基于關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng).pdf

1、信息技術(shù)發(fā)展的日新月異使得信息安全問題正逐漸變得重要起來。入侵檢測的意義在于“防患于未然”，在惡意攻擊者能夠?qū)π畔⑾到y(tǒng)造成破壞之前及時發(fā)覺攻擊者的意圖和行為，并采取相應(yīng)的措施，以保證信息系統(tǒng)的安全。 入侵檢測的基本方法有兩類：異常檢測和誤用檢測。兩種方法各有其優(yōu)缺點，異常檢測以一組屬性參數(shù)標(biāo)識系統(tǒng)的正常狀態(tài)，一旦檢測到這些參數(shù)發(fā)生偏離，即認(rèn)為是一個異常，它不依賴于關(guān)于入侵手段的先驗知識，理論上能夠檢測出一切的入侵，即使是之前從未

2、被發(fā)現(xiàn)過的入侵手段。但是由于異常和正常是一個相對模糊的概念，因此無法很精確的界定，界定過嚴(yán)，則虛警率升高：界定過寬，則漏警率升高，兩者難以平衡。誤用檢測具有檢測精確度高、虛警率低的優(yōu)點，但是它依賴于提取特征，無法對那些尚未確定的新的入侵手段做出檢測。分析發(fā)現(xiàn)，兩種方法的優(yōu)缺點具有很大的互補性，異常檢測的普適性可以彌補特征檢測不能發(fā)現(xiàn)新入侵攻擊手段的缺陷，而特征檢測的精確性可以改善異常檢測概念上的模糊性，平衡異常檢測的虛警率和漏警率這一對

3、矛盾?；谶@種考慮，本文采用了協(xié)同檢測的策略，在系統(tǒng)中集成了異常檢測和特征檢測兩個獨立的模塊，讓其協(xié)同工作，互為補充。 在異常檢測模塊中，本文使用關(guān)聯(lián)規(guī)則來標(biāo)識系統(tǒng)的正常行為模式，然后根據(jù)對實時網(wǎng)絡(luò)數(shù)據(jù)包的分解和模式匹配，判定該數(shù)據(jù)包是否屬于異常.經(jīng)典的關(guān)聯(lián)規(guī)則挖掘算法Apriori算法具有簡潔和完備的優(yōu)點，但是算法運算量過大導(dǎo)致每次挖掘時間過長，無法滿足入侵檢測系統(tǒng)實時性的要求，而且算法導(dǎo)致系統(tǒng)I/O負(fù)荷過重。本文在Aprio