基于關(guān)聯(lián)規(guī)則的計(jì)算機(jī)入侵檢測(cè)方法

摘 要：網(wǎng)絡(luò)安全問題是全世界都在關(guān)注的問題?；ヂ?lián)網(wǎng)是人們生活中必不可少的一部分，包含著人們工作、學(xué)習(xí)生活的各種不同信息。因此，保證互聯(lián)網(wǎng)信息安全一直是計(jì)算機(jī)學(xué)者研究的重點(diǎn)課題。入侵方式的不斷升級(jí)，也促進(jìn)了入侵檢測(cè)方法的不斷更新。對(duì)此，文章對(duì)基于關(guān)聯(lián)規(guī)則的計(jì)算機(jī)入侵檢測(cè)方法進(jìn)行了詳細(xì)的介紹，簡(jiǎn)單討論了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的現(xiàn)狀和發(fā)展。

關(guān)鍵詞：關(guān)聯(lián)規(guī)則；計(jì)算機(jī)；入侵檢測(cè)

引言

現(xiàn)在的部分入侵檢測(cè)系統(tǒng)仍基于入侵模式的匹配進(jìn)行工作，隨著入侵模式的不斷升級(jí)，入侵檢測(cè)方法也需要有所突破，才能及時(shí)應(yīng)對(duì)不同的網(wǎng)絡(luò)異常攻擊?，F(xiàn)在的計(jì)算機(jī)學(xué)者需要不斷完善現(xiàn)行入侵檢測(cè)系統(tǒng)中存在的規(guī)則不完善、不準(zhǔn)確，容易誤判等問題，研究更新入侵檢測(cè)的方法。

1 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是主動(dòng)對(duì)網(wǎng)絡(luò)進(jìn)行安全防御的技術(shù)，能夠在不影響網(wǎng)絡(luò)性能的條件下有效防止網(wǎng)絡(luò)異常攻擊。入侵檢測(cè)是從網(wǎng)絡(luò)系統(tǒng)環(huán)境中獲取多方面信息，通過整理分析，對(duì)正常行為和異常行為進(jìn)行有效的監(jiān)測(cè)。入侵檢測(cè)系統(tǒng)由入侵軟件和計(jì)算機(jī)及網(wǎng)絡(luò)等硬件組成，是對(duì)傳統(tǒng)的防御技術(shù)防火墻的補(bǔ)充，是網(wǎng)絡(luò)安全的第二道防線。

入侵檢測(cè)最早采用統(tǒng)計(jì)學(xué)的相關(guān)知識(shí)和規(guī)則模式來監(jiān)測(cè)入侵行為，后來網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的出現(xiàn)，使入侵檢測(cè)的相關(guān)研究逐步發(fā)展為兩個(gè)方向：一個(gè)是對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，另一方面是針對(duì)主機(jī)和系統(tǒng)進(jìn)行監(jiān)測(cè)。隨著各種異常行為和攻擊的多樣化，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也不斷在完善，相關(guān)的研究成果也相應(yīng)運(yùn)用到網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，進(jìn)行網(wǎng)絡(luò)安全的保護(hù)。

2 關(guān)聯(lián)規(guī)則概念及算法

關(guān)聯(lián)規(guī)則的概念最早在1993年提出，主要研究對(duì)原有的計(jì)算機(jī)算法進(jìn)行優(yōu)化，旨在找到各項(xiàng)數(shù)據(jù)間的關(guān)系。利用關(guān)聯(lián)規(guī)則有一些主要的算法：Apriori算法、Apriori-TFP算法、改進(jìn)的Apriori-TFP算法、FP-growth算法等等。

Apriori算法結(jié)構(gòu)簡(jiǎn)單，容易理解，不需要進(jìn)行復(fù)雜的推導(dǎo)，是最經(jīng)典的利用關(guān)聯(lián)規(guī)則的算法。由于它壓縮了候選項(xiàng)集的大小，在許多情況下，具有很好的性能。不過Apriori依然存在兩方面的缺陷：Apriori算法在迭代過程中產(chǎn)生大量的候選項(xiàng)集，占據(jù)了較大的內(nèi)存；在挖掘大容量的數(shù)據(jù)庫時(shí)，大量的掃描也會(huì)帶來巨大的開銷。Apriori-TFP算法減少了Apriori算法的運(yùn)算時(shí)間，提高了運(yùn)算的效率，是對(duì)Apriori算法的改進(jìn)。改進(jìn)的Apriori-TFP算法是對(duì)Apriori-TFP算法的改進(jìn)，不僅解決了Apriori算法里產(chǎn)生大量候選項(xiàng)集占據(jù)了過多內(nèi)存以及運(yùn)算時(shí)間較長(zhǎng)的問題，而且使Apriori-TFP算法中生成的P樹和T樹的結(jié)點(diǎn)數(shù)減少了。FP-growth算法于2000年被提出，基于FP-tree的結(jié)構(gòu)，完全脫離了產(chǎn)生候選項(xiàng)集的傳統(tǒng)方式，運(yùn)用緊縮的結(jié)構(gòu)來儲(chǔ)存全部的數(shù)據(jù)信息。FP-growth算法不會(huì)產(chǎn)生大量候選項(xiàng)集，其運(yùn)算效率比Apriori算法高出很多，極大節(jié)省了運(yùn)算時(shí)間，對(duì)于搜索挖掘大容量復(fù)雜數(shù)據(jù)庫時(shí)具有明顯的優(yōu)勢(shì)。不過FP-growth算法會(huì)生成條件數(shù)據(jù)庫和條件FP-tree，占用很大部分的內(nèi)存，所以通常使用于單維的關(guān)聯(lián)規(guī)則中。

3 基于關(guān)聯(lián)規(guī)則的計(jì)算機(jī)入侵檢測(cè)

基于關(guān)聯(lián)規(guī)則的計(jì)算機(jī)入侵檢測(cè)首先要通過設(shè)計(jì)WAFP入侵檢測(cè)模型來完成。WAFP模型會(huì)先對(duì)網(wǎng)絡(luò)中獲取的一些數(shù)據(jù)進(jìn)行第一步干預(yù)，將干預(yù)后的數(shù)據(jù)錄入到數(shù)據(jù)庫中，然后WAFP模型對(duì)這個(gè)數(shù)據(jù)進(jìn)行行為的判定，確定是否為入侵行為，進(jìn)行后續(xù)的處理或者記錄下該行為的信息詳情。整體的WAFP入侵檢測(cè)模型有主要幾個(gè)模塊進(jìn)行工作：數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、WAFP檢測(cè)代理模塊和決策響應(yīng)模塊。

數(shù)據(jù)采集模塊負(fù)責(zé)最開始進(jìn)行的數(shù)據(jù)采集工作，在網(wǎng)絡(luò)中收集不同用戶行為的信息，采集到大量、準(zhǔn)確的信息數(shù)據(jù)，對(duì)于后期入侵檢測(cè)系統(tǒng)的工作更加便捷，入侵行為發(fā)現(xiàn)的可能也就越大。數(shù)據(jù)預(yù)處理模塊的工作就是對(duì)采集的數(shù)據(jù)進(jìn)行第一次干預(yù)，原始數(shù)據(jù)通常有信息不完整、冗余、含有與關(guān)聯(lián)規(guī)則無關(guān)的內(nèi)容等特點(diǎn)，數(shù)據(jù)預(yù)處理就是將這些數(shù)據(jù)進(jìn)行干預(yù)，之后把整理好的數(shù)據(jù)統(tǒng)一存儲(chǔ)并傳遞給下一部分。WAFP檢測(cè)模塊是對(duì)處理好的數(shù)據(jù)進(jìn)行行為分析，運(yùn)用關(guān)聯(lián)規(guī)則挖掘，通過與規(guī)則庫中的規(guī)則數(shù)據(jù)進(jìn)行對(duì)比，來判定是否為入侵行為。決策響應(yīng)模塊是對(duì)WAFP檢測(cè)模塊工作的補(bǔ)充，通過關(guān)聯(lián)規(guī)則對(duì)入侵行為進(jìn)行檢測(cè)，并且做出相應(yīng)的決策來處理信息數(shù)據(jù)，進(jìn)行相關(guān)的防護(hù)措施。如果系統(tǒng)響應(yīng)模塊無法判斷是否為入侵行為，則報(bào)告給計(jì)算機(jī)安全員進(jìn)行后續(xù)處理。

4 計(jì)算機(jī)入侵檢測(cè)現(xiàn)狀及發(fā)展

從20世紀(jì)80年代起，入侵檢測(cè)的相關(guān)研究就已經(jīng)開展了，入侵檢測(cè)的相關(guān)技術(shù)一直是計(jì)算機(jī)學(xué)者關(guān)注與研究的重點(diǎn)。傳統(tǒng)的入侵檢測(cè)方法是運(yùn)用多個(gè)探測(cè)器或者傳感器收集網(wǎng)絡(luò)信息，再交由中央控制臺(tái)統(tǒng)一處理。后來發(fā)展出分布式入侵檢測(cè)方法，由本地的智能agent節(jié)點(diǎn)處理本地信息，中央agent節(jié)點(diǎn)負(fù)責(zé)整體的工作，這樣大大提升了檢測(cè)的效率。目前的入侵檢測(cè)系統(tǒng)仍然基于入侵模式匹配的方法工作，具有準(zhǔn)確率較高的優(yōu)點(diǎn)，然而隨著入侵方法的不斷更新，入侵檢測(cè)系統(tǒng)需要將入侵方式的特征進(jìn)行提取后才能進(jìn)一步工作，往往比入侵方法的更新慢了一步，在處理更新后的入侵方法方面仍然具有較大的局限性。

入侵檢測(cè)方法的研究一直在進(jìn)行，基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)方法也是最近研究的熱點(diǎn)，其中，基于關(guān)聯(lián)規(guī)則的數(shù)據(jù)挖掘更是位于研究的前端。網(wǎng)絡(luò)異常行為數(shù)據(jù)不斷在增加，對(duì)于計(jì)算機(jī)入侵檢測(cè)方法來說是十分嚴(yán)峻的考驗(yàn)，計(jì)算機(jī)入侵檢測(cè)系統(tǒng)如何快速、準(zhǔn)確的分辨找出異常入侵攻擊行為，是需要計(jì)算機(jī)學(xué)者持續(xù)研究跟進(jìn)的。不斷更新關(guān)聯(lián)規(guī)則的內(nèi)容，將異常行為信息數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫中，是長(zhǎng)期且必要進(jìn)行的工作。

5 結(jié)束語

文章對(duì)基于關(guān)聯(lián)規(guī)則的計(jì)算機(jī)入侵檢測(cè)方法進(jìn)行了詳細(xì)的說明，希望可以對(duì)廣大計(jì)算機(jī)學(xué)者有所幫助。計(jì)算機(jī)入侵檢測(cè)方法不斷在更新，從入侵檢測(cè)模式的匹配到現(xiàn)在進(jìn)行數(shù)據(jù)的挖掘，計(jì)算機(jī)入侵檢測(cè)系統(tǒng)也有了一定的發(fā)展。互聯(lián)網(wǎng)在生活中就像雙刃劍，合理使用才能保證自我的安全，而計(jì)算機(jī)入侵檢測(cè)方法則是對(duì)我們自己的多重保障，因此，入侵檢測(cè)方法的研究也會(huì)一直持續(xù)下去。

參考文獻(xiàn)

[1]劉艷云.基于改進(jìn)關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法的研究[J].通信技術(shù)，2008，12（41）：316-318.

[2]陳洪泉，霍志凱.基于關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法[J].電子科技大學(xué)學(xué)報(bào)，2009，38：94-96.

[3]蔡偉賢.關(guān)聯(lián)分析在入侵檢測(cè)中的研究與應(yīng)用[D].廣州：廣東工業(yè)大學(xué)，2011.

[4]杜旭光.基于多維關(guān)聯(lián)規(guī)則的入侵檢測(cè)方法研究[D].燕山大學(xué)，2014.

[5]商志會(huì).關(guān)聯(lián)規(guī)則挖掘算法的研究及其在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[D].同濟(jì)大學(xué)，2006.