基于加權關(guān)聯(lián)規則的入侵檢測研究

1 前言

    隨著(zhù)internet的飛速發(fā)展，網(wǎng)絡(luò )安全問(wèn)題變得日趨重要。因此，入侵檢測作為一種網(wǎng)絡(luò )安全手段受到了越來(lái)越多的關(guān)注并逐漸成為動(dòng)態(tài)安全技術(shù)中的核心技術(shù)。對于入侵檢測有兩種衡量的標準：檢測率和誤報率。一個(gè)優(yōu)秀的入侵檢測系統要求檢測率盡可能高且誤報率盡可能低，傳統的入侵檢測系統是首先建立一個(gè)包含各種已知網(wǎng)絡(luò )入侵方法和系統缺陷的入侵模式數據庫，然后在收集到的網(wǎng)絡(luò )活動(dòng)信息中尋找與數據庫項目匹配的蛛絲馬跡。若匹配成功則入侵發(fā)生，否則即為正常數據。這說(shuō)明入侵檢測系統的檢測率與入侵模式數據庫的完整程度緊密相關(guān)，同時(shí)誤報率與入侵模式的精確度也是密不可分。入侵模式數據庫包含的入侵模式越精確越完整，檢測率也就越高；檢測率越高，誤報率也就越低。目前，傳統的入侵模式數據庫是由手工方式構建的且僅包含已知的入侵模式，因而不能檢測到未知入侵手段，從而限制了檢測率。

2 入侵檢測中關(guān)聯(lián)規則的有限性及應用

2．1 入侵檢測關(guān)聯(lián)規則的應用

    目前，許多研究使用數據挖掘中的關(guān)聯(lián)規則來(lái)挖掘未知的入侵模式是基于當前用戶(hù)行為與歷史行為相關(guān)的前提條件，因此，從歷史行為中挖掘出的模式顯示了用戶(hù)行為的統計特性，通過(guò)把這些模式增加到入侵模式數據庫中并把當前用戶(hù)行為與歷史統計特性相比較，與安全策略相矛盾的行為即被檢測為人侵行為。






    首先產(chǎn)生所有支持度大于最小支持度之值的項集，這些項集被稱(chēng)作大項集，其他的被稱(chēng)作小項集；其次對每一個(gè)大項集產(chǎn)生大于置信度的所有規則，例如：對于大項集



2．2 關(guān)聯(lián)規則的有限性

    雖然關(guān)聯(lián)規則為檢測數據中的潛在關(guān)系提供了有效的機制，把關(guān)聯(lián)規則應用到入侵檢測系統，可發(fā)現未知的入侵模式，入侵模式數據庫被擴展到可檢測出一些未知入侵的模式，因而可提高入侵檢測系統的檢測率，然而這種方法同時(shí)也增加了系統的誤報率。產(chǎn)生這種結果的原因主要是關(guān)聯(lián)規則中的假設，該假設暗示了列集中每一項目都有同等的重要性。然而實(shí)際情況并非如此，網(wǎng)絡(luò )是動(dòng)態(tài)的。入侵檢測也一樣，隨著(zhù)時(shí)間的推移，新的入侵就可能出現。審計數據中隨時(shí)間增長(cháng)的數據越來(lái)越多，大多數項目或許出現很長(cháng)時(shí)間，而其他項目才剛剛出現，因而引起所謂的時(shí)間效應問(wèn)題。即歷史越久遠的數據應該對規則的影響越小，同時(shí)也說(shuō)明每個(gè)項目的重要性是不同的。由于目前采用的關(guān)聯(lián)規則不能解決這個(gè)問(wèn)題，為此本文將加權關(guān)聯(lián)規則引入入侵檢測中，可用來(lái)解決這個(gè)問(wèn)題。

3 入侵檢測系統中加權關(guān)聯(lián)規則的應用



    用戶(hù)不感興趣的規則，同時(shí)觀(guān)察到集合{D，丑，9}在1995年后在數據庫中出現的頻率很高，這或許隱藏著(zhù)某些規則，暗示著(zhù)新的攻擊技術(shù)的出現。為了開(kāi)采出所有這些用戶(hù)感興趣規則，首先降低最小支持度S與最小置信度C到0．3和0．6，結果僅僅得到兩個(gè)無(wú)用規則A→B，D→A，這說(shuō)明僅依靠降低閾值無(wú)法有效地解決該問(wèn)題。另一個(gè)方法是：可刪除過(guò)時(shí)的老項目集，但問(wèn)題是在一個(gè)海量數據庫中很難確定哪些項目為過(guò)時(shí)的項目，另外，某些過(guò)時(shí)的老項目集或許可能和新項目一起構成新的有趣規則，所以刪除老項目集同樣不能解決問(wèn)題。





    利用表1中的數據，依上述方法把審計數據分為10個(gè)時(shí)間間隔，第1行為0．1，第2行為0．2…(見(jiàn)表1)，仍然設置最小支持度及最小置信度為0．4與0．7，將得到規則；C→D，D→C，E→F與F→丑，與沒(méi)有使用加權規則相比發(fā)現包含A、B的規則消失了，若把最小支持度和最小置信度分別降為0．3與0．6，將得到有趣的新規則為C→F，D+F，DAE→F和DAF→E。


以上分析顯示，把加權關(guān)聯(lián)規則技術(shù)引入入侵檢測系統可更精確地表示入侵模式。這是由于考慮了審計數據的時(shí)間效應。同時(shí)，使用加權關(guān)聯(lián)規則可從各種各樣的審計數據中更加容易且更有效地發(fā)現有用信息。因此，加權關(guān)聯(lián)規則技術(shù)比關(guān)聯(lián)規則技術(shù)更加適合于構建入侵檢測系統的入侵模塊數據庫。

4 加權關(guān)聯(lián)規則的NIDS體系結構

該模型(如圖1所示)主要由基于加權關(guān)聯(lián)規則的數據挖掘模塊(如圖2所示)、知識庫、入侵檢測機制和智能決策模塊4大部分組成。其實(shí)現過(guò)程為：

(1)知識庫的初始化：首先將已知系統缺陷和其他已知攻擊模式裝入知識庫中，然后在挖掘算法庫的指導下，對審計數據中的歷史數據進(jìn)行挖掘形成知識庫，目的在于描述網(wǎng)絡(luò )數據包中隱含的異常和正常事件。

(2)在挖掘算法庫(基于加權關(guān)聯(lián)規則技術(shù))的指導下，對基于發(fā)生時(shí)間不同而產(chǎn)生不同權值的審計數據進(jìn)行挖掘得出新的入侵證據送人入侵檢測機制。 

(3)在知識庫的指導下進(jìn)行入侵檢測，若特征符合或規則匹配則交由智能決策模塊進(jìn)行相應的響應處理，否則記錄特征。 



結 語(yǔ)

本文把加權關(guān)聯(lián)規則技術(shù)運用到網(wǎng)絡(luò )入侵檢測系統中，給出了基于加權關(guān)聯(lián)規則的網(wǎng)絡(luò )入侵檢測系統的體系結構?；诖私Y構的網(wǎng)絡(luò )入侵檢測系統與僅使用關(guān)聯(lián)規則的網(wǎng)絡(luò )入侵檢測系統相比提高了挖掘入侵模式的精確度和完整性．不但能夠發(fā)現一些未知的入侵手段從而提高了檢測率，同時(shí)還可有效降低誤報率的發(fā)生．在基于加權關(guān)聯(lián)規則的入侵檢測系統中，權值的選擇也是一個(gè)關(guān)鍵問(wèn)題，進(jìn)一步的研究工作將是解決如何在入侵檢測中更合理地選擇權值的問(wèn)題。