基于遺傳及關(guān)聯(lián)規(guī)則算法的入侵檢測系統(tǒng)的研究.pdf

1、入侵檢測系統(tǒng)是信息安全領(lǐng)域的一個重要分支，它是不同于“防火墻”技術(shù)，“防病毒技術(shù)”，“數(shù)據(jù)加密”技術(shù)等傳統(tǒng)安全保護技術(shù)的一種新的安全保障技術(shù)，它不僅能檢測來自外部的入侵行為，同時也能監(jiān)督內(nèi)部用戶未授權(quán)的活動。 由于入侵檢測系統(tǒng)本身存在的一些缺陷，使得當(dāng)前的入侵檢測系統(tǒng)產(chǎn)品的檢出率低，誤報率高，因此，用戶大量棄而不用。但另一方面說明入侵檢測技術(shù)還不夠成熟，有很大的改進空間，特別是基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)產(chǎn)品，如果能夠克服技術(shù)

2、瓶頸，將會發(fā)揮入侵檢測系統(tǒng)的重要作用。 數(shù)據(jù)挖掘技術(shù)的功能包含的范圍相當(dāng)廣泛，如自動預(yù)測趨勢和行為、關(guān)聯(lián)分析、聚類、分類等。論文只針對基于異常的入侵檢測系統(tǒng)，采用關(guān)聯(lián)規(guī)則算法挖掘入侵檢測系統(tǒng)采集到的數(shù)據(jù)包和系統(tǒng)日志等數(shù)據(jù)集，產(chǎn)生入侵檢測系統(tǒng)正常的行為規(guī)則庫，從而實現(xiàn)入侵檢測系統(tǒng)的分析模塊。關(guān)聯(lián)規(guī)則算法的計算量非常大，需要頻繁掃描數(shù)據(jù)庫，效率比較低，如果應(yīng)用于入侵檢測系統(tǒng)中，其時實性很難得到保證。其中，關(guān)聯(lián)規(guī)則算法中最小支持度和最

3、小置信度設(shè)置是影響挖掘效率的重要因素，設(shè)置過高，將影響規(guī)則的產(chǎn)生；設(shè)置過低，時實性又差，是一對比較難以平衡的矛盾。因此，對于入侵檢測系統(tǒng)而言，關(guān)聯(lián)規(guī)則挖掘算法的最小支持度和最小置信度的設(shè)置將決定入侵檢測系統(tǒng)的檢出率和虛警率，同時還要影響入侵檢測系統(tǒng)的負荷。 由于遺傳算法具有自動尋優(yōu)的功能，針對關(guān)聯(lián)規(guī)則挖掘的入侵檢測系統(tǒng)中的矛盾，采用離線處理的方式，利用遺傳算法搜尋關(guān)聯(lián)規(guī)則算法最小支持度和最小置信度最優(yōu)的設(shè)置范圍，為實時的入侵檢測