基于改進(jìn)加權(quán)關(guān)聯(lián)規(guī)則算法的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

孫福兆

摘 要：隨著當(dāng)前網(wǎng)絡(luò)環(huán)境的復(fù)雜化，各類網(wǎng)絡(luò)問題層出不窮，如何改進(jìn)入侵檢測(cè)系統(tǒng)的性能，使其更好地提供網(wǎng)絡(luò)安全保障服務(wù)，也是當(dāng)前相關(guān)研究領(lǐng)域的一大重點(diǎn)工作。通過對(duì)入侵檢測(cè)系統(tǒng)的研究，提出了一種基于改進(jìn)加權(quán)關(guān)聯(lián)規(guī)則算法的入侵檢測(cè)系統(tǒng)，并通過系統(tǒng)仿真測(cè)試來證明該系統(tǒng)的設(shè)計(jì)能夠滿足當(dāng)前網(wǎng)絡(luò)安全維護(hù)系統(tǒng)的需求。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；數(shù)據(jù)挖掘；關(guān)聯(lián)規(guī)則算法；數(shù)據(jù)采集

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2015.04.084

在互聯(lián)網(wǎng)技術(shù)普及的時(shí)代，網(wǎng)絡(luò)安全問題越來越多。由于互聯(lián)網(wǎng)是開放式的網(wǎng)絡(luò)，并不能夠?qū)τ脩舻木W(wǎng)絡(luò)安全進(jìn)行維護(hù)和保障，一旦用戶的網(wǎng)絡(luò)數(shù)據(jù)庫遭到惡意入侵，就會(huì)造成很大的影響。為了避免惡意入侵所帶來的不良后果，必須盡快采用一種切實(shí)可行的網(wǎng)絡(luò)數(shù)據(jù)保護(hù)措施來維護(hù)人們的信息安全，而入侵檢測(cè)技術(shù)就是一種專為計(jì)算機(jī)系統(tǒng)打造的異常現(xiàn)象檢測(cè)技術(shù)。隨著網(wǎng)絡(luò)環(huán)境的日漸復(fù)雜，入侵檢測(cè)系統(tǒng)在維護(hù)網(wǎng)絡(luò)安全的同時(shí)，也逐漸暴露出了自身的問題，例如在運(yùn)行過程中出現(xiàn)誤報(bào)和漏報(bào)的現(xiàn)象；實(shí)際檢測(cè)速度過于遲緩，無法滿足網(wǎng)絡(luò)需求等。因此，如何改進(jìn)入侵檢測(cè)系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)異常的能力，提高其對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測(cè)的精準(zhǔn)性也是當(dāng)前的研究熱門。

1 改進(jìn)加權(quán)關(guān)聯(lián)規(guī)則挖掘算法

加權(quán)關(guān)聯(lián)規(guī)則挖掘算法，即WAFP算法，其是基于MLNML算法和FP-Growth算法出現(xiàn)的，充分結(jié)合MLNML算法中的加權(quán)概念和FP-Growth算法中的項(xiàng)目附加值，使算法在產(chǎn)生加權(quán)頻繁項(xiàng)目集時(shí)不產(chǎn)生Frequent Pattern Tree，從而改進(jìn)了原本MLNML算法中需要對(duì)數(shù)據(jù)庫進(jìn)行反復(fù)掃描計(jì)算的缺陷。WAFP算法特征在于能夠?qū)?shù)據(jù)庫中的加權(quán)頻繁項(xiàng)目集在WAFP樹中反映，并保持各項(xiàng)目的聯(lián)系。該算法便于系統(tǒng)直接從WAFP樹中循環(huán)挖掘符合條件的加權(quán)關(guān)聯(lián)項(xiàng)目集。在挖掘時(shí)，以根節(jié)點(diǎn)為基礎(chǔ)出發(fā)點(diǎn)，并在每個(gè)路徑中都循環(huán)挖掘，直到找到所有滿足條件的項(xiàng)目集。

WAFP算法需要首先通過WAFP樹對(duì)輸入的數(shù)據(jù)進(jìn)行壓縮，并形成教育事務(wù)數(shù)據(jù)庫，再將數(shù)據(jù)庫中的每個(gè)事務(wù)進(jìn)行路徑映射，使WAFP能夠表達(dá)出各項(xiàng)目之間的關(guān)系。WAFP樹從初始值null根節(jié)點(diǎn)開始，對(duì)入侵?jǐn)?shù)據(jù)庫D進(jìn)行設(shè)置，并將加權(quán)支持度的最小值設(shè)為Wmin sup。項(xiàng)目和列表與項(xiàng)目Ii的權(quán)值Wi設(shè)為輸入，且1

2 入侵檢測(cè)系統(tǒng)

由于數(shù)據(jù)挖掘具有可拓展性特征，本系統(tǒng)的設(shè)計(jì)將分為四大模塊進(jìn)行，分別為數(shù)據(jù)采集子系統(tǒng)、告警輸出模塊、核心拓展接口模塊和動(dòng)態(tài)模塊管理。動(dòng)態(tài)模塊管理是該系統(tǒng)中最為核心的部分，主要用于維持其他模塊的運(yùn)行，例如動(dòng)態(tài)載入數(shù)據(jù)和卸載等，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)性、動(dòng)態(tài)模塊與核心拓展接口模塊互動(dòng)和系統(tǒng)動(dòng)態(tài)的拓展性。數(shù)據(jù)采集子系統(tǒng)包括數(shù)據(jù)預(yù)處理和網(wǎng)絡(luò)數(shù)據(jù)包獲取兩大模塊，其中，數(shù)據(jù)預(yù)處理模塊能夠?qū)υ肼晹?shù)據(jù)和數(shù)據(jù)缺失值進(jìn)行識(shí)別和處理，從而保證系統(tǒng)數(shù)據(jù)的同一性。此外，系統(tǒng)在數(shù)據(jù)采集模塊中將會(huì)對(duì)所需的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，在對(duì)數(shù)據(jù)包進(jìn)行預(yù)處理后發(fā)送至協(xié)議分析模塊，從而完成整個(gè)數(shù)據(jù)的分析。

該系統(tǒng)由數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)和響應(yīng)子系統(tǒng)三個(gè)系統(tǒng)構(gòu)成。數(shù)據(jù)采集子系統(tǒng)包括數(shù)據(jù)預(yù)處理模塊和網(wǎng)絡(luò)數(shù)據(jù)包獲取模塊。其中，網(wǎng)絡(luò)數(shù)據(jù)包獲取模塊的作用在于獲取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，在數(shù)據(jù)包中獲取源地址、連接狀態(tài)和傳輸數(shù)據(jù)等信息。數(shù)據(jù)分析子系統(tǒng)中包括了數(shù)據(jù)庫、規(guī)則庫、數(shù)據(jù)挖掘模塊、規(guī)則解析模塊和協(xié)議分析模塊。

3 系統(tǒng)仿真測(cè)試

將本系統(tǒng)安裝于某高校圖書館的檢測(cè)服務(wù)器中進(jìn)行試驗(yàn)，該檢測(cè)服務(wù)器基本配置為Inter酷睿2.4 GHz處理器，基本內(nèi)存為512 M，硬盤容量為160 GB，可搭載Windows 2003 SP4版本的操作系統(tǒng)進(jìn)行作業(yè)。檢測(cè)器已連接局域網(wǎng)，并安裝了相關(guān)證書服務(wù)和SQL Server 2000系統(tǒng)。

本實(shí)驗(yàn)通過使用Stick軟件測(cè)試系統(tǒng)的應(yīng)對(duì)壓力和IDS逃避指數(shù)。經(jīng)檢測(cè)發(fā)現(xiàn)，該系統(tǒng)最短可在2 s內(nèi)對(duì)400以上的攻擊作出反應(yīng)，而告警信息過快則會(huì)導(dǎo)致IDS逃避變得遲緩，甚至出現(xiàn)滯后現(xiàn)象，導(dǎo)致系統(tǒng)停止工作。Stick軟件的攻擊特征具有多樣性，且都由Snot的規(guī)則組包構(gòu)成。其在IDS中運(yùn)行時(shí)會(huì)導(dǎo)致系統(tǒng)發(fā)出告警信息。這些信息在網(wǎng)絡(luò)管理者看來來源地并不明確，因此，IDS無法作出正確的反應(yīng)。當(dāng)軟件攻擊表現(xiàn)的信息數(shù)據(jù)包大于IDS可處理的能力時(shí)，將會(huì)使系統(tǒng)停止服務(wù)。而此時(shí)的Snot程序可將IDS的狀態(tài)進(jìn)行翻轉(zhuǎn)，Snot的Rule輸入后，Snot將成為任意包生成器，同時(shí)將Snort Rule文件作為數(shù)據(jù)信息源。

測(cè)試表明，采用Stick抗攻擊性能測(cè)試的計(jì)算機(jī)CPU占有率達(dá)到了100%，內(nèi)存占有率也高達(dá)95%.而采用Snot抗攻擊性能測(cè)試時(shí)，計(jì)算機(jī)CPU的占有率僅達(dá)到82.5%，內(nèi)存占有率也相對(duì)較低，只占了76.2%.

參考文獻(xiàn)

[1]楊正軍，崔寶江.改進(jìn)的關(guān)聯(lián)規(guī)則挖掘算法在入侵檢測(cè)中的應(yīng)用[J].軟件，2012（12）.

〔編輯：王霞〕