基于關聯規則的計算機入侵檢測方法

摘 要：網絡安全問題是全世界都在關注的問題。互聯網是人們生活中必不可少的一部分，包含著人們工作、學習生活的各種不同信息。因此，保證互聯網信息安全一直是計算機學者研究的重點課題。入侵方式的不斷升級，也促進了入侵檢測方法的不斷更新。對此，文章對基于關聯規則的計算機入侵檢測方法進行了詳細的介紹，簡單討論了網絡入侵檢測技術的現狀和發展。

關鍵詞：關聯規則；計算機；入侵檢測

引言

現在的部分入侵檢測系統仍基于入侵模式的匹配進行工作，隨著入侵模式的不斷升級，入侵檢測方法也需要有所突破，才能及時應對不同的網絡異常攻擊。現在的計算機學者需要不斷完善現行入侵檢測系統中存在的規則不完善、不準確，容易誤判等問題，研究更新入侵檢測的方法。

1 網絡入侵檢測技術

網絡入侵檢測技術是主動對網絡進行安全防御的技術，能夠在不影響網絡性能的條件下有效防止網絡異常攻擊。入侵檢測是從網絡系統環境中獲取多方面信息，通過整理分析，對正常行為和異常行為進行有效的監測。入侵檢測系統由入侵軟件和計算機及網絡等硬件組成，是對傳統的防御技術防火墻的補充，是網絡安全的第二道防線。

入侵檢測最早采用統計學的相關知識和規則模式來監測入侵行為，后來網絡安全監控系統的出現，使入侵檢測的相關研究逐步發展為兩個方向：一個是對網絡進行檢測，另一方面是針對主機和系統進行監測。隨著各種異常行為和攻擊的多樣化，網絡入侵檢測技術也不斷在完善，相關的研究成果也相應運用到網絡入侵檢測系統中，進行網絡安全的保護。

2 關聯規則概念及算法

關聯規則的概念最早在1993年提出，主要研究對原有的計算機算法進行優化，旨在找到各項數據間的關系。利用關聯規則有一些主要的算法：Apriori算法、Apriori-TFP算法、改進的Apriori-TFP算法、FP-growth算法等等。

Apriori算法結構簡單，容易理解，不需要進行復雜的推導，是最經典的利用關聯規則的算法。由于它壓縮了候選項集的大小，在許多情況下，具有很好的性能。不過Apriori依然存在兩方面的缺陷：Apriori算法在迭代過程中產生大量的候選項集，占據了較大的內存；在挖掘大容量的數據庫時，大量的掃描也會帶來巨大的開銷。Apriori-TFP算法減少了Apriori算法的運算時間，提高了運算的效率，是對Apriori算法的改進。改進的Apriori-TFP算法是對Apriori-TFP算法的改進，不僅解決了Apriori算法里產生大量候選項集占據了過多內存以及運算時間較長的問題，而且使Apriori-TFP算法中生成的P樹和T樹的結點數減少了。FP-growth算法于2000年被提出，基于FP-tree的結構，完全脫離了產生候選項集的傳統方式，運用緊縮的結構來儲存全部的數據信息。FP-growth算法不會產生大量候選項集，其運算效率比Apriori算法高出很多，極大節省了運算時間，對于搜索挖掘大容量復雜數據庫時具有明顯的優勢。不過FP-growth算法會生成條件數據庫和條件FP-tree，占用很大部分的內存，所以通常使用于單維的關聯規則中。

3 基于關聯規則的計算機入侵檢測

基于關聯規則的計算機入侵檢測首先要通過設計WAFP入侵檢測模型來完成。WAFP模型會先對網絡中獲取的一些數據進行第一步干預，將干預后的數據錄入到數據庫中，然后WAFP模型對這個數據進行行為的判定，確定是否為入侵行為，進行后續的處理或者記錄下該行為的信息詳情。整體的WAFP入侵檢測模型有主要幾個模塊進行工作：數據采集模塊、數據預處理模塊、WAFP檢測代理模塊和決策響應模塊。

數據采集模塊負責最開始進行的數據采集工作，在網絡中收集不同用戶行為的信息，采集到大量、準確的信息數據，對于后期入侵檢測系統的工作更加便捷，入侵行為發現的可能也就越大。數據預處理模塊的工作就是對采集的數據進行第一次干預，原始數據通常有信息不完整、冗余、含有與關聯規則無關的內容等特點，數據預處理就是將這些數據進行干預，之后把整理好的數據統一存儲并傳遞給下一部分。WAFP檢測模塊是對處理好的數據進行行為分析，運用關聯規則挖掘，通過與規則庫中的規則數據進行對比，來判定是否為入侵行為。決策響應模塊是對WAFP檢測模塊工作的補充，通過關聯規則對入侵行為進行檢測，并且做出相應的決策來處理信息數據，進行相關的防護措施。如果系統響應模塊無法判斷是否為入侵行為，則報告給計算機安全員進行后續處理。

4 計算機入侵檢測現狀及發展

從20世紀80年代起，入侵檢測的相關研究就已經開展了，入侵檢測的相關技術一直是計算機學者關注與研究的重點。傳統的入侵檢測方法是運用多個探測器或者傳感器收集網絡信息，再交由中央控制臺統一處理。后來發展出分布式入侵檢測方法，由本地的智能agent節點處理本地信息，中央agent節點負責整體的工作，這樣大大提升了檢測的效率。目前的入侵檢測系統仍然基于入侵模式匹配的方法工作，具有準確率較高的優點，然而隨著入侵方法的不斷更新，入侵檢測系統需要將入侵方式的特征進行提取后才能進一步工作，往往比入侵方法的更新慢了一步，在處理更新后的入侵方法方面仍然具有較大的局限性。

入侵檢測方法的研究一直在進行，基于數據挖掘技術的入侵檢測方法也是最近研究的熱點，其中，基于關聯規則的數據挖掘更是位于研究的前端。網絡異常行為數據不斷在增加，對于計算機入侵檢測方法來說是十分嚴峻的考驗，計算機入侵檢測系統如何快速、準確的分辨找出異常入侵攻擊行為，是需要計算機學者持續研究跟進的。不斷更新關聯規則的內容，將異常行為信息數據存儲到數據庫中，是長期且必要進行的工作。

5 結束語

文章對基于關聯規則的計算機入侵檢測方法進行了詳細的說明，希望可以對廣大計算機學者有所幫助。計算機入侵檢測方法不斷在更新，從入侵檢測模式的匹配到現在進行數據的挖掘，計算機入侵檢測系統也有了一定的發展。互聯網在生活中就像雙刃劍，合理使用才能保證自我的安全，而計算機入侵檢測方法則是對我們自己的多重保障，因此，入侵檢測方法的研究也會一直持續下去。

參考文獻

[1]劉艷云.基于改進關聯規則的網絡入侵檢測方法的研究[J].通信技術，2008，12（41）：316-318.

[2]陳洪泉，霍志凱.基于關聯規則的網絡入侵檢測方法[J].電子科技大學學報，2009，38：94-96.

[3]蔡偉賢.關聯分析在入侵檢測中的研究與應用[D].廣州：廣東工業大學，2011.

[4]杜旭光.基于多維關聯規則的入侵檢測方法研究[D].燕山大學，2014.

[5]商志會.關聯規則挖掘算法的研究及其在網絡入侵檢測中的應用[D].同濟大學，2006.