基于遺傳及關(guān)聯(lián)規(guī)則算法的入侵檢測(cè)系統(tǒng)的研究.pdf

1、入侵檢測(cè)系統(tǒng)是信息安全領(lǐng)域的一個(gè)重要分支，它是不同于“防火墻”技術(shù)，“防病毒技術(shù)”，“數(shù)據(jù)加密”技術(shù)等傳統(tǒng)安全保護(hù)技術(shù)的一種新的安全保障技術(shù)，它不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也能監(jiān)督內(nèi)部用戶未授權(quán)的活動(dòng)。 由于入侵檢測(cè)系統(tǒng)本身存在的一些缺陷，使得當(dāng)前的入侵檢測(cè)系統(tǒng)產(chǎn)品的檢出率低，誤報(bào)率高，因此，用戶大量棄而不用。但另一方面說(shuō)明入侵檢測(cè)技術(shù)還不夠成熟，有很大的改進(jìn)空間，特別是基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)產(chǎn)品，如果能夠克服技術(shù)

2、瓶頸，將會(huì)發(fā)揮入侵檢測(cè)系統(tǒng)的重要作用。 數(shù)據(jù)挖掘技術(shù)的功能包含的范圍相當(dāng)廣泛，如自動(dòng)預(yù)測(cè)趨勢(shì)和行為、關(guān)聯(lián)分析、聚類、分類等。論文只針對(duì)基于異常的入侵檢測(cè)系統(tǒng)，采用關(guān)聯(lián)規(guī)則算法挖掘入侵檢測(cè)系統(tǒng)采集到的數(shù)據(jù)包和系統(tǒng)日志等數(shù)據(jù)集，產(chǎn)生入侵檢測(cè)系統(tǒng)正常的行為規(guī)則庫(kù)，從而實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的分析模塊。關(guān)聯(lián)規(guī)則算法的計(jì)算量非常大，需要頻繁掃描數(shù)據(jù)庫(kù)，效率比較低，如果應(yīng)用于入侵檢測(cè)系統(tǒng)中，其時(shí)實(shí)性很難得到保證。其中，關(guān)聯(lián)規(guī)則算法中最小支持度和最

3、小置信度設(shè)置是影響挖掘效率的重要因素，設(shè)置過(guò)高，將影響規(guī)則的產(chǎn)生；設(shè)置過(guò)低，時(shí)實(shí)性又差，是一對(duì)比較難以平衡的矛盾。因此，對(duì)于入侵檢測(cè)系統(tǒng)而言，關(guān)聯(lián)規(guī)則挖掘算法的最小支持度和最小置信度的設(shè)置將決定入侵檢測(cè)系統(tǒng)的檢出率和虛警率，同時(shí)還要影響入侵檢測(cè)系統(tǒng)的負(fù)荷。 由于遺傳算法具有自動(dòng)尋優(yōu)的功能，針對(duì)關(guān)聯(lián)規(guī)則挖掘的入侵檢測(cè)系統(tǒng)中的矛盾，采用離線處理的方式，利用遺傳算法搜尋關(guān)聯(lián)規(guī)則算法最小支持度和最小置信度最優(yōu)的設(shè)置范圍，為實(shí)時(shí)的入侵檢測(cè)