3 入侵检测系统中加权关联规则的应用
用户不感兴趣的规则,同时观察到集合{D,丑,9}在1995年后在数据库中出现的频率很高,这或许隐藏着某些规则,暗示着新的攻击技术的出现。为了开采出所有这些用户感兴趣规则,首先降低最小支持度S与最小置信度C到0.3和0.6,结果仅仅得到两个无用规则A→B,D→A,这说明仅依靠降低阈值无法有效地解决该问题。另一个方法是:可删除过时的老项目集,但问题是在一个海量数据库中很难确定哪些项目为过时的项目,另外,某些过时的老项目集或许可能和新项目一起构成新的有趣规则,所以删除老项目集同样不能解决问题。 数据挖掘研究院
利用表1中的数据,依上述方法把审计数据分为10个时间间隔,第1行为0.1,第2行为0.2…(见表1),仍然设置最小支持度及最小置信度为0.4与0.7,将得到规则;C→D,D→C,E→F与F→丑,与没有使用加权规则相比发现包含A、B的规则消失了,若把最小支持度和最小置信度分别降为0.3与0.6,将得到有趣的新规则为C→F,D+F,DAE→F和DAF→E。
以上分析显示,把加权关联规则技术引入入侵检测系统可更精确地表示入侵模式。这是由于考虑了审计数据的时间效应。同时,使用加权关联规则可从各种各样的审计数据中更加容易且更有效地发现有用信息。因此,加权关联规则技术比关联规则技术更加适合于构建入侵检测系统的入侵模块数据库。
4 加权关联规则的NIDS体系结构 数据挖掘研究院
该模型(如图1所示)主要由基于加权关联规则的数据挖掘模块(如图2所示)、知识库、入侵检测机制和智能决策模块4大部分组成。其实现过程为:
(1)知识库的初始化:首先将已知系统缺陷和其他已知攻击模式装入知识库中,然后在挖掘算法库的指导下,对审计数据中的历史数据进行挖掘形成知识库,目的在于描述网络数据包中隐含的异常和正常事件。
(2)在挖掘算法库(基于加权关联规则技术)的指导下,对基于发生时间不同而产生不同权值的审计数据进行挖掘得出新的入侵证据送人入侵检测机制。
(3)在知识库的指导下进行入侵检测,若特征符合或规则匹配则交由智能决策模块进行相应的响应处理,否则记录特征。
