检测率。 数据挖掘实验室
2 入侵检测中关联规则的有限性及应用
2.1 入侵检测关联规则的应用 数据挖掘研究院
目前,许多研究使用数据挖掘中的关联规则来挖掘未知的入侵模式是基于当前用户行为与历史行为相关的前提条件,因此,从历史行为中挖掘出的模式显示了用户行为的统计特性,通过把这些模式增加到入侵模式数据库中并把当前用户行为与历史统计特性相比较,与安全策略相矛盾的行为即被检测为人侵行为。
首先产生所有支持度大于最小支持度之值的项集,这些项集被称作大项集,其他的被称作小项集;其次对每一个大项集产生大于置信度的所有规则,例如:对于大项集
2.2 关联规则的有限性
虽然关联规则为检测数据中的潜在关系提供了有效的机制,把关联规则应用到入侵检测系统,可发现未知的入侵模式,入侵模式数据库被扩展到可检测出一些未知入侵的模式,因而可提高入侵检测系统的检测率,然而这种方法同时也增加了系统的误报率。产生这种结果的原因主要是关联规则中的假设,该假设暗示了列集中每一项目都有同等的重要性。然而实际情况并非如此,网络是动态的。入侵检测也一样,随着时间的推移,新的入侵就可能出现。审计数据中随时间增长的数据越来越多,大多数项目或许出现很长时间,而其他项目才刚刚出现,因而引起所谓的时间效应问题。即历史越久远的数据应该对规则的影响越小,同时也说明每个项目的重要性是不同的。由于目前采用的关联规则不能解决这个问题,为此本文将加权关联规则引入入侵检测中,可用来解决这个问题。
