论文部分内容阅读
入侵检测是网络安全的主动防御工具,当检测到入侵行为时,要求响应单元尽可能快速响应处理,并记录其特征,以便于以后的检测。由于发生的入侵行为大多具有相关性,故入侵行为的相关性分析是入侵检测的重要手段之一,并广泛应用在入侵检测系统中。关联规则挖掘为入侵行为相关性分析中的知识获取提供了新途径,它可以从大型事务或数据集中发现项之间潜在有趣的、有用的关联或关系。关联规则挖掘一直是数据挖掘中的一个活跃的研究领域,将其应用于入侵检测是当前的研究热点。大量研究表明:关联规则在入侵检测系统中的应用可以发现未知的入侵模式,IDS的检测率可被提高,然而误报率也增加了。产生这种结果的原因主要是关联规则中的两大假设:数据库中各项目重要性相同;各项目出现频率相同或相似。然而现实情况并非如此,因此我们引入了加权关联规则,给项目加上权值来反映其重要性,从而更符合挖掘要求。本文主要对加权关联规则在入侵检测中的应用进行了研究,针对国内外有关加权关联规则算法进行深入研究,并对当前经典的加权关联规则算法MINWAL (0)算法进行了深入分析,指出其不足之处,结合入侵检测的网络数据规模大和不同特征属性对入侵行为的重要性不同,本文在MINWAL(O)算法和FP-Growth算法的基础上,给出了改进的加权关联规则算法——WAFP算法,使其不仅可以提高挖掘效率,而且更符合对入侵数据的挖掘。在WAFP算法中,本文建立了用于入侵检测的层次结构图,用AHP方法确定项目权值;通过分析比较MINWAL(O)算法和FP-Growth算法,详细说明了WAFP算法的基本思想;并用实例分析、说明了WAFP树的构建;介绍了如何进行加权关联频繁规则挖掘,并引入了比例加权值对候选项集进行剪枝,减少候选项集的生成。比例加权值的引入对于MINWAL (O)算法中将权值累加和做为项集权值的方法在一定程度上弥补了MINWAL (O)算法的不足。然后,建立了一个基于WAFP算法的入侵检测模型,并分别介绍了各个模块的功能。最后,本文给出了系统的整体架构,并从KDD CUP99数据中的"kddcup.data10.percent"子集上选取了30000条记录进行实验,其中90%作为训练集,10%作为测试集。实验结果表明,改进的算法在不同支持度下的运行时间比MINWAL (0)算法有明显改善;基于WAFP的入侵检测模型具有较高的检测率和较低的误报率。