基于關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)安全入侵檢測方法

摘要：為提高計算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性針對目前網(wǎng)絡(luò)安全入侵檢測時效性與準(zhǔn)確性不理想的問題文章提出了基于關(guān)聯(lián)規(guī)則的網(wǎng)絡(luò)安全入侵檢測方法。首先將網(wǎng)絡(luò)數(shù)據(jù)映射到同一維度提取計算機(jī)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)特征;在此基礎(chǔ)上最后利用相關(guān)性因子計算網(wǎng)絡(luò)數(shù)據(jù)的相似度通過設(shè)置閾值判斷網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)的相似度大小;對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行聚類處理以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的預(yù)處理。最后利用關(guān)聯(lián)規(guī)則方法挖掘網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)實(shí)現(xiàn)入侵檢測。實(shí)驗(yàn)發(fā)現(xiàn)文章所設(shè)計的方法具有較高的響應(yīng)度耗時較短且準(zhǔn)確率較高為后續(xù)的深度挖掘網(wǎng)絡(luò)安全入侵節(jié)點(diǎn)提供了理論基礎(chǔ)與參考價值。

關(guān)鍵詞：關(guān)聯(lián)規(guī)則;數(shù)據(jù)挖掘;網(wǎng)絡(luò)安全性;入侵檢測

中圖法分類號：TP399文獻(xiàn)標(biāo)識碼：A

Network security intrusion detection method based on association rules

LIU Gang

（Chongqing Chemical Industry Vocational College，Chongqing 401220，China）

Abstract：In order to improve the security of computer network operation， the network security intrusion detection method based on network security intrusion detection is proposed.Firstly， the network data is mapped to the same dimension and the characteristics of computer network operation data are extracted by using the correlation factor to calculate the similarity of network data and cluster the network operation data to realize the preprocessing of network data.The association rules are used to mine the network intrusion data and realize the intrusion detection.The experiment finds that the designed method has high responsiveness， short time consuming and high accuracy， which provides the basic theory and reference for the subsequent deep mining of network security invasion nodes，and has certain practical value.

Key words：association rules， data mining， network security， intrusion detection

1? 引言

互聯(lián)網(wǎng)的高速發(fā)展為人們處理日常工作和生活出行提供了便利，使得計算機(jī)網(wǎng)絡(luò)逐漸深入人們的工作與生活，也是目前社會基礎(chǔ)設(shè)施的主要構(gòu)成部分之一 [1～ 2]。然而，目前黑客攻擊的水平也逐漸提高，網(wǎng)絡(luò)入侵事件時有發(fā)生，由此給網(wǎng)絡(luò)安全造成了不同程度的威脅。段仁武[3]通過改進(jìn) Apriori 算法，增強(qiáng)規(guī)則關(guān)聯(lián)度，提高了數(shù)據(jù)挖掘能力，提升了網(wǎng)絡(luò)入侵檢測的準(zhǔn)確率。李新新[4]通過分析網(wǎng)絡(luò)入侵檢測現(xiàn)狀，研究網(wǎng)絡(luò)入侵方式，利用大數(shù)據(jù)挖掘技術(shù)將網(wǎng)絡(luò)入侵要點(diǎn)進(jìn)行定位，提高了檢測效果。上述方法在一定程度上，均可以有效提高網(wǎng)絡(luò)安全入侵檢測能力。但是，隨著網(wǎng)絡(luò)遭受病毒感染的可能性增加，受入侵攻擊的速度急速提升等因素的影響，導(dǎo)致網(wǎng)絡(luò)防火墻或現(xiàn)有的入侵檢測方法響應(yīng)時間較長，無法快速有效地檢測與識別網(wǎng)絡(luò)入侵。因此，入侵檢測是對計算機(jī)網(wǎng)絡(luò)的一種動態(tài)監(jiān)控，可以有效為預(yù)防或抵抗計算機(jī)網(wǎng)絡(luò)受到的入侵提供借鑒與參考。

2? 計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理

2.1? 計算機(jī)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)特征提取

設(shè)定計算機(jī)網(wǎng)絡(luò)運(yùn)行過程中產(chǎn)生 n 個數(shù)據(jù)樣本，整個數(shù)據(jù)集合表示為 J={j1，j2，jn }，為了保證數(shù)據(jù)的維度一致，將所有的數(shù)據(jù)集合映射到統(tǒng)一的高維空間。設(shè)定映射函數(shù)為f （ x ），則數(shù)據(jù)集 J 的映射結(jié)果為：

利用主成分分析的方法提取計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的主成分特征，得到具體的結(jié)果為：

式（2）中，T 表示主成分特征的提取時間;θ表示特征向量;ji 表示任何一個計算機(jī)網(wǎng)絡(luò)數(shù)據(jù);χ表示冗余系數(shù);jj 表示冗余數(shù)據(jù)。

根據(jù)計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)主成分特征，得到計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)特征結(jié)果為：

式（3）中，b 表示特征分量。

在將數(shù)據(jù)映射到同一維度的基礎(chǔ)上，利用主成分分析法提取數(shù)據(jù)的主成分特征，從而獲取計算機(jī)網(wǎng)絡(luò)的運(yùn)行數(shù)據(jù)特征，為后續(xù)計算網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)的相似度提供基礎(chǔ)條件。

2.2? 計算機(jī)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)相似度計算

只有將數(shù)據(jù)統(tǒng)一劃分到同一維度內(nèi)，才能實(shí)現(xiàn)不同數(shù)據(jù)之間的相關(guān)程度計算。在2.1節(jié)的基礎(chǔ)上，計算同一個維度內(nèi)的數(shù)據(jù)集合 J1 和 J2 之間的相關(guān)性因子：

式（4）中，L1 表和 L2 分別表示數(shù)據(jù)集合 J1 和 J2 之間的關(guān)聯(lián)系數(shù)和差異性系數(shù)。由此，設(shè)定各數(shù)據(jù)集間的相關(guān)程度的閾值為 Y（J1，J2） ，則將相關(guān)性因子與所設(shè)定的閾值進(jìn)行比較：

當(dāng) g（J1，J2）≥Y（J1，J2）時，說明兩個數(shù)據(jù)集之間的關(guān)聯(lián)程度較強(qiáng);當(dāng) g（J1，J2）

2.3? 計算機(jī)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)的聚類分析

假設(shè)ki 為不同數(shù)據(jù)類型的屬性集，表述為：

式（5）中，win 表示第 n 個數(shù)據(jù)樣本的權(quán)值。根據(jù)不同數(shù)據(jù)屬性的差異性，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的模糊聚類，得到聚類結(jié)果為：

由此，實(shí)現(xiàn)計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的聚類，從而完整完成計算機(jī)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)的預(yù)處理，為后續(xù)檢測入侵節(jié)點(diǎn)提供基礎(chǔ)條件。

3? 計算機(jī)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測方法

3.1? 關(guān)聯(lián)規(guī)則設(shè)計

通過逐層搜索信息數(shù)據(jù)的方式獲取數(shù)據(jù)頻繁項(xiàng)集，將第一個項(xiàng)集定義為 S，通過 S 搜索帶有信息數(shù)據(jù)特征的下一層項(xiàng)集，定義為 S+1，依次逐層識別數(shù)據(jù)集，直到所有頻繁項(xiàng)集都被定義標(biāo)記，完成頻繁項(xiàng)集的入侵?jǐn)?shù)據(jù)檢測。根據(jù)頻繁項(xiàng)集檢測結(jié)果，生成強(qiáng)關(guān)聯(lián)規(guī)則，具體產(chǎn)生過程如下。

每一個頻繁項(xiàng)集中，都存在一定數(shù)量的網(wǎng)絡(luò)入侵信息數(shù)據(jù)特征，通過識別數(shù)據(jù)關(guān)聯(lián)度能夠提高運(yùn)算速度。頻繁項(xiàng)集表達(dá)式為：

式（7）中，r 代表項(xiàng)集，D 代表前件與后件之間的相關(guān)度。頻繁項(xiàng)集進(jìn)行表達(dá)式的求解后，利用缺陷關(guān)聯(lián)規(guī)則挖掘方法的定義關(guān)聯(lián)規(guī)則，給定一組處理完成的計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)信息，并挖掘出關(guān)聯(lián)頻繁項(xiàng) F，其表達(dá)

式為：

式（8）中，g 代表關(guān)聯(lián)規(guī)則參數(shù)，κ代表可能的入侵?jǐn)?shù)據(jù)，γ代表規(guī)則合理判斷參數(shù)。

通過上述公式對每一個頻繁項(xiàng)集構(gòu)造關(guān)聯(lián)規(guī)則，選取滿足類最小置信度以及相關(guān)度大于1 的強(qiáng)關(guān)聯(lián)規(guī)則，對于小于最小支持度的頻繁項(xiàng)集不予考慮，以壓縮搜索空間。然后給定入侵路徑，進(jìn)行實(shí)時入侵跟蹤，其表達(dá)式為：

式（9）中，N 代表入侵路徑信息中的完備信息，z 代表入侵路徑區(qū)域的概率，δ代表概率大小排序參數(shù)。

將信息加權(quán)系數(shù)設(shè)定為φ，利用主成分分析算法構(gòu)建頻繁項(xiàng)集最小信任度，其表達(dá)式為：

式（10）中，fi 代表網(wǎng)絡(luò)入侵鏈路檢測門限，pi 代表網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)映射，p（ t ）代表最小信任度。

3.2? 關(guān)聯(lián)規(guī)則下網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測

計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)節(jié)點(diǎn)中的異常特征為 Ti ，則通過 Ti 可以判定網(wǎng)絡(luò)節(jié)點(diǎn) i 的偏離程度，數(shù)據(jù)節(jié)點(diǎn)異常計算式為：

式（11）中，f（ i ）為特征提取函數(shù);distance（? ）表示偏離程度計算函數(shù);Θ表示計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)線性擬合程度。利用計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)節(jié)點(diǎn)中的異常特征 Ti ，通過糾正節(jié)點(diǎn)的偏移量，實(shí)現(xiàn)計算機(jī)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測。數(shù)據(jù)節(jié)點(diǎn)偏離計算式為：

式（12）中，ui 表示計算機(jī)網(wǎng)絡(luò)鏈路邊數(shù)，ζ表示冪律分布的擬合參數(shù)，x （ t ）表示節(jié)點(diǎn)偏移量。

4? 實(shí)驗(yàn)驗(yàn)證

4.1? 不同攻擊類型的檢出結(jié)果

在不同類型的入侵攻擊下，計算機(jī)網(wǎng)絡(luò)入侵類型涵蓋認(rèn)證入侵、連接入侵、偽裝用戶入侵以及斷開連接入侵等，測試三種方法的檢出結(jié)果如表1 所列。

由表1 可以看出，對于不同入侵類型造成的入侵后果，本文方法均可以有效檢出，而利用文獻(xiàn)[3]和文獻(xiàn)[4]中的兩種方法可以檢測出大部分入侵后果，卻無法有效檢測出所有入侵后果，說明本文方法具有一定的有效性。

4.2? 不同方法的檢測響應(yīng)時間

對于計算機(jī)網(wǎng)絡(luò)的安全入侵檢測而言，不僅要求檢測算法具有較高的檢測準(zhǔn)確率，還需要具有較短的響應(yīng)時間，使得計算機(jī)系統(tǒng)可以進(jìn)行快速防御與抵制入侵。通過迭代方式，進(jìn)行600次實(shí)驗(yàn)，計算本文方法與文獻(xiàn)[3]方法。文獻(xiàn)[4]方法的檢測響應(yīng)時間，響應(yīng)時間越短表明網(wǎng)絡(luò)安全入侵檢測效果越好，實(shí)驗(yàn)結(jié)果如表2 所列。

分析表2 可以看出，采用本文方法檢測響應(yīng)時間最短，且遠(yuǎn)低于文獻(xiàn)[3]方法。文獻(xiàn)[4]方法雖然響應(yīng)時間較短，但由于其入侵檢測準(zhǔn)確率較低，仍存在一定的缺陷。實(shí)驗(yàn)結(jié)果表明，本文所設(shè)計的基于關(guān)聯(lián)規(guī)則的方法對計算機(jī)網(wǎng)絡(luò)安全入侵檢測具有響應(yīng)速度快的優(yōu)點(diǎn)。

5? 結(jié)論

計算機(jī)網(wǎng)絡(luò)易受到黑客入侵攻擊，不僅影響計算機(jī)安全運(yùn)行的穩(wěn)定性與安全性，也造成人們工作效率較低以及容易泄露個人信息的劣勢。由此，本文提出了基于關(guān)聯(lián)規(guī)則的計算機(jī)網(wǎng)絡(luò)安全入侵檢測方法。實(shí)驗(yàn)發(fā)現(xiàn)，本文所設(shè)計的方法不僅具有較高的準(zhǔn)確率，而且耗時較短，響應(yīng)速度快，具有一定的實(shí)際應(yīng)用價值，為后續(xù)的計算機(jī)網(wǎng)絡(luò)入侵攻擊檢測提供一定的參考與借鑒。

參考文獻(xiàn)：

[1 ] 董天宇，黃云.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)入侵檢測應(yīng)用研究[J].電子技術(shù)與軟件工程，2021（ 24）：238?239.

[2] 程顯生，楊珍，王俊.計算機(jī)網(wǎng)絡(luò)入侵跳頻數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘方法[J].計算機(jī)仿真，2021，38（3）：259?263.

[3 ]段仁武.基于 Apriori 優(yōu)化算法的計算機(jī)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)挖掘[J].九江學(xué)院學(xué)報（自然科學(xué)版），2021，36（2）：75?77.

[4] 李新新.大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)入侵檢測的應(yīng)用[J].信息技術(shù)與信息化，2021（ 5）：235?237.

作者簡介：

劉崗 （1977—） ，本科，助理講師，研究方向：網(wǎng)絡(luò)安全與技術(shù)。