基于加权关联规则的入侵检测研究

1 前言

    随着internet的飞速发展，网络安全问题变得日趋重要。因此，入侵检测作为一种网络安全手段受到了越来越多的关注并逐渐成为动态安全技术中的核心技术。对于入侵检测有两种衡量的标准：检测率和误报率。一个优秀的入侵检测系统要求检测率尽可能高且误报率尽可能低，传统的入侵检测系统是首先建立一个包含各种已知网络入侵方法和系统缺陷的入侵模式数据库，然后在收集到的网络活动信息中寻找与数据库项目匹配的蛛丝马迹。若匹配成功则入侵发生，否则即为正常数据。这说明入侵检测系统的检测率与入侵模式数据库的完整程度紧密相关，同时误报率与入侵模式的精确度也是密不可分。入侵模式数据库包含的入侵模式越精确越完整，检测率也就越高；检测率越高，误报率也就越低。目前，传统的入侵模式数据库是由手工方式构建的且仅包含已知的入侵模式，因而不能检测到未知入侵手段，从而限制了检测率。

2 入侵检测中关联规则的有限性及应用

2．1 入侵检测关联规则的应用

    目前，许多研究使用数据挖掘中的关联规则来挖掘未知的入侵模式是基于当前用户行为与历史行为相关的前提条件，因此，从历史行为中挖掘出的模式显示了用户行为的统计特性，通过把这些模式增加到入侵模式数据库中并把当前用户行为与历史统计特性相比较，与安全策略相矛盾的行为即被检测为人侵行为。






    首先产生所有支持度大于最小支持度之值的项集，这些项集被称作大项集，其他的被称作小项集；其次对每一个大项集产生大于置信度的所有规则，例如：对于大项集



2．2 关联规则的有限性

    虽然关联规则为检测数据中的潜在关系提供了有效的机制，把关联规则应用到入侵检测系统，可发现未知的入侵模式，入侵模式数据库被扩展到可检测出一些未知入侵的模式，因而可提高入侵检测系统的检测率，然而这种方法同时也增加了系统的误报率。产生这种结果的原因主要是关联规则中的假设，该假设暗示了列集中每一项目都有同等的重要性。然而实际情况并非如此，网络是动态的。入侵检测也一样，随着时间的推移，新的入侵就可能出现。审计数据中随时间增长的数据越来越多，大多数项目或许出现很长时间，而其他项目才刚刚出现，因而引起所谓的时间效应问题。即历史越久远的数据应该对规则的影响越小，同时也说明每个项目的重要性是不同的。由于目前采用的关联规则不能解决这个问题，为此本文将加权关联规则引入入侵检测中，可用来解决这个问题。

3 入侵检测系统中加权关联规则的应用



    用户不感兴趣的规则，同时观察到集合{D，丑，9}在1995年后在数据库中出现的频率很高，这或许隐藏着某些规则，暗示着新的攻击技术的出现。为了开采出所有这些用户感兴趣规则，首先降低最小支持度S与最小置信度C到0．3和0．6，结果仅仅得到两个无用规则A→B，D→A，这说明仅依靠降低阈值无法有效地解决该问题。另一个方法是：可删除过时的老项目集，但问题是在一个海量数据库中很难确定哪些项目为过时的项目，另外，某些过时的老项目集或许可能和新项目一起构成新的有趣规则，所以删除老项目集同样不能解决问题。





    利用表1中的数据，依上述方法把审计数据分为10个时间间隔，第1行为0．1，第2行为0．2…(见表1)，仍然设置最小支持度及最小置信度为0．4与0．7，将得到规则；C→D，D→C，E→F与F→丑，与没有使用加权规则相比发现包含A、B的规则消失了，若把最小支持度和最小置信度分别降为0．3与0．6，将得到有趣的新规则为C→F，D+F，DAE→F和DAF→E。


以上分析显示，把加权关联规则技术引入入侵检测系统可更精确地表示入侵模式。这是由于考虑了审计数据的时间效应。同时，使用加权关联规则可从各种各样的审计数据中更加容易且更有效地发现有用信息。因此，加权关联规则技术比关联规则技术更加适合于构建入侵检测系统的入侵模块数据库。

4 加权关联规则的NIDS体系结构

该模型(如图1所示)主要由基于加权关联规则的数据挖掘模块(如图2所示)、知识库、入侵检测机制和智能决策模块4大部分组成。其实现过程为：

(1)知识库的初始化：首先将已知系统缺陷和其他已知攻击模式装入知识库中，然后在挖掘算法库的指导下，对审计数据中的历史数据进行挖掘形成知识库，目的在于描述网络数据包中隐含的异常和正常事件。

(2)在挖掘算法库(基于加权关联规则技术)的指导下，对基于发生时间不同而产生不同权值的审计数据进行挖掘得出新的入侵证据送人入侵检测机制。 

(3)在知识库的指导下进行入侵检测，若特征符合或规则匹配则交由智能决策模块进行相应的响应处理，否则记录特征。 



结 语

本文把加权关联规则技术运用到网络入侵检测系统中，给出了基于加权关联规则的网络入侵检测系统的体系结构。基于此结构的网络入侵检测系统与仅使用关联规则的网络入侵检测系统相比提高了挖掘入侵模式的精确度和完整性．不但能够发现一些未知的入侵手段从而提高了检测率，同时还可有效降低误报率的发生．在基于加权关联规则的入侵检测系统中，权值的选择也是一个关键问题，进一步的研究工作将是解决如何在入侵检测中更合理地选择权值的问题。