国产久草深夜福利精品_精品国产看高清国产毛片_成年日韩片av在线网站_亚洲国产综合777_免费高清一级在线观看_欧美色图中文字幕_老中医用嘴排阴毒 小雨_99精品无码视频在线播放_久久久精品强暴视频_国产aⅴ一区最新精品

基于加權(quán)關(guān)聯(lián)規(guī)則的入侵檢測(cè)研究  2012/3/1

  1 前言

    隨著internet的飛速發(fā)展,網(wǎng)絡(luò)安全問題變得日趨重要。因此,入侵檢測(cè)作為一種網(wǎng)絡(luò)安全手段受到了越來越多的關(guān)注并逐漸成為動(dòng)態(tài)安全技術(shù)中的核心技術(shù)。對(duì)于入侵檢測(cè)有兩種衡量的標(biāo)準(zhǔn)：檢測(cè)率和誤報(bào)率。一個(gè)優(yōu)秀的入侵檢測(cè)系統(tǒng)要求檢測(cè)率盡可能高且誤報(bào)率盡可能低,傳統(tǒng)的入侵檢測(cè)系統(tǒng)是首先建立一個(gè)包含各種已知網(wǎng)絡(luò)入侵方法和系統(tǒng)缺陷的入侵模式數(shù)據(jù)庫,然后在收集到的網(wǎng)絡(luò)活動(dòng)信息中尋找與數(shù)據(jù)庫項(xiàng)目匹配的蛛絲馬跡。若匹配成功則入侵發(fā)生,否則即為正常數(shù)據(jù)。這說明入侵檢測(cè)系統(tǒng)的檢測(cè)率與入侵模式數(shù)據(jù)庫的完整程度緊密相關(guān),同時(shí)誤報(bào)率與入侵模式的精確度也是密不可分。入侵模式數(shù)據(jù)庫包含的入侵模式越精確越完整,檢測(cè)率也就越高;檢測(cè)率越高,誤報(bào)率也就越低。目前,傳統(tǒng)的入侵模式數(shù)據(jù)庫是由手工方式構(gòu)建的且僅包含已知的入侵模式,因而不能檢測(cè)到未知入侵手段,從而限制了檢測(cè)率。

2 入侵檢測(cè)中關(guān)聯(lián)規(guī)則的有限性及應(yīng)用

2．1 入侵檢測(cè)關(guān)聯(lián)規(guī)則的應(yīng)用

    目前,許多研究使用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則來挖掘未知的入侵模式是基于當(dāng)前用戶行為與歷史行為相關(guān)的前提條件,因此,從歷史行為中挖掘出的模式顯示了用戶行為的統(tǒng)計(jì)特性,通過把這些模式增加到入侵模式數(shù)據(jù)庫中并把當(dāng)前用戶行為與歷史統(tǒng)計(jì)特性相比較,與安全策略相矛盾的行為即被檢測(cè)為人侵行為。






    首先產(chǎn)生所有支持度大于最小支持度之值的項(xiàng)集,這些項(xiàng)集被稱作大項(xiàng)集,其他的被稱作小項(xiàng)集;其次對(duì)每一個(gè)大項(xiàng)集產(chǎn)生大于置信度的所有規(guī)則,例如：對(duì)于大項(xiàng)集



2．2 關(guān)聯(lián)規(guī)則的有限性

    雖然關(guān)聯(lián)規(guī)則為檢測(cè)數(shù)據(jù)中的潛在關(guān)系提供了有效的機(jī)制,把關(guān)聯(lián)規(guī)則應(yīng)用到入侵檢測(cè)系統(tǒng),可發(fā)現(xiàn)未知的入侵模式,入侵模式數(shù)據(jù)庫被擴(kuò)展到可檢測(cè)出一些未知入侵的模式,因而可提高入侵檢測(cè)系統(tǒng)的檢測(cè)率,然而這種方法同時(shí)也增加了系統(tǒng)的誤報(bào)率。產(chǎn)生這種結(jié)果的原因主要是關(guān)聯(lián)規(guī)則中的假設(shè),該假設(shè)暗示了列集中每一項(xiàng)目都有同等的重要性。然而實(shí)際情況并非如此,網(wǎng)絡(luò)是動(dòng)態(tài)的。入侵檢測(cè)也一樣,隨著時(shí)間的推移,新的入侵就可能出現(xiàn)。審計(jì)數(shù)據(jù)中隨時(shí)間增長的數(shù)據(jù)越來越多,大多數(shù)項(xiàng)目或許出現(xiàn)很長時(shí)間,而其他項(xiàng)目才剛剛出現(xiàn),因而引起所謂的時(shí)間效應(yīng)問題。即歷史越久遠(yuǎn)的數(shù)據(jù)應(yīng)該對(duì)規(guī)則的影響越小,同時(shí)也說明每個(gè)項(xiàng)目的重要性是不同的。由于目前采用的關(guān)聯(lián)規(guī)則不能解決這個(gè)問題,為此本文將加權(quán)關(guān)聯(lián)規(guī)則引入入侵檢測(cè)中,可用來解決這個(gè)問題。

3 入侵檢測(cè)系統(tǒng)中加權(quán)關(guān)聯(lián)規(guī)則的應(yīng)用



    用戶不感興趣的規(guī)則,同時(shí)觀察到集合{D,丑,9}在1995年后在數(shù)據(jù)庫中出現(xiàn)的頻率很高,這或許隱藏著某些規(guī)則,暗示著新的攻擊技術(shù)的出現(xiàn)。為了開采出所有這些用戶感興趣規(guī)則,首先降低最小支持度S與最小置信度C到0．3和0．6,結(jié)果僅僅得到兩個(gè)無用規(guī)則A→B,D→A,這說明僅依靠降低閾值無法有效地解決該問題。另一個(gè)方法是：可刪除過時(shí)的老項(xiàng)目集,但問題是在一個(gè)海量數(shù)據(jù)庫中很難確定哪些項(xiàng)目為過時(shí)的項(xiàng)目,另外,某些過時(shí)的老項(xiàng)目集或許可能和新項(xiàng)目一起構(gòu)成新的有趣規(guī)則,所以刪除老項(xiàng)目集同樣不能解決問題。





    利用表1中的數(shù)據(jù),依上述方法把審計(jì)數(shù)據(jù)分為10個(gè)時(shí)間間隔,第1行為0．1,第2行為0．2…(見表1),仍然設(shè)置最小支持度及最小置信度為0．4與0．7,將得到規(guī)則;C→D,D→C,E→F與F→丑,與沒有使用加權(quán)規(guī)則相比發(fā)現(xiàn)包含A、B的規(guī)則消失了,若把最小支持度和最小置信度分別降為0．3與0．6,將得到有趣的新規(guī)則為C→F,D+F,DAE→F和DAF→E。


以上分析顯示,把加權(quán)關(guān)聯(lián)規(guī)則技術(shù)引入入侵檢測(cè)系統(tǒng)可更精確地表示入侵模式。這是由于考慮了審計(jì)數(shù)據(jù)的時(shí)間效應(yīng)。同時(shí),使用加權(quán)關(guān)聯(lián)規(guī)則可從各種各樣的審計(jì)數(shù)據(jù)中更加容易且更有效地發(fā)現(xiàn)有用信息。因此,加權(quán)關(guān)聯(lián)規(guī)則技術(shù)比關(guān)聯(lián)規(guī)則技術(shù)更加適合于構(gòu)建入侵檢測(cè)系統(tǒng)的入侵模塊數(shù)據(jù)庫。

與《基于加權(quán)關(guān)聯(lián)規(guī)則的入侵檢測(cè)研究》相關(guān)列表

• · 硅基板的UV增強(qiáng)型氮氧化工藝 2012/3/1
• · 在線找出隱藏的電氣缺陷：優(yōu)化銅邏輯和芯片加工的電子束檢查 2012/3/1
• · ARM攜手Linux推動(dòng)嵌入式領(lǐng)域的發(fā)展 2012/3/1
• · 450mm晶圓，準(zhǔn)備好了嗎？ 2012/3/1
• · IR發(fā)布緊湊型iMOTION電機(jī)驅(qū)動(dòng)集成電路 2012/3/1
• · ARM為手持消費(fèi)設(shè)備帶來業(yè)界最佳音頻解決方案 2012/3/1
• · 德資雅迪EHB67-10以太網(wǎng)中心開關(guān) 2012/3/1
• · 新型CFL和鹵素控制IC引領(lǐng)全球照明市場(chǎng) 2012/3/1